Políticas de seguridad para PYMEs
Tarsis.net, 1 de julio de 2019
Mucha responsabilidad, pero no está solo
Si es usted responsable de IT y/o de seguridad informática de una PYME, está bajo presión continua debido a los nuevos y crecientes retos de la seguridad informática. Usuarios, dispositivos, sistemas y servicios son un rompecabezas permanente y las consecuencias de no revolverlo de forma correcta pueden afectar a la operatividad de la empresa y a la seguridad y privacidad de los usuarios, de los clientes y de los proveedores.
El primer paso es siempre enumerar los objetivos (estrategia) y el segundo establecer las políticas (táctica) para conseguirlos. Esto debe traducirse en una colección de políticas de empresa respecto a la seguridad y la privacidad en las operaciones del día a día.
Como responsable de este tema, una de sus obligaciones consistirá siempre en divulgar entre los empleados, clientes y proveedores las políticas que deben cumplirse durante las operaciones, y poner esas políticas al alcance de todo el mundo, por ejemplo en la intranet de la empresa o en el proceso de on-boarding por el que pasan los nuevos empleados.
Las PYMEs habitualmente no disponen de recursos infinitos en tiempo y dinero para desarrollar sus propias políticas, cuyo desarrollo puede convertirse en un proyecto largo y tedioso, de esos que nunca se ven completados.
Afortunadamente existen recursos para no tener que empezar desde cero y poder empezar con gran parte del camino andado, y pensando sólo en la adaptación de esas políticas a nuestro caso concreto y a la forma de su puesta en marcha.
Organizaciones especializadas, pertenecientes a administraciones públicas nacionales y europeas, publican políticas, recomendaciones y avisos de seguridad que pueden facilitar en gran medida estas tareas.
INCIBE
El Instituto Nacional de Ciberseguridad es una empresa (no un organismo público), dependiente del Ministerio de Economía y Empresa, que se dedica a recopilar información, investigar, divulgar, formar y asesorar sobre ciberseguridad tanto a empresas como a ciudadanos y a organismos públicos.
Como resultado de sus esfuerzos, Incibe pone a disposición del público una serie de recursos que pueden ser valiosos para mantenerse informado de los últimos riesgos de seguridad, desarrollar políticas de seguridad propias y formarse en temas específicos de la seguridad:
- Políticas de seguridad para PYMEs, donde se encuentran documentos orientados a distintos perfiles de persona (empresario, técnico, empleado) para cubrir los temas más importantes de la seguridad (legales, almacenamiento de datos, planes de contingencia, etc. Este recurso será útil a quienes deseen informarse y profundizar en temas básicos de la seguridad de la información.
- Dentro de la gama de informaciones que Incibe divulga regularmente podemos mencionar su Boletín, un Blog, sus Avisos de Seguridad y un CERT (Computer Emergency Response Team), que dispone de un sitio web aparte, para personas más especializadas y responsables de atajar amenazas.
- Dentro del campo de la formación, Incibe dispone de Guías, Talleres e Itinerarios formativos sectoriales, con especialización en sectores concretos.
- Además, este instituto celebra anualmente diversos eventos en los que se dan cita profesionales de la ciberseguridad y en los que uno puede ponerse al día y escuchar de primera mano las experiencias de expertos. Estos eventos son el Encuentro Internacional de Seguridad de la Información (ENISE), el Iberoamerican Cibersecurity Challenge (ICSC), el Cybersecurity Summer BootCamp (CyberSBC), que está especializado en formación, y el Cybercamp.
Como puede verse, existen a nuestra disposición una infinidad de recursos que pueden ser aprovechados por los profesionales que quieran profundizar en el conocimiento y la práctica, y muchos de ellos no requieren moverse de casa.
ENISA
Para aquellos que se sientan cómodos en un ámbito internacional — y se defiendan en inglés, francés, alemán o griego –, la Unión Europea cuenta con una organización similar, de ámbito multinacional, llamada ENISA (European Union Agency for Network and Information Security).
ENISA es una organización plurigubernamental basada en Atenas, que tiene como principal misión desarrollar estrategias y asesorar a los gobiernos de los estados miembros en la creación e implementación de políticas, lo cual puede apreciarse tanto en la naturaleza de la información que genera como en el hecho de estar más orientado a sectores estratégicos que puedan ser considerados objetivos por atacantes externos, como por ejemplo la Industria 4.0 o las infraestructuras energéticas o de comunicaciones.
Pero tiene también una vertiente más vinculada a la práctica y a la publicación de estudios que pueden orientar sobre la importancia relativa de las amenazas presentes y futuras.
Entre los recursos que ENISA pone a nuestra disposición destacaremos:
- Topics recoge artículos de investigación sobre infraestructuras, servicios de la nube, CERTs, secciones dedicadas a sectores especializados (gobiernos, cuerpos de seguridad), formación, gestión de crisis, Internet de las Cosas (IoT) y muchos otros.
- Dispone también de una sección de Publicaciones que recoge información sobre multitud de temas, bien organizados, y entre los que cabe destacar los informes anuales que recogen información consolidada sobre incidentes en toda la Unión Europea.
- Existe también una sección dedicada a inventariar los equipos de respuesta de incidentes de seguridad (CERTs, o CSIRTs en terminología de ENISA) que trabajan en el ámbito de la Unión Europea, y del que ofrecemos como ejemplo la relación de CERTs que trabajan en España.
Otros recursos
Como cierre, ofrecemos aquí algunos recursos valiosos, todos ellos en inglés, que forman parte de una larga tradición de esfuerzo colaborativo para mejorar la seguridad de los servicios en Internet:
- NIST Cybersecurity Framework. Los americanos, a diferencia de nosotros los europeos, saltan inmediatamente a una aplicación práctica para cualquier descubrimiento o técnica (lo que ellos llaman hands-on). El Instituto Nacional para los Estándares y la Tecnología de los EE.UU (NIST) dispone desde hace cinco años de un amplio marco de seguridad dirigido a sus empresas. Este marco se encuentra traducido al español.
- El Internet Storm Center (ISC), del Instituto Sans de Tecnología es uno de los más veteranos y experimentados centros de detección temprana y análisis de amenazas. El ISC está operado por voluntarios que se esfuerzan no sólo en despertar alertas, sino también en explicar la naturaleza y el alcance de las amenazas detectadas.
PODEMOS AYUDARLE
Somos una agencia Internet especializada en PYMEs. Si su empresa puede beneficiarse con la creación de una presencia web profesional, una intranet/extranet corporativa, herramientas de colaboración empresarial, marketing de contenidos (inbound marketing) o integración de tecnologías de terceros, contacte con nosotros y estudiaremos su caso, sin compromiso.