El estudio de abogados Ecija Otero, miembro de una de las oficinas más importantes del mundo en protección de datos, elaboró una decálogo con recomendaciones para que las compañías tomen resguardos en ese ámbito.
El término ciberseguridad se ha hecho cada vez más cotidiano. Algo que antes estaba más relacionado al mundo hacker hoy ha pasado a ser parte de la realidad de la mayoría de las personas, al usar herramientas digitales que son indispensables para su entretenimiento, vida social o ámbito laboral.
Prueba de ello es la reciente aprobación en el Congreso de la Ley Marco de Ciberseguridad. “Es un avance que puede ser bastante interesante”, señala Gerardo Otero, socio del estudio de abogados Ecija Otero, que a su vez es parte de Ecija España, una de las oficinas más reconocidas del mundo en temas como protección de datos, ciberseguridad y economía digital.
Otero agrega: “Sabemos que tenemos que proteger la información y los sistemas, pero hay que tener una normativa que establezca ciertos estándares, que no sea que cada uno decida qué pongo, qué no pongo, cómo reacciono, cómo no reacciono”.
En este contexto, y también con motivo del reciente Día de la Seguridad de la Información, Ecija Otero publicó un decálogo con consejos de ciberseguridad para las empresas. Te los mostramos a continuación:
1. Definir una política de seguridad
Las empresas tienen que reflejar formalmente su compromiso con los estándares adecuados, lo que incluye aquellos procedimientos y políticas que ayuden a gestionar la seguridad de la información en el día a día. En casos como el del sector público o el ámbito bancario, estos procedimientos pueden estar previamente definidos por la ley.
“Lo primero que hace una empresa es ver qué tipo de información tenemos: Datos personales, know how, datos económicos. Sabiendo que contamos con esa información, pensamos cómo vamos a protegerla: Qué seguro vamos a utilizar, qué profesionales vamos a contratar. Es como qué política de seguridad vamos a implementar en la empresa y cómo vamos a aplicarla. Es el primer paso, hacer un esquema de lo que tengo y de cómo voy a protegerlo”, explica Javier Sabido, abogado de Ecija Otero.
2. Inventario de activos
Es conveniente que las empresas cuenten con un inventario de sus activos de información, como equipos, softwares, servidores y bases de datos. Ese listado tiene que ser actualizado regularmente y debe incluir las características técnicas de los activos, así como su propietario.
Revisa también | Guías de Ciberseguridad Piensa Digital: Los peligros en las redes del hogar
“Esto implica activos tanto físicos como no físicos, porque la información que tú tienes es un activo también, pero también lo son tus herramientas. Para ambos casos debes tener claro cuál es el inventario de activos para proteger tanto lo tangible como lo intangible; tanto los sistemas como la información”, puntualiza Gerardo Otero.
3. Concienciación del personal
Es importante que los empleados y colaboradores de una empresa tengan acceso a formaciones periódicas para tomar conciencia sobre la importancia de la seguridad de la información, últimas amenazas cibernéticas y buenas prácticas sobre el manejo de la información.
La ciberseguridad de una empresa no solo pasa por quienes sean parte de los departamentos ligados a ese ámbito, sino que por todo el personal que pueda poner en riesgo algún tipo de información.
“Por mucho que tengas expertos y sistemas infórmaticos que protejan, si un trabajador no sabe de qué va y de repente comparte una contraseña de la oficina, o el email del trabajo con un tercero, y eso provoca un escape, todo lo anterior no va a servir de nada. Es fundamental que los trabajadores y el personal de una empresa sepa de qué va el tema, qué medidas tomar y demás”, dice Sabido.
4. Gestión de incidentes
Las empresas deberían establecer un proceso transparente para que los empleados y los terceros puedan reaccionar ante cualquier incidente de seguridad e informar de inmediato de forma rápida y ágil.
Esto debe complementarse con la implementación de medidas para prevenir la fuga de datos, como el uso de sistemas de Data Loss Prevention.
Gerardo Otero explica que la ciberseguridad no está solo en la prevención, sino que también en saber como actuar en caso de que un visitante indeseado entre a un sistema.
“Si se produjo una vulnerabilidad e ingresaron a tu sistema, la pregunta es cómo reaccionas frente a eso, qué haces. Y ahí tienen que haber ciertos parámetros internos, pero hacia afuera hay procedimientos que se definen. Hoy en día esta nueva ley marco de ciberseguridad establece ciertas cosas que hay que hacer”, destaca.
5. Gestión de usuarios
Una buena manera de optimizar la seguridad interna de una empresa es teniendo un riguroso proceso de gestión de usuarios y contraseñas, incluyendo el uso de doble factor de autenticación. Esto permite que se reduzca el riesgo de que usuarios no autorizados puedan entrar al sistema de la compañía, y que haya un control efectivo sobre el acceso a la información corporativa.
Revisa también | Guías de Ciberseguridad Piensa Digital: los peligros para las pymes y los e-commerce
“Hoy día en los sistemas tú defines a qué accede cada usuario. Y no todos los usuarios deben acceder a toda la información. Tú debes definir a qué usuarios vas a dar acceso y a qué cosa. Hay que darle acceso al usuario a la información que para él es indispensable para realizar su trabajo. No le des acceso a todo. Porque mientras más gente tiene acceso, más posibilidades tienes de que se produzca una brecha”, complementa Otero.
6. Copias de seguridad
Es imprescindible hacer copias de seguridad periódicas con la información corporativa. Estos respaldos deben someterse a pruebas de restauración regulares y conservarse en una instancia separada del entorno de producción para evitar la afectación en posibles casos de malware o ransomware.
“Existe el riesgo de que la información que tienes en una empresa te la pueden secuestrar y la copia de seguridad tiene el objetivo de protegerte de ese incidente. O imagínate que te entra un virus y te borra toda la información, todos los archivos de clientes y no tienes la copia de seguridad. La idea es hacer una copia de seguridad frecuente para que cuando se produzca un incidente tengas un comodín y una opción de rescatar todo lo que ha sido afectado”, comenta Sabido.
7. Actualización de software y parcheado
Es recomendable mantener actualizados todos los activos, tanto software como firmware, y usar parches de seguridad de forma periódica para su óptimo y más seguro funcionamiento, ya que aunque los sistemas de protección sean muy buenos, nada impide que queden obsoletos en poco tiempo.
Así lo explica Javier Sabido. “Un software que ahora vale, rápidamente te lo pueden hackear o encuentran brechas y ya en un año o en menos ya no te vale. Entonces tienes que ir actualizándote, porque todo esto evoluciona súper rápido y no puedes dormirte. No puedes comprar un software súper bueno en 2023 y pensar que ya te vale hasta 2030. Lamentablemente no es así”.
8. Conoce a tus terceros
Proveedores o entidades subcontratadas deben cumplir con estándares de seguridad adecuados que estén a la altura de las necesidades de la compañía. Certificaciones internacionales de seguridad de la información y la posibilidad de auditarlos son buenos indicios.
“Tu proveedor también puede ser una vía de brecha a tu sistema y no solamente a él, sino que también a tu información, porque muchas veces el proveedor trabaja con datos tuyos”, puntualiza Otero.
9. Medidas de protección
Nunca está de más implementar medidas de prevención y detección de amenazas como antivirus avanzado o sistemas de SIEM o SOC, que deben ser correctamente configurados y desplegados en todas las capas de la arquitectura de red en función del riesgo. Además cifrar equipos, comunicaciones y archivos puede ayudar a evitar el acceso de terceros ante un incidente.
“Es como ‘ayúdame que yo te ayudaré’. Si tú no te proteges y no tomas las mínimas medidas de resguardo, no sacas nada con toda esta normativa que va a existir de ciberseguridad”, acota Otero.
10. Auditorías periódicas
El pentesting, el hacking ético o el red team son ejercicios que pueden servir para poner a prueba sistemas, aplicaciones, web, infraestructura y ver qué tan vulnerables son, para así poder corregir brechas encontradas. Además, los requisitos legales de seguridad que deben cumplirse también deben ser auditados periódicamente.
Acerca del hacking ético, Sabido destaca que la práctica ha sido validada legalmente en Chile. “La Ley de Delitos Informáticos, que se aprobó recientemente, hace un año, lo establece como una excepción, no como delito, porque tiene una finalidad de auditoría. Básicamente es comprobar si tu empresa tiene los sistemas de protección adecuados”, explica.
Fuente: La Tercera