El término “seguridad”, aplicado a la informática, es enormemente amplio, puesto que engloba multitud de aspectos, y puede entenderse de muy diferentes formas. Con la adopción cada vez más extendida de Internet como una herramienta más para la empresa, aparecen también nuevos riesgos y amenazas que controlar. Por ello, resulta esencial centrarse en aquellos aspectos de seguridad que afectan al funcionamiento cotidiano de una pyme y que pueden comprometer su actividad si no están adecuadamente cubiertos.
Decálogo de buenas prácticas.
En forma de decálogo, se enumeran a continuación diez puntos que de una manera sencilla ayudan a elevar la protección de los equipos informáticos de la empresa y la información que contegan.
1. Disponer de contraseñas de acceso seguras.
Para evitar que personas no autorizadas accedan a los datos de los ordenadores de la empresa, se deben establecer contraseñas de acceso. Éstas no deberán estar formadas por palabras o números fácilmente atribuibles al usuario o usuaria del ordenador, como números de teléfono, fechas de nacimiento, nombre y/o apellidos, etc., puesto darían lugar a contraseñas muy vulnerables. Asimismo, una vez generadas han de protegerse de modo que sólo sean conocidas y accesibles por las personas autorizadas.
Pueden emplearse varios tipos de contraseñas de forma combinada:
- Contraseña de inicio. Se solicita antes de que se cargue siquiera el sistema operativo, con lo que se evita que mediante CD o DVD pueda accederse al contenido del disco duro. Es extremadamente útil en los equipos portátiles.
- Contraseña de persona usuaria. En la actualidad, la práctica totalidad de los sistemas operativos permite la creación de diferentes cuentas de usuaria/o, de manera que distintas personas pueden, así, utilizar el mismo equipo manteniendo cada una diferentes configuraciones y datos. Estas cuentas deben protegerse con una contraseña
- Contraseñas de archivo. Muchas aplicaciones ofimáticas (y de otro tipo) permiten proteger los archivos mediante contraseñas para restringir el acceso a los que contengan información sensible.
2. Realizar copias de seguridad.
Los datos que una empresa genera día a día constituyen un activo más; su pérdida puede acarrear graves consecuencias en la mayoría de los casos. Es por ello que toda la información contenida en los equipos informáticos debe salvaguardarse rutinariamente, mediante copias de seguridad que graben en soportes externos al equipo todo lo esencial.
Existen multitud de tipos de soportes; entre ellos debe elegirse el adecuado a las necesidades existentes en función del volumen de los datos a copiar, su nivel de confidencialidad, la frecuencia con la que se actualicen…
Es muy recomendable automatizar el proceso de copia (la mayoría de aplicaciones diseñadas específicamente para realizar copias de seguridad lo permite), de tal modo que se pueda ejecutar regularmente sin intervención de una persona.
3. Proteger físicamente los equipos (SAI).
Los equipos informáticos destinados a uso profesional en una empresa deben ubicarse donde el riesgo de daños accidentales sea mínimo, ya que son dispositivos extremadamente sensibles.
La instalación de un SAI (Sistema de Alimentación Ininterrumpida) puede contribuir notablemente a prolongar la vida útil de los equipos y, sobre todo, a evitar daños en la información almacenada. Un SAI contiene una batería que permite a los equipos a él conectados continuar funcionando en caso de corte en el suministro eléctrico. Además, integran mecanismos de filtrado de las subidas o bajadas en la tensión, potencialmente peligrosas para la electrónica interna.
4. Disponer de cortafuegos.
Los cortafuegos permiten definir qué tipo de accesos desde y hacia nuestro equipo o equipos se autorizan y cuáles se deniegan, para proteger así su integridad y la de la información y preservar su correcto funcionamiento.
Hay cortafuegos por software (programas) y por hardware (se integran en dispositivos físicos).
5. Redes sencillas.
Las redes formadas por un número pequeño de equipos, o con una estructura simple, pueden mejorar su seguridad si los recursos que van a compartir se establecen adecuadamente.
6.Redes complejas.
En las empresas con numerosos ordenadores conectados en red, con distintos tipos de información que debe ser compartida, o con requisitos de seguridad moderados o altos se hace recomendable la definición de políticas de usuaria/o y de compartición de recursos.
7. Disponer de software antivirus y antiespías actualizado.
Los virus, gusanos y troyanos son algunos de los programas dañinos más conocidos. A ellos se han sumado en los últimos tiempos los programas espía, la publicidad no deseada, y un largo etcétera de amenazas cuyo origen está principalmente en Internet. Es necesario disponer de un software de protección contra estos elementos debidamente actualizado y configurado.
8. Mantener actualizado el sistema operativo y las aplicaciones.
Las personas desarrolladoras de software publican periódicamente pequeñas aplicaciones o “parches” que corrigen incidencias o amenazas en los programas. Es fundamental instalarlos en cuanto se encuentren disponibles, para incrementar el nivel de protección de los sistemas.
9. Precaución en el uso de correo electrónico y mensajería instantánea.
El uso de ambos comporta ciertos riesgos, pues pueden ser puerta de entrada de elementos perjudiciales (virus, etc.) y de mecanismos de engaño (phishing, pharming...). Conviene no transmitir datos confidenciales o sensibles, si no existen los mecanismos de autentificación y seguridad adecuados en todas las partes, y no aceptar elementos de fuentes desconocidas o de contactos de confianza pero que no hayan sido solicitados con anterioridad o parezcan fuera de contexto; confirmar siempre previamente.
10. Precaución en la navegación por Internet.
No acceder a sitios web desde enlaces contenidos en correos electrónicos o mensajes instantáneos del tipo de los descritos anteriormente. No introducir datos confidenciales en páginas que carezcan de los requisitos de seguridad adecuados (navegación segura, por ejemplo).
Siempre que se deban ceder datos personales, y/o realizar alguna transacción económica a través de Internet, verificar que el portal cumple los requisitos legales exigidos, y en particular con lo dispuesto en:
.jpg)
