És important que les empreses millorin la seguretat de les seves TIC perquè afecta a la productivitat

És important que les empreses millorin la seguretat de les seves TIC perquè afecta a la productivitat

Innovació

David Vilarrubias

Les tecnologies incideixen directament en la disponibilitat, confidencialitat i autenticitat de dades

04/01/13 · David Vilarrubias. Assessor en projectes TIC de la FundacióCecot Innovació


La contínua transformació i la necessitat de canvi i millora en el sector TIC fan que molt sovint es deixi de banda la seguretat quan és, a l´hora, un dels punts més importants i que pot afectar directament a la productivitat.

Per això és important que les empreses realitzin un anàlisi intern de la seva situació actual vers la seguretat de la seva infraestructura TIC, que detectin quin són els punts més importants que es poden aplicar per minimitzar els riscos actuals i els que segurament aniran sorgint. La gravetat d’aquestes incidències pot arribar a ser important en cas de pèrdua d’informació sensible o el robatori de dades per fer un ús fraudulent i que poden derivar en problemes tant econòmics com legals. Tot i que pot semblar que el tant per cent de pimes afectades és baix, cal considerar que la majoria d’incidències no es fan públiques degut a la publicitat negativa que poden ocasionar.

Els aspectes de la seguretat que cal tenir en compte són els següents: disponibilitat, assegurar que les dades sempre són disponibles per als usuaris autoritzats, en el temps acordat; confidencialitat,  la informació només pot ser accessible per als usuaris autoritzats segons la classificació adoptada; integritat, cal garantir que la informació rebuda no es modifica i és exactament igual a la original que va generar l’emissor; autenticació, la persona que realitza una identificació electrònicament és qui diu ser realment; traçabilitat, saber l’origen històric de modificacions i accessos a la informació.

La globalització de les xarxes mitjançant Internet ha incidit més que mai en aquest aspecte de la seguretat. De la mateixa manera que la connectivitat global ha permès ampliar la capacitat de negoci, també ha incrementat el nombre de riscos al que hem de fer front. En un principi Internet va estar concebuda per treball en entorns de confiança i els protocols establerts no eren segurs. Ha estat la incorporació d’activitats econòmiques el que l’han fet objecte d’atacs i s’han evidenciat les mancances de seguretat que cal anar eliminant.

A banda de les incidències provocades per agents externs, també cal tenir en compte els aspectes relacionats amb els procediments interns de seguretat com pot ser disposar d’un pla de contingència i recuperació  de desastres el més eficaç possible. No cal oblidar que molts dels atacs es produeixen des de dins de la pròpia empresa.

Tot i que els riscos estan creixent a un nivell molt alt, no cal ser alarmistes i si es compleixen les normes essencials de protecció podem minimitzar les possibilitats de pèrdua o divulgació no autoritzada de dades.

 

Quines eines de seguretat mínimes consideres que hauria d’utilitzar a la meva empresa? Som una pime del sector de l’alimentació.
Personalment crec que tota pime hauria de tenir instal·lades i amb un control del seu funcionament, com a mínim, les següents eines: el programari antispam, un sistema de tallafocs, un sistema d’antivirus i antispyware, un sistema de còpies de seguretat i un sistema de xifrat de dades.


A principis de desembre vam patir un atac per intrusió i ens va costar força reparar-ho. Què ens aconselles que fem a partir d’ara?
Els casos d’atacs per intrusió, com és el vostre cas, o també en casos de robatori d’ampla de banda o de captura de dades en la transmissió, recomanem a les empreses l’ús de tallafocs en punts d’accés a internet; protegir les xarxes WIFI amb claus segures i contemplar sistemes IDS/IPS (Sistema de Detecció/Prevenció d’Intrusos). Per protegir les xarxes de dades de les empreses, també us recomanem implementar VPN (Xarxa Privada Virtual) en cas de telefonia IP o accessos remots per xifrar les comunicacions i fer servir protocols segurs en transaccions comercials per xarxa.  


En el cas d’ús intensiu de dispositius mòbils per part de la plantilla, què ens pots recomanar?
Com us passa a vosaltres, cada cop més els dispositius mòbils privats dels treballadors i la direcció es connecten per WIFI a la xarxa de l’empresa, i poden suposar un important forat de seguretat ja que habitualment aquests dispositius no tenen software antivirus ni de seguretat instal·lats. El fet que aquests dispositius com les tabletes s’utilitzin fora de la feina per a ús particular poden suposar una fuga d’informació. Cal establir una política de seguretat denegant l’accés a la xarxa de l’empresa a aquells dispositius particulars que no estan controlats, i instal·lant software de seguretat als dispositius mòbils de l’empresa que s’utilitzen fóra de les instal·lacions de la mateixa.


Som una microempresa del sector serveis i ens preocupa el tema de les dades dels nostres clients però no sabem per on començar per implantar un sistema de seguretat. Hem de contractar un extern? 
Us diria que per implantar les eines i procediments de seguretat el primer punt i el més important, que dedueixo ja heu assolit, és que la direcció o la gerència agafin aquest tema un element estratègic de l’èxit de l’empresa. Pel que fa al procés d’implantació us podeu decantar per contractar els serveis d’una consultoria o bé dedicar-hi recursos propis. En qualsevol cas, tant la direcció com els empleats s’han d’implicar plenament en el procés donat que afecta a l’operativa diària de l’empresa. Els beneficis de contractar un proveïdor especialitzat per generar la definició del pla de seguretat es basen en la delegació en mans expertes de a matèria amb el que estalvieu temps de dedicació i si es realitza correctament es garanteix la qualitat del procés. Els inconvenients els trobem en el cost del servei i el treball dedicat a triar un proveïdor que ofereixi garanties i amb el que tinguem un bon enteniment, cosa que no sempre és així. Però sigui amb un extern, sigui de manera interna, el que sí heu de tenir clar és que la implementació d’un sistema de seguretat requereix d’un esforç de dedicació de recursos humans de l’empresa. Per implantar un SGSI s’utilitza el cicle continu PDCA (Planificar, Realitzar, Comprovar, Actuar), tradicional en els sistemes de gestió de la qualitat.


David Vilarrubias
Assessor en projectes TIC de la FundacióCecot Innovació