Seguridad Informatica

Sabemos por experiencia que ningún sistema de seguridad informática es 100% eficiente. Lo primero es contar con sistemas de copias o backup de todos nuestros datos. Es casi imprescindible para cualquier organización contar con un sistema de copias de acceso rápido y con respaldo permanente. Recuperar rápidamente datos que pudieran haberse perdido, corrompido o sido víctimas de algún tipo de cripto ataque debe ser prioritario. No debemos olvidarnos que este sistema también puede fallar, ser objeto de ataque o de problemas de hardware por lo que también es necesario contar con un sistema de backup externo. Estos sistemas suelen ser de recuperación más lenta, pero que mantienen los datos a salvo en caso de situaciones críticas como encriptación permanente de los datos por parte de un virus, incendio, robo, etc…

Para las empresas que creen en la continuidad de su negocio, la seguridad informática es un activo más a tener en cuenta. Queremos que la empresa funcione correctamente y que siga haciéndolo. No podemos llegar a un escenario en que nuestra empresa quede paralizada por la pérdida de sus datos. Estamos por lo tanto ante empresas que valoran continuamente la seguridad de su sistema. Son las empresas que invierten en seguridad.

Para otras empresas la seguridad informática no es más que un «incordio» imprescindible para que no ocurra un desastre. Por tanto estas empresas no evalúan el riesgo de la pérdida de sus datos y por tanto su inversión en seguridad informática tiende a ser la que consideran mínima y no la necesaria. Suelen ignorar aspectos como la formación de sus usuarios, la protección de datos, las copias de seguridad, etc., haciéndolas especialmente vulnerables. Son las empresas que gastan en seguridad.

Cada dispositivo y cada usuario que se conectan a nuestro sistema forma parte de nuestra seguridad informática. Tanto si es un PC, como si es una cámara de vigilancia o un medidor industrial, si se conecta a nuestra red es un posible punto de entrada y por tanto una posible vulnerabilidad. El principal punto crítico de seguridad serán los equipos de los usuarios. Es buena idea comenzar protegiendo ordenadores, portátiles, tablets y móviles, dado que son los elementos que se manipularán más habitualmente. Esto indica que también serán los que más expuestos estén a algún tipo de amenaza. El primer elemento de seguridad informática en estos dispositivos será habitualmente una solución antivirus y antimalware. Con ella seremos capaces de detectar y neutralizar una buena parte de las amenazas.

Otro punto crítico que conviene «cerrar» a intrusos no deseables es nuestro acceso a internet. Pese a que hay muchas formas más o menos complejas de realizar esta tarea, lo fundamental es tener un Firewall correctamente configurado y actualizado. Así podremos permitir o denegar los accesos externos a nuestro sistema informático. En algunos casos esta configuración es realmente sencilla. La empresa no requiere accesos externos y simplemente utilizaremos nuestro firewall para parar las posibles amenazas. En otros casos puede ser muy complejo. La empresa requiere redes privadas (VPNs), accesos a diferentes servidores y/o servicios, estructuras complejas de soporte remoto etc. En este caso el Firewall debe discriminar que accesos permitir y cuales no.

Si hemos llegado aquí, posiblemente hayamos cubierto los aspectos más básicos de seguridad en una PYME. Es el momento de evaluar si nuestras soluciones son las adecuadas y afrontar las siguientes cuestiones.

• Estudiar que posibles brechas de seguridad que presenta nuestro sistema.
• Conocer el estado de nuestro sistema de servidores y su configuración.
• Saber si la seguridad de nuestras máquinas y sistemas operativos está actualizada.
• Evaluar la seguridad informática tanto interna como perimetral (externa).
• Abordar posibles test de intrusión.
• Posiblemente de realizar una auditoria de seguridad informática o de seguridad de la información. Esta nos permitirá conocer cuáles son los pasos que debe dar nuestra empresa para avanzar en materia de seguridad informática.