ESET presenta los 10 mandamientos de la seguridad de la información en la empresa

Loading

La resonancia alcanzada por el caso Wikileaks y las recientes intrusiones a
bases de datos de prestigiosas empresas como Sony han ubicado al tema de la
fuga de información entre los más discutidos y controversiales de la agenda
de medios. Si bien no se trata de una problemática nueva, su creciente
difusión ha permitido a las empresas tomar mayor conciencia sobre el valor
de su información y la importancia de la privacidad y confidencialidad de la
misma.

“La existencia misma del caso Wikileaks determinó un antes y un después en
cuanto a lo que a fuga de información se refiere. No es que antes no
ocurriera, sino que- en la mayoría de las ocasiones- las fugas no se hacen
públicas para salvaguardar la imagen de las empresas e instituciones.
Además, el incidente permitió entender que si este tipo de incidentes puede
sucederle a organizaciones tan grandes y preparadas, podría ocurrirle
también a empresas y organizaciones más pequeñas”, aseguró Federico Pacheco,
Gerente de Educación e Investigación de ESET Latinoamérica.

Con el primordial objetivo de contribuir con la educación e información de
las empresas para alcanzar una mejor política de seguridad de la
información, los especialistas de ESET han elaborado los 10 mandamientos de
la seguridad corporativa, entendidos como los principios básicos que deben
regir la protección de la información en las empresas:

1. Definirás una política de seguridad: Es el documento que rige toda
la seguridad de la información en la compañía. Se recomienda que no sea muy
extensa (ningún empleado podrá comprometerse con un documento excesivamente
extenso), que sea realista (pedirle a los empleados cosas posibles para
mantener la credibilidad) y que se les de valor. Es preferible, además, que
las mismas sean entregadas a los empleados por los altos cargos o por el
departamento de Recursos Humanos, en lugar del soporte técnico de IT, para
que le asignen mayor importancia.
2. Utilizarás tecnologías de seguridad: Son la base de la seguridad de
la información en la empresa. Una red que no cuente con protección
antivirus, un firewall o una herramienta antispam estará demasiado expuesta
como para cubrir la protección con otros controles. Según lo presentado en
el ESET Security Report Latinoamérica, el 38% de las empresas de la región
se infectaron con malware el último año.
3. Educarás a tus usuarios: Los usuarios técnicos o del departamento de
IT suelen ser omitidos en este tipo de iniciativas, como si estuviera
comprobado que están menos expuestos a las amenazas informáticas. Según las
estadísticas de ESET,
el 45% de los ataques informáticos detectados en la región utiliza técnicas
de Ingeniería Social- es decir, que atentan contra el desconocimiento del
usuario para infectarlo. Por ello, es fundamental que toda la empresa forme
parte de los procesos de educación y capacitación.
4. Controlarás el acceso físico a la información: La seguridad de la
información no es un problema que deba abarcar sólo la información virtual,
sino también los soportes físicos donde ésta es almacenada. ¿Dónde están los
servidores? ¿Quién tiene acceso a éstos? Sin lugar a dudas, el acceso físico
es fundamental. También deben ser considerados en este aspecto los datos
impresos, el acceso físico a oficinas con información confidencial (el
gerente, el contador, etc.) o el acceso a las impresoras.
5. Actualizarás tu software: Las vulnerabilidades de software son la
puerta de acceso a muchos ataques que atentan contra la organización. Según
el informe sobre el estado del malware en Latinoamérica elaborado por ESET,
el 41% de los dispositivos USB están infectados y el 17% del malware
utilizan explotación de vulnerabilidades. Mantener tanto el sistema
operativo como el resto de las aplicaciones con los últimos parches de
seguridad, es una medida de seguridad indispensable.
6. No utilizarás a IT como tu equipo de Seguridad Informática: Es uno
de los errores más frecuentes, por lo que es importante recordar que la
seguridad no es un problema meramente tecnológico. Debe existir un área cuyo
único objetivo sea la seguridad de la información para que ésta no pueda ser
relegada por otros objetivos asociados a la usabilidad, como por ejemplo la
instalación y puesta a punto de determinado servicio, según las necesidades
comerciales.
7. No usarás usuarios administrativos: De esta forma, una intrusión al
sistema estará limitada en cuánto al daño que pueda causar en el mismo.
8. No invertirás dinero en seguridad sin un plan adecuado: La seguridad
debe ser concebida para proteger la información y, por ende, el negocio.
Hacer inversiones en seguridad sin medir el valor de la información que se
está protegiendo y la probabilidad de pérdidas por incidentes puede derivar
en dinero mal invertido o, básicamente, en dinero perdido.
9. No terminarás un proyecto en seguridad: La seguridad debe ser
concebida como un proceso continuo, no como un proyecto con inicio y fin. Es
cierto que pequeñas implementaciones de los controles pueden necesitar de
proyectos, pero la protección general de la información es una necesidad
permanente del negocio que debe encontrarse en mejora continua.
10. No subestimarás a la seguridad de la información: Entender el valor
que asigna al negocio tener la información protegida es clave. Muchas
empresas, especialmente las pequeñas y medianas, no pueden recuperarse de un
incidente de gravedad contra la seguridad de la información.

“Todas las empresas están preparadas para afrontar el desafío de proteger su
información. Para comenzar con ello, consideramos que conocer e implementar
estos principios es un muy buen primer paso que ayudará con la
implementación de correctas metodologías para cuidar información de su
compañía. Es fundamental entender que cuidar la información es,
sencillamente, cuidar el negocio”, agregó Sebastián Bortnik, Coordinador de
Awareness & Research de ESET Latinoamérica.

Para conocer más sobre fuga de información y cómo prevenirse puede leer el
artículo elaborado por ESET Latinoamérica “Fuga de información, ¿una amenaza
pasajera?”:
http://www.eset-la.com/centro-amenazas/articulo/fuga-de-informacion-una-amen
aza-pasajera/2445

Notas Relacionadas

Leave a Reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *