La información de una empresa es uno de sus activos más importantes y, en muchas ocasiones, el objetivo que persiguen muchos cibercriminales, además de estar expuesta a otros riesgos, como la pérdida o destrucción accidental. Por ello, adoptar medidas técnicas y organizativas que minimicen e incluso eliminen esos riesgos, es fundamental para cualquier empresa que quiera mantener segura su información. Si has llegado a este artículo preguntándote «¿cómo proteger la información de mi empresa?», sigue leyendo, porque vamos a explicarte cómo hacerlo.
En este artículo hablamos de:
¿En qué consiste proteger la información de una empresa?
Proteger la información de una empresa consiste, por un lado, en clasificar la información según su nivel de criticidad para la operativa de la empresa y su nivel de confidencialidad y determinar a qué riesgos está expuesta tanto en movimiento como en reposo, para, por otro lado, escoger y aplicar las medidas de seguridad necesarias y más adecuadas para minimizar el nivel de riesgo, así como la probabilidad de que se materialice.
Además, también implica adoptar medidas que permiten hacer frente a los riesgos una vez estos ocurren, para poder minimizar su impacto y poder volver cuanto antes a la normalidad.
Por lo tanto, la protección de la información de la empresa consiste en implementar medidas preventivas y reactivas para preservar y garantizar la confidencialidad, la disponibilidad y la integridad de la información. Lo que quiere decir que, aunque parte importante de ello, va más allá de la protección de datos de empresas, ya que engloba todo tipo de información, no solo la de carácter personal.
¿Qué información de la empresa se debe proteger?
La respuesta a cómo proteger la información de una empresa, empieza en saber qué información se debe proteger. Cada empresa, en función de su actividad, sector, tipo de operaciones, procesos, etc., tendrá una información más o menos importante que proteger, es decir, tendrá información que resultará crítica para su operativa diaria, otra para su competitividad y otra bajo acuerdos de confidencialidad, por ejemplo, además de aquella que debe proteger por mandato legal, como la que resulta de la protección de los datos personales de los empleados.
Pero, con carácter general, la información que una empresa debe proteger es aquella de carácter confidencial, la información interna que no debe ser difundida fuera de la empresa sin autorización y, dentro de estas, la información que resulta crítica para la operativa y procesos de la empresa, esa información cuya pérdida, daño o destrucción podría suponer la paralización de la empresa e incluso su desaparición (por los costes derivados que puede tener).
¿Por qué proteger la información de mi empresa?
Podemos resumir la respuesta a esta pregunta en X razones clave para proteger la información de tu empresa:
- Evitarás pérdidas económicas, sean estas derivadas de la pérdida de información, de sanciones por vulneraciones de protección de datos o acuerdos de confidencialidad, o por la pérdida de reputación.
- Generarás confianza entre clientes, empleados, socios comerciales, así como en inversores o accionistas (si tu empresa comienza a crecer o ya es una empresa grande).
- Evitarás ser objeto de determinadas extorsiones cibernéticas, como las derivadas de los ataques de ransomware.
- Cumplirás con diferentes leyes que obligan a garantizar la protección de la información, como son las obligaciones en protección de datos para cualquier empresa.
¿Cómo proteger la información de mi empresa?
A continuación explicaremos varias medidas que debes llevar a cabo en tu empresa para proteger la información; no nos limitaremos solo a responder a la cuestión de cómo proteger los datos personales de mis clientes, sino que estas medidas están destinadas a todo tipo de información que se maneja en la empresa (propiedad intelectual, propiedad industrial, datos de clientes, empleados, socios, planes de negocio, estrategias de negocio, contratos, etc.).
– Clasifica la información de la empresa y determina el estado de la seguridad de la información actual
El primer paso, como ya hemos adelantado, es clasificar la información para saber tanto cuál es la más importante para la empresa, la que debe permanecer confidencial y la que no se puede perder. Así mismo, también deberás determinar a qué amenazas y riesgos está expuesta esa información y ver el estado de las medidas de seguridad de la información que actualmente tienes implementada en la empresa.
Una posible clasificación de la información que puedas hacer sería esta:
| Tipo de información | Importancia | Riesgos y amenazas | Medidas de seguridad actuales |
|---|---|---|---|
| Crítica | Información indispensable para el funcionamiento de la empresa. Su pérdida generaría pérdidas económicas importantes o graves |
|
|
| Valiosa | Información que se considera un activo fundamental para la empresa, su pérdida no supondría pérdidas económicas, pero perjudicaría a la actividad normal de la empresa. |
|
|
| Confidencial | Información privada de la empresa, a la que solo puede acceder personal autorizado y cuya pérdida o daño puede tener consecuencias económicas y reputacionales. |
|
|
| Pública | Información difundida o hecha pública por la empresa. |
|
– Realiza análisis de riesgos
Una vez hemos hecho la clasificación de la información y determinado los riesgos y amenazas que está expuesta, el siguiente paso es realizar los correspondientes análisis de riesgos, para poder determinar el nivel de probabilidad e impacto de esos riesgos y amenazas. Para ello, lo más habitual es recurrir a la elaboración de mapas de riesgos, ya que permiten una visión más global, organizada y comprensible de cada riesgo y amenaza y sus niveles de probabilidad e impacto.
Las conclusiones del análisis de riesgos te servirán para determinar qué medidas de seguridad, tanto técnicas como organizativas, son las más adecuadas para mitigar tanto la probabilidad como el impacto de esos riesgos y amenazas y comprobar si las medidas de seguridad de la información que ya tienes implementadas son o no suficientes para ello.
– Crea e implementa políticas de seguridad de la información
El siguiente paso será crear e implementar políticas de seguridad de la información, esto pasa por elegir e implementar medidas de seguridad específicas, que debemos basar en los resultados y conclusiones de los análisis de riesgos.
Elegir las medidas de seguridad así como las políticas de seguridad más adecuadas para tu actividad es un proceso que puede resultar complejo y para el que, si no dispones de los conocimientos suficientes, necesitarás contar con ayuda de profesionales especializados en seguridad de la información y ciberseguridad.
Entre las diversas posibilidades a las que puedes recurrir, si decides ir por tu cuenta o tienes personal capacitado para ello, es adoptar como guía algunos estándares, como la norma ISO 27001 o la ISO 27002.
Pero con carácter general, y como guía también para proteger la información de tu empresa, estas son las políticas de seguridad de la información y medidas de seguridad que no deberías pasar por alto:
- Control de accesos: Una política de control de accesos debe basarse en el principio del mínimo privilegio, esto significa que se deben generar roles o perfiles de empleados y determinar, en base a sus funciones y tareas dentro de la empresa, a qué información necesitan acceder, y limitar mediante un sistema de contraseñas y clasificación de la información y su compartimentación el acceso a la misma (por ejemplo, un empleado de atención al cliente podrá acceder a los datos de los clientes, pero no a la información de contabilidad). Además, estos sistemas también permiten tener un registro y trazabilidad de quiénes acceden a la información. Así mismo, este control de accesos también debe ser físico, es decir, evitar que personas o personal no autorizado, en su caso, acceda las instalaciones o partes concretas de ellas.
- Cifrado de la información: Adoptar un protocolo de cifrado de la información, especialmente de aquella considerada confidencial o sensible, es fundamental para proteger la información de la empresa. Los discos, dispositivos móviles y/o archivos cifrados harán imposible que terceros no autorizados puedan acceder a la información o usarla, puesto que no tendrán la clave de descifrado para ello y lo único que verán será un galimatías.
- Copias de seguridad, DLP y DRP: Para asegurar la disponibilidad e integridad de la información, es fundamental adoptar medidas que las aseguren, como es la realización de copias de seguridad de la información clasificada como esencial y crítica para la empresa, así como la elaboración e implementación de planes de prevención de pérdida de datos (DLP) y de recuperación ante desastres (DRP). Ambos planes incluyen medidas técnicas y organizativas que permitirán a tu empresa prevenir la pérdida de información y reaccionar ante incidentes de seguridad u otra índole, respectivamente. Estas medidas garantizarán que ante un ciberataque u otro incidente que provoque la pérdida o destrucción de información, la empresa podrá recuperarla y restablecerla en poco tiempo y volver a la normalidad.
- Almacenamiento en la nube: El cloud computing y el almacenamiento en la nube es una solución a la que cada vez recurren más empresas. Si la tuya está entre ellas, es necesario adoptar una serie de medidas y precauciones, para que su uso no acabe derivando en problemas. Así:
- Busca proveedores de servicios en la nube de confianza, que cumplan con las normativas correspondientes (especial atención al RGPD) y cuyo soporte técnico sea fácilmente accesible.
- Establece una política clara para el uso de servicios en la nube para tus empleados, es decir, deja claro que no se deben usar servicios no autorizados o gratuitos y que se debe emplear solo aquellos contratados por la empresa.
- Acuerdos de confidencialidad: Si cualquiera de tus proveedores o socios tendrá acceso a información sensible o confidencial o información interna que no deba ser hecha pública (por ejemplo, si contratas un servicio cloud), debes formalizar con ellos acuerdos de confidencialidad y, en su caso, DNA (o acuerdos de no divulgación). Estos acuerdos son un compromiso legal y vinculante, con consecuencias legales para las partes, si alguna de ellas lo rompe. Este tipo de acuerdos es fundamental para la protección de datos personales, aunque en este caso, hablaríamos de cláusulas de confidencialidad en el contrato de encargo del tratamiento. Así mismo, también se pueden incluir cláusulas de confidencialidad en el contrato de los empleados (siempre dentro de los límites legales).
- Plan de ciberseguridad: El plan de ciberseguridad para por adoptar e implementar medidas de ciberseguridad, como pueden ser soluciones de seguridad integrales, sistemas de detección de intrusiones, sistemas de prevención de intrusiones, antivirus, firewall, seguridad endpoint, SOC, etc.
- Borrado seguro: A veces podemos olvidarlo, pero cuando vayas a deshacerte de viejos equipos o dispositivos, y, especialmente, si van a ser reutilizados o vendidos de segunda mano, es necesario realizar un borrado seguro de los mismos. Un borrado seguro supone recurrir a una herramienta específica para eliminar la información del dispositivo (que consiste en reescribir sobre ella para que no pueda recuperarse). En el caso de que los equipos y dispositivos no vayan a tener una segunda vida, deberán ser destruidos físicamente, ya lo hagas tú o recurras a una empresa certificada para hacerlo.
– Concienciación y formación del personal en seguridad de la información
Entre las medidas de protección de datos de una empresa, no puede faltar la concienciación y formación en seguridad de la información de los empleados, porque el factor humano es, con diferencia, el principal vector de ataque y agujero de seguridad para una empresa.
Descuidos, contraseñas débiles, falta de conocimientos, uso de programas no autorizados, etc., son solo algunos de los problemas de ciberseguridad y seguridad de la información que puedan provocar los empleados.
Por ello, impartir formación específica sobre seguridad de la información, así como las políticas de seguridad adoptadas e implementadas por la empresa, es fundamental para minimizar los riesgos en este frente. Recuerda esa frase a la que siempre recurrimos en ciberseguridad, «una cadena es tan fuerte como el más débil de sus eslabones», en este caso, el eslabón más débil es el usuario.
– Controles y auditorías de seguridad de la información
Elaborar políticas y planes de seguridad de la información y ciberseguridad es solo una parte de lo que implica proteger la información. Una vez implementados, es necesario controlar su cumplimiento por parte del personal (cómo acceden a la información, cómo la manejan, si toman las precauciones debidas y cumplen con las medidas adoptadas, etc.).
Así mismo, se deben realizar auditorías de seguridad de la información periódicas para asegurar que las medidas y políticas implementadas son efectivas y cumplen con su cometido. Este tipo de auditorías debería realizarlas una consultoría externa especializada en seguridad de la información, para mantener una mejor objetividad en el proceso.
– Cumplimiento normativo
Finalmente, pero no menos importante, dado que muchos aspectos de la protección de la información en la empresa vienen dados por leyes y reglamentos concretos, así como por la propia normativa interna de la compañía, es recomendable incluirla en el sistema de gestión de compliance de la empresa. De esa forma, como mínimo, estarás seguro de si se han implementado o no las medidas técnicas y organizativas para la seguridad de la información en determinados ámbitos que se exigen por ley.
Todas las medidas y políticas que hemos descrito a lo largo de este artículo pueden aplicarse, en una forma u otra, en cualquier tipo de empresa, sin importar su tamaño, porque la pregunta «¿cómo proteger la información de mi empresa?», es una que deben hacerse tanto grandes empresas como pymes. No cometas el error de pensar que si tu empresa es pequeña, su información no corre ningún riesgo, las pymes son también objetivo de cibercriminales y no están exentas de sufrir otro tipo de incidentes que pongan en riesgo la confidencialidad, integridad y disponibilidad de la información.
Una buena opción para empezar a cuidar la información de tu empresa, es adaptarla a la normativa de protección de datos, con ello implementarás medidas de seguridad que protegerán de diversos riesgos y amenazas, uno de los activos más importantes para tu empresa, la información personal de tus clientes, empleados, proveedores y socios.