10 Principios fundamentales de la seguridad informática

-
principios fundamentales de la seguridad informática


Llevamos ya casi un mes de 2019 y no parece que el panorama de la ciberseguridad sea muy halagüeño. En tan solo 4 semanas que llevamos de año se ha producido la filtración de datos más grande de la historia y una multa, también histórica, para Google por incumplimiento del Reglamento General de Protección de Datos.

Si quieres que tu empresa se mantenga a salvo de este 2019, no te pierdas los 10 principios fundamentales de la seguridad informática que te contamos a continuación y que deben tenerse en cuenta cuando se quiere asegurar un negocio, ya que forman los pilares básicos de la ciberseguridad.

Aunque son difíciles de implementar en cualquier lugar y en cualquier momento, lo cierto es que deben tenerse en cuenta, ya que pueden ser de gran ayuda a lo hora de proteger los sistemas más preciados de una organización.

El privilegio mínimo

Para hacer bien su trabajo, los seres humanos necesitan estar formados y entrenados, pero no necesita acceder a toda la información de la empresa. Son muchas las compañías que dan acceso a sus empleados a mucha más información de la que van a utilizar en su día a día. Esta práctica pone en peligro la información de la empresa de forma directa ya que, a mayor número de personas con acceso a los activos, mayor superficie de ataque (más empleados pueden hacer click en un mail infectado o acceder a una web indeseada y dar involuntariamente acceso a los cibercriminales a la información de la compañía).

En este sentido, este principio consiste en dar solo la información relevante y útil para que un usuario haga su trabajo. O lo que es lo mismo, evitar dar acceso a cualquier información inútil que pueda abrumar al usuario y causar un problema en la seguridad de los datos de la empresa.

Cerrado por defecto

Esta norma está estrechamente ligada a la anterior. Consiste en cerrar todos los accesos por defecto y abrirlos (para un usuario) solo cuando sea necesario. De manera que será el día a día de la empresa quien determine si hay que abrir una determinada puerta a X empleado o grupo de empleados. Se basa entonces en determinar lo que se necesita para abrir y así hacer un análisis de riesgo de forma que la empresa abre “sus puertas” a sabiendas.

Segregación de deberes

La ética debe ser clara en la seguridad de las empresas. Si se implementa correctamente, ayuda a reducir los conflictos de intereses. De hecho, es el pilar de la seguridad de una compañía: todo el mundo debe saber qué hacer en caso de verse atacados y a quién se ha de acudir / quien ha de tomar las decisiones en ese supuesto.

Defensa en profundidad

Llevamos años diciendo que la superficie de ataque ha aumentado debido a la proliferación de objetos conectados y las nuevas formas de trabajo. Por ello, este principio hace hincapié en la necesidad de colocar varias capas o niveles de seguridad de acuerdo con los riesgos asociados con los activos de la compañía.

De esta manera el acceso a los bienes más sensibles requiere cruzar varios filtros de seguridad, mientras que los bienes “públicos” pueden ser gratuitos y, por tanto, el acceso a los datos clave de la compañía es más difícil ya que requiere superar otras capas de seguridad sin ser visto.

Lo diversificado y lo coherente

La dependencia de una empresa de otras es una pérdida de poder. De hecho, es muy peligroso depender de un solo cliente o proveedor para asegurar su supervivencia, ya que el descontento de este último puede causar mucho daño. Del mismo modo, uno no debe atar su defensa completa a un solo producto.

No solo será más costoso, sino que, además, facilita el trabajo a un ciberatacante interesado en tomar el control de la empresa. Este principio va estrechamente ligado al anterior, cuantas más capas y más diversa sea la forma de secularizar los sistemas, más difícil será acceder a los activos de la empresa. Por lo tanto, es necesario diversificar las defensas de manera coherente.
Seguridad con sistemas simples y unitarios

Todo lo que es complejo está perjudicando al negocio y por lo tanto a la seguridad de la empresa. De hecho, un mecanismo simple es puro, claro y quizás fácilmente seguro. Sin embargo, el negocio de hoy es cada vez más complejo, al igual que los servicios públicos. Por ello, es necesario evitar la complejidad lo máximo posible para poder asegurar cada servicio correctamente.

Transparencia con un sistema abierto

La experiencia muestra que la seguridad es a menudo caótica. Por eso, cuando uno se basa en normas y estándares conocidos como ISO 2700x, OWASP, SOX, RGPD, etc., y tiene unos límites establecidos para cada rango o estamento en la empresa, la seguridad es más sencilla y el acceso de una cibercriminal a los sistemas más complejo.

¿El eslabón más débil?

Si de algo se habla en ciberseguridad es de cómo proteger los activos de una empresa de su eslabón más débil: el empleado. Pero, ¿son los empleados realmente el eslabón más débil? si la respuesta es afirmativa, es la empresa la que debe sentirse culpable. Y es que, recordemos, los mayores errores que se comenten en ciberseguridad se basan en el desconocimiento o la falta de atención.

Si se forma adecuadamente a los empleados sobre qué hacer o qué no hacer en una determinada situación, no serán el eslabón más débil sino, quizás, el más fuerte ya que podrán dar la alarma en caso de ver algún comportamiento anómalo en sus dispositivos.

Auditoría regular  

¿Cómo asegurar que las medidas de defensa sean efectivas y eficientes? Encontrando las fallas (y corregirlas) antes de que los malvados las conozcan y las aprovechen. ¿Cómo podemos hacer esto? Sencillo: realizando estudios periódicos con los que podamos ser conscientes de los posibles peligros a los que se enfrentan los activos de nuestra compañía y cómo debemos protegerlos.

Estrategia clara

Los ciberataques se han convertido ya en la principal amenaza para la supervivencia de las empresas y es por eso que, para evitar entrar a formar parte de la lista de empresas que han cesado su actividad a causa de un ciberataque, es vital contar con una estrategia clara a llevar a cabo ante un ataque de este tipo.

Nos encantaría conocer su opinión respecto al tema expuesto, los invitamos a participar y así ampliar colectivamente el conocimiento.

THE BEST EXPERIENCE IN TECHNOLOGY


Síganos aquí:


Comentarios

Publicar un comentario

Entradas más populares de este blog

Comunicado de Prensa alianza BEXTechnology y Analytikus

-
::: COMUNICADO DE PRENSA :::
BEXTechnology S.A. y Analytikus LLC, nueva alianza en ciencia de datos, machine learning e Inteligencia Artificial.
Bogotá, mayo 2018, BEXTechnology, empresa colombiana de innovación tecnológica, Partner Gold de Microsoft, que en sus soluciones responde de manera eficiente y efectiva a las necesidades de empresas públicas y privadas de todos los sectores, ayudándoles a mejorar sus procesos de negocios.

Analytikus, empresa especializada en soluciones de analítica avanzada y ciencia de datos, Partner Silver de Microsoft, que empodera a sus clientes al integrar análisis predictivos, prescriptivos y soluciones cognitivas.

Juntan capacidades firmando una alianza con la que buscan mejorar la oferta de valor para los clientes de BEXTechnology, aumentando el portafolio de soluciones en BIG DATA y ADVANCED ANALYTICS. Servicios hasta ahora ofrecidos por Analytikus en Estados Unidos y México.

Con esta alianza los clientes de BEXTechnology tendrán acceso a un portafolio a…
Leer más

BEXTips – Seguridad informática

-
Imagen
Yennifer Viviana Ricaurte, gerente de soporte de BexTechnology, ofrece las claves para proteger los recursos y la información.



Bogotá, mayo de 2018 – La seguridad informática tiene como objetivo proteger los datos de los usuarios, para así prevenir que sean utilizados de manera errónea o con intenciones maliciosas. Por esta razón, nuestra información siempre debe seguir los lineamientos de este proceso, evitando la alteración de la misma debido a factores externos. A continuación, te dejamos los tips para tomar las medidas correspondientesde seguridad.

1.Cambia la clave frecuentemente Normalmente las personas utilizan la misma contraseña para las diferentes plataformas, permitiendo que, a través de indicios, gente mal intencionada descubra las claves de sus cuentas y haga uso indebido de la información. Por tal motivo es muy importante cambiar las contraseñas de manera regular, más cuando día a día se hace uso de ellas.
2.Deja la sesión del equipo bloqueada al retirarte del puesto de trab…
Leer más

BEXTips – Soluciones en la nube

-
Imagen
Carlos Jair Barreto, consultor en SharePoint and Cloud de BexTechnology, ofrece las claves para ejecutar con éxito las soluciones en la nube.

Bogotá, mayo de 2018 – Uno de los aspectos que deben tener en cuenta las empresas es la implementación de soluciones en la nube, ya que esta trae diferentes beneficios; por ejemplo, la seguridad de la información. Cada día más empresas utilizan este método para adaptar su negocio a las nuevas tecnologías. A continuación, te dejamos los tips para recordar al momento de implementar soluciones en la nube.
1.Ten en cuenta la cantidad de usuarios concurrentes Es importante saber cuántos usuarios se van a conectar de manera simultánea a la aplicación o portal ya que, si hay sobrecarga, se pueden presentar problemas en la infraestructura o en el consumo de recursos. Lo ideal es conocer el número exacto de usuarios concurrentes para poder dimensionar la infraestructura sobre la cual se va a implementar la solución.
2.Estima el crecimiento de las bases de…
Leer más