3. Es el documento que rige toda la seguridad
de la información en la compañía. Se
recomienda que:
• No sea muy extensa: ningún empleado
podrá comprometerse con un documento
excesivamente extenso.
• Realista: pedirle a los empleados cosas
posibles para mantener la credibilidad.
• Que se les de valor: Es preferible,
además, que las mismas sean entregadas a
los empleados por los altos cargos o por el
departamento de Recursos Humanos, en
lugar del soporte técnico de IT, para que le
asignen mayor importancia.
1.Definirás una política de seguridad:
4. Son la base de la seguridad de la información en la empresa. Una red
que no cuente con protección antivirus, un firewall o una herramienta
antispam estará demasiado expuesta como para cubrir la protección
con otros controles. Según lo presentado en el ESET Security Report
Latinoamérica, el 38% de las empresas de la región se infectaron con
malware el último año.
2. Utilizarás tecnologías de la seguridad:
5. 3. Educarás a tus usuarios:
Según las estadísticas de ESET, el 45%
de los ataques informáticos detectados
en la región utiliza técnicas de Ingeniería
Social- es decir, que atentan contra el
desconocimiento del usuario para
infectarlo. Por ello, es fundamental que
toda la empresa forme parte de los
procesos de educación y capacitación.
Los usuarios técnicos o
del departamento de IT
suelen ser omitidos en
este tipo de iniciativas,
como si estuviera
comprobado que están
menos expuestos a las
amenazas informáticas.
6. La seguridad de la información no es un problema que deba abarcar
sólo la información virtual, sino también los soportes físicos donde
ésta es almacenada. ¿Dónde están los servidores? ¿Quién tiene acceso
a éstos? Sin lugar a dudas, el acceso físico es fundamental. También
deben ser considerados en este aspecto los datos impresos, el acceso
físico a oficinas con información confidencial (el gerente, el contador,
etc.) o el acceso.
4. Controlarás el acceso físico a la información:
7. Las vulnerabilidades de
software son la puerta de
acceso a muchos ataques que
atentan contra la organización.
Según el informe sobre el
estado del malware en
Latinoamérica elaborado por
ESET, el 41% de los
dispositivos USB están
infectados y el 17% del malware
utilizan explotación de
vulnerabilidades.
5. Actualizarás tu software:
Mantener tanto el sistema operativo
como el resto de las aplicaciones con
los últimos parches de seguridad, es
una medida de seguridad.
8. Es uno de los errores más frecuentes,
por lo que es importante recordar que
la seguridad no es un problema
meramente tecnológico. Debe existir
un área cuyo único objetivo sea la
seguridad de la información para que
ésta no pueda ser relegada por otros
objetivos asociados a la usabilidad,
como por ejemplo la instalación y
puesta a punto de determinado
servicio, según las necesidades
comerciales.
6. No utilizarás IT como tu equipo de Seguridad
Informática:
9. De esta forma, una intrusión al sistema estará limitada en
cuánto al daño que pueda causar en el mismo.
7. No usarás usuarios administrativos:
10. La seguridad debe ser concebida para proteger la
información y, por ende, el negocio. Hacer inversiones
en seguridad sin medir el valor de la información que se
está protegiendo y la probabilidad de pérdidas por
incidentes puede derivar en dinero mal invertido o,
básicamente, en dinero.
8. No invertirás dinero en seguridad sino un plan adecuado:
11. La seguridad debe ser concebida como
un proceso continuo, no como un
proyecto con inicio y fin. Es cierto que
pequeñas implementaciones de los
controles pueden necesitar de
proyectos, pero la protección general
de la información es una necesidad
permanente del negocio que debe
encontrarse en mejora continua.
9. No terminarás un proyecto en seguridad:
12. 10. No subestimarás a la seguridad de la información:
Entender el valor que asigna al negocio tener la información
protegida es clave.
Muchas empresas, especialmente las pequeñas y medianas,
no pueden recuperarse de un incidente de gravedad contra la
seguridad de la información.