Seguridad informática: un pilar básico para las empresas

La información quizá sea el mayor patrimonio intangible de cualquier empresa, máxime con el imparable despegue de las tecnologías de la información y las comunicaciones que invaden la práctica totalidad de la logística, la contabilidad y los recursos humanos. Por dicho motivo, crecen exponencialmente las amenazas sobre unos sistemas de información que cada día demandan mayor celo en su blindaje. Es aquí donde el concepto de seguridad informática reclama para sí un lugar de privilegio entre las funciones que han de desempeñar quienes gestionen la parcela de TIC en las empresas.

El ingente caudal de recursos tecnológicos ha provocado que su tratamiento sea un factor crítico en el contexto general de la gestión empresarial, dadas la indisolubilidad del concepto de negocio y la disponibilidad de infraestructuras tecnológicas eficaces y seguras. En consecuencia, los departamentos de tecnología de la información representan un elemento nuclear para la eficiencia de las operaciones comerciales. Para ellos, es fundamental conocer los diferentes orígenes de las amenazas que penden sobre toda organización y los métodos para oponerles resistencia. Básicamente, puede distinguirse entre:

• Amenazas externas intencionadas, como espionaje, sabotaje o robo de información confidencial.
• Amenazas externas accidentales, involuntarias o provenientes de desastres naturales.
• Amenazas internas intencionadas, emanadas del propio personal de la organización.
• Amenazas internas accidentales, generalmente por malas prácticas de los empleados, desconocimiento o negligencia, como puede ser insertar un pendrive infectado en un terminal.

Mantener un elevado umbral de vigilancia sobre estas amenazas pasa por dominar una serie de actuaciones, que, en su conjunto, generarán el deseado entramado de seguridad informática de la organización:

1. Hacer copias de seguridad que garanticen la salvaguardia de datos, en caso de materializarse una amenaza, que conviene complementar con medidas de seguridad contra pérdida, daño o acceso no autorizado, como almacenar las copias en medios físicos o lugares seguros, así como restringir el acceso solo a personas autorizadas, allí donde se ubiquen. Este último aspecto exige:

• Clasificar las aplicaciones y zonas de la organización, según su nivel de confidencialidad.
• Establecer criterios de acceso "need-to-know", basados en la necesidad funcional.
• Un método fiable de creación y rotación de contraseñas, apoyado en una serie de hábitos, como:
  • Dotarlas de más de ocho caracteres alfanuméricos con mayúsculas, minúsculas y símbolos.
  • Huir de contraseñas simples que coincidan con datos personales del propio usuario o contraseñas anteriores.
  • Utilizar un gestor de claves para generar regularmente copias de seguridad.

2. Asegurar las actualizaciones de las aplicaciones, lo que minimiza el riesgo de que las vulnerabilidades afecten a los sistemas. Para ello:

• Se revisarán cíclicamente los sitios web de los proveedores de aquellas para identificar las nuevas que aparezcan, así como las amenazas para la seguridad informática que puedan surgir.
• Se investigará la posible relación de cualquier fallo sobrevenido con la seguridad de los sistemas.
• Se verificará que estos funcionan adecuadamente tras ejecutar cualquier actualización.

3. Gestión de antivirus: debe asegurarse que ningún equipo queda excluido y que se llevan a cabo rastreos periódicos en los equipos.

4. Instalar sistemas y aplicaciones, en la línea de los estándares de seguridad informática, y crear un entorno experimental completamente estanco para disipar todo riesgo de afectación de cualquier problema a los demás.

5. El volumen de activos tecnológicos gestionados por una empresa (ordenadores, periféricos, dispositivos móviles, proyectores, servidores, app, etc.) es de tal magnitud que se aconseja mantener una Base de Datos de Gestión de Configuración (CMDB), de complicado manejo pero de una extraordinaria utilidad que, para ser real, exige una constante actualización mediante auditorías; supervisión de cambios, entradas y salidas de material; etc.

En las recientes oleadas de ataques informáticos, su estilete ha consistido en un "spear phishing" a empleados de la empresa, con el objetivo de hurtarles alguna credencial para el acceso a aplicaciones de gestión interna y practicar el abordaje de los sistemas de la organización. En las empresas vemos casos de ransomware, deformaciones intencionadas de páginas web o robos de información. Por todo ello, se hace indispensable formar constantemente al personal en seguridad informática para que sepa manejar las herramientas que el equipo de seguridad pone a su disposición, así como tener resortes suficientes para reaccionar positivamente ante cualquier incidencia anómala.

En cuanto a los teléfonos móviles, conviene no olvidar la necesidad de tenerlos bien blindados. Para ello, se aconseja a las empresas dotarse de un plan EMM (Enterprise Mobile Management), ya que su carencia puede hacerles correr con innecesarios serios riesgos de seguridad informática.

Como, con frecuencia, los ataques provienen de redes WiFi próximas o del establecimiento de estaciones falsas GSM, una práctica muy recomendable para los departamentos de informática es efectuar pruebas experimentales para calibrar el tiempo que tarda en tener conocimiento de cualquier alerta el equipo de seguridad tras provocar deliberadamente acciones de peligro en las proximidades de las instalaciones o dentro de ellas. Del resultado de estos experimentos podrán entresacarse interesantes conclusiones acerca de los aspectos que demandan más énfasis en la formación de los equipos humanos.