Riesgos en la seguridad de la información de una empresa

Cuando un empresario de una pequeña empresa piensa en la seguridad de la información de su organización, lo primero que le viene a la cabeza es que ha de comprar antivirus para evitar que se infecten de virus sus equipos y, por tanto, pueda peligrar la información de su empresa.

No es suficiente solo con proveer a los equipos de la organización con antivirus, hay otros muchos peligros que pueden afectar a la empresa y que este no es capaz de evitar.

Para poder garantizar la seguridad de la información de una empresa hace falta que se cumplan los principios de Confidencialidad, Integridad y Disponibilidad de la información que almacena y gestiona.

Confidencialidad: impide que la información sea divulgada a personas, entidades o sistemas no autorizados, de manera que solo puede acceder a ella aquellas personas que cuenten con la debida autorización y de forma controlada.

Integridad: es la propiedad que busca proteger la exactitud de la información, evitar modificaciones no autorizadas.

Disponibilidad: garantiza que la información sea accesible y usable bajo demanda de un usuario autorizado, que esté disponible en todo momento, evitando interrupciones del servicio por cortes de electricidad, fallos de hardware, internet, etc.

RIESGOS DE LA SEGURIDAD DE LA INFORMACIÓN

Para que el sistema de información de una organización sea fiable hay que conocer las vulnerabilidades y amenazas que se ciñen sobre la información:

Permiso de usuarios en el equipo: si los trabajadores tienen permisos de administrador en los equipos de la empresa se corre el riesgo que puedan instalar aplicaciones ajenas a las actividades de la empresa.

Se recomienda supervisar trimestralmente los equipos y verificar que no haya aplicaciones innecesarias como: Juegos, aplicaciones de música, entre otros.

Actualizaciones de Windows: Mantener el equipo al 100% Actualizado evita que quede expuesto al ataque de nuevos virus, con el consecuente riesgo que alguno de ellos permita acceder a información confidencial, o hasta el control del equipo de la empresa.

Correos maliciosos o no deseados: Hablamos de los correos de spam, que al abrir permitimos el acceso de malware, saturación de la red de la empresa o robo de información.

No realizar copias de seguridad: Es muy sencillo realizar copias de seguridad por lo permitirá́ la recuperación de la información.

Es fundamental para evitar sufrir pérdidas de datos, y poderse recuperar rápidamente de un posible ciberataque.

Buen uso de las contraseñas: Hay que ser cuidadoso y original con las contraseñas, no dejar nunca la contraseña que ha sido asignada por defecto.

Se recomiendan contraseñas que usen letras (mayúsculas y minúsculas), números, y caracteres especiales (como “!”, “#”). Tampoco hay que guardar las contraseñas en el equipo en un fichero que se llame “Contraseñas” o “Passwords”, de aseguro que eso es lo primero que buscan los hackers.

Uso de aplicaciones de almacenamiento on-line: el uso de Dropbox o Google Drive por parte de los trabajadores, para almacenar, compartir e intercambiar archivos con información crítica de la empresa puede provocar perdidas, tanto de confidencialidad de los datos, como de integridad y disponibilidad.

COMO EVITAR RIESGOS INNECESARIOS

El empresario debe tener en mente una lista de criterios que el trabajador de su empresa tendría que seguir para minimizar los riesgos que hagan peligrar la seguridad de la información.

Presentamos algunos de ellos:

Formar a los trabajadores, empleados en la cultura de la ciberseguridad, que sean cuidadosos y precavidos a la hora de abrir un determinado correo electrónico sospechoso, o de instalar un programa de dudosa procedencia. También insistir en el buen uso de las contraseñas.

Cuidar el usuario y contraseña de las aplicaciones que maneja en la empresa.

No compartir contraseñas personales con los compañeros de la empresa así sean de la misma área.

Limitar tecnológicamente el acceso vía internet a páginas relacionadas con el negocio de la empresa.

Prohibir o limitar el uso del ordenador para fines particulares (correos personales tipo Gmail, uso de redes sociales, etc).

Realizar copias de seguridad mensual, trimestral y anual de la información de su empresa como cartera de clientes, proveedores, etc. Las copias de seguridad deben estar 100% encriptadas.

Asegurar los respaldos en tecnologías de la nube o aplicaciones de terceros. (AWS, Microsoft.)

No permita el intercambio de información crítica de la empresa a través de almacenamiento on-line, pendrives sin encriptar, etc. A personas de externas.

Compartir información mediante aplicaciones on-line con el personal siempre y cuando este autorizado por el supervisor o dueño del archivo, revisar anualmente que el personal que tiene acceso a la información siga laborando en la empresa.

Elaborado por:

Ing. Angela Bustillos

Una respuesta a «Riesgos en la seguridad de la información de una empresa»

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *