La gestión de riesgos informáticos, clave para la seguridad de la empresa

Dentro de una estrategia global de gestión de riesgos en el entorno empresarial, nos encontramos con áreas especialmente sensibles e importantes a la hora de realizar un análisis, plantear estrategias y establecer un control efectivo que nos permita determinar el éxito de las mismas.

Gestión de riesgos informáticos

Una de las áreas más vulnerables dentro de la empresa es la informática. Posiblemente se deba en gran parte al desconocimiento por parte de muchos miembros de la empresa acerca de los riesgos potenciales y reales a los que se enfrentan en el caso de no seguir unas normas básicas de seguridad.

Por ello, la empresa no solo debe prestar una especial atención a los posibles riesgos existentes en esta área, sino que debe acompañar su estrategia de una formación extensa para todos los trabajadores y socios de modo que sean conscientes de la importancia de respetar las normas establecidas y sobre todo las consecuencias, en muchos casos graves, a las que se enfrentan en caso de no hacerlo.

Pero, en primer lugar, hablemos de los riesgos. ¿Qué implica una vulnerabilidad en la seguridad de los sistemas informáticos de la empresa?

Cualquier brecha de seguridad puede suponer desde sufrir inconvenientes menores, como puede ser el mal funcionamiento de algunos equipos, hasta otros de extrema gravedad que pueden implicar incluso la parada de la actividad. Por poner un ejemplo, podemos encontrarnos con el caso (más habitual de lo que parece) de que un trabajador descargue un programa de dudosa procedencia que infecte su ordenador y desde allí, infecte a toda la red de la empresa a la que esté conectado.

Podemos encontrarnos desde un simple virus informático hasta software más malicioso que por ejemplo destruya la información o sea capaz de extraer datos confidenciales y críticos para la empresa.

Dentro de una buena estrategia de gestión de riesgos, los expertos comenzarán analizando los sistemas de la empresa e identificarán los puntos vulnerables. Con este análisis previo estarán capacitados para elaborar una estrategia global que proteja a la empresa frente a la mayoría de los riesgos más comunes.

Dentro de esta estrategia, como decíamos, la formación y la concienciación de todas las partes implicadas es clave, ya que cada uno de ellos, con sus acciones, puede comprometer la seguridad.

CONSEJOS BÁSICOS SOBRE SEGURIDAD INFORMÁTICA EN LA EMPRESA

Aunque el plan de seguridad será mucho más completo, siempre es importante empezar por algunas conductas básicas que ayudarán a minimizar los riesgos de comprometer el sistema informático y los datos de la empresa como son:

GESTIÓN DE CONTRASEÑAS

Las contraseñas permiten acceder a distintas aplicaciones, equipos, documentos...

La gestión de las contraseñas, así como quiénes tienen autorización para manejarlas debe ser muy precisa, sobre todo cuando hablamos de accesos a sistemas especialmente críticos para la empresa. Por tanto, debe tenerse un control exhaustivo sobre todas las contraseñas y quiénes tienen acceso a cada una de ellas.

Asimismo, las contraseñas deben ser complejas, siendo lo recomendable que su longitud sea como mínimo de 15 caracteres y que estén compuestas por letras, números y caracteres especiales, para que sea muy complicado adivinarlas.
Además, es muy buena idea cambiarlas regularmente.

Algo muy básico, pero que por desgracia sigue ocurriendo, es que nunca se deben dejar las contraseñas apuntadas en lugares accesibles. Es muy típico encontrar contraseñas apuntadas en papel en cajones, debajo del router de conexión etc. Debemos abandonar estas prácticas y asegurarnos de que todos los trabajadores así lo hacen.

ACCESO A RED INTERNA E INTERNET

Es habitual que exista una conexión a través de WIFI en la empresa. Si queremos poner a disposición de trabajadores y visitantes el acceso a Internet (para cuestiones extralaborales), lo mejor es que tengamos dos redes separadas, de tal forma que una red pertenezca a la empresa y otra esté únicamente destinada a este tipo de accesos. En definitiva, crear una red de “invitados” completamente ajena a la red de la empresa, evitando así accesos no deseados a nuestra red y equipos internos.

INSTALACIÓN DE PROGRAMAS

Lo ideal es que cuando necesitemos instalar un programa sean los responsables de informática quiénes se encarguen de hacerlo. Los trabajadores deben tener claro que solo se pueden instalar programas autorizados previamente por la empresa, y, no solo eso, si no que estos programas deben proceder de fuentes totalmente fiables (página oficial etc.)
Instalar un programa de dudosa naturaleza o procedencia, puede comprometer gravemente la seguridad de la empresa.

Algo similar sucede con las unidades de almacenamiento externas, por ejemplo, un pendrive. Si insertamos un pendrive previamente infectado en otros equipos, extenderemos dicha infección. En algunas empresas, para evitar este riesgo, bloquean directamente los puertos USB para que no sea posible hacerlo.

Como decíamos, las empresas deben tomar conciencia de lo importante que es invertir en un buen plan de gestión de riesgos en el área informática, pero este no tendrá éxito si no conseguimos que todas las personas implicadas tomen conciencia de lo importante que es seguir las pautas que se marquen para evitar riesgos de seguridad innecesarios.

SOLICITE AHORA SU DEMO DE GRC SUITE