Publicado el 23/02/22
Como mencionamos en este espacio hace un tiempo es inconcebible la gestión de una empresa o de un negocio, por mas chicos que sean, en forma 100% manual (¿Por que una PYME necesita un consultor IT?). Al incorporar tecnología a la gestión abrimos la puerta a peligros de los que no somos del todo conscientes, pero que pueden generar pérdidas considerables.
Así como se utilizan puertas con cerraduras, alarmas, sistemas de seguridad y vigilancia, se debe destinar parte del esfuerzo de inversión y del presupuesto a la seguridad del ambiente informático de la empresa, para proteger los datos que son parte de los activos estratégicos. ¿Los datos son activos estratégicos?
Para evitar el agobio que pueden generar todos los términos relacionados con seguridad informática, vamos a un listado de puntos a contemplar para tener una estrategia armada que nos garantice cierto marco de confianza para trabajar:
1- Software: una verdad indiscutible respecto del software es que no es a prueba de fallos. Es imposible que en los millones de líneas de código que necesita Windows, Excel o cualquier programa que use para trabajar no esté escondido un error, que pueda derivar en un agujero de seguridad. Por eso, los desarrolladores que trabajan programando cada una de las piezas de software están permanentemente actualizándolo. ¿Cómo protegerse de esos fallos posibles? Software legal, licenciado o libre, siempre 100% actualizado. En el caso de los software personalizados o "a medida", establecer junto al proveedor políticas de actualización y de futuras correcciones por vulnerabilidades detectadas.
2- Barreras y muros: así como tenemos paredes, cerraduras, rejas para proteger las instalaciones físicas de la empresa, tenemos que tener prevista una serie de barreras para el mundo digital: firewalls (de software o de hardware), antivirus, antispyware, actualizados y bien configurados
Los firewalls son dispositivos de hardware o de software que filtran y examinan la información que viene a través de su conexión a Internet, tanto entrantes como salientes, y decidiendo qué acciones tomar respecto de ellas, en base a parámetros predefinidos.
Los antivirus son tipos de software que se utilizan para buscar, detectar y eliminar virus de una computadora. Una vez instalados, se ejecutan automáticamente en segundo plano para brindar protección en tiempo real contra ataques de virus. Es importante que estén actualizados, porque su efectividad se basa en la lista de virus que tienen registrada.
El antispyware es una tecnología de seguridad que ayuda a proteger a un equipo contra spyware y otro software potencialmente no deseado. Este tipo de malware recopila datos de la computadora (contraseñas, historial de navegación, datos de compras online) y los trasmite a un equipo fuera de nuestro ámbito de control.
3- Contraseñas: acá tenemos que lograr un delicado equilibrio entre la seguridad y que las operaciones fluyan. Dicen los manuales de seguridad que deben tener entre 6 y 10 caracteres, alternando mayúsculas, minúsculas, números y caracteres especiales, que deben caducar periódicamente y que la nueva contraseña no debe ser igual a las últimas 4, 6, 10 contraseñas anteriores, según que tan rígido sea el autor del manual. También deberían bloquearse después de n intentos de ingresarla en forma incorrecta.
¿Cómo combinamos estos tips con la fluidez de la operatoria diaria, en un mundo en el que las contraseñas se olvidan, caducan, se prestan, se anotan en un papelito pegado en el monitor, se bloquean, generando mayor carga de trabajo para los administradores de sistemas o los responsables de seguridad, según la estructura de sistemas que tenga la empresa?
Como siempre, pensemos de qué tipo de negocio, en qué industria estamos hablando. No es lo mismo una administradora de tarjetas de crédito o una startup que mina criptomonedas, que un estudio contable o un negocio minorista. Las políticas respecto de contraseñas deben definirse atendiendo a las consideraciones particulares de cada negocio.
4- Capacitación a los usuarios: en el último lugar de nuestros tips, pero debería estar en el primer lugar en los intereses de la empresa. La mayor parte de los problemas relacionados con seguridad se resuelven con un poco de paranoia y desconfianza de los usuarios. Formar usuarios calificados, que sean conscientes de lo que están haciendo, aprendan a leer todos los carteles de advertencia y no se limiten a apretar botones en automático, no sólo va a minimizar los incidentes de seguridad, sino que seguramente mejore la productividad al permitirles desde la capacitación, optimizar los recursos digitales.
Con estas cuestiones básicas se minimizan los riesgos, pero no se neutralizan del todo. Debemos considerar además, tener un plan de contingencia, incluyendo una política de backup bien definida y probada
Realizar un backup implica efectuar una copia de los datos que tenemos con el fin de tenerlos salvaguardados por si ocurre un problema. Este proceso de backup está íntimamente ligado a otro proceso, que es el de la recuperación (restore). La recuperación de un backup es el proceso inverso. Tuvimos un problema y no contamos con los datos (se eliminaron, se corrompieron): se toma el backup y se recuperan los datos guardados en el mismo. Y deben realizarse las dos tareas para estar seguros de que esa copia de seguridad nos va a servir cuando surja un problema.
Este proceso debe contemplar los siguientes aspectos:
1) ¿Qué? A veces el backup termina no sirviendo por no hacer un previo relevamiento de cuál es la información realmente critica que tiene que estar, y se terminan copiando archivos que cuando ocurre un problema son totalmente prescindibles.
2) ¿Cuándo? Con qué frecuencia se realiza. Si backupeamos una vez al mes y después nos damos cuenta que la información tenía un flujo diario, el backup no nos sirve, porque se han perdido una gran cantidad de datos.
3) ¿Dónde? Sobre qué soporte o medio se almacena. Cintas, DVDs, e incluso discos rígidos son usados y deben ser medios no solo seguros sino prácticos a la hora de utilizarlos. También es importante definir dónde se almacena esa copia o copias de seguridad.
4) ¿Cómo? A veces alcanza con copiar los datos, pero otras veces se necesitan equipos completos de respaldo o medidas más extremas (otro equipo en espejo, con todas las aplicaciones que usa la empresa, listo para recibir los datos del backup) para que la recuperación de los mismos sea inmediata en negocios la operatoria no puede parar.
En resumen, ya no se discute que sin que importe el tamaño de la empresa debe contar con una estrategia para la gestión de los recursos de IT y para la seguridad de los mismos. Si el tamaño de la organización no justifica un área de la empresa dedicada a estos temas, es importante contar con un referente externo que sea asesor de confianza para acompañar al empresario en estas decisiones.
