Leyendo un post de Welivesecurity que hablaba de 5 consejos para la seguridad de las pymes, me gustaría añadir alguno más que creemos que también son necesarios, como por ejemplo un pentest o auditoría de seguridad periódico y unas pruebas de concienciación para los usuarios. Entremos en detalle.
Para definir estas recomendaciones, parto de la idea que la empresa es consciente de que hay que aplicar medidas de seguridad y ya tiene las medidas básicas de seguridad, como firewalls e IPS, de seguridad perimetral, antivirus en todos los equipos, antispam en el correo y que se dispone de personal (o una empresa) dedicado a dar el servicio de la seguridad informática. Partiendo de estas medidas vamos a desarrollar la recomendaciones para tener una mejor seguridad, casi siempre de obligada aplicación.
Las recomendaciones son las siguientes:
- Backup: esta medida entendemos que ya se debería tener, pero queremos destacarla y añadir la puntualización que la hace importante en seguridad: un backup que una vez que se haya hecho se extraiga o se desconecte de la red. Extrayendo el backup o desconectándolo de la red se evitará que se vea infectado en el caso de una infección de un virus a toda la red, como pasó con el último ataque de Wannacry.
- Realizar pentest periódicos y auditorías de seguridad. El Pentest nos ayuda a ver nuestros sistemas informáticos con los ojos de un atacante y conocer el punto más débil. Las auditorías de seguridad (tanto si son de aplicaciones, como de infraestructura) nos ayudan a mantener la seguridad global en buena forma ante atacantes externos.
- Actualización de los sistemas: todos los sistemas tienen que estar actualizados a la última versión de parches de seguridad, para evitar sufrir ataques con vulnerabilidades conocidas.
- Pruebas de concienciación: estas pruebas simulan los típicos ataques de phishing por correo electrónico y sirven para educar a los usuarios en seguridad, qué correos son sospechosos y mejor no abrirlos, etc. Es muy importante porque suelen ser el eslabón más débil. También se pueden hacer campañas de concienciación mediante mails informativos a los usuarios o con talleres explicativos.
- Información sobre seguridad informática: en este punto quiero destacar el hecho de estar «conectado» a la información relativa a seguridad, es decir saber si hay alguna campaña de malware masiva por la red, una campaña de ransomware, como fue el Wannacry… Esta información sirve para estar alerta frente a un posible ataque y tomar medidas para poderlo evitar, actualizaciones urgentes de sistemas, etc. Este punto bien gestionado nos puede salvar de muchos ataques masivos.
- Cumplir con la normativa legal vigente, en breve entrara la GDPR, todas estas medidas anteriores nos pueden servir para cumplir la GDPR, pero se tendría que hacer un análisis de riesgos previo según marca la GDPR.
La web welivesecurity comenta algunas más como el BYOD, os dejo el link para que le podáis echar un vistazo, el vídeo de la noticia es muy recomendable.
Estas son recomendaciones muy genéricas. Cada empresa es un mundo y tiene su propio modelo de negocio. Para securizar cada empresa hay que hacer un estudio, partiendo del negocio más crítico y securizarlo. A partir de aquí, se deberán analizar las conexiones de este punto crítico del negocio con el entorno de los sistemas y usuarios para securizarlos también.
Lo mejor es hacer una consultoría de seguridad personalizarla para la empresa. Si desea que nosotros le realicemos una, solo tiene que solicitarla en nuestro formulario de contacto y le atenderemos con la mayor brevedad posible.