Diseñar políticas de ciberseguridad en las empresas se ha convertido en uno de los principales retos para garantizar el presente y el futuro de las compañías.

Porque si algo ha quedado claro en los últimos años es que la ciberseguridad no es un tema que concierne de manera exclusiva a las grandes corporaciones o instituciones.

También las pequeñas y medianas empresas (pymes) necesitan implantar una política de ciberseguridad fuerte y segura para prevenir ciberamenazas y reducir los riesgos ante un ataque digital.

España es el tercer país de Europa que más ciberataques sufrió en 2020. Solo en nuestro país, las amenazas online aumentaron un 125% el año pasado, superando los 40 000 ataques diarios.

Se estima que carecer de una copia de seguridad actualizada (una política de seguridad básica) puede conllevar pérdidas de entre 2000 y 50 000 euros para pymes y superar los 3,5 millones en las grandes empresas.

¿Qué son las políticas de ciberseguridad para pymes?

Para reducir el riesgo de que los ciberdelincuentes puedan vulnerar la seguridad de una empresa y comprometer su privacidad, se debe contar con una estrategia adecuada.

Según el Instituto Nacional de Ciberseguridad (INCIBE):

las políticas de ciberseguridad son las decisiones o medidas que una empresa ha decidido tomar respecto a la seguridad de sus sistemas de información después de evaluar el valor de sus activos y los riegos a los que están expuestos. Este término también se refiere al documento de nivel ejecutivo mediante el cual una empresa establece sus directrices de seguridad de la información”.

Aunque bien es cierto que cada empresa, en función de su sector, tamaño, actividad o número de empleados, debe realizar su propia política de ciberseguridad, existen algunos puntos comunes que toda compañía debe tener en cuenta sobre esta cuestión, sobre todo en lo referente a contraseñas, RGPD, actualizaciones o softwares de protección (antivirus).

Cultura de ciberseguridad y formación

Sin embargo, el presente escenario hace que las medidas implantadas ya no sean suficientes. Por ello, desde Cordón Asesores Independientes ofrecemos un servicio especializado en ciberseguridad que permite a las compañías proteger todo el ciclo de vida de su información y datos, ayudándoles a aplicar las políticas de ciberseguridad en las empresas necesarias.

El primer paso debe ser identificar el capital digital de tu empresa y, a partir de ahí, decidir quiénes serán los responsables de gestionar los riesgos de seguridad de tecnología de información.

El objetivo es fomentar una cultura de ciberseguridad en la empresa que implique desde los directivos hasta el último empleado.

Por ello es recomendable implantar un completo plan de formación para todos los trabajadores que aborde conceptos comunes de ciberriesgos: desde la concienciación ante posibles ciberamenazas hasta la simulación de ciberataques.

Las 8 principales políticas de ciberseguridad para empresas

1 – Política de protección de datos

Un punto fundamental en cualquier política de ciberseguridad que incide, principalmente, en el área de sistemas es el cumplimiento de la seguridad legal.

Con este aspecto nos referimos a las normativas legales, aplicables a todas las empresas, relacionadas con la gestión y la protección de la información de los usuarios y los clientes, así como los sistemas informáticos que la procesan.

Estas normativas son:

  • Reglamento General de Protección de Datos (RGPD)
  • Ley Orgánica de Protección de Datos (LOPD)
  • Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI).

2 – Política de contraseñas

Usar contraseñas personales y específicas para cada acceso es una de las principales medidas de ciberseguridad.

Se deben modificar de forma periódica, incluyendo en su formato letras, números, símbolos o caracteres especiales, mayúsculas y minúsculas.

También es conveniente utilizar doble factor de autentificación, como medida de seguridad extra para proteger las cuentas de los usuarios, a través de un mensaje SMS automático o una aplicación que genera códigos de acceso.

3 – Política de actualizaciones

Un aspecto al que algunas pymes no conceden la importancia que se merece es el de la política de actualizaciones de sus softwares.

Estas son necesarias para mantener la seguridad de nuestros sistemas de información, ya que cualquier programa o aplicación está expuesta a determinados riesgos, es decir, son vulnerables.

Para mantener una adecuada política de actualizaciones, es recomendable estar al tanto de las correcciones y parches que lanzan los fabricantes de los programas e implementarlos lo antes posible. De esta manera, evitaremos una falla en nuestros sistemas de seguridad y reduciremos el riesgo de exposición ante ciberamenazas.

Los atacantes suelen escanear las redes en busca de equipos desactualizados para intentar atacarlos. También se aprovechan de defectos de la configuración.

Te recomendamos activar las actualizaciones automáticas del sistema operativo y del software que uses en tus equipos y dispositivos de empresa.

4 – Política de almacenamiento y copias de seguridad

Entre las políticas de ciberseguridad básicas para la pyme se encuentran las políticas de almacenamiento y las copias de seguridad.

Toda empresa debe realizar un inventario y clasificación de activos de información, así como determinar la periodicidad de los backups y su contenido.

Se deben identificar los responsables de estas copias de seguridad y el procedimiento de las mismas para garantizar la continuidad del negocio. El control de acceso debe estar restringido a este personal autorizado.

5 – Política de seguridad en el puesto de trabajo

Las empresas también deben implementar una política de protección y seguridad del puesto de trabajo para garantizar un correcto uso de los dispositivos y medios que los empleados puedan utilizar. De esta manera, se minimizan riesgos y se trabaja en un entorno más seguro.

Para llevarla a cabo, los empleados deben conocer sus responsabilidades y obligaciones en materia de seguridad. La organización debe ser la responsable de facilitar esta información.

El objetivo es garantizar la seguridad de toda la información y los recursos gestionados desde el puesto de trabajo a través de diferentes dispositivos (ordenadores de sobremesa, portátiles, móviles, impresoras, redes Wi-Fi…).

6 – Política de uso del correo electrónico

El email es una de las herramientas más utilizadas por los empleados en la mayoría de empresas. Su uso se extiende tanto para la comunicación interna como externa.

Por eso, es imprescindible contar con una política de seguridad del correo electrónico que garantice su correcto uso y sirva para impedir errores, incidentes y usos ilícitos, así como para evitar ataques por esta vía.

Algunos de los puntos clave de esta política son:

  • Normativa de uso
  • Instalación de aplicaciones antimalware y antispam
  • Cifrado y firma digital
  • Desactivar el formato HTML y la descarga de imágenes
  • Uso apropiado del correo corporativo
  • Utilizar una contraseña segura
  • Aprender a identificar correos sospechosos
  • No responder al spam
  • Inspección de enlaces

7 – Política de uso de Wifi y redes externas

Otra política de ciberseguridad para empresas que, en este caso afecta directamente a los empleados, es la del uso de wifi y redes externas inalámbricas.

En muchas ocasiones, cuando estamos fuera de la oficina, es necesario acceder a datos de la compañía y, en esos casos, la información puede quedar comprometida.

La empresa debe establecer las condiciones y circunstancias en las que se permite el acceso remoto a los servicios corporativos. Es decir, determinar quién puede acceder a qué, cómo y cuándo.

El objetivo de esta política de uso de redes externas es, por tanto, garantizar la protección de los datos e informaciones corporativas cuando el acceso a los mismos tenga lugar fuera de la oficina. Una de las herramientas que, por ejemplo, se pueden implantar para ello es la utilización de una Red Privada Virtual o VPN.

8 – Política de clasificación de la información

Por último pero no menos importante, algunas organizaciones consideran clave definir una política de clasificación de la información para protegerla de forma adecuada.

Los activos de información de una empresa pueden estar en formato digital o en otros soportes, como papel.

Para aplicar las medidas de seguridad ajustadas a estos activos debemos realizar un inventario y clasificación, de acuerdo con el impacto que ocasionaría su pérdida, difusión, acceso no autorizado, destrucción o alteración.

Para ello se aplicarán criterios de confidencialidad, integridad y disponibilidad, que conforman las principales áreas de la ciberseguridad en empresas . De esta manera podremos determinar qué información cifrar, quién puede utilizarla o quién es responsable de su seguridad.

Conclusiones

Las políticas de ciberseguridad en las empresas han tomado una mayor relevancia en la última década a raíz del acelerado proceso de digitalización y del consiguiente aumento de ciberataques por parte de los hackers de todo el mundo.

Las claves para implementar una estrategia efectiva es elaborar políticas y procedimientos adecuados, establecer una cultura empresarial de ciberseguridad y disponer de un plan de continuidad.

Por todo ello, la ciberseguridad debe ser un aspecto prioritario para todas las empresas, independientemente de su tamaño y el sector en el que operen.