Este es el segundo artículo que publicamos en nuestra serie de consejos para aumentar la seguridad de los datos y equipos informáticos en tu empresa. En este artículo vamos a tratar una serie de medidas de seguridad relativas a la llamada «seguridad lógica«, es decir, aquellas medidas que se pueden tomar en relación con los programas y sistemas que se utilizan dentro de los equipos informáticos.
Puedes leer el primer artículo en forma de introducción muy general aqui si lo deseas.
Técnicas de control de acceso
La implementación de técnicas de control de acceso sirve para mantener la integridad de la información (restringiendo la cantidad de usuarios y procesos con acceso a la misma) y para resguardar la información confidencial de accesos no autorizados.
De esta forma, se debe controlar el acceso a diferentes puntos dentro de una empresa, como pueden ser:
- Documentos de todo tipo.
- Bases de datos.
- Cuentas de servicios en la nube.
- Correo electrónico.
- Equipos informáticos.
El acceso puede controlarse a través de diferentes medios, como pueden ser contraseñas o pines; dispositivos u otros medios que las personas deben llevar encima, como tarjetas; o sistemas biométricos, como lectores de huellas o retina. Incluso técnicas más avanzadas, o la combinación de dos o más de estos medios, lo que se llama «autenticación en N pasos».
El método más común es el de introducir una contraseña, y damos por supuesto que si implementas alguno de los otros ya estás asesorado por alguna empresa en temas de seguridad, por lo que únicamente vamos a analizar cómo deben ser las contraseñas para que sean seguras:
- Deben tener al menos 8 caracteres, y combinar letras mayúsculas y minúsculas, números y símbolos.
- Lo mejor es no utilizar palabras en tu idioma, ni fechas ni números relevantes, sino cosas que no tengan ningún sentido ni significado.
- La contraseña no debe incluir combinaciones de caracteres repetidos o secuencias. Por ejemplo: «aaaa» o «123456».
- Cada empleado, si tiene varias cuentas en lugares diferentes, debe utilizar una contraseña diferente para cada lugar.
Un ejemplo de una buena contraseña sería: «_OjyU2k9@wH<«, ya que contiene todo tipo de caracteres, no contiene palabras en ningún idioma, ni secuencias o caracteres repetidos.
Administración de recursos y personal
Además de tener una buena política de creación de contraseñas o cualquier otro método de control de acceso, es importante tomar una serie de medidas para que, en caso de un posible ataque, los daños se minimicen:
- Proporcionar acceso a cada persona o proceso únicamente a los datos que necesita.
- Establecer los permisos mínimos a cada entidad sobre cada archivo: lectura, escritura, ejecución y borrado. Cada persona o proceso solo debe tener sobre un archivo los permisos estrictamente necesarios para llevar a cabo su tarea con ese archivo.
- Limitar acceso a recursos en función de localización u horarios. Por ejemplo, si un empleado está trabajando desde su casa, o desde una red no segura, limitar su acceso a determinados archivos más sensibles.
- Cuando un empleado abandona la empresa, hay que asegurarse de que se le deniegan todos los permisos que tenía de acceso a cualquier dato o proceso, y si es posible hay que hacerle firmar una claúsula de no divulgación de información relativa a la empresa, aunque esto lo mejor es hacerlo cuando un nuevo trabajador entra en la empresa.
- Se debe concienciar y entrenar al personal acerca de la seguridad informática, ya que todo lo mencionado con anterioridad no sirve de nada si tus empleados no lo tienen en cuenta y no lo aplican.
Mantener el software actualizado
No hay hasta la fecha ningún software que se haya lanzado y no haya tenido ninguna vulnerabilidad, y es por eso que los fabricantes de software lanzan actualizaciones de sus programas constantemente.
Es seguro al 100% que si no tienes un programa actualizado a la última versión, ahí tienes un punto donde te pueden atacar, por eso es importantísimo mantener el sistema operativo y los programas con los que se trabaja en tu empresa siempre actualizados a la última versión.
Seguir estos consejos e implementar las medidas que mencionamos en este artículo es básico, y no debería ser opcional. Son cosas que no llevan gran cantidad de tiempo, pero que sí tienen que hacerse en el momento adecuado y cuando toca.