10 Principios fundamentales de la seguridad informática
Llevamos ya casi un mes de 2019 y no parece que el panorama
de la ciberseguridad sea muy halagüeño. En tan solo 4 semanas que llevamos de
año se ha producido la filtración de datos más grande de la historia y una
multa, también histórica, para Google por incumplimiento del Reglamento General
de Protección de Datos.
Si quieres que tu empresa se mantenga a salvo de este 2019,
no te pierdas los 10 principios fundamentales de la seguridad informática que
te contamos a continuación y que deben tenerse en cuenta cuando se quiere
asegurar un negocio, ya que forman los pilares básicos de la ciberseguridad.
Aunque son difíciles de implementar en cualquier lugar y en
cualquier momento, lo cierto es que deben tenerse en cuenta, ya que pueden ser
de gran ayuda a lo hora de proteger los sistemas más preciados de una
organización.
El privilegio mínimo
Para hacer bien su trabajo, los seres humanos necesitan
estar formados y entrenados, pero no necesita acceder a toda la información de
la empresa. Son muchas las compañías que dan acceso a sus empleados a mucha más
información de la que van a utilizar en su día a día. Esta práctica pone en
peligro la información de la empresa de forma directa ya que, a mayor número de
personas con acceso a los activos, mayor superficie de ataque (más empleados
pueden hacer click en un mail infectado o acceder a una web indeseada y dar
involuntariamente acceso a los cibercriminales a la información de la
compañía).
En este sentido, este principio consiste en dar solo la
información relevante y útil para que un usuario haga su trabajo. O lo que es
lo mismo, evitar dar acceso a cualquier información inútil que pueda abrumar al
usuario y causar un problema en la seguridad de los datos de la empresa.
Cerrado por defecto
Esta norma está estrechamente ligada a la anterior. Consiste
en cerrar todos los accesos por defecto y abrirlos (para un usuario) solo
cuando sea necesario. De manera que será el día a día de la empresa quien
determine si hay que abrir una determinada puerta a X empleado o grupo de
empleados. Se basa entonces en determinar lo que se necesita para abrir y así hacer
un análisis de riesgo de forma que la empresa abre “sus puertas” a sabiendas.
Segregación de deberes
La ética debe ser clara en la seguridad de las
empresas. Si se implementa correctamente, ayuda a reducir los conflictos de
intereses. De hecho, es el pilar de la seguridad de una compañía: todo el mundo
debe saber qué hacer en caso de verse atacados y a quién se ha de acudir /
quien ha de tomar las decisiones en ese supuesto.
Defensa en profundidad
Llevamos años diciendo que la superficie de ataque ha
aumentado debido a la proliferación de objetos conectados y las nuevas formas
de trabajo. Por ello, este principio hace hincapié en la necesidad de colocar
varias capas o niveles de seguridad de acuerdo con los riesgos asociados con
los activos de la compañía.
De esta manera el acceso a los bienes más sensibles requiere
cruzar varios filtros de seguridad, mientras que los bienes “públicos” pueden
ser gratuitos y, por tanto, el acceso a los datos clave de la compañía es más
difícil ya que requiere superar otras capas de seguridad sin ser visto.
Lo diversificado y lo coherente
La dependencia de una empresa de otras es una pérdida de
poder. De hecho, es muy peligroso depender de un solo cliente o proveedor para
asegurar su supervivencia, ya que el descontento de este último puede causar
mucho daño. Del mismo modo, uno no debe atar su defensa completa a un solo
producto.
No solo será más costoso, sino que, además, facilita el
trabajo a un ciberatacante interesado en tomar el control de la empresa. Este
principio va estrechamente ligado al anterior, cuantas más capas y más diversa
sea la forma de secularizar los sistemas, más difícil será acceder a los
activos de la empresa. Por lo tanto, es necesario diversificar las defensas de
manera coherente.
Seguridad con sistemas simples y unitarios
Todo lo que es complejo está perjudicando al negocio y por
lo tanto a la seguridad de la empresa. De hecho, un mecanismo simple es puro,
claro y quizás fácilmente seguro. Sin embargo, el negocio de hoy es cada vez más
complejo, al igual que los servicios públicos. Por ello, es necesario evitar la
complejidad lo máximo posible para poder asegurar cada servicio correctamente.
Transparencia con un sistema abierto
La experiencia muestra que la seguridad es a menudo caótica.
Por eso, cuando uno se basa en normas y estándares conocidos como ISO 2700x,
OWASP, SOX, RGPD, etc., y tiene unos límites establecidos para cada rango o
estamento en la empresa, la seguridad es más sencilla y el acceso de una
cibercriminal a los sistemas más complejo.
¿El eslabón más débil?
Si de algo se habla en ciberseguridad es de cómo proteger
los activos de una empresa de su eslabón más débil: el empleado. Pero, ¿son los
empleados realmente el eslabón más débil? si la respuesta es afirmativa, es la
empresa la que debe sentirse culpable. Y es que, recordemos, los mayores
errores que se comenten en ciberseguridad se basan en el desconocimiento o la
falta de atención.
Si se forma adecuadamente a los empleados sobre qué hacer o
qué no hacer en una determinada situación, no serán el eslabón más débil sino,
quizás, el más fuerte ya que podrán dar la alarma en caso de ver algún
comportamiento anómalo en sus dispositivos.
Auditoría regular
¿Cómo asegurar que las medidas de defensa sean efectivas y
eficientes? Encontrando las fallas (y corregirlas) antes de que los malvados
las conozcan y las aprovechen. ¿Cómo podemos hacer esto? Sencillo: realizando
estudios periódicos con los que podamos ser conscientes de los posibles
peligros a los que se enfrentan los activos de nuestra compañía y cómo debemos
protegerlos.
Estrategia clara
Los ciberataques se han convertido ya en la principal
amenaza para la supervivencia de las empresas y es por eso que, para evitar
entrar a formar parte de la lista de empresas que han cesado su actividad a
causa de un ciberataque, es vital contar con una estrategia clara a llevar a
cabo ante un ataque de este tipo.
Nos encantaría conocer su opinión respecto al tema expuesto,
los invitamos a participar y así ampliar colectivamente el conocimiento.
THE BEST
EXPERIENCE IN TECHNOLOGY
Síganos aquí:
Comentarios
Publicar un comentario