Información de actividades de compra y venta, facturas, datos de clientes y empleados, análisis de mercado, futuros proyectos o innovaciones tecnológicas. Todo esto y mucho más se almacena en los sistemas informáticos de cualquier empresa. Información confidencial muy valiosa que, si no está protegida adecuadamente, puede darnos más de un disgusto, paralizar nuestro negocio e incluso vernos involucrados en serios problemas legales. El robo de un móvil o portátil o la vulnerabilidad de las descargas de documentos, softwares o correos electrónicos puede suponer una grave amenaza para la protección de los datos de tu organización. Un peligro que se ha agravado con el auge del trabajo en remoto, generalizado por la pandemia y que ha llevado a la mayoría de las empresas a estar más expuestas a hackeos o incidentes de seguridad.
Para evitarlos, es fundamental diseñar un eficaz protocolo de seguridad. Unas medidas que han de partir de un pormenorizado análisis de las necesidades de tu empresa. Si cuentas con muchos empleados los riesgos aumentan. También deberías analizar qué datos quieres proteger y cómo hacerlo. Reconocer las posibles amenazas, como robos, errores humanos o fallos informáticos, es otro paso previo fundamental, que te ayudará en el diseño de ese protocolo de seguridad. Y con los pasos anteriores clarificados, solo nos quedaría seleccionar las medidas de seguridad que mejor se adaptan al tamaño y características de tu empresa y que garantizarán la protección de los datos, la continuidad del negocio en caso de algún problema el la gestión y custodia de esa información confidencial y que ayudarán a minimizar los riesgos.
Medidas clave de un buen protocolo de seguridad
- Buckups online. Tendrás una copia de seguridad con toda la información que necesites, en cualquier momento y desde cualquier lugar que cuente con tecnología Cloud. Es importante que el servicio que contrates te permita configurar la periodicidad de la copia, de manera que puedas, incluso, realizar varias copias al día, a la hora que necesites que se realice. Esta copia debe ser sistemática y en cortos espacios de tiempo, para que la última versión contenga la información lo más actualizada que sea posible. Así mismo, la empresa proveedora debe contar con fuertes medidas contra ataques que pudieran poner en riesgo tu información. La certificación ISO es un buen indicador de esta seguridad. A ser posible, también es aconsejable que el centro de datos esté ubicado en España o en el Espacio Económico Europe, pues es el territorio de aplicación de el RGPD.
- Contraseñas seguras. Debes asegurarte de que todo aquel que tiene acceso a la información de tu empresa utiliza contraseñas muy seguras, que no den facilidades a los piratas informáticos. Deberán utilizar combinaciones de letras, números y símbolos y contener más de ocho caracteres. Además es fundamental que se cambien cada cierto tiempo.
- Protección del correo electrónico. Es el medio de comunicación de la empresa más generalizado. Por tanto, es más que aconsejable implantar filtros de SPAM, que te permitan controlar la recepción de los correos basura o no solicitados, que podrían contener virus. No olvides revisar periódicamente esta carpeta por si se hubiera almacenado en ella algún correo importante que no fuera SPAM. Otra medida eficaz para proteger los correos electrónicos son los sistemas de encriptado de mensajes que, no solo garantizan la protección e integridad (todo lo que se encripta se mantiene completo e inalterado), sino también la privacidad de la información (solo accede a los datos quien está autorizado a hacerlo). Además, el encriptado asegura que, ante un acceso no deseado, la información será ilegible.
- Especial atención a los archivos de gran tamaño. Muchas veces compartimos este tipo de archivos utilizando métodos poco seguros, generalmente gratuitos. En estos casos la información suele viajar sin estar encriptada y sin someterse a protocolos seguros y la organización pierde la trazabilidad de los datos. Para evitarlo, es aconsejable utilizar herramientas de trasferencia segura que nos permita enviar archivos de gran tamaño de forma segura, con reanudación automática en caso de errores, notificaciones, trazabilidad y reportes de auditorías.
- Identificar dispositivos comprometidos en la red interna. Cualquier dispositivo con conexión a Internet puede ser hackeado. Por ello, es fundamental descubrir qué dispositivos de la red interna están comprometidos y contar con una solución de detección avanzada de amenazas por inspección de tráfico de red, que evite que un hacker vulnere la infraestructura de seguridad y acceda a la red corporativa para robar su información.
- Clasificación de los datos. No todos los datos se deben tratar de igual forma. Debe conocerse qué tipo de datos guarda su empresa, dónde se alojan, qué nivel de cripticidad o qué valor de negocio tienen, para determinar cuáles deben protegerse, cómo hacerlo o quién debe tener acceso y control sobre los mismos.
- Software integral de seguridad y DLP. El software de seguridad debe contener antivirus, antiespías, antimalware y firewall para que nuestra información esté protegida ante posibles ataques externos en Internet. Así mismo, debemos disponer de programas de prevención de pérdidas de datos (DLP), que nos permitan revisar que ningún usuario copia o comparta información o datos que no debería.
- Información y comunicación eficaz. De poco servirán todas las medidas anteriores si no las conocen todos tus colaboradores. Un buen plan de comunicación debería incluir cursos de formación y el diseño y elaboración de guías con los riesgos a los que se enfrenta la empresa y los pasos a seguir para garantizar la protección de los datos. Es más, las medidas de seguridad informática de una empresa no solo afectan a los trabajadores sino también a clientes o proveedores. Por ello, deberíamos involucrar a todos ellos en nuestras estrategias o protocolos de seguridad.
