(+57) 305 3642528 info@diveti.com.co

Seguridad de la Información para todos

La seguridad de la información no es un tema de grandes empresas que tienen servidores y ejércitos de personal atendiendo mesas de ayuda y sofisticados equipos tecnológicos. Imagine que usted lleva desarrollando una estrategia comercial durante meses, un nuevo producto en su computador y un colaborador de su organización ingresa a su computadora, inserta una USB, copia su producción intelectual y se retira de la organización. Seguramente, usted no tendrá conocimiento de lo sucedido a menos que tenga controles de seguridad de la información en su organización. A continuación presentamos acciones que puede emprender para proteger la seguridad de la información, sin importar el tamaño de su empresa.

 

1. Dispositivos Móviles y teletrabajo

  • No es recomendable que los celulares de todo el personal de su organización tengan sincronizado el correo corporativo. El riesgo de fuga de información es alto con base la confidencialidad de la misma.
  • Restrinja el uso de celular donde exista producción intelectual y de confidencialidad del negocio alta. Imagínese que de manera no mal intencionada uno de sus trabajadores tome una foto a la pantalla del computador de la próxima estrategia de ventas de la organización y se la envíe a un amigo, para que entre ellos la discutan.
  • Las herramientas de acceso remoto son una ventana para poder disponer de la información como se guste, en el caso que no exista la posibilidad de monitorear ese acceso. Por ejemplo un funcionario puede dejar abierta la sesión de acceso remoto de su computador de oficina y poder ingresar a las tres (3) de la mañana para poder copiar de la red interna todos los archivos que estén a su alcance. Asegúrese de monitorear que los computadores no cuenten con herramientas de acceso remoto.
  • En nuestros recursos podrá descargar lineamientos de teletrabajo para su organización aquí.

 

2. Seguridad de la información Recursos Humanos

  • El personal pueda ingresar con carné de identificación a las instalaciones. Imagine una situación de un recepcionista nuevo en una organización y se presente como. Buenos días, soy el gerente comercial de la organización. Hemos visto situaciones donde el recepcionista por ser su primer día, al no conocer a todo el personal le permita el ingreso y posteriormente esa persona termino hurtando algún objeto que haya considerado de valor. Aunque es una medida simple, puede ayudar a ahorrar millones en su organización.
  • En su reglamento interno de trabajo podrá clasificar las faltas graves y entre ellas puede estar, el hurto de información.
  • Contar con un acuerdo de confidencialidad de la información con el trabajador.
  • En los procesos de selección asegurar que exista veracidad de la información del candidato títulos profesionales, formación académica, trabajos anteriores. Hemos visto en varias oportunidades, que hay referencias profesionales de aspirantes de compañías que actualmente no existen o no se encuentran en la web, o los teléfonos son errados.
  • Asegurar capacitaciones constantes en seguridad de la información.
  • Definir las responsabilidades de seguridad de la información en los perfiles de cargo.
  • Una vez se termine la vinculación laboral, sí su trabajador contaba con acceso a diferentes aplicaciones en línea, es importante que su organización cuente y documente un proceso para realizar desactivación de esos usuarios. Hay situaciones donde las organizaciones tienen trabajadores retirados hace más de seis (6) meses y realizando auditoría de usuarios, se identifica que aún siguen ingresando y consumiendo el contenido de la organización.

 

3. Responsabilidad del activo

  • Definir claramente los activos de información de su organización, es decir, cual es esa información sensible que usted desea proteger. Así mismo al documentarlos su organización contará con un inventario definido de los mismos, que a su vez, le permitirán definir los riesgos asociados a dicha información. Vea nuestra sección de riesgos aquí
  • Todos los trabajadores deben realizar una devolución del inventario que les ha sido asignado al retirarse.
  • Documente sus procedimientos, si usted no tiene el hábito de documentar, aquí le enseñamos cómo.

 

4. Manejo de medios

  • Desactivar los puertos de entrada USB.
  • Sí usted cuenta con discos duros externos, aseguresé siempre que se encuentren bajo llave. Hay organizaciones que pueden tener toda la información de código de sus propios desarrollos en un dispositivo cómo estos. Puede que no sea dinero en efectivo, pero ese conocimiento puede costarle millones a su organización.

 

5. Control de acceso

  • Establezca control de acceso a ciertas áreas de su organización. Por ejemplo: Todos tenemos zona de archivo así se encuentre dentro de un mismo grupo de escritorios, es importante definir reglas de control de acceso a esa información. Preferiblemente siempre permanecer cerrada cuando nadie se encuentre en la oficina.
  • Organice en su computadora, que siempre solicité control de acceso con su usuario y contraseña, y cámbiela de manera periódica.
  • Si usted cuenta con software y tiene la posibilidad de asignar permisos de acceso o configuración, tenga presente que normalmente se encuentran las siguientes funcionalidades: a) visualización b) impresión c) creación d) modificación e) eliminación de la información. Alinear los permisos de acceso a la información con base a las necesidades del cargo, le permitirá a su organización dar una paso adelante en la seguridad de la información. Hay situaciones de fraude, donde los usuarios tienen acceso a la modificación y eliminación de información y esto ha posibilitado a que en organizaciones donde se recibe dinero directamente desde recepción, exista el riesgo que se modifique las facturas y así poder hacer hurto de dinero, generando así perdidas de millones en el año.

 

6. Seguridad física y del entorno

  • Puede usar dispositivos biométricos, si así lo determina, asegúrese que el reloj se encuentre adecuadamente configurado.
  • Asegúrese de contar con equipos extintores en el eventual caso de una emergencia.
  • Aislar y evitar contacto de agua y suciedad externa.
  • Si su organización se encuentra en un edificio compartiendo piso con otras compañías, usted podrá colocar a su puesta un “OJO DE PESCADO” en la puerta de su oficina. De ésta manera podrá visualizar quien se encuentra detrás de la puerta una vez hayan tocado.
  • Instalar sensores de humo, donde exista sensibilidad importante de su información.
  • Instalar sensores de movimiento con una empresa de seguridad (circuitos cerrados de televisión CCTV) protegiendo activos de mayor interés para su organización.
  • Si tiene servidores preferiblemente déjelos en un lugar aislado donde no exista ni siquiera la posibilidad de poder ingresar por medio de las paredes. Hemos visto situaciones donde se intentó vulnerar a un servidor, porque las paredes del servidor se encontraban próximas a una obra abandonada.

 

7. Equipos

  • Asegure sus computadores con una guaya, candado para evitar el hurto ágil de los mismos. Hemos visto situaciones donde los ladrones incluso pueden encontrar la oportunidad de vulnerar sus instalaciones y hurtar rápidamente un equipo, que no se encuentre asegurado.
  • Si cuenta con varios equipos, gestione el riesgo de la interrupción del servicio por corte de suministro eléctrico. Una planta de luz puede apoyarle.
  • La seguridad del cableado es relevante para evitar vulneraciones a su red, preferiblemente todos sus cables no se vean expuestos o estén en canaletas.
  • Genere una política de copias de seguridad o backups, debido a que si usted sobrescribe en un mismo disco duro, puede tener el riesgo de pérdida de información.
  • Elaborar una Política de pantalla limpia, la cual consiste en que evite tener carpetas, software instalado en la pantalla de escritorio inicial de su computador, ya qué si usted realiza un autodiagnóstico, podría darse cuenta que posiblemente tenga información sensible al alcance de un clic. También hay situaciones que los tesoreros de las empresas, están realizando pagos y dejan habilitado su computador, donde se puede ver el archivo de usuario y contraseña de los bancos de la organización.
  • Elaborar una política de escritorio limpio: Es común encontrar en las oficinas de recepción, o áreas abiertas al público, documentos que pueden considerarse de carácter confidencial. Imagínese que todo el personal, incluso externos, pueda ingresar a oficinas cómo la del gerente libremente incluso sí éste último no se encuentra en ella. Seguramente podrá encontrar contratos, información cómo indicadores de gestión, las ventas del mes y existe el riesgo de que una persona no autorizada tome información confidencial. Su organización podrá ahorrar importantes sumas en demandas por confidencialidad de información.
  • Los equipos comerciales o algunas áreas dejan información sensible escrita en los tableros de acrílico. Importante asegurar el borrado después de haber terminado una reunión.

 

 

8. Control de Software operacional

  • Realice auditorías periódicas a las computadoras, hay software o herramientas que le pueden apoyar a la gestión cómo BELARC ADVISOR.
  • Asegúrese del control de instalación de software no licenciado
  • Mantenga un antivirus actualizado, podrá así evitar situaciones de riesgo que coloquen en riesgo su información.

 

 

9. Mensajería electrónica

  • Sí tu organización ha crecido tanto y tus correos aún pueden enviar información a dominios no autorizados. Contáctanos

 

 

10. Compras y proveedores

  • Asegurar la socialización de una política de proveedores, donde se comprometan al cuidado de los activos de información.
  • Asegúrese de cumplimiento de ANS (Acuerdos de nivel de servicio) en materia de la seguridad de la información. Ejemplo: Usted contrato con una organización un software en la nube, sin embargo usted nota que hay días en que el servicio esta disponible, su proveedor debe asegurarle que cuando existan fallas de servicio, habrá un tiempo de recuperación del servicio y los datos que le componen. Existen situaciones donde el servicio puede estar en línea, pero todo el software no tiene información. ¿Qué paso? Sucede que los datos no se han reestablecido, tranquilos, no se ha perdido su información.
  • Audite y evalué de manera recurrente a sus proveedores con variables relacionadas a la seguridad de la información.

 

 

11. Gestión de incidentes de seguridad de la información

  • Defina un equipo de soporte o mesa de ayuda para la gestión de incidentes de seguridad de la información. Es importante que toda la organización se preocupe por la seguridad de la misma, ya que la construcción de años de esfuerzo se pueden escapar por no contar con controles a los riesgos.
  • Recolección de evidencia en el caso de tener incidentes de información, por ejemplo su organización cuenta con un hurto de computadores y pudo a través de las cámaras de seguridad darse cuenta, quien fue el responsable. Posteriormente deben asegurarse de realizar análisis de causas de ese incidente de información y generar los correspondientes correctivos y acciones correctivas.
  • Documente sus incidentes de información.

 

 

12. Continuidad de la seguridad de la información

  • Realice comités de seguridad de la información, donde estudien constantemente la matriz de riesgos de su organización en materia de seguridad de la información.
  • Asegúrese de realizar comités de continuidad de negocio. Por ejemplo: La situación de pandemia covid-19, ha orientado a las organizaciones a implementar teletrabajo. Sin embargo, sí esta situación se hubiese imaginado o simulado 1 año antes, seguramente la organización habría podido orientar algún plan de acción ante eventuales ausencias masivas de personal, para no interrumpir servicio. Otro ejemplo son terremotos, situaciones de orden público y simulen la situación. La simulación no solo es imaginar la situación sino actuar en ella, y todas las retroalimentaciones florecerán para mejorar tu seguridad de la información.

 

13. Requisitos legales y contractuales.

  • Para un diagnóstico integral de la seguridad de la información, escríbenos aquí.
  • Puede establecer derechos de propiedad intelectual desde el contrato de trabajo firmado por sus colaboradores.
  • Evite tener recursos fotocopiados de normas internacionales, software licenciado.
  • Asegurar los contratos de servicio con los proveedores tecnológicos.
  • Realizar una matriz legal para su organización, donde se listen los requisitos externos cómo, leyes, resoluciones, decretos, circulares, normas internacionales. Por ejemplo la ley 1581 de 2012.
  • En la matriz liste los requisitos contractuales de seguridad de la información de sus clientes, ya que es importante que se realice un monitoreo constante del nivel de cumplimiento de sus requisitos legales y contractuales.

Recursos gratuitos

Sí te gusto el contenido, compártelo en las diferentes redes sociales que encuentras, escribenos si tienes dudas y con el mayor de los gustos responderemos ———————————->>>> Te invitamos a descargar contenido en nuestra sección de recursos aquí.

Suscríbete

Con gusto te informaremos cada vez que tengamos actualizaciones, guías de consulta y contenido nuevo descargable, solamente déjanos tu información y nos contactaremos pronto aquí

Escríbenos todas las preguntas, que tengas en el siguiente recuadro. Con el mayor gusto responderemos.

Call Now Buttonllamar
×