El cloud, los dispositivos IoT, los lugares a que se accede en internet, el uso de dispositivos de memoria externos, la convivencia con dispositivos móviles que se emplean para cuestiones personales además de las profesionales… ¿Hasta dónde debe llegar el plan de seguridad de la empresa?
El alcance de esta herramienta debería extenderse hasta garantizar la protección de los datos de la organización, teniendo especial cuidado en el tratamiento que se da a la información sensible y sin perder de vista las obligaciones legales que vinculan a la organización con el cumplimiento de determinadas reglas.
Sin embargo, la elaboración de un plan de seguridad no supone la culminación del proceso, sino que es el inicio de una etapa. A medida que van llegando nuevos avances en la tecnología, también se generan nuevos riesgos. Muchos de ellos pueden intuirse o siguen patrones conocidos, como determinados malware o ataques tipo phising; otros pueden sorprender desprevenidas incluso a las compañías mejor preparadas. Lo cierto es que es un campo tan crítico que todo plan de seguridad debe contemplar la existencia de nuevos riesgos constantes.
Según datos publicados en ComputerWeekly, “el 72% de las empresas recibieron correos electrónicos o archivos infectados durante el año pasado”. Una cifra que, en el caso de las grandes corporaciones aumenta hasta alcanzar el 83%. Y los virus son sólo el pico del iceberg.
¿Qué puede hacer el plan de seguridad para prevenir este tipo de ataques?
Los datos se consumen desde cualquier parte y en todo momento. La información se intercambia por medios muy diferentes y con distintos usuarios a gran velocidad y, muchas veces, ninguna de estas transacciones tienen lugar entre las cuatro paredes de la oficina. Estos hechos plantean un reto importante a quienes deben definir un plan de seguridad efectivo, que necesitan tener muy claro:
- Todo lo que rodea a las autorizaciones de acceso. Es preciso conocer quiénes pueden acceder a qué información. Se debe poder garantizar el control sobre este punto. Más aún cuando existen contratas y subcontratas, autónomos y teletrabajadores que desarrollan su labor empleando los ordenadores y equipos que hay a su disposición en la empresa, pero también los suyos propios (portátiles, tablets o smartphones). Es necesario definir las políticas adecuadas y, una vez establecidas las normas, no olvidarse de supervisar el cumplimiento.
- La información que debe protegerse. Existen diferentes tipos de información y, en primer lugar, haría falta conocer cuál es la más sensible. Esos datos críticos deben quedar protegidos de forma prioritaria. No es lo mismo querer enmascarar datos que decidir cifrarlos, como tampoco puede compararse el tratar de garantizar la protección de ciertos registros históricos o hacerlo sobre los datos transaccionales que se van generando. En cualquier caso, hace falta ser consciente de que casi cualquier información es susceptible de ser robada y ello pondría a la empresa en una situación complicada, empezando por el aumento de la conciencia de los trabajadores de las brechas de seguridad y las cuestiones de privacidad.
- La normativa aplicable. Pese a que existe una base que es común a los diferentes ordenamientos, cada gobierno crea sus propias leyes. Saber qué normas se aplican es fundamental para poder asumir responsabilidades a la hora de proteger la confidencialidad de la información. En este sentido os recomendamos leer nuestro post sobre el nuevo reglamento RGPD.Además de los tres puntos citados, quienes se encarguen de elaborar el plan de seguridad han de ser conscientes de la importancia de permanecer actualizados. La persistencia y sofisticación de los ataques va en aumento cuando la recompensa es tan atractiva como pueden serlo, por ejemplo, los datos de los clientes, información de I+D o el conocimiento sobre las estrategias empresariales.
Os invitamos a seguir el Blog de Seguridad de Logicalis Spain y esperamos que nos acompañéis en este camino conjunto que iniciamos.