En las empresas hoy en día, es común el uso de herramientas informáticas para el
desarrollo de las diferentes actividades que se realizan, mejorando con estas la
productividad y la eficiencia de todos nuestros procesos y resultados.
Pero como el avance siempre trae consigo nuevos
retos y cuidados, la masificación informática que hemos tenido en los últimos
años, nos ha vuelto cada vez más vulnerables a que nuestra información sensible
y confidencial se vea expuesta. Si a
esto sumamos la omnipresencia de la Internet
en el mundo empresarial, que ha hecho de las respuestas inmediatas el estándar,
vemos que las posibilidades de vulnerabilidad son muy altas.
Las grandes empresas normalmente cuentan con
departamentos especializados en seguridad para las Tecnologías de la
Información, o TI, que están constantemente monitoreando y corrigiendo las
posibles vulnerabilidades de los sistemas.
Pero en las Pymes, donde el costo de un departamento de estas
características es impensable, se debe generar en los usuarios una mayor
conciencia en la aplicación de las buenas prácticas, para reducir al mínimo las
posibilidades de una intrusión en nuestros sistemas.
Es por esto que debe tener en cuenta las siguientes sugerencias:
- Actualizar
regularmente su sistema operativo y el software instalado en
su equipo, poniendo especial atención a las actualizaciones del navegador
web que use. A veces, los sistemas operativos presentan fallas, que pueden
ser aprovechados por usuarios no autorizados. Es por esto que cada cierto
tiempo aparecen actualizaciones que solucionan dichas fallas. Estar al día
con las actualizaciones, así como aplicar los parches de seguridad
recomendados por los fabricantes, le ayudará a prevenir la posible
intrusión de crackers y/o la aparición de virus que afecten el correcto
funcionamiento de su equipo.
- Instalar
un Antivirus, el
cual debe actualizar con frecuencia. Analice con su antivirus todos los
dispositivos de almacenamiento de datos que utilice y todos los archivos
nuevos, especialmente aquellos archivos descargados de internet, los archivos
que sean recibidos a través de correo electrónico, y, sobretodo, los
archivos guardados en dispositivos extraíbles y que son usados en máquinas
que no pertenecen a la empresa.
- Instalar
un Firewall o Cortafuegos, con el fin de restringir
accesos no autorizados a la Internet. En lo posible restrinja el acceso
solamente a las páginas necesarias para el normal desempeño en la labor de
los usuarios.
- Es muy
recomendable que los equipos cuenten con algún software anti-spyware, para evitar que estos puedan ser
infectados con programas espías destinados a recopilar información
confidencial del usuario.
Como pueden ver, la mayoría de vulnerabilidades en
los sistemas pueden ser subsanados por el usuario común si es que se genera una
rutina para la gestión de seguridad.
La gestión de la seguridad
es el componente clave y primario para un plan exitoso de protección de la
información en cualquier empresa. Sin
gestión de seguridad, no hay medidas que generen una protección eficiente de
nuestra información, o que se puedan evaluar los diferentes riesgos a los que
podría estar expuesto esta.
Para que esta gestión sea realizada de forma exitosa, debe verse a la seguridad como un proceso dinámico, debiéndose trabajar en cuatro etapas bien definidas:
Para que esta gestión sea realizada de forma exitosa, debe verse a la seguridad como un proceso dinámico, debiéndose trabajar en cuatro etapas bien definidas:
- 1. Observar, haciendo un análisis objetivo de la situación.
- 2. Planear, definiendo un adecuado plan que establezca buenos controles de seguridad.
- 3. Ejecutar, implementar las medidas correctivas necesarias.
- 4. Monitorear, evaluando los resultados y las posibles mejoras al plan establecido.
Una vez establecido este proceso,
implemente una política de seguridad, la cual debe ser un componente principal
dentro de las buenas prácticas de la empresa, tomando como premisa para la creación de esta política, como una declaración de intenciones de alto nivel, que
cubre la seguridad de los sistemas informáticos, y que proporciona las bases
para definir y delimitar responsabilidades para las diversas actuaciones
técnicas y organizativas que se requerirán.
Posteriormente, este proceso
de gestión debe incluir el sub-proceso de clasificación de la información, mediante
el cual se identifica la “sensibilidad” de la información por medio de
categorías; para después llegar a la definición
de acuerdos y contratos, destinados a reglamentar y definir las
condiciones relacionadas a la seguridad; dentro de los cuales debe haber una
implementación de un plan de educación
y de concientización de los usuarios, destinado a mejorar los
conocimientos sobre seguridad informática en todos los integrantes de la
empresa, para disminuir los riesgos de exposición a las diversas amenazas.
Todos estos elementos serán utilizados eficientemente si los usuarios ven la seguridad informática como un ciclo. Para tal fin, es indispensable la colaboración de todas las áreas, principalmente de la alta gerencia, como responsable final del plan de seguridad.
Todos estos elementos serán utilizados eficientemente si los usuarios ven la seguridad informática como un ciclo. Para tal fin, es indispensable la colaboración de todas las áreas, principalmente de la alta gerencia, como responsable final del plan de seguridad.
Recuerde que la
implementación de tecnologías para la seguridad informática (llámese firewall,
antivirus, detectores de intrusos, controles de acceso,etc.) no garantizan la
protección de sus sistemas si es que se omiten los aspectos humanos y de
gestión que son indispensables para que un proceso de seguridad sea exitoso.