Embed Size (px)
Citation preview
Las 7 Acciones que Mejorar
án La Seguridad Inform
ática De Tu Empresa
Algunos Ingenieros son los guardianes de la seguridad informática de las empresas. Si eres el responsable de mantener a salvo la información, equipo e infraestructura de tu empresa, este articulo te interesa, pues en el conocerás 7 acciones que puedes hacer para mejorar la seguridad de una compañía.
Vulnerabilidad de las empresasTalkTalk Telecom Group es una de las empresas de telecomunicaciones más importantes de Reino Unidos, y hace unos meses sufrió un ciber-ataque que dejo al descubierto las sofisticadas técnicas de los piratas informativos y la importancia de que las empresas optimicen sus sistemas de seguridad.
Google y McAfee estiman que hay 2.000 ataques cibernéticos cada día en todo el mundo, costando a la economía mundial alrededor de 300 mil millones de Euros.
En la siguiente imagen conocerás una estadística de los países más atacados en el último año:
Sin embargo, más de dos tercios de las empresas dicen que se sienten adecuadamente protegidos contra los piratas informáticos, los cuales cada vez son más sofisticados y buscan obtener dinero mediante el chantaje a las empresas o robando datos para venderlos en el mercado negro.
Seguramente te preguntarás ¿Qué deben de hacer los encargados de la seguridad informática para proteger mejor los datos e información de las empresas? Bien, aquí te digo algunas estrategias que debes aplicar de inmediato.
¿Cómo mejorar la Seguridad Informática De Tu Empresa? 1. Proteja los datos, no sólo el perímetroNuestras ideas sobre la seguridad informática corporativa es obsoleta, muchos expertos advierten que los encargados de la seguridad informática de muchas empresas no están capacitados para resistir ciber-ataques sofisticados.
La concentración en el refuerzo de los muros del castillo es importante, pero no es lo único. El 87% de los presupuestos de seguridad se gastan en tecnología del servidor de seguridad, dice Tim Grieveson, jefe de estrategia cibernética en Hewlett-Packard.
Tener servidores dedicados que cuenten con medidas de seguridad que en verdad blinden tu información debe ser una prioridad, pero no olvides que ahora hay cientos de posibles entradas al castillo, porque las empresas están conectadas con clientes, proveedores y empleados a través de Internet. No sólo eso, sino que es como si todo el mundo que entra y sale del castillo tuviera una llave para abrir todas las puertas.
Las infracciones son inevitables, por lo que los más importante es proteger los datos que importan.
Tom Patterson, gerente general de soluciones de seguridad global de servicios de TI empresa Unisys, llama a este nuevo enfoque micro-segmentación, es decir la construcción de pequeños muros en torno a esas partes de su negocio que contienen los datos que no puede darse el lujo de perder.
Esto implica criptográficamente la firma de cada bit de información digital – el paquete de datos – con un código único a cada segmento de la empresa. Así que si los hackers se entran, solo obtienen acceso a los datos específicos de esa comunidad o segmento.
“Una pequeña brecha es más fácil de manejar – pueden robar un poco, o interrumpir un poco, pero no acabar con toda la sociedad”, dice Patterson.
2. Conocer sus datosMuchas empresas ni siquiera saben qué datos se han almacenado en sus sistemas, por si fuera poco, desconocen la relevancia de cada uno de estos datos, y aun peor, no saben lidiar con la complejidad de los sistemas informáticos existentes y la reciente proliferación de datos digitales de los dispositivos móviles y la llamada “Internet de las cosas”.
Fuente: www.altonivel.com.mx
Desconocer cuál es la importancia de la información alanceada, evita establecer prioridades y en caso de un ciber-ataque, las empresas desconocen el riesgo que implica la pérdida o difusión de diferentes tipos de datos.
Para mejorar este aspecto de la seguridad lo recomendable es realizar una auditoria informática, una vez que la haya hecho, puede utilizar la mejor práctica de protección de datos, es decir, la fijación de seguridad directamente a los datos, para ello puede usar múltiples factores de identificación y cifrado de datos, así como la gestión segura de las claves de cifrado.
3.- Crear un Plan Director de SeguridadProteger los sistemas de información es proteger el negocio, y para ello se necesita llevar a cabo una gestión planificada de actuaciones en materia de Ciberseguridad, tal y como se realiza en cualquier otro proceso productivo de la organización.
Es fundamental para la realización de un buen Plan Director de Seguridad que recojas los objetivos estratégicos de la empresa, la definición del alcance y las obligaciones y buenas prácticas de seguridad informática que deberán cumplir los trabajadores de la organización así como terceros que colaboran con ésta.
Los proyectos que componen el Plan Director de Seguridad varían en función de diversos factores relacionados con:
•El tamaño de la organización•El nivel de madurez en tecnología•El sector al que pertenece la empresa•El contexto legal que regula las actividades de la misma•La naturaleza de la información que manejamos•El alcance del proyecto•Otros aspectos organizativos
Estos factores determinarán la magnitud y complejidad del Plan Director de Seguridad resultante. No obstante, por norma general el proyecto para la elaboración y puesta en marcha de un Plan Director de Seguridad consta de las siguientes fases o etapas:
Fuente: www.incibe.es
4. Despertar a las amenazas internasEs muy fácil concentrarse en los ataques procedentes del exterior y pasar por alto los riesgos que representan – consciente o inconscientemente – las personas dentro de su organización.
Los ataques internos también pueden ser más difíciles de detectar y tratar. En ocasiones recuperarse de un ciber-ataque pude llevar incluso 70 días, en gran medida porque se debe de detectar la entrada y forma de dicho ataque.
Los empleados que hacen clic en un correo electrónico con archivos adjuntos que creen que son de fuentes de confianza es “la principal amenaza para las organizaciones”, dice Gary Steele, jefe de Proofpoint, un especialista de correo electrónico seguro.
Una empresa puede gastar millones en soluciones de seguridad, pero todo lo que se necesita es un clic de uno de los empleados para que la información de la compañía se vea comprometida.
Los Piratas cibernéticos se están volviendo muy hábil en el uso de información personal obtenida de los medios sociales y otras fuentes (ingeniería social) para convencer a los empleados que los correos electrónicos son de personas que conocen.
Educar al personal sobre esta amenaza debe ser una prioridad para todas las empresas. Las herramientas de análisis predictivo pueden tratar de detectar anomalías en el comportamiento en una red corporativa, pero este tipo de herramientas pueden ser costosas y requieren mucho tiempo para administrar.
5. Aumentar la vigilanciaLas empresas pueden lograr mucho simplemente mediante el control de sus sistemas de manera más eficaz, dice Gavin Millard, director técnico de Tenable Network Security.
Esto incluye el “parcheo” de errores fácilmente explotables, filtrado de comunicaciones entrantes y salientes, fechas de protección contra malware, el cifrado de información sensible, y una buena política de contraseñas.
Como mínimo, las empresas deben asegurarse de tener certificados y antivirus de seguridad de red seguro y que el software del servidor de seguridad este al día.
Invertir en la vigilancia para detectar cuando ocurre un ataque en la red de computadoras es probablemente más importante desde el punto de vista tecnológico, y si lo vemos desde un punto de vista no tecnológico, la capacitación del personal es el camino ideal, pero el más largo de recorrer.
6. Hazte con el control móvilSi el personal utiliza sus propios dispositivos móviles por motivos de trabajo, las empresas deberían por lo menos restringir el acceso a los datos y sistemas críticos.
Los dispositivos móviles actuales contienen demasiada información personal, mucha de esta información también suele estar reaccionada con las empresas a donde laboramos y si dicha información quedara expuesta, no solo nuestra información personal estaría en riesgo también estaríamos dando un acceso directo a los datos de la compañía.
Ejemplo: Algunos ciberdelincuentes han comenzado a diseñar aplicaciones capaces de camuflarse en juegos inofensivos que, posteriormente, descargan un componente malicioso.
Lo recomendable es que las empresas cambien a un sistema de control centralizado diseñado por los departamentos de Tecnologías de la Información, esto dará capacidad de borrar de forma remota los dispositivos si están perdidos o robados.
“Las organizaciones necesitan adoptar una filosofía de cero confianza”, dice Jason Garbis de la empresa de seguridad, Cryptzone.
7. Invertir más tiempo y dinero en la seguridad informáticaIncluso en el director ejecutivo de TalkTalk, Dido Harding, admitió que “gastar más dinero y más tiempo en la seguridad informática, es prioritario ya que es el riesgo número uno en las empresas”.
Cada día son más las empresas que tienen datos de consumidores o clientes y por ello requieren mayor seguridad. No es de extrañar que a menudo en puestos de alto nivel nombren a expertos en seguridad informática, esto es un reconocimiento de que este aspecto es un factor integrado en los nuevos procesos de negocio.
La Seguridad Informática es un problema de todos, no sólo es responsabilidad de los departamentos de tecnologías de la información, pero si tu eres el responsable en de la seguridad de tu empresa no estaría mal que apliques los puntos antes mencionados.
Si tienes algún otro consejo te invito a que lo compartas con todos nosotros en los comentarios, como ya dije en el párrafo anterior, la seguridad es responsabilidad de todos.
Artículo Original:http://www.servidores-dedicados.com.mx/blog/seguridad-informatica/
