Conozca el declogo de la seguridad

informtica que debe respetar su

empresa
14-06-2011 Si bien no se trata de una problemtica nueva, la creciente
difusin de los ataques informticos a firmas famosas como Sony y Citigroup
ha permitido a las compaas tomar mayor conciencia sobre el valor de sus
datos y la importancia de su privacidad y confidencialidad

El caso Wikileaks y las recientes intrusiones a bases de datos de prestigiosas

empresas como Sony han ubicado al tema de la fuga de informacin entre los
ms discutidos y controversiales de la agenda de los medios.

La cuestin, incluso, aument en gravedad en los ltimos das con los

ataques que sufrieron el Citigroup y el Fondo Monetario Internacional.
Si bien no se trata de una problemtica nueva, estos hechos han
contribuido a que las empresas tomen mayor conciencia sobre el valor
de su informacin y la importancia de la privacidad y confidencialidad de
la misma.

La existencia misma del caso Wikileaks determin un antes y un

despus en cuanto a lo que a fuga de informacin se refiere. No es que
antes no ocurriera, sino que -en la mayora de las ocasiones- las fugas
no se hacen pblicas para salvaguardar la imagen de las empresas e
instituciones. Adems, el incidente permiti entender que si este tipo de
incidentes puede sucederle a organizaciones tan grandes y preparadas,
podra ocurrirle tambin a empresas y organizaciones ms pequeas,
asegur Federico Pacheco, Gerente de Educacin e Investigacin de
ESET Latinoamrica, un fabricante de software de seguridad informtica.

Con el objetivo de contribuir con la educacin e informacin de las

empresas, para alcanzar una mejor poltica de seguridad de la
informacin, los especialistas de esta firma elaboraron un listado con las
10 reglas de la seguridad corporativa:

1.- Defina una poltica de seguridad

Es el documento que rige toda la seguridad de la informacin en la

compaa. Se recomienda que no sea muy extenso (ningn empleado
podr comprometerse con uno excesivamente largo), que sea realista
(para pedirle a los empleados cosas posibles para mantener la
credibilidad) y que se les de valor.

Es preferible, adems, que sea entregado a los empleados por los altos
cargos o por el departamento de Recursos Humanos, en lugar del
soporte tcnico de TI, para que se le asigne mayor importancia.

2.- Utilice tecnologas de seguridad

Es la base de la seguridad de la informacin en la empresa. Una red que
no cuente con proteccin antivirus, un firewall o una herramienta
antispam estar demasiado expuesta como para cubrir la proteccin con
otros controles.

Segn fue presentado en el ESET Security Report Latinoamrica, el 38%

de las empresas de la regin se infectaron con malware el ltimo ao.

3.- Eduque a sus usuarios

Los usuarios tcnicos o del departamento de TI suelen ser omitidos en

este tipo de iniciativas, como si estuviera comprobado que estn menos
expuestos a las amenazas informticas.

Segn las estadsticas de ESET, el 45% de los ataques informticos

detectados en la regin utiliza tcnicas de ingeniera social- es decir, que
atentan contra el desconocimiento del usuario para infectarlo. Por ello,
es fundamental que toda la compaa forme parte de los procesos de
educacin y capacitacin.

4.- Controle el acceso fsico a la informacin

La seguridad de la informacin no es un problema que deba abarcar slo

los datos virtuales, sino tambin los soportes fsicos donde estn
almacenados. Dnde estn los servidores? Quin tiene acceso a stos?
Sin lugar a dudas, el acceso fsico es fundamental.

Tambin deben ser considerados, en este aspecto, los datos impresos, el

acceso fsico a oficinas con informacin confidencial (el gerente, el
contador, etc.) o el acceso a las impresoras.
5.- Actualice tu software

Las vulnerabilidades de software son la puerta de acceso a muchos

ataques que atentan contra la organizacin. Segn el informe sobre el
estado del malware en Latinoamrica elaborado por ESET, el 41% de los
dispositivos USB estn infectados y el 17% del malware utilizan
explotacin de vulnerabilidades.

Mantener tanto el sistema operativo como el resto de las aplicaciones

con los ltimos parches de seguridad, es una medida de seguridad
indispensable.

6.- No utilice a TI como tu equipo de seguridad informtica

Es uno de los errores ms frecuentes, por lo que es importante recordar

que la seguridad no es un problema meramente tecnolgico.

Debe existir un rea cuyo nico objetivo sea la seguridad de la

informacin para que sta no pueda ser relegada por otros objetivos
asociados a la usabilidad, como, por ejemplo, la instalacin y puesta a
punto de determinado servicio, segn las necesidades comerciales.

7.- No use usuarios administrativos

De esta forma, una intrusin al sistema estar limitada en cunto al

dao que pueda causar en el mismo.

8.- No invierta dinero en seguridad sin un plan adecuado

La seguridad debe ser concebida para proteger la informacin y, por

ende, el negocio.
Hacer inversiones en ella, sin medir el valor de la informacin que se
est protegiendo y la probabilidad de prdidas por incidentes, puede
derivar en dinero mal invertido o, bsicamente, perdido.

9.- No termine un proyecto en seguridad

La seguridad debe ser concebida como un proceso continuo, no como un

proyecto con inicio y fin.

Es cierto que pequeas implementaciones de los controles pueden

necesitar de proyectos, pero la proteccin general de la informacin es
una necesidad permanente del negocio que debe encontrarse en mejora
continua.

10.- No subestima a la seguridad de la informacin

Entender el valor que asigna al negocio tener la informacin protegida

es clave. Muchas empresas, especialmente las pequeas y medianas,
no pueden recuperarse de un incidente de gravedad contra la seguridad
de los datos.

Todas las empresas estn preparadas para afrontar el desafo de

proteger su informacin. Para comenzar con ello, consideramos que
conocer e implementar estos principios es un muy buen primer paso que
ayudar con la implementacin de correctas metodologas para cuidar la
informacin de su compaa. Es fundamental entender que cuidarla es,
sencillamente, cuidar el negocio, agreg Sebastin Bortnik, coordinador
de Awareness & Research de la firma.