Tarsis.net — Agencia Web y Marketing Digital — Tel: (+34) 911 413 259 EU

Tarsis.net ‚Äļ Agencia Web y Marketing Digital

Políticas de seguridad para PYMEs

Tarsis.net

Imagen de 🇨🇭 Claudio Schwarz | @purzlbaum en Unsplash

Mucha responsabilidad, pero no est√° solo

Si es usted responsable de IT y/o de seguridad informática de una PYME, está bajo presión continua debido a los nuevos y crecientes retos de la seguridad informática. Usuarios, dispositivos, sistemas y servicios son un rompecabezas permanente y las consecuencias de no revolverlo de forma correcta pueden afectar a la operatividad de la empresa y a la seguridad y privacidad de los usuarios, de los clientes y de los proveedores.

El primer paso es siempre enumerar los objetivos (estrategia) y el segundo establecer las políticas (táctica) para conseguirlos. Esto debe traducirse en una colección de políticas de empresa respecto a la seguridad y la privacidad en las operaciones del día a día.

Como responsable de este tema, una de sus obligaciones consistirá siempre en divulgar entre los empleados, clientes y proveedores las políticas que deben cumplirse durante las operaciones, y poner esas políticas al alcance de todo el mundo, por ejemplo en la intranet de la empresa o en el proceso de on-boarding por el que pasan los nuevos empleados.

Las PYMEs habitualmente no disponen de recursos infinitos en tiempo y dinero para desarrollar sus propias políticas, cuyo desarrollo puede convertirse en un proyecto largo y tedioso, de esos que nunca se ven completados.

Afortunadamente existen recursos para no tener que empezar desde cero y poder empezar con gran parte del camino andado, y pensando sólo en la adaptación de esas políticas a nuestro caso concreto y a la forma de su puesta en marcha.

Organizaciones especializadas, pertenecientes a administraciones p√ļblicas nacionales y europeas, publican pol√≠ticas, recomendaciones y avisos de seguridad que pueden facilitar en gran medida estas tareas.

INCIBE

El Instituto Nacional de Ciberseguridad es una empresa (no un organismo p√ļblico), dependiente del Ministerio de Econom√≠a y Empresa, que se dedica a recopilar informaci√≥n, investigar, divulgar, formar y asesorar sobre ciberseguridad tanto a empresas como a ciudadanos y a organismos p√ļblicos.

Como resultado de sus esfuerzos, Incibe pone a disposici√≥n del p√ļblico una serie de recursos que pueden ser valiosos para mantenerse informado de los √ļltimos riesgos de seguridad, desarrollar pol√≠ticas de seguridad propias y formarse en temas espec√≠ficos de la seguridad:

  • Pol√≠ticas de seguridad para PYMEs, donde se encuentran documentos orientados a distintos perfiles de persona (empresario, t√©cnico, empleado) para cubrir los temas m√°s importantes de la seguridad (legales, almacenamiento de datos, planes de contingencia, etc. Este recurso ser√° √ļtil a quienes deseen informarse y profundizar en temas b√°sicos de la seguridad de la informaci√≥n.
  • Dentro de la gama de informaciones que Incibe divulga regularmente podemos mencionar su Bolet√≠n, un Blog, sus Avisos de Seguridad y un CERT (Computer Emergency Response Team), que dispone de un sitio web aparte, para personas m√°s especializadas y responsables de atajar amenazas.
  • Dentro del campo de la formaci√≥n, Incibe dispone de Gu√≠as, Talleres e Itinerarios formativos sectoriales, con especializaci√≥n en sectores concretos.
  • Adem√°s, este instituto celebra anualmente diversos eventos en los que se dan cita profesionales de la ciberseguridad y en los que uno puede ponerse al d√≠a y escuchar de primera mano las experiencias de expertos. Estos eventos son el Encuentro Internacional de Seguridad de la Informaci√≥n (ENISE), el Iberoamerican Cibersecurity Challenge (ICSC), el Cybersecurity Summer BootCamp (CyberSBC), que est√° especializado en formaci√≥n, y el Cybercamp.

Como puede verse, existen a nuestra disposición una infinidad de recursos que pueden ser aprovechados por los profesionales que quieran profundizar en el conocimiento y la práctica, y muchos de ellos no requieren moverse de casa.

ENISA

Para aquellos que se sientan c√≥modos en un √°mbito internacional — y se defiendan en ingl√©s, franc√©s, alem√°n o griego –, la Uni√≥n Europea cuenta con una organizaci√≥n similar, de √°mbito multinacional, llamada ENISA (European Union Agency for Network and Information Security).

ENISA es una organización plurigubernamental basada en Atenas, que tiene como principal misión desarrollar estrategias y asesorar a los gobiernos de los estados miembros en la creación e implementación de políticas, lo cual puede apreciarse tanto en la naturaleza de la información que genera como en el hecho de estar más orientado a sectores estratégicos que puedan ser considerados objetivos por atacantes externos, como por ejemplo la Industria 4.0 o las infraestructuras energéticas o de comunicaciones.

Pero tiene también una vertiente más vinculada a la práctica y a la publicación de estudios que pueden orientar sobre la importancia relativa de las amenazas presentes y futuras.

Entre los recursos que ENISA pone a nuestra disposición destacaremos:

  • Topics recoge art√≠culos de investigaci√≥n sobre infraestructuras, servicios de la nube, CERTs, secciones dedicadas a sectores especializados (gobiernos, cuerpos de seguridad), formaci√≥n, gesti√≥n de crisis, Internet de las Cosas (IoT) y muchos otros.
  • Dispone tambi√©n de una secci√≥n de Publicaciones que recoge informaci√≥n sobre multitud de temas, bien organizados, y entre los que cabe destacar los informes anuales que recogen informaci√≥n consolidada sobre incidentes en toda la Uni√≥n Europea.
  • Existe tambi√©n una secci√≥n dedicada a inventariar los equipos de respuesta de incidentes de seguridad (CERTs, o CSIRTs en terminolog√≠a de ENISA) que trabajan en el √°mbito de la Uni√≥n Europea, y del que ofrecemos como ejemplo la relaci√≥n de CERTs que trabajan en Espa√Īa.

Otros recursos

Como cierre, ofrecemos aquí algunos recursos valiosos, todos ellos en inglés, que forman parte de una larga tradición de esfuerzo colaborativo para mejorar la seguridad de los servicios en Internet:

  • NIST Cybersecurity Framework. Los americanos, a diferencia de nosotros los europeos, saltan inmediatamente a una aplicaci√≥n pr√°ctica para cualquier descubrimiento o t√©cnica (lo que ellos llaman hands-on). El Instituto Nacional para los Est√°ndares y la Tecnolog√≠a de los EE.UU (NIST) dispone desde hace cinco a√Īos de un amplio marco de seguridad dirigido a sus empresas. Este marco se encuentra traducido al espa√Īol.
  • El Internet Storm Center (ISC), del Instituto Sans de Tecnolog√≠a es uno de los m√°s veteranos y experimentados centros de detecci√≥n temprana y an√°lisis de amenazas. El ISC est√° operado por voluntarios que se esfuerzan no s√≥lo en despertar alertas, sino tambi√©n en explicar la naturaleza y el alcance de las amenazas detectadas.
Podemos ayudarle. Si su empresa puede beneficiarse con la creación de una intranet/extranet corporativa, herramientas de colaboración empresarial o integración de tecnologías de terceros, contacte con nosotros y estudiaremos su caso, sin compromiso.

Publicado en: Empresa

Etiquetas:

Puede usted hacer un comentario, o enlazar desde su propio sitio web o blog.

Escriba un comentario