Implantar o instaurar las políticas de seguridad informática en una empresa

Instaurar políticas de seguridad no debe considerarse solo una necesidad;

es parte de esencial del crecimiento de las empresas.
Reconocer la importancia de una estrategia a la medida, la participación de
expertos en TI y los usuarios de la información, garantizará una implementación
exitosa para su organización.

¿Por qué instaurar políticas de seguridad?

La instauración de las políticas de seguridad salvaguarda de uno de los

activos más valiosos: la información; además, evita gastos inesperados por
ataques o pérdida de ésta.
Para ponernos en contexto, recordamos que en 2014 solo 19% de las empresas
mexicanas contaban con programas de seguridad informática; en contraste,
40% a nivel global sí invertían en ellos.
Pese a que hoy en día México ocupa el primer lugar en ciberseguridad de
Latinoamérica, los esfuerzos nunca son suficientes. A nivel mundial está ubicado
en el lugar 28 de 193.

México sigue siendo uno de los países más vulnerables a nivel informático; las
pérdidas monetarias, este 2018, se calculan en 1.5 mdd por ciberataque y en
hasta 44% de los casos, colaboradores o ex colaboradores de las mismas se han
visto.
¿Aún nos preguntamos por qué instaurar políticas de seguridad?
Para evitar estas mismas pérdidas y/o vulnerabilidades y garantizar estabilidad
para el crecimiento.

Una tarea que no debe tomarse a la ligera

Pese a la inversión que empresas de diferentes sectores están haciendo ya en

instaurar políticas de seguridad y
conscientes de que esta es una
La instauración de políticas
un trabajo que debe hacerse
especialistas capacitados.
estrategias de ciberseguridad, debemos ser
tarea que asignarse a un equipo experto.
de seguridad en las organizaciones es
en conjunto: directivos, consultores y

Algunos puntos a tomar en cuenta para echar a andar esta tarea son:

 Objetivos y prioridades de seguridad.

 Compromiso de la dirección.
 Clasificación de la información
 Identificación de activos a proteger.
 Análisis y gestión de riesgos.
 Agentes involucrados.
  Responsabilidades de los distintos niveles organizativos.
 Comportamientos exigidos y prohibidos.
 Identificación de medidas, normas y procedimientos de la seguridad a
implantar.
 Gestión de las relaciones con terceros.
 Gestión de incidentes.
 Planes de contingencia y de continuidad del negocio.
 Cumplimiento de la legislación vigente.
 Definición de las posibles violaciones.
 Consecuencias derivadas del incumplimiento de las Políticas de Seguridad.

En Integra IT sabemos que las estrategias que garantizan resultados a las

organizaciones son aquellas desarrolladas a la medida de sus necesidades,
pero sobretodo que parte medular de estos resultados (especialmente en la
instauración de políticas de seguridad) reside en la difusión con los integrantes
de la organización.

El conocimiento, la conciencia de los riesgos y la importancia de seguir

cuidadosamente indicaciones que permitan salvaguardar la seguridad de la
información, serán fundamentales.

Actuar a tiempo

Establecer políticas de seguridad para fortalecer el resguardo de la información,

irá de la mano del establecimiento de un sistema de gestión y programas de
software a la medida para salvaguardar los datos de su empresa.
En Integra IT implementamos estrategias a la medida para garantizar la
ciberseguridad de las empresas y que la inversión se traduzca en fortalecimiento
de la misma, desde estándares internacionales como el ISO 27001

Las políticas de seguridad a partir de un caso práctico

La estrategia de ciberseguridad no tiene un único punto o sólo hay una manera de

llevarla a cabo. De hecho, hay muchas maneras de abordar la ciberseguridad
dependiendo de las necesidades de cada empresa. Pero sí podemos determinar
cómo debería ser, a grandes rasgos, esa estrategia a partir de un caso práctico
Posiblemente el más conocido de todos sea el ataque de Wanna Cry que en mayo
de 2017 y a escala global, sufrieron muchísimas grandes corporaciones que se
encontraron con sus ordenadores bloqueados y con peticiones de rescates
millonarios para recuperar su control.

¿Fue evitable este ataque?

Según se sabe, el ataque se debió a un error no detectado en algunos sistemas
operativos que no habían sido correctamente actualizados. Pero para que el
ataque se pudiera propagar fue necesario activar el virus, y para ello sólo podía
hacerse ejecutándose en un ordenador.
Haciendo uso de este ejemplo podemos analizar qué sucedió para que Wanna Cry
llegase a ser el mayor ciberataque del que tenemos conocimiento.

El error de no actualizar los sistemas operativos

Por un lado los ciberdelincuentes se aprovecharon de un error de seguridad no

detectado en ciertos sistemas operativos.

Se trató de EternalBlue (Error MS17-010), un error crítico en Windows que es,

como mínimo, tan antiguo como Windows XP y que se aprovecha de una
vulnerabilidad para ejecutar de manera remota líneas de código que permitieron
secuestrar los ordenadores.

Microsoft lanzó un parche de seguridad que corregía este problema en marzo de

2017, dos meses antes del ataque. Pero una gran mayoría de compañías obviaron
esta actualización que, a priori, parecía menor.

Aquí encontramos el primer problema: las empresas no instalaron la actualización

de software. Y este es, sin duda, uno de los problemas más habituales en
ciberseguridad.

Casi a diario, las compañías de software encuentran y corrigen problemas, bugs o

agujeros de seguridad. Casos como este ponen de manifiesto la importancia de
tener los programas y el firmware al día.

Por suerte, los update de sistema operativo se realizan actualmente en segundo

plano, sin que el usuario deba interrumpir el trabajo en ningún momento.

La ingeniería social y su papel en la ciberseguridad

Lo sabemos: los humanos no somos perfectos ni lo vamos a ser jamás y nuestro

papel en la ciberseguridad de las empresas es muy relevante.
Según un estudio de la desarrolladora de software Kaspersky del año 2015, más
del 80% de los incidentes relacionados con la ciberseguridad fueron provocados
por errores humanos.

En el caso de ejemplo que estamos utilizando, la ejecución del malware que

contagió a más de 230 mil ordenadores en 150 países de todo el mundo, se inició
por un error humano tan sencillo como abrir un archivo adjunto.
Aquí entra en juego la ingeniería social.
Muchos delincuentes han desarrollado técnicas de ingeniería social para engañar
a los usuarios y hacerles creer que un correo electrónico ha sido enviado por uno
de sus contactos, cuando realmente contiene software malicioso.

¿Es posible combatir estas prácticas?

Realmente es complicado, pero hay maneras de lograrlo.

Una de las políticas en ciberseguridad que debemos incorporar a nuestra empresa

es, sin duda, la formación a los trabajadores para que sean conscientes de los
peligros de abrir un archivo adjunto, de quien sea incluso de un conocido, sin
haber comprobado antes de qué se trata o si ese envío es legítimo.

En el caso de WannaCry, el virus se propagó a partir de la ejecución del programa

que, a su vez enviaba más y más correos electrónicos antes de bloquear y cifrar
los ordenadores.

En tal caso, haber desconfiado podría haber sido suficiente para evitar el ataque y

bloqueo de los ordenadores.
La formación de los empleados como política de seguridad informática en la
empresa

La transformación digital que hemos vivido y seguimos viviendo en la actualidad

nos lleva a una dependencia cada vez mayor ya no de los ordenadores, sino del
acceso a los datos que han pasado del PC a los servidores de la empresa y, de
aquí, a la nube.
En este proceso aparecen puntos débiles que pueden ser aprovechados por los
ciberdelincuentes y el más importante de ellos es, sin duda, el propio usuario del
ordenador.

Una de las políticas que deberíamos tener en cuenta para implementar en las
empresas es la formación y aprendizaje de los empleados como medida
preventiva ante posibles ciberataques.

Esta formación debería incluir conocimientos sobre el software malicioso o

la respuesta ante un posible incidente relacionado con el phishing o el
ransomware, así como ser capaces de reconocer cuándo estamos ante un email
malicioso.

Por otro lado, el técnico en ciberseguridad deberá ser capaz de reconocer los

diferentes escenarios posibles, recopilar los datos tras un ataque o detectar los
síntomas que delatan que podemos estar frente a un ataque.

Los usuarios son uno de los puntos débiles en la política de ciberseguridad de

nuestra empresa, pero con formación y el paquete de software adecuado para
prevenir y protegernos de estos ataques, podemos lograr reducir al mínimo o
hasta hacer desaparecer las posibles amenazas y ataques informáticos.
En este enlace puedes descargar el programa de formación online elaborado por
Kaspersky Security Awareness para diseñar una cultura cibersegura en tu
organización.
Bibliografías:

https://www.integrait.com.mx/blog/recomendaciones-la-implantacion-la-politicas-
seguridad-organizacion/

https://www.ambit-bst.com/blog/politicas-de-seguridad-informatica