Las empresas son muy vulnerables a ataques informáticos, y muchos de los problemas que tienen se deben a la falta de previsión en temas de seguridad y a errores humanos. Esto es particularmente cierto para las compañías pequeñas y algunas medianas, que a veces no tienen personal de tecnología.

Le contamos cuáles son los principales errores que debería evitar.

1. No reconocer que hay riesgos

Las empresas grandes no son el único blanco de los hackers o los delincuentes. Las pequeñas son muy atractivas porque tienen más ‘activos digitales’ que un usuario individual, pero menos seguridad que una compañía grande, según la firma Eset. El problema es que las firmas pequeñas suelen subestimar su nivel de riesgo.

Daren Boozer, un experto en seguridad de la empresa NCC Data, le dijo al sitio web Digital Guardian.com que muchas compañías pequeñas tienen la percepción de que no corren riesgos y eso las lleva a ser apáticas en el tema de seguridad. Esto también sucede con empresas grandes, dice Boozer, pero en las pequeñas es más grave porque ellas no tienen un equipo de gente que pueda reaccionar ante un ataque y a veces no cuentan con defensas tecnológicas.

“Nunca piense que su empresa es aburrida para los cibercriminales. Si usted tiene acceso a las redes de compañías más grandes, si su industria está en crecimiento y recibe atención de los medios, si tiene acceso a información personal o financiera de los clientes, usted está en riesgo”, dice Boozer.

Tenga en cuenta que en ocasiones se hackea una empresa pequeña para llegar a una más grande. Los delincuentes y los hackers saben que, aunque algunas compañías medianas y grandes tienen buenas políticas de seguridad y empleados que las aplican, a veces trabajan con firmas más pequeñas o proveedores que no son tan cuidadosos con la seguridad informática y que tienen acceso a sus redes. Según The Wall Street Journal, dos tercios de las brechas de seguridad en las empresas suelen producirse a través de un tercero al que se atacó primero, y por medio del cual se penetró en la red de una compañía más grande.

2. No dedicar suficientes recursos

Las herramientas de seguridad informática pueden ser costosas. Y como no producen ingresos, muchas empresas las ven simplemente como un costo. Por eso no asignan una cantidad adecuada de recursos para este tema (capacitación, compra de tecnología, etc.). Este error es muy común entre las firmas pequeñas o en compañías jóvenes, que piensan que la escasez de recursos es una razón para no invertir en esa área. Solo cuando una empresa ha sufrido un incidente suele entender la importancia de invertir en seguridad informática.

En una era en la que la información y los ‘activos digitales’ de una empresa son muy importantes, y en la que hay amenazas constantes por Internet, este es un ahorro que su pyme no puede hacer. Un incidente de seguridad puede tener un impacto enorme en una compañía.

3. No mantener actualizado el software

La mayoría de los ataques que se realizan a través de malware contra las empresas se pueden prevenir simplemente si las compañías mantienen actualizados sus sistemas operativos y sus aplicaciones. La razón es que muchos ataques masivos suelen aprovechar vulnerabilidades conocidas en el software (como los sistemas operativos) para penetrar en los sistemas de las compañías.

A veces por ahorrar costos, por ejemplo, algunas compañías se quedan con versiones demasiado antiguas de Windows, que no son seguras y ya no tienen actualizaciones ni parches de seguridad. E incluso si tiene versiones recientes de sus programas, su empresa debe estar pendiente de mantenerlos actualizados con los parches que publican en Internet los fabricantes (un ‘parche’ es una pieza de software que corrige una vulnerabilidad, una falla o que mejora una aplicación o un sistema operativo; los fabricantes de software los publican constantemente y su descarga es gratuita).

Roger Grimes, autor de varios libros sobre seguridad, dice en una columna de la publicación InfoWorld que, aunque el manejo de los parches en las empresas es complejo, no todas las vulnerabilidades críticas son iguales. Él opina que las compañías deberían enfocarse en aquellos programas cuyas vulnerabilidades suelen ser más explotadas por los hackers. “Hay 6 mil vulnerabilidades nuevas cada año, pero quizás un centenar de ellas son ampliamente explotadas. Además, casi todos los riesgos corren por cuenta de un puñado de sistemas operativos y aplicaciones como Java, Adobe Acrobat, Flash e Internet Explorer”, dice.

Lo más difícil es educar a los usuarios contra la ingeniería social. Solo se necesita un idiota para infectar toda una compañía.

Los parches suelen funcionar sin problemas en los PC de usuarios individuales. Pero, ¿por qué las compañías a veces no los instalan? Un problema es que en ocasiones las empresas tienen redes complejas –que se apoyan en varios fabricantes– y cambiar una pieza del rompecabezas puede producir fallas en otras partes. También podría pasar que un parche sea incompatible con alguna de las aplicaciones que la empresa ha personalizado para su operación, y eso podría generar una interrupción en sus servicios. Muchas compañías prefieren evitar ese riesgo no instalando los parches, lo cual las vuelve muy vulnerables porque los hackers suelen crear malware que aprovecha las vulnerabilidades conocidas de las aplicaciones y los sistemas operativos.

Una de las ventajas de las aplicaciones en la nube es precisamente que se evitan esos inconvenientes, ya que el proveedor del software mantiene su software seguro y actualizado en sus propios servidores.

4. No tener en cuenta los riesgos que generan sus empleados

Roger Grimes dice en la revista InfoWorld que la mayoría de los ataques contra empresas se apoya en dos armas: la ingeniería social y el hackeo de programas que no tienen parches de seguridad. Por eso, “si usted no se concentra en esas dos áreas, está desperdiciando su tiempo”. Pero Grimes agrega que, aunque lograr una implantación perfecta de un parche puede ser difícil, “eso es sencillo comparado con educar a los usuarios contra la ingeniería social. Solo se necesita un idiota para infectar toda una compañía”.

En eso coincide un artículo publicado en el sitio web del fabricante de equipos para redes Cisco: “Pese a todos los firewalls, sistemas de prevención de intrusos y programas antivirus que usted instale en su red, es imposible bloquear todas las amenazas de seguridad contra su pyme. En buena medida, usted debe apoyarse en los empleados para mantener segura su red. Ellos son los que están en la primera línea de fuego, decidiendo cada día si descargan o no ese misterioso archivo que les llegó por correo o si dan clic en esa tentadora ventana emergente”.

Por eso, su empresa no puede caer en el siguiente error: no capacitar a los empleados.

5. No capacitar a los empleados

Pocas compañías se toman el tiempo para educar y entrenar a sus empleados en temas de seguridad. Y no solo en Colombia. Según el Verizon Data Breach Investigations Report, solo la mitad de las empresas de E.U. ofrece a sus empleados entrenamiento sobre seguridad informática.

Es clave que capacite a sus empleados. Debe entrenarlos, a través de charlas y cursos, para que aprendan, por ejemplo, cómo reconocer un correo electrónico usado para phishing, qué tipo de información no se debería suministrar por teléfono porque podría tratarse de un ataque de ingeniería social, por qué no se deberían instalar ciertas apps en los smartphones que se usan dentro de la compañía, por qué no se deben usar las mismas contraseñas en diversos servicios web, qué peligros se corren si se almacena información confidencial en portátiles cuyos discos no están encriptados, cómo manejar las alertas que dan los programas antivirus, etc.

La experta en seguridad Ashley Schwartau le dijo a Digital Guardian.com que “muchos de los problemas de seguridad de las compañías se deben a que tienen usuarios ignorantes sobre el tema o a los que simplemente no les importa”. Schwartau afirma que la mayoría de ataques exitosos se produce porque los delincuentes sacan ventaja de empleados que no conocen las políticas de seguridad, y no saben reconocer una actividad sospechosa o qué hacer cuando la identifican. Schwartau dice que “la solución más barata y sencilla es entrenar a los empleados, pero esto no consiste en enviarles un PDF con políticas de seguridad, sino darles un curso sobre esas políticas, y enseñarles prácticas básicas de seguridad”.

Esto es importante además porque muchas amenazas son cada vez más difíciles de identificar. Cualquier usuario de Internet medianamente informado sabe que los delincuentes utilizan como una de sus principales armas el phishing (supuestos correos de empresas, que incluyen enlaces a sitios web falsos en donde se invita al usuario a introducir sus datos). Caer en esa trampa tan conocida no debería tener excusa. Pero Fast Company dice que esos ataques de ingeniería social se han refinado tanto que no necesariamente se puede culpar a las víctimas. “A primera vista, los mensajes no se ven extraños. Hoy se los crea de tal forma que pueden atravesar los filtros antispam. Además, pueden lucir profesionales, bien redactados, pueden usar términos de su negocio e incluso parecer mensajes que usted espera”, le dijo a esa publicación el consultor de seguridad Patrick Thomas.

6. No tener software de seguridad

Lo mínimo que su pyme debería tener es un antivirus de buen nivel o un paquete de software de protección (que incluye muchas más herramientas que el solo antivirus). Y con “buen nivel” nos referimos a los productos que ofrecen fabricantes como Kaspersky, Bitdefender, Eset, Avira y Symantec. Varios laboratorios independientes, como AV Comparatives (www.av-comparatives.org) y AV Test (www.av-test.org), ofrecen reportes periódicos que evalúan la efectividad del software de seguridad, y estas son algunas de las firmas que siempre figuran en los primeros lugares.

Uno de los principales peligros para las empresas hoy en día, el ransomware, puede ser atajado por programas de este estilo, ya que el ransomware es un tipo de malware (software maligno). Y recuerde que los dispositivos móviles basados en Android también necesitan antivirus (no hay antivirus para iOS, pero en ese sistema los peligros relacionados con malware son menores).

También es posible que necesite otro tipo de productos, como firewalls (hay tanto de hardware como de software), que impiden el acceso a su red de computadores; software para automatizar la creación de copias de seguridad; programas para encriptar la información; aplicaciones para administración remota de equipos, etc. Algunos desarrolladores ofrecen soluciones que integran varias de estas herramientas.

7. No estar pendiente de los equipos de sus empleados

Desde hace unos años se volvió común que los empleados lleven a las empresas sus propios equipos móviles. Esa tendencia se conoce como Bring Your Own Device (BYOD), y beneficia a las dos partes. La compañía evita gastar dinero en la adquisición de ese hardware, mientras que los empleados aumentan su productividad, ya que trabajan con dispositivos que saben manejar muy bien y que a veces son más recientes que los de la empresa.

Pero hay un problema: si esto no se maneja bien, puede abrir brechas de seguridad en las empresas. Por ejemplo, estos equipos móviles pueden conectarse a la red corporativa, tener acceso a información crítica y luego conectarse fuera de la compañía a otras redes que son inseguras. Y si un empleado pierde un dispositivo móvil que no está bien protegido, dejará expuesta la información sensible de la empresa que tenga en él. Es más: hay compañías que ni siquiera saben qué equipos se están conectando a la red corporativa porque nunca han hecho un inventario de los dispositivos que sus empleados llevan a la oficina, ni saben si están debidamente protegidos o si el software que usan es legal.

Por eso, su compañía debe definir las políticas de uso de equipos móviles que son propiedad de los empleados. Por ejemplo, debe quedar claro quién tiene acceso a la información, qué información es demasiado sensible como para restringirse el acceso desde esos equipos y qué medidas de seguridad se deben implementar en esos dispositivos (la firma debe asegurarse de que el software de sus empleados está actualizado, que tienen antivirus, les debe exigir el uso de contraseñas, debe determinar si se puede sacar información de la empresa en memorias USB, etc.). También hay compañías que adquieren un software de administración de equipos móviles, que les permite manejar esos equipos de forma remota.

Una vez definidas esas políticas, infórmelas a los empleados y edúquelos sobre la importancia de cumplirlas. Además, les debe enseñar cómo protegerse cuando están fuera de la oficina, y cómo protegerse mientras están en su hogar, ya que muchos de los dispositivos que las personas emplean en los hogares –como portátiles, tablets y smartphones– son los mismos que luego se conectan a la red corporativa.

8. No proteger bien los datos

La información es lo más importante para una compañía moderna. Pero muchas carecen de medidas de protección que garanticen que las bases de datos de sus clientes están a salvo, que solo las personas indicadas tienen acceso a los datos, que la información se guarda encriptada en los equipos, que los empleados no se llevan a sus casas datos corporativos en equipos o unidades de almacenamiento inseguras, etc. Es más, muchas empresas ni siquiera tienen claro cuáles son sus datos más valiosos, en qué equipos están almacenados o qué empleados tienen acceso a ellos.

“En Colombia falta que las empresas tengan en cuenta que las políticas de protección de datos y privacidad no son solo algo que se escribe en un archivo de Word. Ellas deben invertir; utilizar herramientas de seguridad, de encriptación y de consultoría; pensar en ISO 27001; e implementar estándares técnicos y de cultura corporativa”, dice el abogado Germán Realpe.

Algunas soluciones en la nube son una buena opción para proteger los datos, ya que brindan a los empleados acceso a los datos que necesitan para su trabajo, al tiempo que la información se mantiene resguardada en data centers o servidores que incorporan avanzadas tecnologías de protección.

9. No manejar bien los backups

No sacar regularmente copias de seguridad de la información que la compañía necesita para operar siempre ha sido una flagrante estupidez. En cualquier momento se puede producir un incidente que deje a una empresa sin su información más valiosa, como un incendio o una inundación. Pero hoy en día, por cuenta del ransomware, es claro que los backups son una de las medidas de seguridad más importantes (el ransomware es un tipo de ataque en el cual la información de la compañía es encriptada a través de un malware; luego los delincuentes exigen un pago a cambio de permitir el acceso a los datos). Muchas empresas que han pagado a los delincuentes un ‘rescate’ por su información se han llevado la sorpresa de no recibir las llaves de cifrado, y han perdido sus datos para siempre.

Por eso, la recomendación es sacar copias de seguridad regularmente, y además mantenerlas fuera de línea (por ejemplo, en discos externos que no estén conectados a Internet), pues el mismo malware que afecta sus equipos puede acceder también a sus copias de seguridad. También debería tener más de una copia de seguridad, y una de ellas en un lugar diferente a donde están los equipos de su compañía (por ejemplo, en un servidor remoto). Diversas herramientas de software le pueden ayudar a automatizar la creación de copias de seguridad.

10. No tener listo un plan de respuesta

Que la información de una empresa no esté disponible, así sea durante períodos cortos de tiempo, puede inhabilitar las operaciones y producir grandes pérdidas de dinero y problemas con los clientes, como han descubierto las compañías que han sido víctimas de ransomware. Por eso, su compañía debe tener listo un plan de respuesta antes de que se produzca un incidente de seguridad informática.

Ese plan de respuesta debe determinar cuáles son los principales riesgos de seguridad informática que podría enfrentar, cuáles son los pasos para mitigar los daños, qué personal debería ser notificado, quién es el líder del equipo de respuesta, cuáles son las estrategias para recuperar las actividades de su empresa lo más rápido posible y cuáles son las acciones prioritarias, entre otros.

Imágenes: iStock

Hemos hablado mucho sobre BYOD (Bring Your Own Device, por sus siglas en inglés), pero hemos discutido poco los obstáculos que tienen las empresas cuando hacen una migración hacía esta política. Gartner se puso la tarea de responder esa pregunta y encontró que las organizaciones tienen tres retos a la hora de migrar de un modelo tradicional a uno basado en BYOD.

“El cambio de tener dispositivos propiedad de la empresa a un modelo en el cual los empleados tengan sus propias máquinas tiene un gran impacto en la forma de pensar y actuar sobre la seguridad móvil“, explicó Dionisio Zumerle, analista principal de Gartner. “Las políticas y herramientas implementadas tienen que ser revisadas teniendo en cuenta que el usuario final tiene el control del dispositivo”, agregó.

Los tres puntos para tener en cuenta al implementar una migración son los siguientes:

• El uso personal de los dispositivos móviles entra en conflicto con las políticas de seguridad de la empresa, lo que aumenta el riesgo de robo de datos y huecos de seguridad. “Fuera del control de la organización, los usuarios pueden fijar sus propias políticas de uso, por ende, pueden visitar páginas peligrosas e instalar aplicaciones sospechosas”, dice Gartner en su boletín de prensa. La firma de investigación recomendó que se tenga una lista blanca de aplicaciones aprobadas y que se instale una especie de ‘firewall’ en el celular del usuario para restringir el ingreso a sitios peligrosos.
• Aunque BYOD debería incluir cualquier tipo de dispositivo, el departamento de TI debería fijar un ‘límite inferior de seguridad’. Esto quiere decir que dispositivos que no superen ese límite, simplemente no serán soportados por la organización. Hay demasiados aparatos y sistemas operativos para soportarlos adecuadamente. Por eso hay que fijar un límite y tratar de llevar a los usuarios hacía sistemas y dispositivos más comunes, facilitando la administración y el aseguramiento de ellos.
• Al tener datos empresariales en dispositivos personales, se crea un área gris a la hora de deshabitar remotamente el celular o la tableta. El ‘remote wipe’ es una función clave para proteger la seguridad informática de las empresas. Cuando el dispositivo es propiedad del usuario, se pueden presentar situaciones delicadas a la hora de borrar toda la información del equipo. Sobre todo en momentos de crisis, cuando el tiempo es una prioridad, tiene que haber una política clara entre el departamento de TI y el usuario.

¿Qué situaciones u obstáculos han encontrado ustedes implementando BYOD? La zona de comentarios es como un teléfono público, listo para recibir sus cuentos.

El lanzamiento de Google Drive no solo trajo 5 GB gratis para sus usuarios, sino también algunas polémicas en referencia al alcance que la compañía tiene sobre los archivos. La preocupación por la seguridad y las políticas tanto de las empresas como de los gobiernos es un tema para mirar con cuidado.

En medio del Google Press Submit, que se hace en Santiago de Chile, hablamos con Pedro Less, encargado de políticas públicas y asuntos de leyes gubernamentales para América Latina de Google, sobre lo que sucede en la región cuando se presentan leyes como la del TLC y surgen dudas en los usuarios.

“No se puede ver la legislación de Internet como un hecho aislado: cuando regulas derechos de autor, regulas otras cosas. Esa la ley hace que se puedan hacer negocios”, comienza diciendo Less. Y es que América Latina hasta ahora comienza a avanzar en términos de leyes, pues en Estados Unidos comenzaron a pensar en esto en 1996 y en Europa en 2000.

La pregunta para todos los legisladores es cómo decidir qué es contenido infractor, que viola los derechos y si esto amerita un bloqueo de sitios web. La opinión de Less es una muestra de algunas posiciones de usuarios: “La sanción a los intermediarios termina siendo una censura indirecta porque ellos tomarán decisiones sobre lo que no deberían decir. Las soluciones deben ser proporcionales: el bloqueo de un sitio web es un como bloquear un medio de comunicación”.

Pero con todo esto deja claro que es necesario que exista una legislación de derechos de autor en cada país de América Latina y también la ayuda de los diferentes actores en Internet, en especial para explicarle a la gente qué es lo que sucede.

Un ejemplo fue lo que pasó con Google Drive a lo que Less admite: “Pasamos tiempo con los periodistas pero sabemos que nos hace falta pasar tiempo con el usuario. Existe una campaña Good to Know, que de manera simple se explica a todos para protegerse y que implica usar tal o cual servicio, pero sabemos que esta es una crítica es generalizada que debemos mejorar”.

Pero también es importante que los usuarios hagan su parte. En Estados Unidos existen organizaciones que ayudan a informar y a dar a conocer políticas de seguridad: “Nos falta ser mucho más proactivos, aunque se entiende que no es fácil porque hace falta dinero. Pero el papel de las asociaciones es importante ya que dan una visión independiente”.

Todos deben estar atentos: en momentos en los que los derechos cambian tan rápido, Google apoya iniciativas como Creative Commons que permite que el autor publique contenido de la manera que él lo decida. “Es que la tecnología condiciona los hábitos”, dice Less para finalizar, y es por eso que las leyes deben ir acorde a los usuarios.

Los temas de políticas de privacidad de cualquier servicio en internet siempre darán de qué hablar. Con la llegada de Google Drive hay una fuerte polémica respecto a los derechos que tiene el gigante de las búsquedas sobre los archivos alojados en el nuevo servicio en la nube, en especial por el uso de todos los datos personales de los usuarios.

Lo primero que hay que recordar es que Google cambió a principios de marzo sus políticas de privacidad, haciendo una unificación para todos sus servicios. Eso quiere decir que esas mismas políticas aplican para sus productos, incluyendo el nuevo Drive.

Varios medios tecnológicos se han manifestado al respecto, no solo pensando en Drive, sino en todos los servicios de almacenamiento en la nube como Dropbox, iCloud y SkyDrive, entre otros. Los términos de servicio pocas veces son leídos por los usuarios, por lo que siempre hay confusión.

Viendo los términos generales de Google se puede leer lo siguiente:

Algunos de nuestros servicios le permiten enviar contenido. Usted retiene la propiedad de los derechos de propiedad intelectual que tiene en ese contenido. En resumen, lo que le pertenece a usted es suyo.
Cuando se carga o envía su contenido a nuestros servicios, estará concediendo a Google (y los que trabajamos con él) una licencia mundial para utilizar, alojar, almacenar, reproducir, modificar, crear trabajos derivados (tales como los derivados de las traducciones, adaptaciones o cambios en el que hacer para que su contenido funciona mejor con nuestros servicios), comunicar, publicar, ejecutar públicamente, mostrar públicamente y distribuir dicho contenido. Los derechos que otorgan en esta licencia son para el propósito limitado de funcionamiento, promoción y mejora de nuestros servicios, y para desarrollar otros nuevos.

Según el análisis hecho por The Verge, no hay que perder de vista que los términos de uso tienen que funcionar para todo, por lo que el lenguaje es genérico. Los derechos que Google tiene sobre sus archivos son todos los que un usuario puede darle.

Esto tiene que ver con que la empresa necesita de toda esta información para que sus servicios sean efectivos. Si no tuvieran los derechos, mostrar desde una foto en miniatura hasta un video sería ilegal. Lo que sí queda claro es que Google no puede usar los archivos de los usuarios más allá de lo que necesita para el funcionamiento de sus productos.

Esto también lleva a que Google, contrario a lo que algunos pueden pensar con la entrada de Drive, no andará mirando qué hay en cada carpeta para obtener información para su servicio -como el de publicidad, por ejemplo-, pues sería ir en contra de uno de los comportamientos prohibidos en la misma política:

Nosotros utilizamos la información que obtenemos de todos nuestros servicios para suministrarlos, mantenerlos, protegerlos y mejorarlos, para desarrollar otros nuevos, y para proteger a Google y sus usuarios. También utilizamos esta información para ofrecerles contenidos a la medida – como dar más resultados de búsqueda y anuncios más relevantes.
Le pediremos su consentimiento antes de utilizar la información para una finalidad distinta de las que se establecen en esta Política de Privacidad.

¿Es suficiente esto para calmar las dudas de los nuevos usuarios de Google Drive? Presentamos nuestra conversación con Alberto Arébalos, gerente de comunicación de Google para América Latina, en la que hablaba sobre los cambios de la política en su momento, Según nos dijo,  “transparencia, elección y control es lo que ofrecemos a nuestros usuarios“.

Manejar la seguridad informática de una organización, se trate de una empresa unipersonal o de una gran multinacional, puede ser tan difícil como tratar de montar un equipo de fútbol campeón: usted puede gastar millones en futbolistas de talla mundial, apoyarlos con los mejores médicos y preparadores físicos, brindarles los mejores uniformes y permitir que entrenen en canchas que parecen una alfombra, y aun así, no está exento de que cada una de las estrellas quiera sobresalir y decida ‘lucirse’ a sí misma en perjuicio del equipo, o que su técnico no las pueda aprovechar y tarde o temprano quede eliminado.

En la empresa –y también en el hogar y en los equipos de uso personal–, usted puede comprar e instalar el arsenal más poderoso de herramientas de seguridad que su bolsillo le permita. Así, puede detectar intrusos, controlar qué información entra y sale de la red, o conectar la red local vía Internet por medio de una red privada virtual (VPN). Y, como el directivo del equipo deportivo, también podría ver cómo sus ‘galácticos’ reciben una paliza, por ejemplo de piratas informáticos, de niñitos aprendices de hacker y hasta de ex empleados resentidos, trabajadores inconformes o vecinos incómodos.

En el campo de la seguridad informática hay algo que hace la diferencia entre un fracasado grupo de estrellas y un verdadero equipo campeón: las políticas de seguridad. “Una política de seguridad es una declaración de intenciones respecto a la seguridad de los recursos informáticas, que sienta las bases para determinar las obligaciones y responsabilidades de los usuarios respecto al uso de las tecnologías”, explica Sebastián Bortnik, analista de seguridad de ESET para Latinoamérica.

Se trata de las reglas y procedimientos que regulan la forma como una organización previene y enfrenta los riesgos informáticos (sobre los equipos de cómputo y sus periféricos, el software y el activo más importante, la información).

Las organizaciones que manejan información crítica, como las fuerzas militares, los bancos, las empresas de telecomunicaciones y algunas entidades gubernamentales, ya son desde hace años conscientes de la importancia de estas políticas, pero gran parte de las pymes cree que lo más importante son las herramientas, y que lo demás es secundario.

Según el II Barómetro Internacional de Seguridad en Pymes (PDF), de la firma española Panda Security, 35% de las pequeñas y medianas empresas carece de políticas de seguridad, una cifra que sin duda es mucho mayor en microempresas y en el plano personal y familiar.

Andrés Valcárcel, gerente de Frontech, representante de ESET en Colombia, señala que “las empresas no sólo deben adquirir las mejores herramientas y soluciones de seguridad, sino que deben implementar políticas de seguridad integrales, que incrementen los niveles de protección y permitan una mayor efectividad de estas herramientas”.

Valcárcel agrega que en las pymes y en microempresas todavía falta conciencia de la importancia de la seguridad, y que cualquier esfuerzo de comercialización debe iniciar con educación y, en lo posible, con brindarle algunas pautas de políticas de seguridad a los clientes potenciales.

La falta de políticas, combinada con la implementación de algunas herramientas, hace que las empresas vivan una sensación de falsa seguridad, estimulada a su vez por proveedores que se limitan a vender productos y no a ofrecer verdadera protección. “Se estima que en las empresas medianas y pequeñas, cerca del 70 por ciento de las instalaciones de seguridad (antivirus y firewalls, por ejemplo) no tienen actualizaciones, lo que significa que los niveles de protección son muy bajos, pero las empresas creen que están protegidas. Por ello, es muy importante que los usuarios tengan como una de sus principales políticas actualizar permanentemente estas soluciones, así como los sistemas operativos y el resto del software”, agrega Andrés Valcárcel.

¿Qué son y cómo desarrollarlas?

Estas políticas no deberían ser opcionales. No tener una estrategia de seguridad ya no es una opción. Estos son los pasos básicos para que cualquier organización –e incluso una persona natural– desarrolle sus propias políticas de seguridad:

• Identifique los activos. Si no sabe qué tiene, ¿cómo puede protegerlo? Valore cada activo (incluso los intangibles) y establezca los niveles de protección para cada uno.
• Identifique las amenazas. ¿Cuáles pueden ser las causas de los problemas de seguridad? Pueden ser amenazas externas (virus, spam, gusanos, incursión de intrusos y ataques de piratas informáticos, espionaje industrial) e internas (‘venganzas’ de ex empleados o familiares, uso indebido de Internet y los sistemas informáticos, entre otras).
• Mida los riesgos. ¿Qué tan probable es que sucedan ciertos hechos puntuales, y cuánto daño pueden causar? Al calcular los daños en cifras, no solo se debe tener en cuenta el valor de los equipos o las aplicaciones, sino el de la información y otros intangibles, que en el caso de una empresa pueden ser mucho mayores.
• Arme un equipo de trabajo. A los líderes del área de sistemas y los expertos en seguridad informática –o al personal de su proveedor– súmeles un asesor jurídico, alguien del área de comunicación y de recursos humanos, y busque un representante por cada área de la organización que se encargue de ayudar a identificar las amenazas.
• Ahora sí, establezca las políticas. Con base en la información recolectada, se pueden redactar los procedimientos y normas. El resultado debe ser un documento conciso, fácil de entender por parte de los empleados, y que no se vaya al extremo de bloquear la productividad en aras de la seguridad. De acuerdo con los niveles de riesgos, las políticas deberán ser proactivas o reactivas. Para definirlas, existen guías y ejemplos que los proveedores de soluciones podrán darle, o en la Web existen pautas y presentaciones en línea útiles para hacerlo.
• Impleméntelas. Establezca los responsables de la difusión y el cumplimiento de las nuevas pautas, y señale los procedimientos para controlar que esto se cumpla. Ajuste las soluciones de seguridad informática a las nuevas políticas.
• Manténgalas al día. Las amenazas de seguridad son cambiantes, y cambiante es la infraestructura tecnológica de las empresas, por lo que las políticas de seguridad, por muy bien hechas que estén, no deben ser estáticas. Las políticas deben ser sólidas, estrictas, pero a la vez flexibles, para que se adapten a las nuevas tecnologías.
• La seguridad no es enemiga de la productividad. Hasta hace algún tiempo, las políticas y herramientas de seguridad peleaban con la productividad de las empresas, pues, por ejemplo, para evitar ataques de intrusos se bloqueaban puertos en la red que se necesitaban para enviar cierta información, y acceder a los servicios era un dolor de cabeza. Antes, los dos conceptos eran antagónicos, pero hoy se debe pensar en implementar seguridad con inteligencia y con plataformas integradas, para que esta, en lugar de frenar la productividad, la soporte”.

Algunas políticas recomendadas.

Un buen punto de partida, en especial para usuarios personales y familias, es aplicar los 10 mandamientos para elevar los niveles de seguridad.

Los siguientes lineamientos están concebidos para empresas y organizaciones de todos los tamaños, pero pueden ser adaptados a una familia, un colegio o una persona:

• Toda empresa debe tener un responsable de la seguridad de la información.
• Toda la información de la compañía debe ser confidencial.
• Todos los recursos son para uso exclusivo en el trabajo asignado, no para asuntos personales.
• Todo el software instalado debe estar debidamente licenciado.
• Todo documento que no se requiera debe ser debidamente archivado o destruido.
• El acceso a la información, en archivos físicos o electrónicos, debe restringirse exclusivamente a los trabajadores que la necesitan.
• Se deben definir los procesos para recuperación de desastres.
• Se debe establecer un esquema de clasificación e identificación de la información para controlar su integridad, confidencialidad y disponibilidad.