Como cada viernes, el INCIBE nos muestra una serie de trucos y consejos para mejorar nuestra vida en la red. Hoy es el momento de mejorar la seguridad de nuestra empresa.
¿Proteges adecuadamente tu información? ¿Dispones de las medidas de seguridad adecuadas para protegerla? ¿Revisas y actualizas periódicamente estas medidas? ¿Te has preguntado por dónde empezar a dar los primeros pasos para mejorar la ciberseguridad de tu negocio?
La información es uno de los activos más importantes de nuestras empresas y, como tal, proteger su confidencialidad, integridad y disponibilidad es una de las tareas a las que debemos dedicar especial atención.
La ciberseguridad se considera parte integral y necesaria de cualquier empresa. Por ello, es habitual que tomemos las medidas necesarias para mejorarla, entre otras, las destinadas a adecuarse a la normativa legal vigente -LOPD, LSSI, etc. -, proteger los sistemas e infraestructuras de cualquier ataque o amenaza, o de forma global poner en marcha un plan estratégico para mejorar la ciberseguridad de nuestra empresa: Plan Director de Seguridad (PDS).
Pero independientemente de las razones para mejorar la seguridad, antes de implantar cualquier medida, o de forma más global un PDS, es fundamental conocer el nivel de seguridad de la organización. Tomaremos este nivel de seguridad como punto de partida para poder diseñar e implantar las futuras mejoras de seguridad.
Para conocer el nivel de seguridad de la empresa y reducir la probabilidad de que un ciberataque nos impacte, debemos solicitar o realizar periódicamente auditorías de seguridad de la información. Estas consisten en un estudio crítico y detallado de toda la estructura de los sistemas de información de la organización. Son llevados a cabo por profesionales, y su objetivo es evaluar y mejorar la seguridad, eficacia y eficiencia de nuestros procesos productivos. Estos son los aspectos que deben considerarse:
- protección antivirus;
- protección antispam y de filtrado de contenidos;
- prevención de fuga de Datos (DLP);
- administración de permisos de usuarios y accesos a servicios;
- prevención del fraude;
- seguridad de los dispositivos móviles;
- gestión automatizada de actualizaciones y parches;
- detección de vulnerabilidades;
- gestión unificada de amenazas (UTM);
- monitorización del uso de los recursos informáticos y de red;
- monitorización y análisis de eventos de seguridad en tiempo real (SIEM);
- cumplimiento legal;
En la mayoría de los casos, tendremos que solicitar a nuestro proveedor de servicios tecnológicos la realización de estas auditorías, que deberán ajustarse a nuestro equipamiento.
Existen varios tipos de auditorías, en función del tipo de análisis que realicen. A continuación describimos algunas de ellas:
- Test de penetración. Es un tipo de auditoría técnica que consiste en un conjunto de pruebas a las que se somete a una aplicación, servicio o sistema, con el objetivo de encontrar huecos o fallos a través de los cuales sería posible conseguir acceso no autorizado a información de la empresa.
- Auditoría de red. Permiten analizar la red de la empresa en busca de puertos abiertos, recursos compartidos, servicios o electrónica de red (router, switch, etc.). Además, en estas auditorías se emplean herramientas que permiten realizar la catalogación de las infraestructuras conectadas a la red o incluso detectar versiones de dispositivos inseguros, versiones de software o la necesidad de instalar actualizaciones o parches.
- Auditoría de seguridad perimetral. Se trata de un proceso destinado a determinar el nivel de seguridad de las barreras que protegen la red de comunicaciones de una organización de los riesgos que provienen del exterior y del interior. Podríamos englobarla dentro de la auditoría de red, aunque está más especializada en detectar fallos de seguridad desde el punto de vista de exterior.
- Auditoría web. Analiza los fallos de seguridad o vulnerabilidades que afectan al funcionamiento de una página web.
- Auditoría forense. Son auditorías posteriores a un incidente de seguridad para identificar las causas que lo produjeron. Tiene como objetivo recabar y preservar las pruebas o evidencias de un incidente para, tras su posterior análisis, saber qué y como ha ocurrido, aprender de ello y depurar las posibles consecuencias legales
En la actualidad, gracias a los productos y servicios que podemos encontrar en el mercado de seguridad, esta tarea se está simplificado de forma significativa. Pero por lo general, sigue siendo necesario que las realice personal especializado, por lo se suele recurrir a contratar un servicio externalizado.
Conocer el nivel de seguridad de la organización, es el primer paso antes de diseñar e implantar cualquier medida de seguridad. ¡Protege tu empresa!