Últimas entradas

¿Las empresas tienen que pagar los descansos durante la jornada laboral?

0
Los negocios deben pagar los descansos durante la jornada laboral si así se ha acordado a través de convenio, acuerdo o contrato laboral

1.500€ de indemnización por inclusión en un fichero de morosos sin requerimiento previo de pago

0
Se tiene derecho a una indemnización por inclusión en un fichero de morosos cuando no fue requerido previamente el pago de la deuda

Las denuncias ante Hacienda contra empresas y autónomos van en aumento

0
Más de 20.000 denuncias ante Hacienda contra empresas y profesionales dieron pie a comprobaciones de la Agencia Tributaria
Roberto Ayuste
Roberto Ayuste

5 consejos para prevenir las amenazas internas de seguridad en las empresas

Tecnología

Despachos, clínicas, consultorías… Los negocios necesitan prevenir las amenazas internas de seguridad para no sufrir robo de datos confidenciales, ni ver menoscabada su operatividad

Más de 220.000€. Esta es la cifra con la que debe indemnizar un profesional a una empresa a la que prestaba sus servicios tras ser condenado por un delito de daños informáticos y otro de coacciones. Así lo ha ratificado recientemente el Tribunal Supremo en una sentencia que pone el foco sobre las amenazas internas de seguridad en las empresas.

El profesional condenado era el administrador del sistema empleado por una empresa de alquiler de coches para gestionar sus operaciones. La Tesorería General de la Seguridad Social estableció el embargo de los pagos al profesional, este exigió a la empresa el pago en metálico de 4.000€. Si el negocio no aceptaba, procedería a dejar inoperativo el sistema informático y el servidor. Al no aceptar el chantaje, el profesional cumplió su amenaza y provocó que la empresa se paralizase, habida cuenta de que el sistema era imprescindible para su operatividad. Las labores de recuperación del sistema se alargaron durante meses. De ahí que la indemnización sea tan elevada.

Este caso evidencia que los negocios no pueden pensar, solo, en las amenazas externas a su ciberseguridad.

El miedo a los ciberataques originados por técnicas de ingeniería social o explotación de vulnerabilidades en software y hardware ha ido en aumento en los últimos años.

Sin embargo, las amenazas internas de seguridad se han revelado como un elemento clave a tener en cuenta.

De hecho, los expertos han alertado de que las amenazas internas de seguridad se han consolidado en el último año como una de las principales tendencias de ciberseguridad. ¿Por qué? Encontrar un vector de entrada es una de las tareas más complicadas a las que se enfrentan los ciberdelincuentes. Mientras que las amenazas internas de seguridad tienen una clara ventaja: los actores ya tienen acceso a los sistemas que desean atacar.

A continuación, vamos a desgranar algunos consejos para prevenir las amenazas internas de seguridad y evitar incidentes extraordinariamente graves como los de la empresa del caso analizado por el Tribunal Supremo.

Evitar ciberataques contra empresas y garantizar la seguridad del software empresarial son dos objetivos clave de esta era para nuestro tejido productivo, habida cuenta de que la práctica totalidad de los negocios están digitalizados en mayor o menor medida.

1. Contemplar las amenazas internas de seguridad en la gestión de recursos humanos

El caso que hemos relatado pone de manifiesto lo importante que es la gestión de recursos humanos en la prevención de las amenazas internas de seguridad.

Puesto que la mayoría de estas amenazas surgen por situaciones de conflicto con los trabajadores o por no contemplar cuestiones como la relación entre despidos y ciberseguridad.

En este sentido, es fundamental que las personas a cargo de la selección de personal realicen una investigación digital de los profesionales a los que planean contratar, especialmente, si van a desempeñar un rol técnico en la organización y, por ende, van a gozar de permisos elevados en la gestión de los programas informáticos de la empresa.

Además, ante cualquier situación de conflicto con un profesional es fundamental revisar sus permisos y tomar medidas de prevención para que no pueda actuar contra la organización y causar incidentes extraordinariamente graves.

Por último, como apuntamos antes, es importante contemplar la ciberseguridad a la hora de gestionar los despidos o las salidas voluntarias de los trabajadores. Eliminar los accesos a los software corporativos de forma inmediata puede ser de vital importancia.

2. Llevar un control de los software y dispositivos corporativos y evitar que un solo usuario ejerza de administrador

Otra de las recomendaciones básicas para prevenir las amenazas internas de seguridad es que las empresas necesitan inventariar todos sus activos digitales y tener claro qué usuarios tienen acceso a ellos y cuáles son sus permisos.

Además, como evidencia el caso juzgado por el Tribunal Supremo, dejar en manos de un único profesional la administración de la infraestructura informática puede ser un enorme error. Sobre todo, cuando se emplean programas propios, es decir, cuando no se trabaja con software de terceros. ¿Por qué? La gestión de la seguridad también recae en esta persona.

Por ejemplo, el profesional condenado por el TS, pudo usar su rol de administrador único para eliminar a todos los usuarios del sistema y cifrar su información con un programa informático. Lo que provocó, como ya señalamos antes, que la empresa necesitase meses para recuperar su operatividad.

Las amenazas internas de seguridad pueden causar pérdidas económicas cuantiosas a las empresas

3. Gestionar las cuentas de los usuarios y aplicar el principio de mínimo privilegio

La gestión de las cuentas de los usuarios es crítica a la hora de combatir las amenazas internas de seguridad. ¿Por qué? Las empresas deben saber con precisión y gestionar con eficacia:

  • Qué usuarios tienen acceso a determinados equipos y programas.
  • Cuáles son los permisos de seguridad de los usuarios. Es decir, qué pueden hacer al operar con los dispositivos o software corporativos.
  • Qué profesionales emplean dispositivos personales para acceder a sistemas empresariales.

En este sentido, es importante recordar una ley básica de ciberseguridad: el principio del mínimo privilegio. O lo que es lo mismo, a un usuario se le debe dar un nivel de permisos que le permita realizar sus tareas, pero no un nivel de permisos superior. De esta forma, se limita el alcance potencial de las amenazas internas de seguridad.

4. Trabajar con herramientas que permitan monitorizar el comportamiento de los usuarios

Otro aspecto clave en la lucha contra las amenazas internas de seguridad es la capacidad de una empresa de monitorizar la actividad que se realiza en su infraestructura tecnológica.

Actualmente, existen soluciones que automatizan la búsqueda de actividad sospechosa, tanto interna como externa. Esta clase de soluciones emite alertas cuando detecta comportamientos inhabituales.

Además, muchos programas corporativos críticos como un software de gestión cuentan con herramientas de auditoría de logs. De tal forma que es posible analizar qué usuario interactuó con un el programa y qué acciones llevó a cabo. Así, se puede detectar la exportación o eliminación de datos y documentos confidenciales o cualquier acción que pueda ser un indicio de que la organización se enfrenta a una amenaza interna de seguridad.

5. Usar un software de gestión que cumpla con los máximos estándares en seguridad de la información

Precisamente, los despachos, clínicas, consultorías, asesorías, centros de formación o estudios de arquitectura o ingeniería pueden prevenir las amenazas internas de seguridad y mitigar sus efectos usando un programa de gestión. ¿Por qué? Los software de gestión más completos:

  1. Cumplen los máximos estándares en materia de seguridad de la información, como la ISO 27001.
  2. Permiten establecer diversos niveles de permisos de seguridad en función del rol que juegue cada usuario en la empresa, modificarlos y restringirlos.
  3. Realizan automáticamente copias de seguridad de la información.
  4. Cuentan con mecanismos de seguridad claves como un sistema de doble factor de autenticación para acceder al software o la renovación continua de las contraseñas.
  5. Permiten auditar todas las acciones realizadas en el programa y, así, minimizar la posibilidad de sufrir amenazas internas de seguridad.

En definitiva, las empresas deben tomarse muy en serio las amenazas internas de seguridad, porque pueden llegar a provocar brechas de datos, robo de propiedad intelectual o industrial e, incluso, afectar a la continuidad de negocio y dañar gravemente las finanzas y la salud económica de una empresa.

El uso combinado de políticas de seguridad efectivas y herramientas tecnológicas que ayuden a prevenir, detectar y contener amenazas internas de seguridad es fundamental. De lo contrario, los negocios se exponen a sufrir crisis como la padecida por la empresa extorsionada por el administrador del sistema informático desde el que se realizaban todas las operaciones del negocio.

Último

Legal y fiscal

Hay que escuchar a un trabajador antes de despedirlo disciplinariamente

0
El TS ha ampliado la obligación de las empresas de escuchar a un trabajador antes de despedirlo de manera disciplinaria
Legal y fiscal

Hacienda no puede imponer la deducción de los gastos de vivienda por horas a los autónomos

0
Una reciente sentencia ha puesto coto a la capacidad de Hacienda de imponer a los profesionales la deducción de los gastos de vivienda por horas
Legal y fiscal

¿Las empresas tienen que pagar los descansos durante la jornada laboral?

0
Los negocios deben pagar los descansos durante la jornada laboral si así se ha acordado a través de convenio, acuerdo o contrato laboral
Legal y fiscal

5 consecuencias de no tener un registro horario que sea objetivo y fiable

0
Conflictividad laboral, denuncias, sanciones, incumplimientos laborales... Repasamos las consecuencias de no tener un registro horario eficaz

Newsletter

No te pierdas

Legal y fiscal

Hay que escuchar a un trabajador antes de despedirlo disciplinariamente

0
El TS ha ampliado la obligación de las empresas de escuchar a un trabajador antes de despedirlo de manera disciplinaria
Legal y fiscal

Hacienda no puede imponer la deducción de los gastos de vivienda por horas a los autónomos

0
Una reciente sentencia ha puesto coto a la capacidad de Hacienda de imponer a los profesionales la deducción de los gastos de vivienda por horas
Legal y fiscal

¿Las empresas tienen que pagar los descansos durante la jornada laboral?

0
Los negocios deben pagar los descansos durante la jornada laboral si así se ha acordado a través de convenio, acuerdo o contrato laboral
Legal y fiscal

5 consecuencias de no tener un registro horario que sea objetivo y fiable

0
Conflictividad laboral, denuncias, sanciones, incumplimientos laborales... Repasamos las consecuencias de no tener un registro horario eficaz
Legal y fiscal

1.500€ de indemnización por inclusión en un fichero de morosos sin requerimiento previo de pago

0
Se tiene derecho a una indemnización por inclusión en un fichero de morosos cuando no fue requerido previamente el pago de la deuda
Roberto Ayuste
Roberto Ayuste

Hay que escuchar a un trabajador antes de despedirlo disciplinariamente

Juan López -
El TS ha ampliado la obligación de las empresas de escuchar a un trabajador antes de despedirlo de manera disciplinaria
Leer más

Hacienda no puede imponer la deducción de los gastos de vivienda por horas a los autónomos

Martina Cobos -
Una reciente sentencia ha puesto coto a la capacidad de Hacienda de imponer a los profesionales la deducción de los gastos de vivienda por horas
Leer más

¿Las empresas tienen que pagar los descansos durante la jornada laboral?

Juan López -
Los negocios deben pagar los descansos durante la jornada laboral si así se ha acordado a través de convenio, acuerdo o contrato laboral
Leer más

Nosotros

Más reciente

Más popular

Suscríbete

© Software CRM -Todos los derechos reservados