El Instituto Nacional de Tecnologías de la Comunicación
(INTECO) acaba de publicar el Estudio sobre seguridad de la información y continuidad de negocio en las pymes españolas en el que realiza un diagnóstico de la percepción sobre el nivel de
preparación ante los riesgos de seguridad y la adopción de estrategias de
continuidad de negocio por parte de las pymes españolas que utilizan Internet
como parte de su negocio en 2012.
El este trabajo se recomiendan una serie de actuaciones para que las
pymes mejoren la seguridad de la información y continuidad de negocio en las
pymes españolas
Avanzar
en la sensibilización de las empresas sobre seguridad de la información.
El talón de Aquiles de las pymes españolas en materia de seguridad
de la información es la falta de sensibilización y concienciación en la
organización por estos aspectos, lo que se refleja en la falsa percepción de
seguridad que les hace más vulnerables a ataques. Desde INTECO se señala que es
necesario incidir en la importancia de realizar un proceso de reciclaje
interno, así la dirección debe adquirir los conocimientos básicos de la gestión
de la seguridad de la información en la empresa, como parte de sus habilidades
directivas. Asimismo, es tarea de los responsables de la empresa promover el
alineamiento de los objetivos de la organización con la estrategia de seguridad
y continuidad de negocio. Por su parte el departamento o responsable de TI de
la empresa debe contar con los conocimientos necesarios para diseñar una
estrategia de gestión de la seguridad y consensuarla con la dirección.
Considerar
la seguridad de la información como un todo e integrarla dentro de la
organización
La seguridad de la información debe
abordarse como un todo en el que se contemplen soluciones y herramientas de
seguridad, pero también buenas prácticas y procedimientos. Desde este punto de
vista, se dejaría de considerar la seguridad de la información como actuaciones
puntuales y aisladas, relativas a la instalación de una determinada herramienta
que, en muchos casos, ni se actualiza (puesto que se presupone automática).
Acudir a profesionales externos que
solventen la falta de recursos internos sin renunciar a la seguridad.
Acometer la gestión de la seguridad de la
información no es una tarea sencilla, sobre todo para aquellas empresas de
menor tamaño, que disponen de recursos más limitados. Por ello es aconsejable
identificar las áreas sobre las que se debe actuar y las tareas que puedan
calificarse como sencillas y por tanto, asumibles por el personal interno.
Igualmente, puede ser recomendable confiar en asesores externos especializados
que ayuden a complementar y profundizar en el conocimiento necesario, adaptado
a la realidad de cada caso.
Utilizar
correctamente las herramientas y medidas de seguridad.
La mayoría de las empresas son conscientes
de que disponen de un antivirus y en una notable proporción, de cortafuegos.
Más allá de estas medidas, a juicio de los responsables de seguridad, el
desconocimiento o la falsa sensación de no necesitar otras opciones existentes
en el mercado son motivos para no ampliar la protección. Por tanto, no se saca
partido a otras herramientas con usos y funcionalidades específicas, como el
cifrado de datos que impide el robo de información en las comunicaciones. Por
otra parte la actualización de programas y sistemas es una práctica básica.
Fomentar
la incorporación de buenas prácticas para los miembros de la organización.
La seguridad de la información en las
empresas debe incluir, además de los recursos necesarios, la realización de
buenas prácticas que extiendan la seguridad más allá del componente técnico. En
este sentido, la dirección y departamento o personal encargado de la seguridad
de la información deben trasladar al conjunto de la organización los
conocimientos necesarios para que puedan utilizar los recursos de información
de manera constructiva. Estos conocimientos pueden proporcionarse con acciones
formativas e informativas impartidas por miembros de la organización o por
profesionales y organismos externos.
Adoptar
estrategias de continuidad de negocio
Frente a la percepción de la baja
probabilidad de sufrir un incidente que suponga la interrupción del negocio, es
importante que la dirección esté concienciada de los riesgos y su probabilidad,
las debilidades de la empresa y las operaciones que son vitales para el
negocio. La estrategia puede asumirse de forma gradual, comenzando por tareas
sencillas y contando con asesores externos. Un primer paso puede ser la
realización de auditorías de seguridad que permitan evaluar el estado de la
seguridad de la información y las necesidades del mismo. En base a estas
evaluaciones, se pueden diseñar, corregir, adaptar y actualizar las medidas de
seguridad. De tal forma que, de llegar a producirse, se dispondrá de un plan de
actuaciones para atajar los riesgos y minimizar las consecuencias.
Establecer
criterios de seguridad en las relaciones con los proveedores
Actualmente una parte creciente de la
gestión de la seguridad de la información de las empresas se delega en servicios
que les prestan terceras partes y que permiten optimizar sus recursos, como es
el caso de los suministros o de soluciones de almacenamiento en modo cloud
computing, hasta tal punto que un fallo de seguridad del proveedor podría
ocasionar un impacto negativo o incluso una interrupción de la actividad de la
empresa. Por ello, se deben definir las
actividades necesarias y críticas para el negocio en las que intervenga la
acción de estos terceros y establecer criterios que aseguren la disponibilidad
de estos servicios. En base a estos criterios, se debe igualmente revisar los
acuerdos de nivel de servicio contratados con estos proveedores y adaptarlos a
las necesidades concretas de la empresa.
Mantenerse
actualizados de las novedades en materia de riesgos de seguridad y medidas de
protección
Las amenazas evolucionan constantemente,
por lo que es tarea de los responsables de gestión de la seguridad en la
empresa mantenerse al día de los principales incidentes y de las soluciones
aportadas desde la industria de seguridad. La suscripción a boletines
especializados y foros sobre seguridad de las principales firmas de seguridad
es una fórmula sencilla y al alcance de las organizaciones, independientemente
de su tamaño. Asimismo, desde las organizaciones y colectivos empresariales se
realizan acciones de sensibilización, en ocasiones especializados en un
determinado sector o colectivo empresarial.
1 comentario:
Unas recomendaciones interesantes. Resaltar la importancia de realizar copias de seguridad de forma periódica de la información, para asegurar la integridad de la misma en todo momento. Saludos.
Publicar un comentario