En la actualidad la información es el activo más importantes para las empresas y profesionales, ya que por medio de una vulneración pueden incurrir en sanciones por parte de la AEPD o, incluso, una pérdida de la ventaja que pudieran tener frente a sus competidores.
Las llamadas TIC’s (Tecnologías de la Información y de la Comunicación) se han hecho imprescindibles para cualquier tipo de actividad económica y se estructuran como una mejora de la productividad; estas tecnologías a pesar de haber demostrado su fiabilidad no son del todo seguras –debido principalmente a la actividad humana- por tanto hay implantar una serie de medidas de seguridad que busquen el equilibrio entre el coste de las mismas, las probabilidades de ocurrencia de los riesgos y los daños que se pueden causar a la compañía por la falta de las mismas.
Las Buenas Prácticas se traducen en las medidas recomendables a adoptar -según el ámbito de actuación de la empresa- para evitar los riesgos y las fugas de información:
- Seguridad física:
o Hacer copias de seguridad: es una de las primeras medidas que hay que realizar y tener en cuenta ya que en muchos casos la pérdida de información puede causar graves perjuicios a la organización tanto a corto como a largo plazo, así por ejemplo no sólo la perdida de los trabajos realizados durante esa jornada sino a lo largo de un periodo de tiempo que puede influir según los casos en la contabilidad de cara a la obligaciones tributarias o a la presentación de las cuentas anuales en el Registro Mercantil.
Es recomendable que las copias se hagan diariamente, por medio de un soporte extraíble (disco duro externo, cd, dvd…), y almacenar tales copias un par de días para en caso de pérdida de información perder como mínimo la producción de un día.
Además es recomendable hacer una copia semanal y guardarla en un lugar distinto a la oficina principal para evitar que en caso de robo o incendio perder toda la información.
o Sistemas de alimentación ininterrumpida de corriente: para evitar la interrupción del trabajo en curso por una caída de la red eléctrica que permita una autonomía de unos 10 ó 15 minutos para almacenar el trabajo que se está realizando, además este sistema hará que los equipos no sufran por los picos de intensidad de la red.
- Autenticación:
o Es la medida que hay que adoptar para que todos los usuarios que acceden a la información y al sistema sean conocidos y evitar las injerencias de terceros
o Asignación de ID’s de usuario y contraseñas al personal: así se identifica a las personas que acceden al sistema y las modificaciones que puedan llegar a introducir en el mismo, hasta identificación se puede realizar tanto en el acceso al ordenador como en el acceso a las aplicaciones.
Además hay que conseguir por medio de campañas de concienciación que los empleados mantengan tales datos en secreto y desincentivar ciertas conductas como la anotación en “post-it” y se dejen pegados al equipo, en la mesa…
Es recomendable que las contraseñas tengan ciertas características como que no sean nombres propios ni palabras comunes, una longitud mínima de 8 caracteres, alfanuméricas…
La última recomendación es establecer un periodo de vigencia de las mismas y cambiarlas de forma periódica; además en el caso de contraseñas de aplicaciones y ordenador que haya que cambiar periódicamente es recomendable que el cambio de todas sea al mismo tiempo o que se establezca un sistema de acceso único ya que cuando el usuario tenga que manejar varias contraseñas y usuarios los acabará anotando en algún lugar de su puesto de trabajo para no olvidarlas.
Otra de las cosas a tener en cuenta con las ID’s de usuarios y las contraseñas es dar de baja o deshabilitar a los antiguos empleados para que no puedan acceder al sistema.
o Firma electrónica: la firma electrónica reconocida tanto por una clave pública como por una clave privada (asimétrica), además de estar emitida por un certificador reconocido, es de mucha utilidad a la hora de operar con las administraciones públicas para así poder ahorrar tiempo a la hora de realizar ciertos trámites por vía telemática (salvo la TGSS que emite su propio certificado –Silcom- para el acceso al sistema red), así tales certificados tienen en la actualidad la misma validez que la firma manuscrita.
Además de la firma electrónica existen certificados de servidor para conectarse a determinados sitios web para que tales comunicaciones no puedan ser leídas por terceros (por ejemplo, protocolos seguros como el https o sftp).
- Virus: es recomendable instalar en todos los pc’s tanto antivirus actualizados como anti-spyware (programas espía). Además de esto hay que instalar las actualizaciones de seguridad que publica el fabricante del sistema operativo para que este tipo de programas no se aprovechen de las mismas.
o Tales programas también pueden proceder de correos electrónicos en tales casos es recomendable no abrir ningún correo de de remitentes desconocidos ni instalar programas o plugins que no se conoce su procedencia.
- Firewall (cortafuegos): estos programas analizan la información que entra y sale del ordenador o de la propia red de la empresa, los cuales evitan los ataques desde el exterior, detectan programas espía, así también que se mande de forma desconocida información a internet.
o Spam (correo electrónico no deseado): así si se recibe un mail de un remitente desconocido es recomendable no abrirlo, ni contestarlo ya que así se dirá al emisor que la dirección es la correcto y pueda utilizarla para atacar a la organización. Los programas de correo electrónico tienen medidas para evitar el correo no deseado tanto para evitar los ataques como para evitar la llegada masiva de correo electrónico.
- Protección de Datos: cuando la empresa maneja datos personales ya sea de clientes, proveedores o empleados es necesario registrar dichos ficheros ante la Agencia Española de Protección de Datos.
o Es importante tener cuidado con las cesiones a terceros (particular o empresa) de datos personales ya que habrá que informar al propietario de los mismos sobre tal cesión y habrá que firmar un contrato con las instrucciones y las características de la cesión.
o Por obligación legal todas las empresas que empleen datos de carácter personal tendrán que elaborar un Documento de Seguridad, estableciendo los niveles de seguridad de los datos según el que corresponda a sus ficheros.
Objetivos:
Para que tales medidas sean de aplicación hay que plantearse una serie de objetivos o medidas a implantar durante un periodo de tiempo, hay que estudiar las medidas a implantar y priorizarlas.
Como paso previo hay que tener en cuenta dos factores fundamentales:
- Hay que definir el tipo de medidas que se van a utilizar para aumentar la seguridad de la Compañía, esta tarea es de las esferas más altas de la organización, se marcará una estrategia estableciendo las medidas a adoptar, las funciones y responsabilidades… estos documentos se suelen emplear en el Plan de Seguridad, para empresas de tamaño pequeño y mediano se puede aprovechar la redacción del Documento de Seguridad para implementarlo con el resto de medidas de seguridad.
- Además como medida fundamental es la concienciación a los empleados para ir eliminando los errores más comunes y que se deben al factor humano, además tales tareas formativas no solo son recomendables a la entrada en la organización para informar a los nuevos empleados de las medidas de seguridad de la empresa sino que es conveniente realizar cursos de refresco que sirven para recordar los conceptos básicos y enseñar las nuevas modificaciones que se realicen con el paso del tiempo.
No hay comentarios:
Publicar un comentario