José Manuel Sanz

Tecnología, privacidad y otras cosas, que seguro solo me interesan a mi.

La seguridad no es solo cuestión de inversión

La seguridad en las empresas no es solamente una inversión económica, sino que implica el análisis exhaustivo de las mismas.

Cuando las PYMES piensan en seguridad, lo primero que se les viene a la mente son complejos sistemas informáticos que intervienen en el día a día del funcionamiento de las empresas y que suponen un gasto difícilmente asumible por la mayoría de entidades.

La realidad es mucho más simple. La seguridad es simplemente la capacidad de organizar los activos de la empresa de forma que los riesgos que se asuman, y que siempre van a existir, sean controlables.

Podemos crear múltiples guiones de seguridad, para establecer los parámetros necesarios para controlarla, realmente casi tantos como empresas existen, pero en este post vamos a intentar generalizar lo más posible, creando un esquema con los cinco puntos básicos que cualquier empresa debería verificar y controlar para una adecuada gestión de la seguridad.

1- Identificación de los activos. El conocimiento exhaustivo de los activos que tenemos y debemos controlar es vital para establecer un primer escenario en nuestro plan de seguridad. La seguridad no solo se ha de basar en los ordenadores de los usuarios, sino en todo dispositivo que puede acceder a información: servidores, PC, portátiles, tablets, teléfonos inteligentes, smartwatches, puntos de acceso a información en postes de publicidad, consolas de acceso lineas de producción, etc. Todos estos activos tienen que estar localizados, identificados y dispuestos en cualquier momento para su revisión.

2- Identificación de las conexiones. Una vez controlados los activos físicos, es el momento de las conexiones entre ellos. Es necesario verificar que conexiones y hacía donde, se establecen entre los diferentes dispositivos. Es imprescindible comprobar que las conexiones que establece cada dispositivo es la necesaria para la función que tiene asignada y solo esa, y además, que no interfiere con otros sistemas o dispositivos.

3- Identificación de los usuarios. Una vez identificados los activos y sus conexiones, en necesario controlar que usuarios tienen acceso a cada activo y a sus conexiones. Verificar que las conexiones y acceso que están asignadas a cada usuario corresponde con su perfil profesional y que son las mínimas necesarias para que lleve acabo sus funciones de forma adecuada. Un usuario con unos accesos y permisos por encima de sus funciones, podría acceder por error o mala intención a información confidencial de la empresa y provocar un perjuicio enorme.

4-Formación y concienciación de los usuarios. Una vez identificados los riesgos y los activos, es necesario trabajar a fondo con el eslabón más débil de la cadena, el usuario. Es necesario llevar a cabo un adecuado programa de formación en materia de seguridad, dirigido a que los usuarios obtengan un conocimiento básico de las nociones más importantes en seguridad y sepan identificar situaciones de riesgo. Saber que es el malware, que significa el phising, conocer las técnicas más comunes de ingeniería social, son básicas para cualquier estructura. Además también es necesario (y obligatorio) el conocimiento del marco normativo en materia de privacidad y seguridad existente, para identificar que situaciones, además de un riesgo de seguridad, pueden constituir un ilícito legal.

5-Establecer medidas de seguridad activas. En último lugar he dejado el apartado de las medidas técnicas. No significa esto que sea menos importante, al contrario, pero sin los pasos previos antes mencionados, puede suponer únicamente un despliegue de medidas de control que poco o nada tengan que ver con la realidad de la empresa. La instalación y configuración de un firewall, la implantación de un antivirus, la securización de una conexión a Internet, etc., de nada sirven si no se ha hecho un adecuado análisis previo. Para todo ello es necesario contar con los recursos que actualmente existan en la empresa. No solamente el departamento de IT tiene algo que decir, sino que gerencia o el departamento de recursos humanos, puede ser de vital ayuda a la hora de identificar necesidades. También es vital contar con un adecuado proveedor que nos pueda proporcionar toda la ayuda necesaria, con garantías, conocimiento y experiencia suficiente para un despliegue de seguridad adecuado.

Como hemos visto en el post, la seguridad no solo se controla con la implantación de medidas técnicas, sino que tiene que pasar por un profundo análisis del entorno que queremos controlar y con el adecuado conocimiento de quienes van a ser nuestros aliados en materia de seguridad.

Afortunadamente, las empresas cada vez son más conscientes de la importancia de la seguridad en su organización, como demuestra el reciente informe sobre la Digitalización de las PYMES en 2019. En el se analizan diferentes aspectos de la digitalización en las empresas y se concluye que una de las principales preocupaciones es precisamente, la seguridad.

Créditos de la imagen: Photo on Foter.com

Jose Manuel Sanz

Consultor y formador LOPD, pulsador del botón de mi cámara de fotos, lector compulsivo, padre y algunas cosas más que me guardo para mi. Gandía (Valencia)

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Volver arriba