Aquí les comparto un ejemplo donde se establecen algunos puntos que deben considerarse al momento de establecer una política de ciberseguridad para usuarios que tenga como propósito proteger la información en una empresa.
GILBERTO ACUÑA
Durante aproximadamente 20 años tuve la oportunidad de ser el responsable de la infraestructura tecnológica y la seguridad informática en uno de los más importantes grupos embotelladores de Coca-Cola en México, y una de las tareas mas importantes fue la protección de la información y la infraestructura tecnológica de más de 90 servidores y más de 2,600 computadoras.
Establecer una política de ciberseguridad es muy importante para garantizar la continuidad de las operaciones de la empresa, ya que permite disminuir los riesgos de la pérdida de información al evitar actividades que puedan dañar a la empresa.
A continuación les comento lo que en nuestra opinión debe formar parte de dicha política de ciberseguridad. Sin duda alguna, una buena política de ciberseguridad de la información, debe reflejar la filosofía y forma de pensar de la empresa y debe ir acorde con la misma.
Este artículo pretende ser una guía, sobre la cual ustedes pueden comenzar a establecer sus propias políticas.
Sobre los equipos de cómputo, accesorios, software y sistemas, que son propiedad de la empresa.
Ejemplo de Política de Ciberseguridad:
“Los equipos de cómputo, accesorios, software y sistemas, que son propiedad de la empresa, únicamente deberán ser adquiridos, instalados, actualizados y des-instalados por el Departamento de Tecnologías de Información.”
Comentario sobre esta Política de Seguridad Informática:
Es importante que quede bien establecido que cualquier equipo de cómputo, es propiedad de la compañía y únicamente el personal de Tecnologías de Información está autorizado para su adquisición, instalación, actualización y des-instalación. Esto tiene como finalidad evitar que cualquier persona pueda tomar acción, ya que únicamente el personal de TI tiene el conocimiento total de las mejores configuraciones para las computadoras de la empresa.
Artículo relacionado:
Sobre el uso de Software sin licencia
Ejemplo de Política de Ciberseguridad:
“No está permitido el uso de software sin licencia, porque es ilegal y crea responsabilidad para la empresa.”
Comentario sobre esta Política de Seguridad Informática:
Sin ninguna duda, no se debe permitir bajo ninguna circunstancia la instalación y el uso de software sin licencia, por lo cual se debe ser muy estricto en este sentido, ya que puede tener consecuencias muy graves para la empresa.
Artículo relacionado:
Sobre el uso personal de los equipos de cómputo, software e internet, que son propiedad de la empresa
Ejemplo de Política de Ciberseguridad:
“Si está permitido el uso personal de los equipos, accesorios, software e internet, que sean propiedad de la empresa, siempre y cuando sea de una manera profesional que no interfiera con el desempeño de labores, consumo significativo de recursos o que interfiera con las actividades de otras personas.”
Comentario sobre esta Política de Seguridad Informática:
Es muy importante que se defina con claridad sobre si se puede o no se pueden utilizar los equipos de cómputo, accesorios, programas e internet que son propiedad de la empresa para uso personal.
Artículo relacionado:
Sobre el monitoreo del uso de los equipos de cómputo
Ejemplo de Política de Ciberseguridad:
“La empresa puede monitorear el uso de los equipos de cómputo, correo electrónico e internet para determinar si son utilizados de conformidad con las normas establecidas.”
Comentario sobre esta Política de Seguridad Informática:
Si la empresa cuenta con las herramientas adecuadas, se le debe informar a todos los colaboradores de la empresa, que la empresa se reserva el derecho de vigilar el uso adecuado de los equipos de cómputo, para que se cumpla lo dispuesto en esta misma política y garantizar la seguridad de la información.
No tener una contraseña robusta y segura sigue siendo uno de los principales riesgos para tu información.
Características de una contraseña segura
Ejemplo de Política de Ciberseguridad:
“Una contraseña segura debe tener al menos las siguientes características:
– Longitud mínima 8 caracteres compuestos por letras, números y símbolos
– Confidencial, no la compartas con nadie
– Cambiarla al menos cada 3 meses”
Comentario sobre esta Política de Seguridad Informática:
Recomendamos no utilizar contraseñas que estén formadas por la fecha de nacimiento, nombres de familiares o mascotas, números secuenciales, etc. En cambio, se pueden utilizar las primeras letras de alguna frase. Por ejemplo, de la frase: Pedro tiene 3 años y medio, resultaría la siguiente contraseña Pt3ay1/2.
Sobre la inhabilitación de una cuenta después de cierto número de intentos fallidos
Ejemplo de Política de Ciberseguridad:
“Las cuentas serán inhabilitadas al tercer intento fallido de ingresar la contraseña, ya que pudiera tratarse que alguien estuviera intentando utilizar tu cuenta.”
Comentario sobre esta Política de Seguridad Informática:
En el caso de Windows, recomendamos configurar de tal manera de que se inhabiliten cuentas de usuarios después de 3 intentos fallidos de tratar de ingresar a la red, debido a un uso de contraseña equivocada. En el caso de IOS, esta configuración es automática.
Sobre las contraseñas para el uso de los Sistemas ERP
Ejemplo de Política de Ciberseguridad:
“De igual manera, esta norma sobre la inhabilitación de las cuentas también aplica para el caso de los Sistemas.”
Comentario sobre esta Política de Seguridad Informática:
En el caso de los Sistemas, tales como un ERP, también tenemos que recordar de habilitar esta configuración para evitar posibles accesos no autorizados.
Sobre el uso de contraseñas para ingresar en sitios de Internet relacionados con la empresa
Ejemplo de Política de Ciberseguridad:
“Recomendamos no utilizar tu cuenta y contraseña que normalmente utilizan para ingresar a la red de la empresa, en sitios de Internet o en otros equipos que no sean propiedad de la empresa.”
Comentario sobre esta Política de Seguridad Informática:
De forma ideal, es mejor separar lo que es de la empresa de lo que es personal. En este caso, recomendamos utilizar contraseñas diferentes, tanto para asuntos relacionados con la empresa, como para asuntos personales.
El correo electrónico sigue representando una fuente importante de ingreso de hackers, spam o scam, por lo que siempre hay que estar muy atentos a utilizar esta herramienta adecuadamente.
Sobre los correos electrónicos con contenidos sospechoso o SPAM
Ejemplo de Política de Ciberseguridad:
“Se debe eliminar cualquier correo que no estés esperando con contenido sospechoso, que no haya sido solicitado y que contenga publicidad, ofertas, etc. (a esta actividad se le conoce como spam) aunque sea de alguien que tu conozcas, y se deben eliminar inmediatamente sin abrir.”
Comentario sobre esta Política de Seguridad Informática:
Los correos que tengan contenido o que incluyan un link sospechoso, se deben eliminar inmediatamente sin abrir, ya que es altamente probable que al abrir dicho link, se abra una brecha de seguridad que comprometa la información de la personal. De igual manera, se deben evitar a toda costa la propagación de correos denominados SPAM, o correos basura, los cuales normalmente se reciben debido a que se utilizó la cuenta de correo electrónico para registrarse en diversos sitios de internet.
Sobre no proporcionar datos personales e información bancaria para evitar el Phishing
Ejemplo de Política de Ciberseguridad:
“Evitar proporcionar tus datos personales confidenciales o información relacionada con tu tarjeta de crédito mediante un correo electrónico, ya que a esta actividad se le conoce como phishing y es una práctica común para engañar a las personas. A esta actividad se le conoce como Phishing”
Comentario sobre esta Política de Seguridad Informática:
Es muy importante evitar a toda costa, enviar por correo electrónico, y mucho menos por mensaje de texto o WhatsApp, cualquier tipo de información confidencial, como es el número de seguro social, o la información de tu tarjeta de crédito, o tu cuenta de banco, ya que no es posible saber si ese mensaje o correo electrónico puede ser reenviado mas adelante y caer en manos de personas que puedan hacer mal uso de dichos datos.
Sobre el tamaño máximo recomendado para enviar archivos adjuntos en un correo electrónico
Ejemplo de Política de Ciberseguridad:
“En general, un tamaño recomendado de un correo es menor a 25 Megabytes, incluyendo todos los adjuntos. Cuando envíes alguna imagen o fotografía, redúcela de tamaño primero. Si deseas enviar archivos de mayor tamaño, puedes usar G-Suite o cualquier otro parecido, y el personal de IT te ayudará a enviarlo.”
Comentario sobre esta Política de Seguridad Informática:
Enviar uno o varios adjuntos de gran tamaño siempre representa un problema, ya sea que se trate de un PDF o imágenes. En el caso de G-Suite, automáticamente colocará los adjuntos en Google Drive y enviará un link desde donde el destinatario podrá descargar dichos documentos.
Sobre la depuración periódica del correo electrónico
Ejemplo de Política de Ciberseguridad:
“Depura periódicamente tus correos. Guarda aquellos que verdaderamente necesites tener para referencia ó consulta.”
Comentario sobre esta Política de Seguridad Informática:
Es importante eliminar constantemente correos basura o que ya no se necesiten, para mantener unicamente aquellos que se puedan requerir en el futuro. De igual manera, se recomienda habilitar la política de la carpeta de SPAM para eliminar automáticamente aquellos correos que se alojen ahí por un máximo de 7 días.
Sobre no incluir tu firma en los correos ni en los documentos adjuntos
Ejemplo de Política de Ciberseguridad:
“No se debe incluir tu firma en correos ni en los documentos adjuntos.”
Comentario sobre esta Política de Seguridad Informática:
Si requieres firmar algún contrato, es mejor utilizar las plataformas de firma digital, tales como DocuSign, de lo contrario, no es conveniente incluir tu firma digitalizada en los correos ni en tus documentos adjuntos.
Sobre el uso del correo de la empresa para asuntos personales
Ejemplo de Política de Ciberseguridad:
“No utilices tu cuenta de correo de la empresa para asuntos personales. Mejor utiliza otra cuenta la cual también puede ser de utilidad como respaldo al correo de la empresa.”
Comentario sobre esta Política de Seguridad Informática:
De forma ideal, es mejor separar lo que es de la empresa de lo que es personal. En este caso, recomendamos utilizar contraseñas diferentes, tanto para asuntos relacionados con la empresa, como para asuntos personales.
Sobre el uso del correo de la empresa para asuntos personales
Ejemplo de Política de Ciberseguridad:
“No utilices tu cuenta de correo de la empresa para asuntos personales. Mejor utiliza otra cuenta la cual también puede ser de utilidad como respaldo al correo de la empresa.”
Comentario sobre esta Política de Seguridad Informática:
De forma ideal, es mejor separar lo que es de la empresa de lo que es personal. En este caso, recomendamos utilizar contraseñas diferentes, tanto para asuntos relacionados con la empresa, como para asuntos personales.
Internet sigue siendo la principal fuente de riesgo, por lo cual deben establecerse las siguientes políticas.
Sobre las restricciones en el uso de Internet
Ejemplo de Política de Ciberseguridad:
“Debe prohibirse desde el firewall el acceso a personas o equipos que no lo requieran. “
Comentario sobre esta Política de Seguridad Informática:
No necesariamente debe ser otorgado automáticamente el acceso a este servicio para todos, por lo que para algunas personas o computadoras este acceso podrá estar restringido o inclusive, sin acceso.
Artículo relacionado:
Sobre el acceso a sitios con contenido inapropiado
Ejemplo de Política de Ciberseguridad:
“De igual manera, se debe evitar el acceso a sitios de internet con contenido inapropiado o a ciertas redes sociales.”
Comentario sobre esta Política de Seguridad Informática:
Las redes sociales son una poderosa herramienta de comunicación, pero no necesariamente para todos. Si no hay una razón válida de negocio, se debe restringir a ciertas personas este servicio.
Sobre evitar realizar transacciones en sitios de internet que no se consideren seguros
Ejemplo de Política de Ciberseguridad:
“Antes de efectuar transacciones en Internet, verifica que el sitio sea seguro. Un sitio seguro lo puedes identificar de la siguiente manera: en la dirección de la página en lugar de http ahora aparecerá https (es decir, se le agrega la letra s de seguridad), y además aparecerá un candado lo cual indica que es un sitio seguro.”
Comentario sobre esta Política de Seguridad Informática:
Todo mundo debe saber diferenciar entre un sitio seguro y uno que no lo es. Se deben evitar a toda costa realizar transacciones en sitios que no cumplan minimamente los requisitos de seguridad.
Sobre el control de acceso en el firewall corporativo
Ejemplo de Política de Ciberseguridad:
“Cualquier acceso tanto de salida como de entrada a la empresa, deberá estar restringido desde el punto central como lo es el firewall de acceso.”
Comentario sobre esta Política de Seguridad Informática:
El departamento de IT, debe constantemente monitorear cualquier evento de un ingreso no autorizado, para lo cual constantemente se debe reforzar la seguridad de acceso desde el firewall principal a la empresa.
Si se cuentan con VPN’s, de igual manera se debe vigilar para poder detectar a tiempo el tráfico no autorizado o sospechoso.
Enviar mensajes confidenciales por medio de herramientas de mensajería, tales como WhatsApp, o cualquier otra, representa otra posible hueco de seguridad, por lo que se debe considerar incluir también como parte de la política de seguridad.
Sobre las herramientas de mensajería para negocio
Ejemplo de Política de Ciberseguridad:
“Se debe utilizar la herramienta autorizada para enviar mensajes que son propiedad de la empresa.”
Comentario sobre esta Política de Seguridad Informática:
Herramientas tales como Google Hangouts, ofrecen seguridad adicional al formar parte de la plataforma G-Suite. En este caso, se debe utilizar este tipo de herramientas para transmitir información confidencial. Además, todos estos mensajes son guardados automáticamente como parte de la plataforma G-Suite, por lo cual, en caso que un colaborador deje de trabajar en la empresa, siempre estarán disponibles estos mensajes propiedad de la empresa.
Es responsabilidad de cada persona asegurarse de que la información esté respaldada siempre y que se haga correctamente. Puedes usar la nube, un otros equipos en la misma red, un disco externo o una memoria USB.
Sobre la responsabilidad de los respaldos
Ejemplo de Política de Ciberseguridad:
“Es responsabilidad de cada persona asegurarse de que su información esté respaldada siempre y de manera correcta, para lo cual pueden utilizar otros equipos conectados a la red, tales como NAS, la nube como Google Drive, o dispositivos de memoria USB.”
Comentario sobre esta Política de Seguridad Informática:
Plataformas como G-Suite incluyen herramientas de respaldo, tales como Backup and Sync, las cuales permiten sincronizar la información almacenada en las computadoras en la nube de manera automática. Lo mismo ocurre con el correo electrónico. Se recomienda que pregunten al personal de TI, sobre estos respaldos de información.
Cuando compartas información desde tu equipo o la nube, también tienes que hacerlo de una forma segura, ya que es otra fuente de riesgo y alguien pudiera leer tu información sin autorización o borrarla por error. Sigue estas recomendaciones:
Sobre los permisos de acceso a tu carpeta compartida en la nube
Ejemplo de Política de Ciberseguridad:
“Asigna permiso únicamente a la persona a la que deseas compartir tus archivos de preferencia de lectura solamente, evitando hacerlo en forma general para todos y con todos los permisos.”
Comentario sobre esta Política de Seguridad Informática:
Es mejor compartir una carpeta a una persona, de solo lectura, que otorgar todos los permisos, a menos que esto sea necesario.
Sobre la revisión periódica de los permisos de acceso a tu carpeta compartida en la nube
Ejemplo de Política de Ciberseguridad:
“Revisa las carpetas que hayas compartido con anterioridad y elimina los permisos que ya no se requieran.”
Comentario sobre esta Política de Seguridad Informática:
En Google Drive, cada persona debe revisar constantemente los permisos que ha otorgado con anterioridad, de tal manera que aquellos accesos que ya no sean necesarios deben ser eliminados, ya que en ocasiones estos permisos solo fueron otorgados de manera temporal.
Como parte de la política de seguridad se debe considerar siempre la seguridad física como algo muy importante que no se debe descuidar. Es obligación de todos proteger siempre la información confidencial de la empresa, tales como información financiera, lanzamientos de nuevos productos, nómina, etc., por lo que se deben seguir las siguientes medidas:
Sobre la forma de proteger los documentos físicos en tu escritorio
Ejemplo de Política de Ciberseguridad:
“No dejes sobre tu escritorio información confidencial impresa o en medios electrónicos ya que pudieran ser leídos por otros durante tu ausencia.“
“De igual manera, evita dejar documentos importantes en impresoras y salas de juntas”
Comentario sobre esta Política de Seguridad Informática:
Asegúrate de que tu computadora se bloquee antes de salir de tu oficina, y en cuanto a los papeles importantes, guárdalos o bien utiliza una trituradora de papel de preferencia.
Siempre que imprimas un documento importante, asegúrate de recogerlo, más aun si la impresora es compartida por otras personas. De igual manera, ten cuidado especial en las salas de juntas ya que frecuentemente son olvidados documentos importantes ahí.
Se debe estar consciente de que debemos proteger en todo momento nuestra información y esto también involucra a bloquear la computadora con contraseña cuando estemos trabajando con información sensible o privilegiada.
Ejemplo de Política de Ciberseguridad:
“Los equipos de cómputo deben ser bloqueados con contraseña o apagados mientras no se encuentren en uso.”
Comentario sobre esta Política de Seguridad Informática:
Finalmente, no dejes tu computadora con información sensible a la vista de todos. Asegúrate de proteger tu información, así todos podemos contribuir un poco.
Finalmente, incluimos algunas recomendaciones finales, que son muy importantes para redondear todos los aspectos de la seguridad de la información. Es necesario todos estar conscientes de que esta es una tarea que nunca termina, y siempre está en constante evolución.
Sobre cualquier comportamiento sospechoso en tu computadora
Ejemplo de Política de Ciberseguridad:
“Si sospechas la presencia de algún virus o ataque informático, recibes correos dudosos, detectas lentitud anormal en tu equipo y en el envío o recepción de información o cualquier otra anomalía, por favor avisa al departamento de Tecnologías de Información.”
Comentario sobre esta Política de Seguridad Informática:
Por favor avisa siempre a TI, si piensas que tu computadora está muy lenta, o si consideras que algún intruso pudo haber accesado tus datos.
Es importante que claramente se establezca cuál es la entidad responsable para enviar notificaciones y alertas relacionadas con la seguridad informática.
Ejemplo de Política de Ciberseguridad:
“Sólo TI puede enviar mensajes relacionados con la seguridad, por ejemplo, advertencias sobre virus, etc.”
Comentario sobre esta Política de Seguridad Informática:
Por cuestión de orden, únicamente el departamento de Tecnologías de Información esta autorizado para enviar notificaciones y alertas sobre virus y seguridad informática.