La informació potser és el major patrimoni intangible de qualsevol empresa, sobretot amb l'imparable enlairament de les tecnologies de la informació i les comunicacions que envaeixen la pràctica totalitat de la logística, la comptabilitat i els recursos humans. Per aquest motiu, creixen exponencialment les amenaces sobre uns sistemes d'informació que cada dia demanen un major blindatge. És aquí on el concepte de seguretat informàtica reclama per a si un lloc de privilegi entre les funcions que han d'exercir els que gestionin el departamet TIC de les empreses.
L'enorme cabal de recursos tecnològics ha provocat que el seu tractament sigui un factor crític en el context general de la gestió empresarial, donades la indissolubilitat del concepte de negoci i la disponibilitat d'infraestructures tecnològiques eficaces i segures. En conseqüència, els departaments de tecnologia de la informació representen un element nuclear per a l'eficiència de les operacions comercials. Per a ells, és fonamental conèixer els diferents orígens de les amenaces que pengen sobre tota organització i els mètodes per oposar resistència. Bàsicament, es pot distingir entre:
-
Amenaces externes intencionades, com espionatge, sabotatge o robatori d'informació confidencial.
-
Amenaces externes accidentals, involuntàries o provinents de desastres naturals.
-
Amenaces internes intencionades, a mans del propi personal de l'organització.
-
Amenaces internes accidentals, generalment per males pràctiques dels empleats, desconeixement o negligència, com pot ser inserir un pendrive infectat en un terminal.
Mantenir una elevada vigilància sobre aquestes amenaces passa per dominar un seguit d'actuacions, que, en conjunt, generaran el desitjat entramat de seguretat informàtica de l'organització:
-
Fer còpies de seguretat que garanteixin la salvaguarda de dades, en cas de materialitzar una amenaça, que convé complementar amb mesures de seguretat contra pèrdua, dany o accés no autoritzat, com emmagatzemar les còpies en mitjans físics o llocs segurs, així com restringir l'accés només a persones autoritzades, allà on s'ubiquen. Aquest últim aspecte exigeix:
-
Classificar les aplicacions i zones de l'organització, segons el seu nivell de confidencialitat.
-
Establir criteris d'accés "need-to-know", basats en la necessitat funcional.
-
Un mètode fiable de creació i rotació de contrasenyes, recolzat en una sèrie d'hàbits, com:
-
Dotar-les de més de vuit caràcters alfanumèrics amb majúscules, minúscules i símbols.
-
Fugir de contrasenyes simples que coincideixin amb dades personals de l'usuari mateix o contrasenyes anteriors.
-
Utilitzar un gestor de claus per generar regularment còpies de seguretat.
-
Assegurar les actualitzacions de les aplicacions, el que minimitza el risc que les vulnerabilitats afecten els sistemes. Per a això:
-
Es revisaran cíclicament els llocs web dels proveïdors d'aquelles per identificar les noves que apareguin, així com les amenaces per a la seguretat informàtica que puguin sorgir.
-
S'investigarà la possible relació de qualsevol error sobrevingut amb la seguretat dels sistemes.
-
Es verificarà que aquests funcionen adequadament després d'executar qualsevol actualització.
-
Gestió d'antivirus: assegureu que cap equip queda exclòs i que es duen a terme rastrejos periòdics en els equips.
-
Instal·lar sistemes i aplicacions, en la línia dels estàndards de seguretat informàtica, i crear un entorn experimental completament estanc per dissipar tot risc d'afectació de qualsevol problema als altres.
-
El volum d'actius tecnològics gestionats per una empresa (ordinadors, perifèrics, dispositius mòbils, projectors, servidors, app, etc.) és de tal magnitud que s'aconsella mantenir una base de dades de Gestió de Configuració (CMDB), de complicat maneig però d'una extraordinària utilitat que, per ser real, exigeix una constant actualització mitjançant auditories; supervisió de canvis, entrades i sortides de material; etc.
En les recents onades d'atacs informàtics, el seu estil ha consistit en un "spear phishing" a empleats de l'empresa, amb l'objectiu de robar alguna credencial per a l'accés a aplicacions de gestió interna i practicar l'abordatge dels sistemes de l'organització. A les empreses veiem casos de ransomware, deformacions intencionades de pàgines web o robatoris d'informació. Per tot això, es fa indispensable formar constantment al personal en seguretat informàtica perquè sàpiga manejar les eines que l'equip de seguretat posa a la seva disposició, així com tenir recursos suficients per reaccionar positivament davant de qualsevol incidència anòmala.
Pel que fa als telèfons mòbils, convé no oblidar la necessitat de tenir-los ben blindats. Per a això, s'aconsella a les empreses dotar-se d'un pla EMM (Enterprise Mobile Management), ja que la seva manca pot fer-se càrrec de innecessaris seriosos riscos de seguretat
Com, amb freqüència, els atacs provenen de xarxes WiFi pròximes o de l'establiment d'estacions falses GSM, una pràctica molt recomanable per als departaments d'informàtica és efectuar proves experimentals per calibrar el temps que triga a tenir coneixement de qualsevol alerta l'equip de seguretat després provocar deliberadament accions de perill a les proximitats de les instal·lacions o dins d'elles. Del resultat d'aquests experiments podran extreure interessants conclusions sobre els aspectes que demanen més èmfasi en la formació dels equips humans.