Recomendaciones para mejorar la seguridad informatica

A la vista de la gran variedad de amenazas y, por tanto, de la gran variedad de posibles soluciones de seguridad para paliarlas, hay que tener presentes algunos aspectos clave para que la solución final sea adecuada en todos los ámbitos. La solución debe responder a las necesidades, a la escala de la empresa, etc. Algunos de estos aspectos clave relativos a la forma de proceder se podrían resumir en: Se deben analizar cuáles son los principales activos de información involucrados en los procesos de negocio y determinar su valor para la empresa han de identificar las potenciales amenazas que pueden afectar cada uno de los activos inventariados Se ha de estimar el impacto que tendrían para la empresa la materialización de las amenazas sobre los diferentes activos Hay que tener en cuenta que el coste de un incidente de seguridad no lo determina sólo las pérdidas económicas directas que se deriven. Por el contrario, hay que considerar costes indirectos por las consecuencias del incidente, como pueden ser las horas de pérdida de producción, sanciones por incumplimientos legales o violaciones de licencias, daños en la imagen pública de la empresa, etc. En base a todo lo anterior se elaborará un plan compuesto por una combinación de soluciones técnicas, de políticas de uso de los sistemas y la formación, y de procedimientos diversos Las medidas en el plano deberán ser fundamentalmente preventivas, pero hay que prever la contingencia y garantizar la continuidad del negocio Todo ello debe impregnar la empresa y ser asumido como un proceso más. Por lo tanto es necesario que todo el personal esté informado y formado suficientemente, así como que la dirección esté comprometida En todo caso se deben evitar implantaciones de medidas de seguridad que no respondan a una buena análisis previo, circunstancia que puede dar una falsa sensación de seguridad

Recomendaciones prácticas

Al margen de los aspectos generales, podemos mencionar algunos aspectos concretos que pueden servir como ejemplo de algunas medidas de seguridad básicas: Las contraseñas deben ser seguras, es decir, deben tener cierto grado de complejidad y hay que cambiarlas periódicamente. Un estándar común para asegurar contraseñas es que tengan un mínimo de 8 caracteres y que se componga por una mezcla de letras, números y símbolos. Las contraseñas no deben entregarse a nadie, ni escribirlas en lugares visibles en el entorno de trabajo. Es más común de lo que parece ver contraseñas apuntadas en papel pegado a un ordenador de la oficina. Los ordenadores personales debe tener configurada una contraseña y deben tener marcada la opción para que la contraseña de acceso se habilite automáticamente pasados ​​unos minutos si no se está usando la computadora. Esto prevendrá que alguien huela en un ordenador desatendido.

La información confidencial debe estar restringida a las personas apropiadas. Muchos de los ataques a sistemas informáticos son hechos desde dentro de la empresa, por trabajadores internos. Los ordenadores personales deberían tener instalado software antivirus, anti-malware y firewall personal, que debe actualizarse frecuentemente para estar al día de las nuevas amenazas. Hay que mantener los sistemas operativos y los programas actualizados. Por su naturaleza, todos ellos tienen errores de diseño que pueden ser aprovechados por terceros con objetivos maliciosos. Se crean programas especialmente diseñados para explotar estos fallos y, incluso, conseguir controlar todo lo que pasa en el ordenador. En la mayoría de casos las actualizaciones son gratuitas directamente del fabricante. En toda empresa conectada a Internet es una buena idea instalar unos cortafuegos. Los hay de dos tipos: basados ​​en hardware y basados ​​en software. La elección del cortafuegos más indicado depende del tamaño de la empresa y el uso que se haga de las conexiones a Internet. A pesar de ser una medida muy restrictiva, en algunos casos hay que inhabilitar disqueteras, unidades de CD / DVD y memorias USB, ya que a través de estos medios extraíbles se puede tomar control del ordenador de forma sencilla o tener fugas de información. En todos los casos los usuarios deben disponer de información y deben estar concienciados sobre la prevención hacia los incidentes de seguridad (virus, phishing, uso de los recursos, Internet, mensajería instantánea, correo electrónico, etc.). Compromiso de la gerencia para la adopción de medidas, a menudo poco populares y / o restrictivas, etc.