5 acciones de seguridad claves para la productividad de una organización

La productividad es una capacidad que se mide en relación entre lo que se produce y los medios que se emplean, como son los recursos. Es por eso que ESET acerca hábitos productivos que marcan la diferencia a la hora de proteger los activos de una organización. Además, comparte una serie de acciones para garantizar al máximo posible la productividad desde la reducción de la posibilidad de ser víctima de un incidente.

“Las acciones que tengan como objetivo la disminución de riesgos supone una mejora para la productividad al reducir las probabilidades de que una amenaza atente contra el funcionamiento natural de la organización. Las mismas se deben llevar adelante de tal forma que las propias acciones no afecten de manera negativa la dinámica laboral. La concientización y los análisis de riesgo permiten ejecutar un plan de prevención que mantenga a la organización rindiendo al máximo sin interrupciones.”, mencionó Camilo Gutierrez, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

A continuación, se describen las 5 acciones clave deberían llevarse adelante en el campo laboral y que contribuyen en la mejora de la productividad:

1. Realizar backup de la información. Contar con una copia de seguridad de toda la información necesaria para el correcto funcionamiento de una empresa permite que la productividad no se vea afectada, al menos en gran medida, en caso de sufrir un incidente de seguridad que comprometa los sistemas de información.

Además, es importante dedicar el tiempo suficiente para hacer e backup correctamente (establecer una periodicidad, tener en cuenta el soporte, etc). Perder el acceso a archivos fundamentales podría tener consecuencias tan severas para la productividad que incluso pueden llevar a la quiebra de una empresa. De hecho, datos de un estudio realizado en 2016 aseguran que el 60% de las empresas que sufren la pérdida de información quiebran en seis meses.

2. Contar con una política de actualización de software. No contar con una política de actualización que asegure la instalación de los parches de seguridad de las herramientas que se utilicen podría significar la exposición a un ataque o incidente de seguridad. Así como ocurrió con el brote de WannaCry, un ransomware que explotaba una vulnerabilidad en Windows para la cual Microsoft ya había lanzado un parche de seguridad que lo mitigaba, pero que requería que los usuarios actualicen sus sistemas para instalarlo. Debido a que muchos equipos no llevaron adelante la actualización sufrieron las consecuencias del ransomware.

Es importante tener presente que todo software es susceptible de necesitar actualizaciones de seguridad. A través de estas actualizaciones, los fabricantes añaden mejores a los productos, corrigen errores y reparan fallos de seguridad. En este sentido, contar con la última actualización podría evitar ser víctima de un intento de ataque que busque robar información y/o credenciales.

3. Contar un plan de respuesta a incidentes. Esto implica contar con un método para recuperar el funcionamiento normal de una empresa en el menor tiempo posible, de forma que no se vea perjudicada la productividad; así como su imagen u otras consecuencias como las que puede surgir a partir de ser víctima un incidente de seguridad. En este sentido, las herramientas de un Sistema de Gestión de Seguridad de la Información funcionan como un lineamiento de los pasos a seguir para responder de manera adecuada en diferentes escenarios en los que los datos de una empresa estén en riesgo.

4. Llevar adelante capacitaciones de seguridad. La capacitación es clave ya que el ser humano es el eslabón más vulnerable en toda la arquitectura de seguridad de una organización. Según datos de 2018 de un estudio realizado por IBM, el 95% de las incidencias en ciberseguridad se deben a errores humanos. Teniendo esto presente es que la capacitación se convierte en un pilar clave para disminuir el riesgo a incidentes. Por lo tanto, ofrecer las herramientas a los colaboradores para que aprendan a reconocer las técnicas de engaño utilizadas por los cibercriminales, como son las técnicas de ingeniería social, contribuye a disminuir los riesgos.

5. Configurar los accesos según el principio de menor privilegio. La idea es otorgar únicamente permisos cuando son necesarios para el desempeño de cierta actividad. De esta manera, dedicar tiempo y esfuerzo a este modelo reduce el grado de exposición a incidentes al reducir al mínimo posible los permisos de acceso. Sin embargo, se debe prestar atención a que esta limitación de los accesos no afecte las necesidades de cada profesional de la empresa, ya que podría afectar a la productividad de la misma.