Mantener la seguridad de los sistemas de tecnologías de la comunicación y la información se ha convertido en una de las grandes prioridades de las empresas actuales. Las consecuencias de una mala gestión en esta área son múltiples y muy graves, desde la exposición pública de datos personales de clientes que puede acarrear fuertes multas hasta el robo de secretos industriales o sofisticados ataques de ransomware en los que los equipos son inutilizados hasta que se paga un rescate.

Con el objetivo de proporcionar unas directrices claras de gestión en este campo, las autoridades del Reino Unido han elaborado una guía de ciber seguridad en la que detallan los diez pasos a dar por  las empresas para asegurar una correcta gestión del riesgo  para sus datos.

En este artículo recogemos y definimos estos diez pasos:

1. Crear un Régimen de Gestión de Riesgo

Las organizaciones deben afrontar los riesgos que afrontan sus datos con el mismo interés con el que afrontan aspectos como las finanzas. Para conseguirlo han de elaborar un Régimen de Gestión de Riesgo que debe ser puesto en conocimiento de todo el organigrama.

2. Configuración segura

Se deben introducir políticas y procesos corporativos para gestionar de manera clara la configuración y uso de los sistemas de tecnologías de la información. Se deben eliminar o desactivar todas las funcionalidades que no se empleen y mantener el software al día. Esto evitará amenazas y vulnerabilidades y reducirá el riesgo de que la confidencialidad y el buen funcionamiento de los sistemas se vean comprometidos.

3. Seguridad de redes

Conectarse a redes inseguras como Internet puede exponer a una organización a los ciber ataques. Por lo tanto hay que tener en cuenta la seguridad a la hora de crear nuestras redes internas y externas y seguir principios de diseño reconocidos. Se debe filtrar todo el tráfico periférico para que solamente puedan penetrar nuestra red aquellos datos necesarios para el desarrollo de la actividad. También se debe monitorizar constantemente el flujo de información en la red para detectar posibles ataques.

4. Gestionar privilegios de usuario

A los usuarios de los sistemas se les deben proporcionar los privilegios de acceso necesarios para el desarrollo de su actividad. En especial, se debe cuidar mucho la creación de cuentas con privilegio de administrador y asegurar que este tipo de perfiles no se usan en actividades que no lo requieran. El acceso de usuarios a información de carácter personal debe ser monitorizado.

5. Educación y concienciación de los usuarios

Se deben elaborar políticas de seguridad que describan las prácticas a seguir por parte de los miembros de la organización y se deben incluir en los términos y condiciones de los empleados. Asimismo todos los usuarios de sistemas de información deben recibir formación acerca de los riesgos a los que se enfrentan en su actividad.

6. Gestión de incidentes

Es necesario establecer un plan de respuesta para cuando se  produzca una crisis de seguridad. Este plan debe contemplar tanto los pasos a dar para recuperarse tras la crisis como el mantenimiento de la actividad durante ella. Asimismo se debe establecer un protocolo de información a las autoridades competentes para que estas puedan tener una visión global de los problemas que vayan surgiendo.

7. Prevención del malware

Todos aquellos elementos que son vulnerables al malware como emails, navegadores web, pen drives y smartphones deben estar sujetos a una política de uso que dé respuesta a los riesgos a los que se enfrentan. Se deben escanear todos estos sistemas periódicamente y protegerlos con antivirus de eficacia reconocida. Toda la información que llegue a la organización en formato digital debe ser escaneada.

8. Monitorización

Se debe diseñar e implementar una estrategia de monitorización que tenga en cuenta amenazas y crisis previas. Es fundamental monitorizar el tráfico de red tanto desde dentro de la organización hacia fuera como viceversa para así poder identificar patrones de actividad sospechosa.

9. Control de dispositivos extraíbles

Crear una política de control y uso de dispositivos de almacenamiento de información extraíble. Se debe limitar su uso en la medida de lo posible y, en caso de que sean imprescindible, se debe proporcionar autorización expresa a los usuarios y sistemas que corresponda. Asimismo se debe estipular qué tipo de información se puede almacenar en estos dispositivos y éstos deben ser escaneados antes de que cualquier información contenida en ellos penetre en la organización.

10. Trabajo remoto y móvil

Se debe tener en cuenta el riesgo de todos los dispositivos móviles y desarrollar políticas de seguridad adecuadas. También es necesario proporcionar formación a los empleados sobre el uso seguro de estos dispositivos y sobre mejores prácticas cuando estén trabajando fuera de las instalaciones de la organización. Los aparatos móviles deben usar encriptación para proteger sus datos y cuando se trabaje de manera remota se debe usar una VPN (virtual private network) para la transmisión y recepción de datos.