Subscríbase al boletin de noticias de OpenKM para estar informado

Buenas prácticas en ciberseguridad

Escrito por Ana Canteli el 22 de octubre 2021

La ciberseguridad debería ser el objetivo básico de cualquier organización. Pero ya sea porque las pequeñas empresas piensan que no son lo suficientemente importantes o las grandes, porque creen estar lo suficientemente capacitadas para abordar cibercrisis; cabe la posibilidad de que ambos tipos de entidades estén pasando por alto muchos indicadores de riesgo de seguridad de la información.

 Una cibercrisis es cualquier evento que amenace seriamente la seguridad  - y por consiguiente la supervivencia de la entidad - y que hay que atajar en el menor tiempo posible, con información limitada. Como se puede imaginar, tal situación que dista de ser ideal, requiere de respuestas a nivel operativo, técnico, organizativo y estratégico.  

Para guiar a las organizaciones en materia de ciberseguridad, la familia ISO 27000 sirve para la implantación, mantenimiento y administración de un sistema de gestión de la seguridad de la información.

Las normas que forman parte de la ISO 27000 son las siguientes:

• 27001: Especificaciones para la creación de un sistema de la seguridad de la información 
• 27002: Código de buenas prácticas para la gestión de la seguridad de la información 
• 27003: Proporcionar una guía de implantación de la 27001
• 27004: Describe los criterios de medición y gestión para lograr la mejora continua y la eficacia de los sistemas de seguridad de la información 
• 27005: Proporcionar criterios generales para la realización de análisis y gestión de riesgos en materia de seguridad

Para facilitar la comprensión de las mismas, aquí le facilitamos un listado de buenas prácticas en materia de ciberseguridad:

• Hacer back ups periódicos: parece obvio, pero ya sea por problemas técnicos, falta de espacio de almacenamiento o porque este paso no está correctamente implementado en la política de seguridad de la empresa, la organización puede desatender el procedimiento de copias de seguridad. Tal protocolo debe tener definido, qué información debe ser objeto de back up, dónde se van a guardar las copias de seguridad - puede que la entidad estime oportuno, guardar las copias de seguridad en otro lugar, para protegerse de robos o desastres naturales (inundación, incendio)-.
• Mantener el software actualizado: la mayor parte de los proveedores ofrecen actualizaciones incluidas en el servicio por 3 razones principales: reparar bugs, añadir nuevas funcionalidades y actualizar las medidas de seguridad. 
• Mantener el hardware al día: los ordenadores y servidores antiguos pueden no soportar las actualizaciones de seguridad más recientes. Por otro lado, los equipos antiguos pueden ralentizar la respuesta a ataques cibernéticos.
• Desarrollar el software de forma segura:  cuando las entidades tienen suficiente capacidad técnica, son capaces de crear conectores con terceras aplicaciones, e incluso de desarrollar sus propios programas. En cualquier caso es recomendable que estos proyectos se lleven a cabo de forma segura, es decir que se tengan en cuenta las necesidades de ciberseguridad en las fases de desarrollo, pruebas, producción. 
• Gestión de contraseñas:  la política de claves de acceso debería evitar que los usuarios utilicen la misma passwords para distintas plataformas y que éstas sean excesivamente sencillas. Debería estar documentado el número de accesos que cada usuario tiene, establecer una política mínima de seguridad a la hora de crear una contraseña - número de caracteres, obligatoriedad de mayúsculas, símbolos, cifras - qué éstas caduquen cada cierto tiempo, y que el sistema guarde las últimas claves para evitar la reutilización de las mismas. Otras posibilidades como la doble autentificación, contribuyen a incrementar la seguridad mediante la comprobación de la identidad del usuario.
• Control de acceso a aplicaciones críticas y áreas restringidas: el sistema de gestión de la seguridad de la información, debe permitir auditar la actividad de cualquier usuario. Sin embargo, por razones obvias, es necesario vigilar de forma especial a los usuarios con credenciales de alto privilegio. Se hace necesario controlar el número de personas, el número de accesos y revocar los mismos cuando sea necesario.
• Gestionar los activos de la organización: es imprescindible enumerar y hacerse cargo del mantenimiento de los dispositivos de la organización, sobre todo en estos momentos en los que propiedad no es sinónimo de posesión, pues muchos integrantes de la entidad trabajan fuera de las oficinas. Tal objetivo se materializa en el cumplimiento de diversas prácticas, desde mantener el software y hardware al día, la política de contraseñas, o recordar a los usuarios apagar el equipo al final de cada jornada, para evitar el uso indebido de los medios de la organización.
• Utilizar medios cifrados: tener un certificado SSL instalado y el HTTPS habilitado en el sitio web desde el que trabajan los usuarios permite encriptar la información que se transfiere entre el navegador del usuario y el servidor de la compañía. Por su puesto, también es necesario comprobar y actualizar la contraseña del router Wifi y evitar el uso de wifi público o gratuito, ya que las comunicaciones o transferencia de datos pueden no ser seguras. El Bluethooth también puede ser una vía de hackeo del sistema y por lo tanto de acceso a información privada. Si no se está utilizando el bluetooth, lo mejor es dejarlo apagado.
• Utilizar VPN para proteger el acceso remoto: Cuando un empleado accede desde otra ubicación al ordenador del trabajo, debemos asegurarnos de que el acceso está protegido por un firewall VPN. Éste encripta la conexión y protege la información, incluso del proveedor de internet.
• Utilizar antivirus y antimalware: desde el momento en el que nos conectamos a internet, es imposible la protección total contra el software malicioso. Sin embargo, podemos reducir sustancialmente las vulnerabilidades mediante la instalación de un antivirus y al menos un antimalware en el dispositivo.
• Evitar la apertura de correos electrónicos sospechosos: Si no conoce el remitente, y/o el asunto resulta dudoso, lo mejor es enviar ese e-mail a la papelera sin abrir, puesto el usuario se arriesga a un caso de phising. El phising es conjunto de técnicas que persiguen el engaño a una víctima ganándose su confianza haciéndose pasar por una persona, u organización de confianza, para manipularla y hacer que realice acciones que no debería llevar a cabo. Estos correos pueden incluir links o adjuntos que infectan los dispositivos.
• Análizar los dispositivos externos de almacenamiento: son tan propensos al ataque de virus y otros tipos de malware como cualquier otro medio de almacenamiento interno. Es recomendable hacerles un scaneo antes de utilizarlos.
• Incluir la responsabilidad en ciberseguridad en el organigrama: es necesario llevar a cabo una segregación de funciones para delimitar correctamente y de acuerdo al esquema organizativo de los RRHH, las responsabilidades, deberes y derechos de cada integrante de la organización sobre todo lo relacionado a la seguridad informática y cómo proceder en caso de ataque. Lo ideal sería nombrar un responsable de ciberseguridad, con acceso a la alta dirección que cuente con los medios necesarios para desarrollar políticas de seguridad de la información y que sirva para promover el código de buenas prácticas dentro de la organización.
• Formar a los empleados: es la clave para que las mejores prácticas de ciberseguridad se apliquen realmente en la organización, y que los integrantes de la misma, estén entrenados, mentalizados, motivados y organizados para aplicar consistentemente el sistema de gestión de la seguridad de la información creado y desarrollado por la empresa. Este enfoque también puede afectar tanto a nivel formativo, como desde el punto de vista de superficie de exposición, a las relaciones de la entidad con terceros ( proveedores, clientes, administraciones públicas, grupos de interés ). 
• Invertir en prevención de riesgos cibernéticos: a no ser que los dispositivos de la empresa estén offline y físicamente protegidos de accesos indeseados, no existe la seguridad completa ni para los medios ni la información propiedad de la empresa. Por ello es aconsejable invertir un poco de presupuesto en las actualizaciones de seguridad, cuando estas están disponibles, que hacer frente a las consecuencias de una brecha de seguridad.
• Documentar y procedimentar todas las prácticas de ciberseguridad: desde la gestión de incidentes, hasta la monitorización de servicios críticos, saber quiénes son los responsables, pasando por el análisis cíclico de los medios disponibles para la protección de la seguridad de la información, o el protocolo de control de accesos Se aconseja explicitar toda la información relacionada con la gobernanza de la seguridad de la información. 

En todo lo que se ha descrito anteriormente, los software de gestión documental tienen un rol muy importante que jugar, por cuanto prácticamente toda la información de una organización se encuentra guardada en multitud de formatos documentales, que son administrados diligentemente a través de un sistema de gestión documental, parametrizado en función de las necesidades de la entidad. Si le interesa saber cómo OpenKM puede contribuir a implementar una sólida política de seguridad de la información, puede ponerse en contacto con nosotros a través del formulario.