Recomendaciones de seguridad de la información

Recomendaciones de Seguridad de la Información para Pequeñas Empresas

Hemos recopilado algunas recomendaciones de Seguridad de la información que toda pequeña empresa debería de valorar, con el fin de determinar si aplican o no para su negocio. Estas recomendaciones aplican para empresas que tienen activos de información digital como archivos de documentos, equipo de cómputo, sistemas instalados, redes de cómputo, correo electrónico, archivos en la nube, sitios Web, etc.

Dado lo extenso del tema, nuestras recomendaciones no son exhaustivas ni detalladas. El propósito es brindar una idea general y revisar las recomendaciones para asegurarse de cumplirlas, así como obtener ideas para mejorar la seguridad y confiabilidad en el entorno laboral.

Primero, ¿qué es la Seguridad de la información?

De acuerdo con Wikipedia, la Seguridad de la información es el conjunto de medidas preventivas y reactivas de las organizaciones y sistemas tecnológicos, que permiten resguardar y proteger la información, buscando mantener la confidencialidad, la disponibilidad e integridad de datos.

A continuación te presentamos las diferentes recomendaciones clasificadas según el aspecto de seguridad al que pertenecen, y de ofrecemos Checklists que te ayudarán, de una forma fácil y sencilla, a verificar que estés cumpliendo con buenas prácticas de seguridad (estos Checklists son propiedad del INCIBE, Instituto Nacional de Ciberseguridad del gobierno Español).

Clasificación de la información

La información es uno de los activos principales de cualquier empresa, y como tal tenemos que protegerla adecuadamente.

Antes de clasificar los activos de información, es importante hacer primero un inventario o listado de los diferentes activos de información de la empresa, enfocándose primero en los más importantes. Dentro de los posibles activos podemos citar:

Lugares donde se guarda la información: servidores, computadoras, discos, dispositivos USB, servicios en la nube, sitio Web, etc.

Documentos digitales importantes: contratos, expedientes, archivos financieros, archivos de clientes, etc.

Servicios en Internet: servicio de hospedaje del sitio Web, servicio de correo electrónico, servicios de respaldo, servicios de almacenamiento, etc.

Una vez que hemos hecho el inventario de nuestros activos de información, es necesario clasificar los archivos, para garantizar una eficaz gestión de su seguridad con criterios de confidencialidad, disponibilidad e integridad. Algunas formas de clasificar los activos son:

Confidencial. Accesible sólo por la dirección o personal concreto.
Interna. Accesible solo al personal de la empresa
Pública. Accesible públicamente

Información de clientes y proveedores
Información de compras y ventas
Información de personal y gestión interna
Información sobre pedidos y procesos de almacén

Daño de imagen
Consecuencias legales
Consecuencias económicas
Paralización de la actividad

Aquí podrás encontrar una guía sobre Seguridad de la información para PYMES.

Respaldo de la información

Los medios de almacenamiento contienen uno de nuestros activos más preciados: la información. Estos dispositivos pueden verse involucrados en situaciones como robos, incendios, inundaciones, fallos eléctricos, rotura o fallo del dispositivo, virus, borrados accidentales, etc. En estos casos nos sería imposible acceder a nuestra información, llegando a ponerse en peligro la continuidad de nuestro negocio.

white disc on laptop computer disc player

Algunas recomendaciones son:

Incluir dentro del inventario de activos de información los activos más importantes y que requieran de respaldos.
Para cada activo, identificar: responsables, tipo de respaldo, dónde se respalda, cada cuánto se respalda, vigencia de los respaldos.

Hacer frecuentemente pruebas de recuperación para garantizar de que los medios de respaldo son confiables.
Garantizar que sólo el personal autorizado tenga acceso a los respaldos que le corresponden.
En lo posible, mantener cifradas las copias de seguridad que sea confidencial y que se sube o respalda en la nube.

Integridad de la información

La integridad de la información se refiere a buscar mantener los datos, o activos de información, libres de modificaciones no autorizadas, y que los mismos se encuentren completos, íntegros y disponibles para que los miembros de la empresa puedan hacer uso de ellos sin problema.

Los principales enemigos de la integridad de nuestra información son los virus y malware que la contamina y la corrompe. Los virus informáticos son programas diseñados para replicarse y propagarse, a menudo con el objetivo de dañar los sistemas informáticos y los datos que contienen. Por otro lado, el malware es un término general que abarca una variedad de software malicioso, como virus, gusanos, troyanos, ransomware y spyware, que pueden comprometer la seguridad y privacidad de la información. Ambos representan una amenaza significativa para la integridad de la información, ya que pueden alterar, destruir o robar datos, lo que puede tener consecuencias graves para individuos y organizaciones. Es crucial contar con medidas de seguridad sólidas, como software antivirus y firewalls, así como prácticas de seguridad cibernética, para proteger la integridad de la información.

a black and white photo of two chess pieces

Algunas de las recomendaciones para proteger los activos de información de la empresa son:

Usar sistemas de antivirus y antimalware en todos los equipos de nuestra empresa, y que protegan tanto los archivos, como el correo electrónico y páginas Web.
Si contamos con sistemas de antivirus, es importante que se encuentren actualizados y de fácil acceso por el personal.
Es recomendable definir cuáles son las aplicaciones de uso permitido por el personal, y cada usuario debería de vigilar y garantizar que los equipos bajo su responsabilidad cumplen con la instalación, únicamente, de aplicaciones permitidas.

Cuando navegamos por internet y brindamos información en sitios Web, debemos verificar antes, que el sitio cuenta con un certificado digital válido para prevenir el robo de información o de contraseñas por parte de terceros.
Si nos conectarnos a una red inalámbrica, debemos comprobar que se utiliza el protocolo WPA2 como mínimo.
No es recomendable hacer uso de redes o WiFi de origen desconocido o poco confiable cuando debamos acceder a sitios que requieren nuestra contraseña o en donde se intercambia información sensible de la empresa (correo electrónico por ejemplo).

Aquí puedes encontrar algunos checklists útiles:

Gestión de contraseñas

La contraseña es uno de los aspectos más importantes para asegurar nuestros sistemas de información. Las contraseñas deficientes o mal custodiadas pueden favorecer el acceso y el uso no autorizado de los datos y servicios de nuestra empresa, por lo que es importante contar con políticas y buenas prácticas para la definición y uso de las mismas.

a close up of a metal object with numbers on it

Algunos aspectos clave que puedes considerar son:

No es recomendable usar las contraseñas por defecto ni contraseñas de una sola palabra gramatical o nombres propios.
Se puede establecer un formato robusto y de uso común por el personal de la empresa para la creación de contraseñas, que considere el tamaño, caracteres que se deberían incluir, e incluso cada cuánto deberíamos de cambiarlas.
Procurar activar la autenticación de doble o múltiple factor (por ejemplo, contraseña más un token en el teléfono u otro dispositivo), en todos los servicios en los que esta funcionalidad esté disponible.

Por supuesto, nunca compartir las contraseñas o anotarlas en papel, y mucho menos en un post-it en nuestro monitor.
Cuando accedamos a un sitio Web, verificar que cuente con certificado digital.
Usar algún servicio o software especializado para almacenar contraseñas.

Almacenamiento de la información

An open book with a red swiss army knife

Los activos de la información se pueden almacenar en una gran variedad de lugares, tales como dispositivos extraíbles (memoria USB, CD, DVD, etc.), así como en equipos de la empresa como Servidores, Computadoras de escritorio, Computadoras portátiles, o bien, en servicios en la nube como OneDrive, Google Drive, DropBox, o bien en nuestro Sitio Web, o servicios como la intranet (SharePoint) de nuestra empresa o repositorios de código fuente como GitHub o BitBucket, etc.

Es importante que tengamos presente en todo momento, dónde se encuentran almacenados nuestros archivos más importantes, así como que sepamos en todo momento cuál es la versión más reciente de los mismos y en dónde obtener un respaldo en caso de una situación de emergencia.

Algunas recomendaciones con relación al almacenamiento de la información:

En general, tratar de evitar el uso de dispositivos extraíbles para el almacenamiento de los activos de información, ya que es muy fácil que llegue a manos de alguien que no debería de ver nuestra información, o bien se pueden corromper los archivos o quedar desactualizados muy fácilmente. Si usamos dispositivos extraíbles, al menos debemos de ponerle una contraseña para dificultar su acceso.
Si usamos almacenamiento en la nube, debemos dar preferencia al almacenamiento de los activos de información en servicios seguros y confiables, y que nos den garantía de que podamos recuperar la información y de que es administrada con confidencialidad en sus servidores.

Para el almacenamiento en equipos de la empresa, es importante que estos recursos cuenten con controles de acceso, y cuenten con mecanismos de respaldo apropiados. Si se hace uso de portátiles, resguardar adecuadamente el acceso al equipo con contraseña y de ser posible con mecanismos de encripción de la información para que en caso de pérdida del equipo, no se pueda tener acceso a información de la empresa.