La ciberseguridad en el comercio y un caso de estudio

Tiempo de lectura: 15 minutos

Las empresas, con independencia de su tamaño, manejan muchísima información, la cual almacenan en diferentes soportes: papel, ordenadores, tablets, etc. y suele ser información muy importante, privada o incluso confidencial que no debe caer en manos de personas u organizaciones que no estén autorizadas a ello. Por tanto, es de vital interés para las compañías conseguir unos sistemas de información seguros y protegidos.

La ciberseguridad, o seguridad informática, es el área que se encarga de la protección de la infraestructura computacional y todo lo relacionado con esta y, especialmente, la información contenida en una computadora o circulante a través de las redes de computadoras.

Las principales amenazas y sus posibles impactos

El comercio minorista se encuentra expuesto a una serie de amenazas relacionadas con la digitalización de la actividad que pueden poner en riesgo, incluso, la continuidad de la propia empresa. Son actuaciones que dirigen los ciberdelincuentes con el objetivo final de lograr un beneficio de tipo económico, no obstante, también pueden existir ataques con otras motivaciones como la venganza, la realizada por puro divertimento o de tipo político.

Algunas de las fuentes de amenazas más comunes en el ámbito de sistemas de información son:

  • Malware o código malicioso: permite realizar diferentes acciones a un atacante. Desde ataques genéricos mediante la utilización de troyanos, a ataques de precisión dirigidos, con objetivos específicos y diseñados para atacar a un dispositivo, configuración o componente específico de la red. Algunos ejemplos conocidos:
    • Ransomware: a través de un enlace o un archivo adjunto, bloquean el equipo o cifran la información contenida en él para extorsionar o chantajear a la empresa con la devolución de la información a cambio de un rescate económico.
    • Virus informático: a través de un crack que utilizamos para activar un programa para el cual no disponemos de licencia legal o mediante otro tipo de descargas de ficheros de origen desconocido, se ejecutan programas en las computadoras o redes que permiten el acceso a la información de los ciberdelincuentes a nuestros datos o a otros de la propia organización: servidores FTP, SSH, etc.
    • Botnets: mediante el conjunto de equipos infectados que ejecutan programas de manera automática y autónoma, permite al creador del botnet controlar los equipos infectados y utilizarlos para ataques más sofisticados como ataques DDoS.
    • APT o Amenazas Persistentes Avanzadas (Advanced Persistent Threats): son ataques coordinados dirigidos contra una empresa u organización, que tratan de robar o filtrar información sin ser identificados. Se suelen ayudar de técnicas de ingeniería social, de software malicioso y son difíciles de detectar.
  • Ingeniería social: Utilizan técnicas de persuasión que aprovechan la buena voluntad y falta de precaución de la víctima para obtener información sensible o confidencial. Los datos así obtenidos son utilizados posteriormente para realizar otro tipo de ataques, o para su venta. A continuación, algunos de los casos más relevantes:
    • Spear Phising: es más complejo que el Phising tradicional, dado que en este caso conocen los nombres, costumbres, etc. de la organización o de sus empleados y realizan un ataque más sofisticado. Solicitan información financiera, números de tarjeta de crédito, cuentas bancarias, contraseñas de la banca online, etc. a través del correo electrónico con la finalidad de llevar a cabo un robo o como paso previo para cometer un ataque más complejo.
    • Fraudes financieros: a través del correo electrónico o una página web, le conceden a la empresa un préstamo para refinanciar su negocio y le solicitan un adelanto en concepto de gastos de gestión. Tras el pago de estos gastos, la empresa nunca recibe el préstamo.
    • Ataque dirigido a una transición: el atacante intercepta las comunicaciones entre dos empresas, estudia sus costumbres y cambia la cuenta donde se ha de realizar el pago de honorarios haciéndose pasar por el proveedor. Se realiza a través de correo electrónico con el fin de conseguir que la transacción final se realiza a una cuenta suya.
    • Compras online fraudulentas: en los sistemas ecommerce de las organizaciones pueden darse falsos pedidos como los realizados con tarjetas robadas o duplicadas y que pueden suponer un grave perjuicio económico.
    • Engaños telefónicos: técnicas como el Vishing o el Quid pro quo (algo por algo) permiten al atacante conseguir información privada de una organización haciéndose pasar por alguien que no es y persuadiendo al empleado con el que contacta.
  • Ataque de denegación de servicio (DoS o DDoS – distribuido): son ataques a computadoras o redes que causa que un servicio o recurso sea accesible para sus usuarios legítimos, mediante la saturación de los puertos con múltiples flujos de información y de forma distribuida con el uso de una red de robots.
  • Redes sociales: el uso no controlado de este tipo de redes puede poner en riesgo la reputación de la empresa.
    • Suplantación de identidad: los ciberdelincuentes generan un perfil falso en redes sociales, sustituyendo un perfil original o haciéndose pasar por parte de la organización, con el objetivo de obtener un beneficio económico o generar un perjuicio en la imagen de la compañía.
  • Servicios en la nube: Si no se firman contratos SLA o ANS (Acuerdos de Nivel de Servicio) en los que quede definida la seguridad que necesita la empresa, es posible que la información pueda caer en manos no autorizadas.
  • Errores humanos: las empresas cuentan con personas que pertenecen a diferentes disciplinas, lo cual, propicia que el conocimiento o el propio interés sobre el mundo digital sea, en ocasiones, escaso o nulo, y permita la aparición de dificultades en el normal funcionamiento de los sistemas de información.
    • Accidente o descuido: las personas que trabajan con los dispositivos informáticos pueden borrar información esencial para la organización, compartirla con terceros de forma inadecuada o exponerla indirectamente en lugares públicos. De esta manera, los ciberdelincuentes pueden hacerse con información importante de la compañía. Las contraseñas sencillas también son un blanco fácil para los atacantes.
    • Redes públicas (WIFI): estos ataques se producen cuando se conecta un equipo portátil o teléfono a una red pública fuera de la oficina o red empresarial, como por ejemplo un aeropuerto o un hotel. Los delincuentes capturan los datos privados de la organización que se comparten por esa red, e incluso pueden acceder a nuestros dispositivos para hacerse con su control.
  • Los activos físicos: la ciberseguridad no es solo digital, el hardware debe ser protegido para evitar que sufra daños físicos o pueda ser accesible para los posibles atacantes.
    • Servidores: la ubicación incorrecta de las computadores y dispositivos que componen la red de la organización puede suponer la pérdida de información vital, así como la imposibilidad de mantener la actividad normal de la empresa por falta de recursos.
    • Red WIFI privada:  a través de una mala instalación y configuración de la WIFI de la compañía los ciberdelincuentes podrán acceder a la red local, a sus computadoras o a los datos que viajan por el aire, pudiendo extraer información confidencial.
    • Robo de material: los componentes que integran los sistemas de información pueden ser un objetivo de delincuentes. Pueden hacerse con hardware de gran valor y adquirir contendidos privados.

Políticas de seguridad y planes de contingencia en el comercio minorista

Las organizaciones actuales deben de ser conscientes de la importancia que tiene la ciberseguridad para el éxito de su organización y, en este contexto, son clave las personas que las constituyen. Deben ponerse en marcha una serie de políticas que traten los aspectos de la seguridad que deben estar bajo control y que irán dirigidas al empresario, al personal técnico y al resto de los empleados de la organización.

Las empresas avanzadas deben disponer de un Plan Director de Seguridad (PDS) cuyo objetivo es planificar los proyectos que queremos llevar a cabo a nivel técnico, organizativo y legal para garantizar la protección de la seguridad de la información de nuestra empresa, alineados con los intereses estratégicos de la organización. El plan propone una serie de medidas que ayudan a reducir los riesgos críticos según el nivel de seguridad que sea necesario:

La implementación del PDS se realiza en 6 fases:

  • FASE 1: Conocer la situación actual: se analiza de forma detallada el estado inicial de la empresa en materia de ciberseguridad.
  • FASE 2: Conocer la estrategia de la organización: el PDS se debe alinear con la estrategia de la empresa.
  • FASE 3: Definir proyectos e iniciativas: se deben proponer las acciones a ejecutar para obtener el nivel de seguridad acordado.
  • FASE 4: Clasificación y priorización: las acciones deben estar ordenadas para su ejecución.
  • FASE 5: Aprobación por la dirección: la dirección de la empresa debe conocer en detalle y aprobar el plan.
  • FASE 6: Implantación del PDS: el plan será presentado a todas las personas involucradas y será ejecutado con los recursos necesarios.

El PDS requiere de actualización y adecuación, es decir, un seguimiento y control constantes. Se trata de un proceso de mejora continua que genera un circulo virtuoso entre la mejora, los resultados y el análisis.

Los comercios minoristas deberán de tener en cuenta, además, las siguientes cuestiones para mejorar la seguridad de sus sistemas de información, que podrán ser incluidos en los planes y que ayudarán a la generación de una cultura empresarial cibersegura.

Evitar el fraude online siguiendo las siguientes pautas:

  • Ser precavidos antes de ceder información crítica (datos bancarios, contraseñas, etc.) por email.
  • Tener cuidado al abrir archivos recibidos por email si es de origen desconocido.
  • No adelantar dinero a la hora de solicitar un préstamo.
  • No acceder al cambio de cuenta de destino en una transacción sin haber confirmado al 100% que es legítima.

Definir los roles de cada persona de la empresa y sus empleados (RRHH):

  • Nuevos empleados: informar sobre la política de seguridad, asignar permisos adecuados a su puesto. Firmar acuerdo de confidencialidad.
  • Cuando un empleado causa baja definitiva: revocar permisos, borrar cuentas, etc. No mantener el acceso al correo o a otros sistemas de forma remota.

Mantener seguros los datos e información:

  • Tres dimensiones de la información:
    • La integridad: que se mantenga como está a no ser que se disponga de permiso para modificarlos.
    • La confidencialidad: implica que la información es accesible únicamente por el personal autorizado. Es lo que se conoce como need-to-know. Con este término se hace referencia a que la información solo debe ponerse en conocimiento de las personas, entidades o sistemas autorizados para su acceso.
    • La disponibilidad: información que debe estar accesible de forma instantánea y otra que no es tan relevante su disponibilidad inmediata y puede ser almacenada de otra forma.
  • Clasificación de los tipos de datos en la organización:
    • Confidencial: Información especialmente sensible para la organización. Su acceso está restringido únicamente a la dirección y a aquellos empleados que necesiten conocerla para desempeñar sus funciones. Se incluye la información con datos de carácter personal de nivel alto.
    • Restringida o interna: Información propia de la empresa, accesible para todos sus empleados. Por ejemplo, la política de seguridad de la compañía, el directorio de personal u otra información accesible en la intranet corporativa
    • Publica: Cualquier material de la empresa sin restricciones de difusión. Por ejemplo, información publicada en la página web o materiales comerciales.
  • Control de acceso a la información:
    • Definir los privilegios existentes: lectura, escritura, borrado, etc.
    • Establecer la relación entre las aplicaciones de la empresa y los perfiles de usuarios que tendrán acceso. El siguiente sería un ejemplo:
  • Uso de datos en la empresa
    • Cifrar la información para que no pueda ser usada por un tercero en caso de pérdida o robo. Sobre todo, en el caso de que vaya a ser compartida mediante Internet, debe ir cifrada y con contraseña.
    • Realizar copias de seguridad para restaurar contenidos que hayan podido ser eliminados de forma no intencionada. Pueden realizarse de forma manual o automática, deben ser seguras y hay que verificar que puedan restaurarse.
  • Ciclo de vida de la información:
    • Creación o incorporación: debe clasificarse y mantener correctos los permisos.
    • Uso y mantenimiento: se debe determinar su localización física y quien tendrá acceso. Realizar copias de seguridad y el cifrado.
    • Destrucción: asegurar borrado y eliminación completa. Deben usarse destructores y, para casos concretos, empresas especializadas.
  • Papeles y datos digitales:
    • Los documentos impresos puedes estar físicamente y/o digitalizados, mediante el escaneo de documentos.
    • Se debe determinar cuándo debe almacenarse información en el disco local del equipo de trabajo y cuando en el servidor de la empresa.

Subcontratar empresa de seguridad:

Pueden existir ocasiones en las que sea necesaria la contratación de servicios externos para garantizar la seguridad de nuestra información de forma profesional. En ese caso, tendremos en cuenta las siguientes pautas:

  • Antes de contratar:
    • Identificar las necesidades.
    • Seleccionar un proveedor de confianza y evitar contar más de lo necesario.
    • Ser muy riguroso en el contrato, va a ser un proveedor que acceda a temas muy sensibles de la empresa.
  • Durante la ejecución de los trabajos:
    • Hacer que se cumpla el contrato y tener el control de los accesos del proveedor.
    • Actualizar los contratos si hay que cambiar algo durante la ejecución.
  • Finalización:
    • Asegurarnos que el proveedor devuelve o destruye la información que tiene sobre nosotros.

Tener precaución con los servicios Cloud:

Externalizar las máquinas y servicios digitales a la nube puede ayudarnos a profesionalizar ciertos recursos de nuestra organización, pero debemos de seguir ciertas pautas:

  • Restringir permisos de acceso a carpetas con información sensible.
  • Cifrar los datos en el intercambio de información confidencial.
  • Disponer de redes seguras para el intercambio.
  • Metadatos: revisar y eliminar los documentos que se intercambien.
  • Borrado seguro: eliminar información sensible cuando termine el servicio.

Proteger el sitio web corporativo y mantener segura la tienda online:

El sitio web debe mantenerse técnicamente protegido y debe trasladar una fiel imagen de la compañía; comunicando de forma eficiente los valores relacionados con la seguridad y generando, así, confianza. Además, disponer de un escaparate web y poder comercializar los productos o servicios a través de Internet es muy interesante para las organizaciones. Para su seguridad, hay que tener en cuenta los siguientes puntos:

  • Política del sitio web:
    • Las contraseñas de administración no se comparten con nadie.
    • No se utilizan webs públicas para actualizar los contenidos de la web. El acceso para subir contenidos al portal web debe de hacerse desde dispositivos confiables.
    • Actualizar la política de privacidad, de cookies y de compraventa.
    • Deben hacerse backups o copias de seguridad con frecuencia y verificar su contenido.
  • Listado de control:
    • Revisar las actualizaciones y parches de seguridad del gestor de contenidos web.
    • Controlar los usuarios con permisos de administrador y sus accesos.
    • Utilizar solo medios de pago seguros.
    • Usar certificados SSL: garantiza que es el sitio web y cifra los datos.
    • Instalar y actualizar herramientas de seguridad.
    • Disponer de sellos de confianza.
    • Deben revisarse las transacciones para detección de fraudes.
    • Realizar auditoria de seguridad del sitio web.

Disponer de una política de contraseñas

Las personas que componen la organización deben de interiorizar la importancia de disponer de contraseñas seguras. Se diseñarán pautas claras teniendo en cuenta los siguientes puntos:

  • Han de ser fuertes, robustas. Difíciles de adivinar.
  • Deben cambiarse con cierta frecuencia, no se deben compartir, no se deben enseñar de forma indirecta en post-it, debajo del teclado, etc. Y cuando la tecleas que no la vea nadie.
  • Cada servicio una contraseña distinta. No tener la misma para todo.
  • En ocasiones tener doble autenticación; en compras online, banca online, etc.

Preservar los dispositivos móviles

Es muy común disponer de parte de la información del trabajo en dispositivos móviles, tanto si es de la empresa, como si es propio. Para evitar el ataque de ciberdelincuentes es preciso tomar una serie de medidas que deben ser parte de la cultura empresarial:

  • Tener cuidado con el chat, no dar contraseñas. Tener en cuenta que te pueden robar el móvil o puedes perderlo, por tanto, no compartir fotos de facturas o información confidencial.
  • Controlar las aplicaciones que instalamos y verificar los permisos que solicita. Que la app sea de tiendas de confianza.
  • Cuidar el correo del trabajo en el smartphone.
  • Cifrar los documentos que se suben a la nube.
  • Trabajar en redes seguras. Evitar conectarse a redes públicas, incluso las de hoteles.

Cuidar los datos y cumplir la ley

Las empresas deben cumplir la legislación vigente en relación con la información que maneja. Se deben tener en cuenta los siguientes aspectos:

  • El correo electrónico es un dato personal y está protegido por la ley. No se pueden enviar comunicaciones sin previo consentimiento.
  • La protección de datos personales: clientes, trabajadores, alumnos, etc. Utilizarlo únicamente para lo que nos ha dado consentimiento; garantizando los derechos ARCO: acceso, rectificación, cancelación y oposición.
  • El cumplimiento de la LOPD y para ello, se debe:
    • Inscribir los ficheros ante la Agencia Española de Protección de Datos.
    • Generar y mantener un documento de seguridad.
    • Disponer de regulación contractual con terceros.

Mantener las aplicaciones seguras

Las aplicaciones que se utilizan en los ordenadores deben estar protegidas para evitar ataques de ciberdelincuentes.

  • Deben actualizarse los programas que ya tenemos (Ej.: SO Windows). Hacerlo de forma periódica para que no se acumulen y perdamos excesivo tiempo.
  • Utilizar siempre software legal, para evitar la descarga de virus u otros tipos de programas a la hora de “parchearlo” o actualizarlo; y evitar multas.
  • Utilizar siempre programas o adaptaciones originales o programas de software libre.

Gestionar las Redes sociales

Es habitual que las empresas cuentes con perfiles o páginas corporativas en redes sociales que ayudan a mejorar su imagen, atraer y fidelizar clientes, así como dar respuesta o soporte a usuarios y clientes. Para que la experiencia en estas plataformas sea adecuada hay que tener en cuenta las siguientes cuestiones:

  • Disponer de una estrategia online bien definida: plan de respuestas, etc. No improvisar.
  • Hay que gestionarlas de forma periódica y monitorizar la imagen online.
  • Debe evitar siempre el robo de las contraseñas, así como accesos inadecuados.

Mantener seguros los soportes extraíbles: CD. USB, etc.

La información también puede viajar en pequeños dispositivos de almacenamiento. En ocasiones, estos datos son corporativos y de gran importancia, y pueden caer en manos no autorizadas. Para evitarlo, se deben tomar las siguientes medidas:

  • USB, CD, DVD: Llevar la información cifrada, es decir, que solo puedan abrirse con contraseña.
  • Los medios extraíbles pueden tener malware, con lo que, para abrirlos hay que hacerlo de forma segura con un antivirus o si no, formatearlos para un nuevo uso.

Implantar redes WIFI propias y seguras

Las empresas que deseen contar con redes inalámbricas deben hacerlo de forma segura para mantener privada la información que viaja por ella; así como el acceso a la propia red corporativa. Se deben tener en cuenta las siguientes pautas:

  • Cambiar la contraseña y configurar el dispositivo bajo el cifrado WPA-2
  • Deshabilitar el protocolo menos seguro, WPS.
  • Cambiar las contraseñas de forma periódica, por ejemplo, cada 3 meses.
  • Si se crean nuevas redes WIFI en otros dispositivos, ejemplo smartphone, que también vayan configuradas en WPA-2.

Proteger los dispositivos físicos

Los diferentes ordenadores, aparatos electrónicos o dispositivos pueden caer en manos ajenas, por tanto, es necesario protegerlos.

  • Teléfonos: vigilar donde se deja y mantener una política de mesas limpias.
  • Servidores: proteger los servidores u otros dispositivos de goteras, etc. Ubicarlos fuera de riesgo.
  • Implantar un registro de acceso a las instalaciones y añadir videovigilancia.

Asegurar el trabajo desde casa

En ocasiones se suele trabajar desde el hogar (teletrabajo) o desde fuera de las instalaciones habituales. En esos casos, deben tenerse en cuenta las siguientes cuestiones:

  • Se debe trabajar desde un equipo seguro y que nadie más tenga acceso. Mantener las mismas pautas de seguridad que en el centro de trabajo habitual.
  • En el acceso remoto a los sistemas de la empresa debe hacerse de forma segura y recordar la contraseña para poder acceder.
  • Para el enviar ficheros a los compañeros de la oficina, debe hacerse de forma cifrada.
  • En el caso de ser posible, utilizar redes seguras como VPN.

Disponer de política de backup

Se debe diseñar una política de copias de seguridad que garantice la continuidad de la actividad en caso de pérdida de información. Se tendrán en cuenta las siguientes pautas:

  • Se harán copias de seguridad cada semana y se conservarán tres meses.
  • Se comprobará el estado y recuperación de las copias de seguridad cada 20 días.
  • Se determinará el estado físico del sistema: discos duros, etc. y se sustituirán en caso de ser necesario.

Gestionar los riesgos

Es necesario que la organización sea consciente de las amenazas a las que está expuesta para poder protegerse. Se deberá hacer lo siguiente:

  • Identificar los activos y las amenazas
    • Identificar los procesos críticos. Ejemplo: facturación. Para poder prever riesgos y actuaciones sobre esos casos.
  • Evaluar los riesgos
    • RIESGO = IMPACTO (€) X PROBABILIDAD
      • Probabilidad de que suceda.
      • Impacto que tiene si sucede: robo, incendio, etc.
  • Definir y consensuar las acciones a tomar
    • Priorizar los riesgos en base a criterios de Beneficio vs. Coste. O asumir el riesgo o tomar medidas preventivas.

Actuar en caso de ataque

En caso de haber sufrido un ataque se debe:

  • Poner en marcha el plan de contingencia que permita la restauración de la normalidad y que pueda continuar la actividad.
  • Recopilar las evidencias o pruebas de lo sucedido para presentarlo junto a la denuncia en comisarías o juzgados de guardia:
    • Registros de acceso al servidor.
    • Capturas de pantalla de las amenazas.
    • Copia de los correos electrónicos fraudulentos.

Aplicación en un caso práctico: la pastelería familiar

La pastelería Sweet Taste (empresa ficticia) es un negocio familiar, fundado por Andrea y Koldo, del sector minorista, que tiene como objeto la venta de todo tipo de dulces y que cuenta con un obrador especializado en la elaboración de grandes tartas para bodas. Dispone de una tienda física en la ciudad y otra online, que abrieron el tercer año de actividad, y por la que venden en España, Francia y Portugal.

El negocio ha cumplido 10 años, factura 400.000€ anuales y cuenta con 11 trabajadores. 4 reposteros, 3 que atienden la tienda física, 1 persona en administración, 1 encargada de la tienda online con conocimientos de informática y 2 repartidores. Los fundadores realizan las tareas de gerencia y coordinación general.

Sus principales clientes, repartidos por toda la provincia, utilizan la página web para la realización de los pedidos, dado que cuenta con una herramienta de fácil uso para el diseño y compra de tartas de boda personalizadas. Gracias a las herramientas web y las campañas de marketing online que realizan, Internet supone ya el 35% de su facturación. Por tanto, se consolida este medio por el que quieren seguir apostando.

Colaboración

Desde que se apostará por el desarrollo de las TIC y la venta online colaboro con la empresa en el asesoramiento para la puesta en marcha de los nuevos proyectos tecnológicos de carácter estratégico; identificando las necesidades y haciendo de puente entre la pastelería y las empresas de desarrollo.

En esta ocasión, me dispongo a realizar una labor de consultoría en ciberseguridad dado que, hasta el momento, se ha venido haciendo de forma no profesional y con los pocos recursos internos que se han destinado. Por poner un ejemplo, las copias de seguridad se están haciendo en un disco duro externo que se lleva el gerente a su casa.

El objetivo es que la empresa cuente con unas políticas y un plan con el que puedan ser conscientes del trabajo que deben de implementar para mantener su negocio activo ante las amenazas de los ciberdelincuentes. A continuación, se presenta el resultado.

Plan Director de Seguridad para Sweet Taste

Se ha trabajado en la implementación del PDS para la pastelería mediante sus seis fases.

FASE 1: Conocer la situación actual

En esta primera parte, dado que ya conocemos bien a la empresa, lo que se ha hecho ha sido descargar todo el conocimiento acumulado sobre el estudio y se ha añadido la información obtenida de las entrevistas que se han mantenido con el equipo y los proveedores. Entre otras cosas, se han detectado carencias en el sitio de venta online relacionadas con la falta de mantenimiento y que será necesaria la actualización.

FASE 2: Conocer la estrategia de la organización

En este caso, la gerencia contaba ya con un plan de negocio a cinco años que elaboró junto con una consultora y que se ha estudiado para incorporarlo al plan. En él se establece como objetivo la automatización de los procesos fundamentales de la organización mediante la mejora del ERP y la incorporación de tecnología a las herramientas de elaboración y distribución de los productos. Se van a añadir sensores a los hornos, así como localización por GPS en las furgonetas de los repartidores. Del mismo modo, se establece el impulso de la venta online como punto crítico en el desarrollo del negocio.

FASE 3: Definir proyectos e iniciativas

Tras el analizar y reflexionar sobre la información obtenida, se proponen las siguientes actividades.

  • P1: Implantación de un plan de contingencia y continuidad del negocio.
    • El servidor local se trasladará a la nube (con alta disponibilidad) y las aplicaciones de gestión, como el ERP, serán accesibles vía web.
    • Se instalarán dos líneas de conexión a Internet con dos proveedores diferentes para garantizar la conectividad.
    • Los equipos informáticos estarán conectados a una alimentación adicional (SAI) por si hubiese cortes temporales de luz.
    • Se realizarán copias de seguridad diarias y se almacenarán en la nube. El proveedor informático se encargará de la supervisión de las copias para garantizar su funcionamiento en caso de necesidad.
    • Se mejorará la interconexión entre el obrador, la tienda física y online.
  • P2: Actualización de herramientas web y venta online
    • Se establecerá un nuevo contrato con el proveedor de tecnologías web con el objetivo de mantener actualizado el CMS y su contendido.
    • Se obligará a la actualización periódica de las contraseñas de acceso web.
    • Se instalarán y actualizarán los certificados de seguridad SSL.
    • Se realizarán copias de seguridad del sitio web.
  • P3: Plan de concienciación a empleados en materia de Ciberseguridad.
    • Se pondrán en marcha una serie de iniciativas que ayuden en la generación de una cultura empresarial comprometida con la ciberseguridad.
  • P4: Control de acceso y video vigilancia.
    • Se controlarán los accesos al obrador y a los ordenadores situados en la tienda.
    • Se instalarán cámaras para la vigilancia de los elementos de valor.
  • P5: Revisión de contratos con proveedores para la inclusión de cláusulas de confidencialidad en el intercambio de información.
    • Se revisarán y actualizarán los contratos.
  • P6: Cumplimiento de la legislación vigente en materia de gestión de información
    • Se actualizará el cumplimiento de la LOPD y la LSSI para las webs.
    • Será necesario actualizar los textos legales y adecuarlos a la legislación de los diferentes países.
  • P7: Obtención de una certificación oficial en seguridad.

FASE 4: Clasificación y priorización

  • Corto plazo: P2, P3, P6
  • Medio plazo: P1, P5
  • Largo plazo: P4, P7

FASE 5: Aprobación por la dirección

El plan será presentado la semana que viene a la dirección para que pueda ser o bien aprobado para su inmediata puesta en marcha, o actualizado con las aportaciones que puedan realizar. En todo caso, se prevé una pronta ejecución.

FASE 6: Implantación del PDS

El plan será comunicado a todos los interesados para su puesta en marcha.

Iker Alberdi – 20 de abril de 2018

Bibliografía:

  1. Incibe: https://itinerarios.incibe.es/

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.