Propósitos en ciberseguridad para el 2018
  • Por
  • Publicado 28 de diciembre de 2017

Propósitos en ciberseguridad para el 2018

Desde OptimumTIC ofrecemos los 15 propósitos esenciales para afrontar el 2018 con un buen plan de acción relativo a la ciberseguridad, y asegurar así que nuestra organización no se verá afectada por ninguna incidencia.


En este 2017 hemos sido testigos del impacto que puede tener un ciberataque para cualquier negocio (Wannacry, Petya), y de cómo los ciberdelincuentes intentan siempre adelantarse y aprovechar cualquier vulnerabilidad de software, falta de seguridad o descuido, para robar nuestros datos y dañar nuestro negocio.

Pero no solo debemos preocuparnos de los ciberataques producidos por especialistas en delitos en la red, sino que cualquier descuido dentro de nuestra organización puede suponer una pérdida o fuga d datos que comportará los mismos problemas para nuestra organización.

Las consecuencias de una incidencia de este tipo pueden ser económicas, puesto que se nos puede imponer una sanción si se han expuesto o perdido datos de los que éramos responsable, y nuestro negocio puede llegar a detenerse durante un periodo de tiempo. Pero, además, las consecuencias pueden ser también reputacionales, ya que nuestros clientes o usuarios podría perder la confianza que han depositado en nuestra compañía y nuestra imagen quedaría dañada.

Desde OptimumTIC queremos contribuir al éxito y a la seguridad de tu organización ofreciéndote una lista de buenos propósitos relativos a la ciberseguridad, que puedes empezar a aplicar desde ya, para garantizar que tu organización sea aún más segura el próximo año. Además de procedimientos, te señalamos algunas herramientas, de las que somos Partner, que contribuirán a aumentar la seguridad de tu compañía.

  1. Determinar los datos que trata nuestra organización y definir las medidas de seguridad necesarias para protegerlos. Para ello, debemos realizar auditorías de manera periódica y configurar las medidas legales, técnicas y organizativas necesarias para proteger los datos que nuestra organización esté tratando, y que suponen uno de sus principales activos. Solicítanos información sobre las auditorías que realizamos desde OptimumTIC (sistemas de información, código, redes, etc.)
  2. Usar métodos de autenticación para acceder a las aplicaciones de la organización. Es recomendable usar más de un método de autenticación para garantizar la seguridad de la información y evitar accesos no deseados a ella, pero, como mínimo, debemos configurar una contraseña para cada acceso (única, personal e intransferible). En OptimumTIC somos PARTNER de Manage Engine.
  3. Utilizar contraseñas robustas. Las contraseñas deben contener, como mínimo, 8 caracteres de longitud, una mayúscula, un número y un carácter especial. A demás, es recomendable no repetirlas en más de una ocasión o en dispositivos/aplicaciones distintas. Configura tu Active Directory u otras herramientas con buenas políticas de seguridad.
  4. Habilitar el protocolo HTTPS en la web de la compañía. Las páginas web que utilizan el protocolo HTTPS cuentan con un certificado de seguridad que cifra los datos que se transmiten del navegador al servidor. Por tanto, es clave que nuestra página web lo utilice y que adoptemos como directriz en la compañía de no consultar portales web que no dispongan de dicho certificado. Para garantizar la seguridad de tu página web utiliza certificados seguros y garantizados, realiza políticas de código seguro y audita el código de desarrollo en tus aplicaciones.
  5. Realizar las actualizaciones de software periódicas y que marque el fabricante y proveedor. Es conocido que los ciberdelincuentes utilizan vulnerabilidades de softwares para realizar sus ataques, por tanto, si mantenemos nuestro software siempre actualizado contribuimos a mitigar el riesgo de ataques por esta vía, además de optimar su funcionamiento. Te ayudamos a actualizar todos tus sistemas operativos o ponerte en línea con herramientas como Office365.
  6. Realizar copias de seguridad de todos los datos de la compañía. Realizar copias de seguridad de todos los datos de la organización es un aspecto vital para garantizar la seguridad de la información que manejamos y la continuidad del negocio en caso de que se produjera cualquier incidencia, pérdida o fuga de información. Es importante realizarlas periódicamente, automatizarlas si es posible, y elaborar e implantar un procedimiento que designe a los responsables de su supervisión y el protocolo a seguir. Sistemas como DATTO y/o DRUVA permiten realizar copias de todas las aplicaciones, y de los datos que contengan, de una forma segura y acercándote al Compliance.
  7. Proteger la conexión a Internet y el tráfico de red mediante un firewall. Con la configuración de un firewall la organización podrá monitorizar todo el tráfico de red, así como establecer políticas restrictivas de descarga que contribuyan a mitigar riesgo de descarga de archivos maliciosos. Desde OptimumTIC somos PARTNER de las soluciones de mercado NextGeneration, como Palo Alto, creyendo en su solución e innovación a capa 7 desde 2010.
  8. Establecer políticas de uso para los dispositivos personales y la red corporativa. Generalmente los dispositivos personales no disponen de las mismas medidas de seguridad aplicadas que los dispositivos corporativos, por eso están importante establecer directrices claras respecto a su uso. Lo más aconsejable es no utilizar dispositivos personales para acceder a plataformas corporativas, tratar información de la compañía o conectarse a la red corporativa. Establecer un Marco como el ISO 27001 permitirá a las empresas disponer de procedimientos homogéneos ayudando en la optimización y cumplimiento para la empresa.
  9. Definir un protocolo de notificación, gestión y registro de incidencias. La seguridad absoluta no existe y, por tanto, aunque nos esforcemos en mitigar riesgos, podríamos ser víctimas de un ataque o podría producirse una incidencia en la organización. Por tanto, es importante tener definido un procedimiento que establezca los pasos a seguir en caso de que produjera esta situación para, junto con el Plan de Contingencia minimizar las consecuencias y asegurar la continuidad del negocio. Aparte de las normas y/o procedimientos es necesario disponer de herramientas que registren de forma categorizada una incidencia y permitan el seguimiento y aprendizaje. Herramientas de ITSM como Cherwell y/o Manage Engine le ayudará en toda la gestión.
  10. Habilitar comunicaciones seguras a través de correo electrónico corporativo. El correo electrónico sigue siendo uno de los puntos débiles a la hora de que se produzcan ataques o incidencias, por tanto, es importante asegurar el correo corporativo con medidas de seguridad adecuadas y concienciar a los empleados de su buen uso. Acompañarlo de herramientas como WildFire y otros de AntiMalware como puede ser TRAPS no solo ayudará a prevenir riesgos, sino que contrbuirá a mantener todos los equipos salvaguardados.
  11. Crear una cultura de ciberseguridad dentro de la organización. El empleado es el eslabón más débil en la cadena de la ciberseguridad, por ello debemos dedicar recursos a su formación y concienciación, para así contribuir a minimizar riesgos y, a la vez, aumentar la confianza de nuestros clientes o usuarios en la organización.  La formación y concienciación continua ayudará en la prevención.
  12. Realizar un análisis de riesgos y amenazas internos. En ocasiones, los riesgos para la información provienen del interior de la organización, y no del exterior, vía un antiguo empleado o un proveedor, entre otros. Distinguir estos riesgos para remediarlos facilitará el camino de la organización hacia la ciberseguridad. Con el RGPD es obligatorio disponer de un buen Análisis de Riesgos, realizar una auditoria en este ámbito y disponer de herramientas que ayuden no solo en la RGPD sino en toda la documentación y workflow asociado a la seguridad de los datos. Herramientas como ONETRUST pueden complementar las buenas prácticas de Compliance en la compañía.
  13. Proteger la infraestructura técnica de la organización ante posibles ciberataques. La infraestructura informática de la compañía es lo que sustenta a todos los sistemas que permiten que el negocio continúe, y en ocasiones no está cubierta por las pólizas de seguros estándar. Actualmente, existen ya pólizas especializadas en ciberseguridad, que incluyen la pérdida de los datos. Medidas de monitorización como PICUS, herramientas como Palo Alto, Fortinet y otros que implementamos con gran éxito le puede ayudar en proteger sus sistemas de información.
  14. Segmentar la red para que no pueda accederse de un sistema a otro. El acceso a la totalidad de la red de la compañía desde un mismo punto supone un alto riesgo de seguridad, pues sería muy fácil para un ciberdelincuente apropiarse de toda nuestra información, o hacer caer todos nuestros sistemas, sólo entrando en uno. En ocasiones no es necesario disponer de sistemas de firewall en medio de la red, pues i realizamos un buen diseño y aplicabilidad de esta conforme las capas de la organización, podemos conseguir alcanzar la seguridad óptima. En OptimumTIC estudiamos la compañía para establecer la estrategia de IT y establecer las soluciones de arquitectura informática de redes a nivel segmentación y microsegmentación más adecuada para la compañía.
  15. Estar actualizado sobre las nuevas normativas aplicables que se aprueben. Nuestra compañía debe estar actualizada en todas las normativas y legislaciones que le sean aplicables, como PCI-DSS, relativa a la seguridad de los datos en los pagos con tarjeta, LOPD y RGPD en relación a la protección de datos de carácter personales, o LSSII-CE en cuestiones de seguridad de la información y comercio electrónico. Sesiones de información y concienciación frente a todas las legislaciones de aplicabilidad en su compañía le pueden ayudar a realizar una estrategia de IT completa mundial y cumplir en Compliance, leyes y sobre todo Seguridad.

Para más información y/o una demostración sin compromiso de nuestros servicios y herramientas (como los anunciados aquí en formación) puede ponerse en contacto con OptimumTIC mediante un correo electrónico a info@optimumtic.com