La crisis de Covid-19 ha acelerado la introducción del teletrabajo. Tuvimos que organizarnos y permitir a los empleados acceder a sus datos de trabajo desde casa. En este contexto, ¿cómo garantizar la ciberseguridad de su organización? La norma ISO 27001 nos aclara este tema.
Como referencia, a finales de 2020, la Agencia Nacional de Seguridad de los Sistemas de Información (ANSSI o Agence Nationale de la Sécurité des Systèmes d’Information por sus siglas en francés) advirtió sobre la creciente proporción de ciberataques en Francia en el contexto de la crisis sanitaria. De hecho, en un mundo cada vez más conectado, las empresas de todos los tamaños están expuestas a riesgos que pueden poner en peligro muchos de sus datos, incluidos los de sus clientes y/o proveedores.
Por lo tanto, el objetivo de la ciberseguridad es proteger esta información y mantener la integridad de los recursos informáticos. No sólo las grandes empresas son objeto de ciberataques : de hecho, las pymes pueden ser objetivos principales, ya que a veces están menos preparadas para este tipo de riesgo.
Incluso las instituciones sanitarias se enfrentan a ello. Este fue el caso reciente del hospital de Dax y del hospital de Villefranche-sur-Saône, que sufrieron un ciberataque a gran escala. El sistema informático de estos dos hospitales se paralizó durante varias horas, y el personal del hospital tuvo que adaptarse en consecuencia para garantizar la continuidad de la actividad.
Recientemente, el gobierno francés ha publicado un plan de 1.000 millones de euros para luchar contra la cibercriminalidad y establecer acciones específicas para los hospitales. Entre las acciones previstas : sensibilizar y apoyar a las estructuras en la adopción de soluciones cibernéticas ; formar a los distintos profesionales del sector ; desarrollar el ecosistema de la ciberseguridad ; apoyar la investigación y la innovación.
Estos riesgos de ciberataques también pueden minimizarse adoptando normas como la ISO 27001 y aplicando herramientas dedicadas.
¿Qué es la norma ISO 27001?
La ISO 27001, que forma parte de la familia de normas ISO 27000, es una norma internacional basada en la implantación de un Sistema de Gestión de la Seguridad de la Información (SGSI). Está destinada para todo tipo de organizaciones que deseen proteger sus activos sensibles, como los datos de propiedad intelectual, los datos financieros o los datos del personal.
Al igual que otras normas ISO (International Organization for Standardization), esta certificación no es obligatoria.
¿Cómo evitar los riesgos de los ciberataques?
El uso generalizado del teletrabajo ha abierto nuevas oportunidades para que los hackers exploten la vulnerabilidad de ciertas herramientas de videoconferencia u otros medios de comunicación a distancia. Por tanto, las empresas deben reaccionar en consecuencia, adoptando una estrategia eficaz.
Elaborar un plan de continuidad
El Plan de Continuidad de las tecnologías de la Información (PCI) es una parte integral del Plan de Continuidad de las Actividades (PCA) y tiene como objetivo garantizar la continuidad del negocio en caso de un fallo de las tecnologías de la información. Para establecerlo, la empresa debe realizar primero un análisis de riesgos y un análisis de impactos.
El análisis de riesgos consiste en identificar las principales amenazas que pueden afectar al sistema informático : estas amenazas pueden ser internas o externas. El siguiente paso es definir los distintos riesgos derivados de las amenazas identificadas, así como sus posibles impactos. En el caso de los riesgos con un impacto relativamente alto tras la priorización, el objetivo es aplicar medidas de mitigación.
El objetivo del análisis de impacto es evaluar el impacto de un riesgo y determinar cuándo se vuelve intolerable. Este análisis permite obtener un dato temporal, más precisamente la duración máxima admisible de una posible interrupción a nivel de cada proceso.
Una vez realizados estos análisis, la institución puede poner en marcha acciones técnicas para garantizar la continuidad del sistema informático y evitar la pérdida de datos.
Sensibilizar a los colaboradores
Cuando los empleados trabajan a distancia o practican el teletrabajo, están conectados a la red doméstica y el departamento de IT ya no tiene visibilidad sobre la seguridad de la red. El objetivo es mostrarles sus responsabilidades indicándoles las buenas prácticas que deben adoptar.
De hecho, este último puede verse afectado en una situación de teletrabajo por el "hacking psicológico" : esta práctica pretende explotar las debilidades psicológicas de la víctima para obtener acceso a cierta información confidencial. Por ejemplo, un hacker puede utilizar un sistema de spear-phishing a través de un falso correo electrónico sobre impuestos para conseguir que la víctima facilite sus datos bancarios.
Por ello, las empresas deben permanecer atentas y apoyar a sus empleados en los reflejos que deben adoptar cuando trabajan a distancia.
Entre los principales reflejos a adoptar :
- Evite intercambiar dispositivos USB entre el ordenador de trabajo y cualquier otro equipo personal ;
- tenga cuidado de no abrir enlaces externos desconocidos en su buzón ;
- asegúrese de no utilizar su buzón profesional en un ordenador personal o de terceros ;
- utilizar sistemas de seguridad como servidores de seguridad o programas antivirus ;
- instalar una VPN, es decir, una red privada, para tener un acceso seguro a los datos de la empresa ;
- elija contraseñas adecuadas (¡no usar más la contraseña clásica "12345"!) ;
- Asegúrese de que las copias de seguridad se realizan con regularidad y de que los datos están encriptados en los discos duros.
Por lo tanto, los empleados deben ser considerados como un eslabón esencial en la cadena de seguridad, especialmente en situaciones de teletrabajo.
Implementar herramientas seguras
La transformación digital de las empresas se está acelerando desde la crisis sanitaria. Hoy en día, es esencial que cada empleado tenga acceso a los documentos que le conciernen, y esto a distancia. Por lo tanto, debe poder conectarse a su plataforma a través de un acceso dedicado (con nombre de usuario/contraseña), garantizando al mismo tiempo la seguridad de los datos.
Las soluciones SaaS (Software-as-a-Service) representan una protección contra posibles ataques informáticos: de hecho, los proveedores de alojamiento de datos están ahí para garantizar que su sistema esté bajo control. Independientemente del tamaño de la estructura, gracias a SaaS, los datos se deslocalizan y se almacenan en servidores seguros : el nivel de seguridad de la aplicación es, por tanto, el mismo independientemente del puesto de trabajo utilizado.
Las soluciones SaaS garantizan una gestión óptima de los equipos y del mantenimiento por parte de equipos de profesionales especializados en la materia. Por lo tanto, es necesario elegir proveedores de alojamiento fiables, seguros y homologados.
Los servicios de externalización ofrecidos garantizan el mantenimiento del servidor y permiten reiniciar la actividad en caso de fallo del sistema. Los sistemas SaaS utilizan sitios separados para la producción y para las copias de seguridad, de modo que si se produce un incidente en un sitio, los datos pueden recuperarse desde otros sitios.
Con estos procesos digitalizados en herramientas SaaS, la estructura y los datos de la empresa se mantienen fuera del sistema de información interno con la protección proporcionada por el propietario. Todo está simplemente desmaterializado y centralizado en una única plataforma. Dicha acción reduce el riesgo de pérdida de información y garantiza la continuidad del negocio, incluso a distancia.
A medida que la tecnología digital adquiere mayor importancia en las organizaciones, es esencial proteger todos los datos para evitar cualquier riesgo de ciberataque. Existen herramientas y normas para ayudar a las empresas y a sus empleados en este proceso.
Mélanie CASCELLI
Ningún comentario