La ciberseguridad es un tema que involucra a todas las empresas, sin importar el tamaño o la antiguedad. Por eso estamos publicando esta serie de recomendaciones para que los emprendedores puedan evitar ser víctimas de ataques cibernéticos. En la primera entrega, exploramos cómo manejar los dispositivos personales y servidores. En esta ocasión, revisaremos las medidas físicas y administrativas a tener en cuenta para evitar vulnerabilidades.
Cuando se piensa en ciberseguridad tendemos a pensar en vulnerabilidades de los sistemas, sin embargo los ataques se dan también debido a las personas, en el mundo real. Dejar información clave a la vista que permita a extraños acceder a los sistemas es una de las formas de propiciar un ciberataque. Por lo tanto, las medidas de seguridad física y adminstrativas son tan importantes para tener una buena ciberseguridad como contar con buenos sistemas de protección.
La ciberseguridad es un tema que involucra a todas las empresas, sin importar el tamaño o la antiguedad. Por eso estamos publicando esta serie de recomendaciones para que los emprendedores puedan evitar ser víctimas de ataques cibernéticos.
CONSULTORES 2021
En consecuencia, Pablo Corona, director de NYCE Sistemas de Gestión, nos comparte las siguientes recomendaciones en materia de seguridad física:
- Llevar bitácoras del personal con acceso al entorno de trabajo.
- Emplear cerraduras y candados para las gavetas y archiveros físicos.
- Usar mensajería certificada, según lo requiera el tipo de información a enviar.
- Realizar el bloqueo de los equipos cuando no estén en uso.
- Evitar que pantallas o expedientes con información sensible o confidencial estén a la vista de visitantes y clientes.
- Utilizar equipos de video vigilancia donde exista tratamiento de información sensible o confidencial.
- Limitar el acceso al personal interno y externo a las áreas que utilizan información personal, sensible o confidencial.
- Controlar el acceso de dispositivos con cámara, grabadora o video a las áreas que tratan información sensible o confidencial.
- Evitar que personas externas puedan manipular las bitácoras de acceso a las instalaciones y al registro de equipos.
- Utilizar elementos disuasorios como alarmas, guardias de seguridad, rejas, maletines de seguridad, entre otros.
Y en cuanto a las medidas administrativas, sus sugerencias son las siguientes:
- Contar con contratos que establezcan claramente las responsabilidades de los proveedores y el personal que tendrá acceso a la información.
- Definir y hacer cumplir una política de escritorio limpio.
- Establecer procesos de cierre y resguardo de información.
- Garantizar que impresoras, escáneres, copiadoras y buzones permanezcan limpios.
- Controlar las bitácoras, los usuarios y el acceso a instalaciones y puestos de trabajo, especialmente los que usen información sensible o confidencial.
- Establecer mecanismos para la destrucción segura de documentos.
- Capacitar y concientizar a todo el personal en torno a estas medidas y según sus funciones y acceso a información sensible y confidencial.
- Contar con políticas para retención y destrucción de información, protección de datos personales, atención y notificación de vulneraciones de seguridad y contratación de terceros.
- Realizar revisiones y auditorías internas y externas, que por ejemplo cuenten con una certificación en una norma como ISO/IEC 27001.
En conclusión, lo más importante en ciberseguridad, en relación a medidas físicas y administrativas, es garantizar que solo las personas encargadas tengan acceso a la información correspondiente a su rol. Nadie debe poder acceder a información sensible o confidencial de otra persona o área. Por lo tanto es importante seguir las recomendaciones de uso de los dispositivos personales y hacer cumplir las políticas y proceso de la organización para evitar vulnerabilidades. De no hacerlo, las empresas están habilitando una entrada para los ataques cibernéticos.
Puede que como emprendedor, esto no parezca una prioridad, pero recibir un ataque criminal puede ser catastrófico para el negocio. Por ejemplo, que un cibercriminal robe la plataforma en la que una startup ha venido trabajando, o que la destruya, puede hacer que la empresa no se recupere.