Recomendaciones para mejorar la seguridad de la información y continuidad de negocio en las pymes españolas

El Instituto Nacional de Tecnologías de la Comunicación (INTECO) acaba de publicar el  Estudio sobre seguridad de la información y continuidad de negocio en las pymes españolas en el que realiza un diagnóstico de la percepción sobre el nivel de preparación ante los riesgos de seguridad y la adopción de estrategias de continuidad de negocio por parte de las pymes españolas que utilizan Internet como parte de su negocio en 2012.

El este trabajo se recomiendan una serie de actuaciones para que las pymes mejoren la seguridad de la información y continuidad de negocio en las pymes españolas

Avanzar en la sensibilización de las empresas sobre seguridad de la información.

El talón de Aquiles de las pymes españolas en materia de seguridad de la información es la falta de sensibilización y concienciación en la organización por estos aspectos, lo que se refleja en la falsa percepción de seguridad que les hace más vulnerables a ataques. Desde INTECO se señala que es necesario incidir en la importancia de realizar un proceso de reciclaje interno, así la dirección debe adquirir los conocimientos básicos de la gestión de la seguridad de la información en la empresa, como parte de sus habilidades directivas. Asimismo, es tarea de los responsables de la empresa promover el alineamiento de los objetivos de la organización con la estrategia de seguridad y continuidad de negocio. Por su parte el departamento o responsable de TI de la empresa debe contar con los conocimientos necesarios para diseñar una estrategia de gestión de la seguridad y consensuarla con la dirección.

Considerar la seguridad de la información como un todo e integrarla dentro de la organización

La seguridad de la información debe abordarse como un todo en el que se contemplen soluciones y herramientas de seguridad, pero también buenas prácticas y procedimientos. Desde este punto de vista, se dejaría de considerar la seguridad de la información como actuaciones puntuales y aisladas, relativas a la instalación de una determinada herramienta que, en muchos casos, ni se actualiza (puesto que se presupone automática).

Acudir a profesionales externos que solventen la falta de recursos internos sin renunciar a la seguridad.

Acometer la gestión de la seguridad de la información no es una tarea sencilla, sobre todo para aquellas empresas de menor tamaño, que disponen de recursos más limitados. Por ello es aconsejable identificar las áreas sobre las que se debe actuar y las tareas que puedan calificarse como sencillas y por tanto, asumibles por el personal interno. Igualmente, puede ser recomendable confiar en asesores externos especializados que ayuden a complementar y profundizar en el conocimiento necesario, adaptado a la realidad de cada caso.

Utilizar correctamente las herramientas y medidas de seguridad.

La mayoría de las empresas son conscientes de que disponen de un antivirus y en una notable proporción, de cortafuegos. Más allá de estas medidas, a juicio de los responsables de seguridad, el desconocimiento o la falsa sensación de no necesitar otras opciones existentes en el mercado son motivos para no ampliar la protección. Por tanto, no se saca partido a otras herramientas con usos y funcionalidades específicas, como el cifrado de datos que impide el robo de información en las comunicaciones. Por otra parte la actualización de programas y sistemas es una práctica básica.

Fomentar la incorporación de buenas prácticas para los miembros de la organización.

La seguridad de la información en las empresas debe incluir, además de los recursos necesarios, la realización de buenas prácticas que extiendan la seguridad más allá del componente técnico. En este sentido, la dirección y departamento o personal encargado de la seguridad de la información deben trasladar al conjunto de la organización los conocimientos necesarios para que puedan utilizar los recursos de información de manera constructiva. Estos conocimientos pueden proporcionarse con acciones formativas e informativas impartidas por miembros de la organización o por profesionales y organismos externos.

Adoptar estrategias de continuidad de negocio

Frente a la percepción de la baja probabilidad de sufrir un incidente que suponga la interrupción del negocio, es importante que la dirección esté concienciada de los riesgos y su probabilidad, las debilidades de la empresa y las operaciones que son vitales para el negocio. La estrategia puede asumirse de forma gradual, comenzando por tareas sencillas y contando con asesores externos. Un primer paso puede ser la realización de auditorías de seguridad que permitan evaluar el estado de la seguridad de la información y las necesidades del mismo. En base a estas evaluaciones, se pueden diseñar, corregir, adaptar y actualizar las medidas de seguridad. De tal forma que, de llegar a producirse, se dispondrá de un plan de actuaciones para atajar los riesgos y minimizar las consecuencias.

Establecer criterios de seguridad en las relaciones con los proveedores

Actualmente una parte creciente de la gestión de la seguridad de la información de las empresas se delega en servicios que les prestan terceras partes y que permiten optimizar sus recursos, como es el caso de los suministros o de soluciones de almacenamiento en modo cloud computing, hasta tal punto que un fallo de seguridad del proveedor podría ocasionar un impacto negativo o incluso una interrupción de la actividad de la empresa.  Por ello, se deben definir las actividades necesarias y críticas para el negocio en las que intervenga la acción de estos terceros y establecer criterios que aseguren la disponibilidad de estos servicios. En base a estos criterios, se debe igualmente revisar los acuerdos de nivel de servicio contratados con estos proveedores y adaptarlos a las necesidades concretas de la empresa.

Mantenerse actualizados de las novedades en materia de riesgos de seguridad y medidas de protección

Las amenazas evolucionan constantemente, por lo que es tarea de los responsables de gestión de la seguridad en la empresa mantenerse al día de los principales incidentes y de las soluciones aportadas desde la industria de seguridad. La suscripción a boletines especializados y foros sobre seguridad de las principales firmas de seguridad es una fórmula sencilla y al alcance de las organizaciones, independientemente de su tamaño. Asimismo, desde las organizaciones y colectivos empresariales se realizan acciones de sensibilización, en ocasiones especializados en un determinado sector o colectivo empresarial.