Recomendaciones de Seguridad de la Información para Pequeñas Empresas

Hemos recopilado algunas recomendaciones de Seguridad de la información que toda pequeña empresa debería de valorar, con el fin de determinar si aplican o no para su negocio. Estas recomendaciones aplican para empresas que tienen activos de información digital (archivos de documentos, equipo de cómputo, sistemas instalados, redes de cómputo, correo electrónico, archivos en la nube, sitios Web, etc.

Este tema es sumamente amplio, por lo que las recomendaciones que incluimos no pretenden ser exhaustivas, muy detalladas ni muy técnicas. La idea de este artículo, es ayudarte para que tengas una idea general, y puedas revisar las recomendaciones para verificar que estés cumpliendo con ellas, o bien, darte una idea de alguna acción que podrías tomar en tu empresa para implementarlas y hacer más seguro y confiable tu entorno de trabajo y el de tus compañeros de trabajo y colaboradores.

Primero, ¿qué es la Seguridad de la información?

De acuerdo con Wikipedia, la Seguridad de la información es el conjunto de medidas preventivas y reactivas de las organizaciones y sistemas tecnológicos, que permiten resguardar y proteger la información, buscando mantener la confidencialidad, la disponibilidad e integridad de datos.

A continuación te presentamos las diferentes recomendaciones clasificadas según el aspecto de seguridad al que pertenecen, y de ofrecemos Checklists que te ayudarán, de una forma fácil y sencilla, a verificar que estés cumpliendo con buenas prácticas de seguridad (estos Checklists son propiedad del INCIBE, Instituto Nacional de Ciberseguridad del gobierno Español).

Clasificación de la información

La información es uno de los activos principales de cualquier empresa, y como tal tenemos que protegerla adecuadamente.

Antes de clasificar los activos de información, es importante hacer primero un inventario o listado de los diferentes activos de información de la empresa, enfocándose primero en los más importantes. Dentro de los posibles activos podemos citar:

Lugares donde se guarda la información: servidores, computadoras, discos, dispositivos USB, servicios en la nube, sitio Web, etc.
Documentos digitales importantes: contratos, expedientes, archivos financieros, archivos de clientes, etc.
Servicios en Internet: servicio de hospedaje del sitio Web, servicio de correo electrónico, servicios de respaldo, servicios de almacenamiento, etc.

Una vez que hemos hecho el inventario de nuestros activos de información, es necesario clasificar los archivos, para garantizar una eficaz gestión de su seguridad con criterios de confidencialidad, disponibilidad e integridad. Algunas formas de clasificar los activos son:

Clasificación por el nivel de accesibilidad o confidencialidad

Confidencial. Accesible sólo por la dirección o personal concreto.
Interna. Accesible solo al personal de la empresa
Pública. Accesible públicamente

Clasificación por su utilidad o funcionalidad:

Información de clientes y proveedores
Información de compras y ventas
Información de personal y gestión interna
Información sobre pedidos y procesos de almacén

Clasificación por el impacto por robo, borrado o pérdida:

Daño de imagen
Consecuencias legales
Consecuencias económicas
Paralización de la actividad

Aquí podrás encontrar un "Checklist sobre la Clasificación de la información".

Respaldo de la información

Los medios de almacenamiento contienen uno de nuestros activos más preciados: la información. Estos dispositivos pueden verse involucrados en situaciones como robos, incendios, inundaciones, fallos eléctricos, rotura o fallo del dispositivo, virus, borrados accidentales, etc. En estos casos nos sería imposible acceder a nuestra información, llegando a ponerse en peligro la continuidad de nuestro negocio.

Algunas recomendaciones son:

Incluir dentro del inventario de activos de información los activos más importantes y que requieran de respaldos.
Para cada activo, identificar: responsables, tipo de respaldo, dónde se respalda, cada cuánto se respalda, vigencia de los respaldos.
Hacer frecuentemente pruebas de recuperación para garantizar de que los medios de respaldo son confiables.
Garantizar que sólo el personal autorizado tenga acceso a los respaldos que le corresponden.
En lo posible, mantener cifradas las copias de seguridad que sea confidencial y que se sube o respalda en la nube.

Aquí puedes encontrar un "Checklist sobre Respaldo de la información"

Integridad de la información

La integridad de la información se refiere a buscar mantener los datos, o activos de información, libres de modificaciones no autorizadas, y que los mismos se encuentren completos, íntegros y disponibles para que los miembros de la empresa puedan hacer uso de ellos sin problema.

Los principales enemigos de la integridad de nuestra información son los virus y malware que la contamina y la corrompe. Hay también ataques a los que puede ser victima nuestra información y que nos impiden luego acceder a ella, tal como el caso del "Ransomware".

Algunas de las recomendaciones para proteger los activos de información de la empresa son:

Usar sistemas de antivirus y antimalware en todos los equipos de nuestra empresa, y que protegan tanto los archivos, como el correo electrónico y páginas Web.
Si contamos con sistemas de antivirus, es importante que se encuentren actualizados y de fácil acceso por el personal.
Es recomendable definir cuáles son las aplicaciones de uso permitido por el personal, y cada usuario debería de vigilar y garantizar que los equipos bajo su responsabilidad cumplen con la instalación, únicamente, de aplicaciones permitidas.
Cuando navegamos por internet y brindamos información en sitios Web, debemos verificar antes, que el sitio cuenta con un certificado digital válido para prevenir el robo de información o de contraseñas por parte de terceros.
Si nos conectarnos a una red inalámbrica, debemos comprobar que se utiliza el protocolo WPA2 como mínimo.
No es recomendable hacer uso de redes o WiFi de origen desconocido o poco confiable cuando debamos acceder a sitios que requieren nuestra contraseña o en donde se intercambia información sensible de la empresa (correo electrónico por ejemplo).

Aquí puedes encontrar un "Checklist sobre Antivirus/Antimalware", "Checklist sobre la Protección de la página Web", "Checklist sobre el uso de Correo electrónico", y "Checklist sobre el Uso de WiFi y Redes externas".

Gestión de contraseñas

La contraseña es uno de los aspectos más importantes para asegurar nuestros sistemas de información. Las contraseñas deficientes o mal custodiadas pueden favorecer el acceso y el uso no autorizado de los datos y servicios de nuestra empresa, por lo que es importante contar con políticas y buenas prácticas para la definición y uso de las mismas.

Algunos aspectos clave que puedes considerar son:

No es recomendable usar las contraseñas por defecto ni contraseñas de una sola palabra gramatical o nombres propios.
Se puede establecer un formato robusto y de uso común por el personal de la empresa para la creación de contraseñas, que considere el tamaño, caracteres que se deberían incluir, e incluso cada cuánto deberíamos de cambiarlas.
Procurar activar la autenticación de doble o múltiple factor (por ejemplo, contraseña más un token en el teléfono u otro dispositivo), en todos los servicios en los que esta funcionalidad esté disponible.
Por supuesto, nunca compartir las contraseñas o anotarlas en papel, y mucho menos en un post-it en nuestro monitor.
Cuando accedamos a un sitio Web, verificar que cuente con certificado digital.
Usar algún servicio o software especializado para almacenar contraseñas.

Aquí podrás encontrar un "Checklist para la gestión de Contraseñas".

Almacenamiento de la información

Los activos de la información se pueden almacenar en una gran variedad de lugares, tales como dispositivos extraíbles (memoria USB, CD, DVD, etc.), así como en equipos de la empresa como Servidores, Computadoras de escritorio, Computadoras portátiles, o bien, en servicios en la nube como OneDrive, Google Drive, DropBox, o bien en nuestro Sitio Web, o servicios como la intranet (SharePoint) de nuestra empresa o repositorios de código fuente como GitHub o BitBucket, etc.

Es importante que tengamos presente en todo momento, dónde se encuentran almacenados nuestros archivos más importantes, así como que sepamos en todo momento cuál es la versión más reciente de los mismos y en dónde obtener un respaldo en caso de una situación de emergencia.

Algunas recomendaciones con relación al almacenamiento de la información:

En general, tratar de evitar el uso de dispositivos extraíbles para el almacenamiento de los activos de información, ya que es muy fácil que llegue a manos de alguien que no debería de ver nuestra información, o bien se pueden corromper los archivos o quedar desactualizados muy fácilmente. Si usamos dispositivos extraíbles, al menos debemos de ponerle una contraseña para dificultar su acceso.
Si usamos almacenamiento en la nube, debemos dar preferencia al almacenamiento de los activos de información en servicios seguros y confiables, y que nos den garantía de que podamos recuperar la información y de que es administrada con confidencialidad en sus servidores.
Para el almacenamiento en equipos de la empresa, es importante que estos recursos cuenten con controles de acceso, y cuenten con mecanismos de respaldo apropiados. Si se hace uso de portátiles, resguardar adecuadamente el acceso al equipo con contraseña y de ser posible con mecanismos de encripción de la información para que en caso de pérdida del equipo, no se pueda tener acceso a información de la empresa.

Aqui podrás encontrar un "Checklist sobre el almacenamiento en Dispositivos extraíbles", "Checklist sobre el uso de dispositivos móviles corporativos", "Checklist sobre Almacenamiento en la red coporativa", "Checklist sobre Almacenamiento en los equipos de trabajo", y "Checklist sobre Almacenamiento en la nube".