Seguritecnia 494

Ciberseguridad necesaria y fundamental para garantizar la seguridad de la información e implan- tar ciberseguridad de forma implícita en cualquier proceso empresarial. Lógicamente, cuantas más tecnolo- gías implicadas en los procesos, habrá proporcionalmente una mayor exposi- ción y probabilidad de ocurrencia de amenazas de las que debemos proteger- nos. No en vano, los ciberataques han pasado a ser un elemento habitual y su protagonismo está en un primer nivel en nuestras sociedades. Por ello, debemos preparar a nuestros usuarios y colabora- dores para proteger la información tra- tada, anticipar escenarios amenazantes, responder de forma adecuada y, en caso de desastre, recuperarse de la forma más rápida y mejor posible. Elementos de ciberseguridad Visto lo anterior, cabe preguntarse ¿cómo podemos incluir de manera efec- tiva la ciberseguridad en los procesos en los que intervienen nuestros usuarios y colaboradores? No nos queda otra: Es estrictamente necesario acudir a la im- plantación de estándares de referencia, incluir en los procesos herramientas de ciberseguridad y, fundamentalmente, formar a nuestros empleados y colabo- radores para salvaguardar la informa- ción y utilizar las herramientas de forma adecuada. Por lo tanto, lo primero es incluir la ciberseguridad en nuestros procesos y facilitar herramientas seguras de trabajo que tengan implantados diversos ele- mentos. Entre otros, los siguientes: Incluir ciberseguridad en el diseño . Todo activo de información que vaya a incorporarse en nuestros procesos deberá ser analizado previamente, evaluar sus riesgos e incorporar ciber- seguridad por defecto. Desarrollar de forma segura . Aplicar buenas prácticas y acudir a metodolo- gías de desarrollo seguro durante el ci- clo de vida del desarrollo del software . Si este último es adquirido a terceros, habría que evaluar si disponen de ga- rantías suficientes o de certificados de confianza. Analizar el contexto de la organiza- ción y el proceso en el que interviene el empleado o colaborador . Evaluar el contexto en el que se mueven los procesos, sus amenazas, nuestras de- bilidades y las normas sectoriales de aplicación. Mantener los sistemas de informa- ción . Adquirir software homologado, garantías de actualización de vulnera- bilidades en el tiempo, seguir las ins- trucciones de los fabricantes y aplicar las actualizaciones necesarias. Monitorizar los equipos . Los equipos y terminales de usuario deben en- contrarse monitorizados respecto a posibles amenazas que afecten a la disponibilidad, la confidencialidad y la integridad de los mismos. Minimizar el tratamiento de informa- ción personal y/o definir procesos de disociación . Debemos procurar utili- zar la información estrictamente nece- saria para la ejecución adecuada del proceso. Cuanta más información tra- tada, más riesgos; incluso si podemos disociar la información de manera que no identifique personas, mejor. Incorporar procesos que garanticen la resiliencia ante desastres . Los empleados y colaboradores deben disponer de herramientas adecuadas y procedimientos de respuesta eficaz ante desastres. Usar técnicas de cifrado . Para evitar fugas de información, el empleado y/o colaborador debe disponer de técnicas de cifrado para su uso en las comunicaciones y sistemas de alma- cenamiento. Controlar los accesos a la informa- ción y conectar solo con redes de comunicaciones confiables . Propor- cionar herramientas de acceso segu- ro, como por ejemplo mecanismos de doble factor de autenticación, uso de claves electrónicas, etc. Implantar entornos seguros de inter- cambio de información con terceros colaboradores. Elaborar normativas de manera efi- caz . Toda organización debe disponer / Marzo-Abril 2022 93