Buscar en este blog

viernes, 15 de enero de 2010

Recomendaciones para mejorar la seguridad de la información en las pequeñas empresas españolas

La falsa sensación de seguridad y la percepción de que la seguridad de la información es un aspecto meramente tecnológico son dos de las principales debilidades que las pequeñas y microempresas españolas presentan en materia de seguridad de la información en sus equipos e instalaciones.

Así lo deja de manifiesto el Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas que acaba de publicar el Observatorio de la Seguridad de la Información de INTECO y en el que se realiza un diagnóstico de la situación de las empresas españolas de menos de 50 empleados en lo relativo a adopción de medidas de seguridad de la información en sus equipos e instalaciones, nivel de incidencias ocurridas y, finalmente, grado de confianza de las empresas hacia las Tecnologías de la Información y Comunicación.

Para mejorar la situación, en el estudio se da una serie recomendaciones de actuación para aplicar por las pequeñas y microempresas españolas:

1.- Usar adecuadamente las medidas y herramientas de seguridad.

Las empresas tienen que afrontar la seguridad de la información como algo global, donde la utilización y actualización de las herramientas y/o programas sea parte integrante de su cotidianeidad.

Este enfoque implica que las empresas sean capaces de:
  • Entender mejor los riegos a los que se enfrentan, alineándolos con sus objetivos de negocio y activos de información.
  • Ser conscientes de las consecuencias de no abordarlos adecuadamente.
  • Conocer qué activos de información son los más importantes para su negocio.
  • Aplicar un presupuesto limitado de seguridad allí donde más se necesite.
  • Estar preparados ante las incidencias que impidan el normal funcionamiento.
2.- Instalar software bajo licencia y actualizar los programas/sistemas operativos.

La utilización de software bajo licencia permite que en el caso de que los programas tengan vulnerabilidades, se puede acceder a parches de seguridad de forma rápida y segura.

De igual modo es recomendable tener actualizados los programas y/o sistemas operativos para de este modo evitar las posibles vulnerabilidades o fallos ocasionados en la instalación.

3.- Establecer procedimientos, planes y políticas de seguridad.

Son pocas las entidades que disponen de una política de concienciación que indique cuál es el uso adecuado que se debe dar a los sistemas de información de la empresa.

El objetivo principal es que los empleados de la empresa utilicen los recursos de información de manera constructiva. Es igualmente necesario conseguir que los empleados sean conscientes de la política y la respeten.

4.- Erradicar la falsa percepción de seguridad de las empresas españolas a través de la información y la sensibilización.

El principal inhibidor que impide el desarrollo de la seguridad de la información en las entidades es la falsa sensación de seguridad que tienen. Esta sensación facilita el hecho de que las empresas sean objeto de la explotación de algún tipo de vulnerabilidad.

Las pequeñas y microempresas declaran que el principal motivo para no implementar medidas de seguridad es la falta de necesidad de éstas. Es la falta de conocimiento de los incidentes a los que están expuestas el factor principal para que ocurran los problemas de seguridad.

Es necesario romper la falsa impresión de seguridad por un doble motivo: avanzar en el desarrollo de la seguridad de la información y eliminar las amenazas que impactan de forma negativa en las empresas españolas.

5.- Implantar Sistemas de Gestión de la Seguridad de la Información (SGSI).

La gestión de la seguridad de la información debe realizarse mediante un proceso sistemático, documentado y conocido por toda la organización. La utilización de un SGSI permite dotar a la entidad de las herramientas o mecanismos necesarios para poder afrontar los riesgos presentes en las empresas.

6.- Proporcionar a los empleados formación en materia de seguridad de la información.

La actualización de los conceptos que sustentan la seguridad de la información hace necesario que las empresas sigan las recomendaciones procedentes de los distintos organismos y entidades públicas o privadas, así como que las trasladen a los empleados.

1 comentario:

Tulio Arias dijo...

Por experiencia les puedo decir que es absolutamente fundamental crear una estrategia de seguridad de la información para sus empresas. Lo más apropiado es un servicio de auditoria que se pueda crear un plan de seguridad en la información que cubra confidencialidad, disponibilidad, integridad, entre otros. Así se podrán identificar causas de errores en sus procesos de negocio que afectan la seguridad de la información de la empresa. Aunque no parezca necesario, es mejor prevenir que lamentar.