PDF de programación - Decalogo ciberseguridad empresas

Decálogo ciberseguridad empresas



Una guía de aproximación para el empresario

Decálogo de ciberseguridad empresas
Una guía de aproximación para el empresario



INCIBE_PTE_AproxEmpresario_011_DecalogoSeguridad-2017-v1

2

3



Índice

1

INTRODUCCIÓN

2 DECÁLOGO PARA LA PYME CIBERSEGURA

2.1 Política y normativa ...........................................................................................................4
2.1.1 Normativa interna ................................................................................................4
2.1.2 Cumplimiento legal ...............................................................................................6
2.2 Control de acceso ................................................................................................................8
2.3 Copias de seguridad ..........................................................................................................11
2.4 Protección antimalware ...................................................................................................14
2.4.1 ¿Qué debe tener un antimalware? ...................................................................15
2.5 Actualizaciones .................................................................................................................17
2.5.1 Actualización del gestor de contenidos ...........................................................18
2.6 Seguridad de la red ...........................................................................................................19
2.7 Información en tránsito ...................................................................................................21
2.7.1 BYOD .....................................................................................................................22
2.7.2 Comunicaciones inalámbricas...........................................................................23
2.7.3 Acceso remoto .....................................................................................................25
2.8 Gestión de soportes ..........................................................................................................26
2.8.1 Tipos de dispositivos de almacenamiento .......................................................26
2.8.2 Gestión de soportes ............................................................................................28
2.9 Registro de actividad ........................................................................................................29
2.10
Continuidad de negocio ............................................................................................30
32

3 REFERENCIAS

Introducción

El buen funcionamiento, e incluso la supervivencia, de las empresas depende
en gran medida de su adaptación al medio. Hoy en día en las empresas,
inmersas en un entorno tecnológico en constante cambio, la ciberseguridad
se convierte en una prioridad.

Para abordar la seguridad resulta útil tener una visión integral del entorno,
interno y externo, que tenga en cuenta no solo aspectos técnicos si no tam-
bién físicos, organizativos y legales. Con esta perspectiva panorámica será
más fácil adaptarse al medio identificando los riesgos a los que se expone la
empresa y localizando los puntos débiles.

Hoy en día los sistemas de información con base tecnológica están presentes
de alguna forma en todos los procesos de cualquier empresa: comunica-
ción interna, relación con los proveedores, logística, producción, marketing,
atención al cliente, selección y formación de personal, internacionalización,
innovación, etc. Las pymes no están al margen de este entorno tecnológico.
Las que no han nacido digitales se ven obligadas a evolucionar, por sus clien-
tes o por la competencia, arrolladas por la necesidad de supervivencia.

Es cada vez más frecuente el uso de dispositivos móviles y servicios en la
nube para el desarrollo de nuestra actividad. Estos avances tecnológicos nos
ofrecen la oportunidad, no exenta de riesgos, de nuevos modelos de nego-
cio, nuevas formas de interacción con los clientes y nuevas formas de trabajo
para los empleados. Por otra parte llegamos a nuestros clientes por dife-
rentes medios: correo electrónico, página web, redes sociales, aplicaciones
móviles, etc.

En este entorno tecnológico la ciberseguridad es un factor diferenciador para
la empresa al generar confianza en clientes, proveedores.

En esta guía te proponemos diez pasos imprescindibles que has de tomar
para ser una pyme cibersegura.

3 Decálogo ciberseguridad empresas: una guía de aproximación para el empresario

1 2

Decálogo para la pyme
cibersegura

La pyme preocupada por su ciberseguridad tiene que seguir este camino. Los que aquí
proponemos los diez pasos que consideramos esenciales.

En primer lugar la pyme tiene que analizar su estado de seguridad y definir a dónde quiere
llegar. Esto se plasmará en una serie de políticas y normativas que van a dirigir la forma
de abordar la seguridad en el día a día.

Como resultado de lo anterior, pondrán en marcha, si aún no lo han hecho, o mejorarán
su sistema de control de accesos lógicos, pues al igual que controlamos quién entra en
nuestras instalaciones, debemos controlar quién entra en nuestros sistemas.

Cualquier reflexión que se haga sobre seguridad llevará a la conclusión de las copias de
seguridad son la forma de recuperarse de casi cualquier incidente. No deben faltar en
cualquier pyme que quiera sobrevivir a un incidente.

Básico y esencial es también la protección antimalware pues los virus mutan para hacer-
se cada vez más dañinos y peligrosos. Ninguna pyme está exenta de este riesgo.

Y no habrá protección eficaz si utilizamos sistemas o aplicaciones obsoletas y desactualiza-
das pues son más vulnerables. Por ello actualizar todo el software es fundamental.

Nuestra red ha de estar protegida para evitar todo tipo de intrusiones en nuestros siste-
mas. Y como el acceso desde el exterior de clientes y colaboradores se hace imprescin-
dible en un medio comercial electrónico no descuidaremos la seguridad de la información
cuando es comunicada hacia y desde el exterior.

No menos importante es proteger la información almacenada en todo momento pues los
soportes pueden extraviarse o deteriorarse. Controlar los soportes de la información du-
rante toda su vida útil es también una medida de seguridad elemental.

Vigilar nunca está de más y para ello pondremos los medios para llevar un registro de
actividad dónde podamos observar cómo interaccionan los usuarios con los sistemas y
detectar anomalías en su comportamiento.

Por último pero no menos importante es dar los pasos necesarios para garantizar la Con-
tinuidad de negocio pues es todos, incluso las pymes, podemos sufrir un incidente de
seguridad.

2.1 Política y normativa

El compromiso con la seguridad se demuestra definiendo, documentando y difundiendo
una política de seguridad que defina cómo se va a abordar la seguridad. También se
concreta con el desarrollo de normativas y procedimientos que recojan las obligaciones
a las que están sujetos los usuarios en lo que respecta al tratamiento y seguridad de la
información.

Cada empresa es diferente y con características únicas: número de empleados, dependen-
cia tecnológica, área de actividad, internacionalización, etc. Por este motivo, para concretar

4 Decálogo ciberseguridad empresas: una guía de aproximación para el empresario

2

“La pyme tiene
que analizar
su estado de
seguridad y definir
las políticas y
normativas que le
permitan llegar al
estado deseado.”

Decálogo para la pyme cibersegura

la política en hechos lo haremos mediante un Plan Director de ci-
berseguridad. Para ello tendremos que:

Determinar el punto de partida de la empresa en materia de
ciberseguridad, identificando los procesos críticos de nuestra
organización, los empleados, equipos o activos esenciales para
el funcionamiento de nuestra empresa.

Determinar el nivel de seguridad que querríamos conseguir en
función de las características de la empresa, el sector de nego-
cio al que pertenecemos, los objetivos estratégicos o los requi-
sitos que define el mercado, etc.

En este proceso, habremos detectado los riesgos que afectan o pue-
den afectar a corto o medio plazo a nuestro negocio. Conociendo
los riesgos, podemos realizar planes de acción personalizados,
adecuados a nuestra singularidad, con las medidas de seguridad a
aplicar.

La ciberseguridad es un proceso y como tal los planes para abordar-
la deben revisarse periódicamente, ya que las amenazas cambian y
evolucionan constantemente.

Como resultado de nuestro Plan Director de Ciberseguridad, defini-
remos y priorizaremos los proyectos de ciberseguridad necesarios
para nuestra empresa. Estos proyectos no sólo consistirán en la ins-
talación de productos o la contratación de servicios de seguridad,
también es necesario aplicar cambios en la forma de hacer las cosas.
Por esto, del plan se derivan una serie de normativas de uso inter-
no y unos procedimientos para verificar su cumplimiento.

2.1.1 Normativa interna
La normativa interna va a plasmar la forma en la que abordamos la
ciberseguridad, es decir, nuestros compromisos. Estos deben empe-
zar desde el momento de la contratación de los empleados y durante
todo el tiempo que este permanezca en la empresa con sesiones
periódicas de formación y concienciación [3].

Cuando se contrata un empleado y al resto de empleados, al menos
una vez al año, debemos recordarles cómo han de proteger los re-
cursos de la empresa, entre ellos la información, los sistemas y equi-
pos informáticos, los móviles o portátiles de empresa, los pendrives,
los servicios en la nube, la página web, las redes sociales, etc.

El empresario tiene que informar al empleado de los usos acepta-
bles y no aceptables,