Políticas
de
Seguridad

Definición

Capacidad, las condiciones y características del activo mismo (incluyendo la entidad que lo maneja), que lo hace susceptible a amenazas, con el resultado de sufrir algún daño o ataque.

^

Evaluación de vulnerabilidades

Para una correcta valoración de los riesgos de la Organización se debe evaluar la vulnerabilidad y la probabilidad de su ocurrencia

Preguntas necesarias sobre la actividad y funcionamiento de una empresa para establecer qué elementos son necesarios proteger ante sus vulnerabilidades:

¿Qué tecnología utiliza la empresa?

¿Cómo se realiza el mantenimiento de su sistema informáticos?

¿Se ha implementado algún sistema de protección en los equipos informáticos?

¿Tienen los empleados conocimientos básicos sobre ciberseguridad?

¿Existe algún tipo de control de acceso físico en las instalaciones?

¿Cómo se lleva a cabo la destrucción de documentos soporte de dispositivos como ya no son cuando no son necesarios?

¿Se cumple la legislación en materia de Protección de Datos?

¿Trabajan los empleados conectados desde el exterior de las instalaciones?

Debemos analizar dichas respuestas, estas pueden considerarse los factores vulnerables de un puesto de trabajo.

Vulnerabilidades según

Hardware

Dispositivos de almacenamiento externos , que son una forma frecuente de entrada de malware

Dispositivos móviles , que son propenso a robos o pérdidas

Ordenadores o impresoras sin actualizar el firmware.

Software

Software no autorizado en cualquier dispositivo

Código con errores que puede abrir puertas a atacantes.

Falta de parches de seguridad que dejan el sistema vulnerable.

Instalaciones

Material sensible expuesto.

Instalaciones que no permanezcan cerradas y pueda entrar alguien no autorizado

Camaras de seguridad, no tener videovigilancia

Datos

Documentos en papel con información confidencial

Disco duro como única medida de copia de seguridad

Permisos de los usuarios sin controles.

Comunicaciones

Redes no seguras: Uso de redes sin cifrado

Exposición de puertos innecesarios: Puertos de comunicación abiertos

VPN no implementada

Personas

Contraseña débil

Personal no formado en el ámbito de la ciberseguridad

Negligencias o errores humano

Redes WiFi

Prohibir el acceso a repositorios críticos desde redes públicas no seguras.

Obligatorio usar VPN corporativa para trabajar con información confidencial o sensible.

Si es necesario, es más seguro utilizar la conexión de datos móviles, en lugar de redes públicas.

Correo electrónico

Desconfiar de remitentes desconocidos y no abrir enlaces o archivos adjuntos .

Notificar al departamento de seguridad cualquier correo sospechoso.

Formación y recordatorios constantes para reconocer correos electrónicos maliciosos.

Navegación segura

Controlar el acceso a sitios web y bloquear el acceso a sitios no relacionados con el trabajo.

Evitar descargar archivos de sitios desconocidos o que no tengan relación con el trabajo.

Tener siempre actualizado el navegador para proteger contra vulnerabilidades recientes.

Identificación de virus y malware

Formaciones y simulacros para reconocer signos de infección en el dispositivos.

Escanear dispositivos externos para asegurarse de que no contienen malware.

Concienciación para verificar siempre el remitente antes de abrir un archivo adjunto.

Gestión de contraseñas

No utilizar la misma contraseña para sitios diferentes.

Usar gestor de contraseñas

Cambiar las contraseñas habitualmente y no volver a utilizar contraseñas antiguas.

Clasificación de la información

Protección y clasificación de datos personales y confidenciales.

Auditorías periódicas para asegurar que se siguen las políticas de clasificación y que la información está correctamente protegida.

Identificar niveles de clasificación según el tipo de información.

Borrado seguro de la información

Utilizar herramientas de borrado seguro de archivos.

El borrado tradicional no elimina permanentemente los datos, y se pueden recuperar con herramientas especializadas.

Leyes de privacidad y normativas exigen el borrado seguro de datos personales.

Dispositivos USB

Evitar el uso de dispositivos USB personales en equipos corporativos.

Configurar los equipos para que no ejecuten automáticamente el contenido de los dispositivos al conectarlos.

Pueden ser infectados fácilmente y transmitir virus y malware a cualquier equipo al que se conecten.

Dispositivos móviles

Autenticación en los dispositivos móviles y cifrado de datos.

Descarga de aplicaciones desde tiendas oficiales, para reducir instalar software malicioso.

Necesidad de actualizaciones frecuentes para solventar vulnerabilidades detectadas.

Programas de mensajería instantánea

Utilizar solo aplicaciones corporativas para la comunicación.

Evitar compartir archivos y redirigir el almacenamiento de documentos a sitios seguros en la nube.

Aplicaciones con cifrado de extremo a extremo para proteger las conversaciones.

Redes Sociales

Concienciar sobre la publicación de información confidencial.

Suplantación de identidad

Cuidado con la información sobre empleados, roles en la empresa, horarios o rutinas, que facilitan ataques.

Técnicas de ingeniería social

Formaciones sobre técnicas utilizadas habitualmente por los atacantes y cómo responder ante ello.

En caso de duda sobre la identidad de alguien, preguntar o esperar antes de compartir información.

Nunca proporcionar contraseñas, datos personales de clientes, o información confidencial en una llamada o correo sin confirmación.