La seguridad corporativa es tan fuerte como su punto más débil

Bajo las condiciones actuales, la seguridad informática es responsabilidad de todas las personas que forman parte de la organización.

Al tener roles y responsabilidades definidas dentro de una compañía, es normal asumir que la seguridad informática es una labor que depende directa y exclusivamente de los equipos que conforman el área de seguridad. Pero nada más lejos de la realidad que esta creencia, ya que con las nuevas tendencias teletrabajo y BYOD, el comportamiento de cada empleado tiene el potencial de convertirse en una amenaza con serias posibilidades de afectar a la compañía.

Asimismo, existen departamentos dentro de las organizaciones que ven al área de seguridad informática como un inhibidor del crecimiento de sus iniciativas. Por esto es que al momento de exponer al conjunto las necesidades de actualización del sistema de seguridad, siempre se debe recurrir al miedo para convencer, ya que aún es difícil comprender que la resolución de estas necesidades significa un impulso a la innovación y el avance del negocio.

Por esa razón, a continuación, expondremos cuáles son las prácticas que las empresas deben tener implementadas para que cada uno de los empleados puedan cumplir con los requisitos mínimos de seguridad dentro de la organización:

  • Utilizar una Conexión VPN para proteger la información que se intercambia entre nuestro dispositivo y la empresa en la que se asegure que se podrán cumplir con:
    • Una gestión de usuarios para reducir riesgos asociados a la alta y baja y cambios en las cuentas de los usuarios.
    • Establecer en las conexiones de los usuarios el Principio del mínimo privilegio.
    • Enfoque Zero Trust.
    • Revisión de la Postura de seguridad del Equipo.
    • Doble factor de Autenticación.
    • Reducción de Superficie de Ataque los permisos de acceso asociados a los segmentos de red de los usuarios dentro de las oficinas de las empresas deben heredarse y ser iguales a los permisos de acceso de segmentos de red asignados a través de las conexiones remota.
  • Uso normativo de los equipos de cómputo de la organización (endpoints, impresoras, scanners, etc.)
  • Manejo responsable del email.
  • Uso autorizado de mensajería instantánea.
  • Uso Autorizado de Video Conferencia y activar las siguientes funciones de seguridad:
    • Sala de espera.
    • Requerir contraseña para acceder a la reunión.
    • Bloquear la reunión una vez que todos se hayan incorporado a la sesión.
    • Video y micrófono apagados por defecto.
  • Establecer comunicaciones solo con usuarios conocidos.
  • Almacenamiento y reproducción de archivos de trabajo, así como de audio y video en equipos corporativos previniendo la pérdida de datos y gestionar el almacenamiento de la información generada, incluida las grabaciones de video y audio generadas en las aplicaciones de video conferencia, asegurándonos que estas estén cifradas.
  • Mantener en secreto elementos identificadores de usuarios y claves de acceso.
  • Mantener actualizados en sus propios dispositivos antivirus, antispyware y otros.
  • Crear copias de respaldo de la información.
  • Exigir licencias de software.
  • Usa única y exclusivamente el software autorizado por el área de sistemas.
  • Promover un entorno de trabajo seguro con escritorio limpios.
  • Crear una “Carta de Conocimiento y Aceptación de las Políticas de Seguridad Informática” y pedir a los empleados leerla y acreditar por medio de firmas su conformidad.
  • Educar a los empleados sobre los puntos externos susceptibles de amenazas que dependan de ellos.

Por último, siempre recomendamos gestionar la ciberseguridad por medio de una solución que verdaderamente se adapte a la estructura de la organización y para eso existe nuestra Solución Modular.