Esta es la pregunta que, indefectiblemente, surge en un momento u otro en cualquier empresa: un usuario intenta acceder al contenido de una carpeta, donde se guarda un documento que necesita, y junto con la imposibilidad de hacerlo, se encuentra con una advertencia-explicación que le dice que no tiene permisos para acceder.
“¿Permiso? ¡Si lo necesito para trabajar! ¿Quién –sustituid este espacio por un taco– me ha hecho esto?” es, sin ningún tipo de duda, lo que le pasa por la cabeza al ver el problema. Verlo, que no comprenderlo, porque la aplicación de políticas de seguridad en la empresa (que no se resume solo a cortar el acceso a archivos) es de los ámbitos menos entendidos a las organizaciones, y de los que más estorbo y problemas provoca.
Esto es así hasta el punto de negligir el seguimiento de la política de seguridad o, incluso, obviarla, en favor de la comodidad, un hecho muy peligroso, puesto que deja la puerta abierta a todo tipo de amenazas.
Por lo tanto, en este artículo haremos un poco de pedagogía sobre qué es y cómo se puede implementar una política de seguridad, como se tiene que usar y nos ayuda en un día a día más seguro.
¿Qué es una política de seguridad?
La política de seguridad no empieza con los ordenadores, ni con la red de la empresa; empieza sobre una mesa, construyendo un documento en el cual se plasman las normas de uso de toda la infraestructura tecnológica (que incluye el hardware, el software, la conectividad… todo, en definitiva) para que esta sea segura.
El objetivo es evitar ataques informáticos e intrusiones y reducir al máximo posible el impacto de aquellos que resulten exitosos, garantizando la integridad de los datos, su confidencialidad, y la continuidad del negocio en todas las áreas, desde la administrativa a la productiva, pasando por la comercial.
Este documento contempla tanto las medidas de defensa pasiva como las más proactivas, así como define qué pueden hacer (y cómo hacerlo) los trabajadores con las infraestructuras tecnológicas de la empresa, y que no tienen que hacer nunca. También tiene en cuenta planes de contingencia para los peores casos, aquellos en que un ataque resulte totalmente salido bien.
Este documento, el de la política de ciberseguridad de la empresa, es, en definitiva, de obligado conocimiento y cumplimiento por todos los directivos y trabajadores de la empresa.
Dicho de otra manera: ahora ya le podemos explicar a nuestro trabajador que se queja angustiado que no puede acceder a los archivos que necesita, que su usuario no tiene suficientes privilegios porque así lo exige la política de seguridad y que, por lo tanto, aquella información que necesita la tendrá que pedir por otra vía y se le hará llegar por los canales autorizados.
¿En qué consiste la política de seguridad?
La política de seguridad en la empresa alcanza todo lo que hacemos y podemos hacer con los sistemas de información corporativos, empezando por marcar qué permisos de acceso tendrá nuestro usuario a cada recurso y como nos tendremos que identificar ante el sistema.
Esto, por ejemplo, incluye qué nivel de privilegios tiene cada usuario, en qué recursos puede acceder (almacenamiento, datos, aplicaciones, máquinas,…), qué tareas y procesos podrá llevar a cabo, y en qué grupos de usuarios (un concepto parecido a grupos de trabajo) se integra.
Ahora ya le podemos explicar a nuestro trabajador por qué su usuario no tiene suficientes privilegios para acceder a los archivos: es como las películas de espías, cuando a alguien le dicen que no tiene “suficiente nivel de seguridad” para ver unos determinados documentos. Solo que aquí es el mundo real, y si no tiene acceso, quiere decir que alguien, antes, ha considerado que había que compartimentar la información y limitar el acceso por seguridad.
El hecho de limitar accesos no es un capricho: si un atacante consigue introducirse en un perfil de usuario de nuestra red, el daño que podrá hacer estará limitado por los permisos de los cuales disfrute el usuario “invadido”, y por eso el mal que podrá hacer el atacante es limitado.
Ahora imaginaos que nuestro usuario tiene permisos ilimitados dentro de la red: un atacante podría acceder impunemente a todos los datos, robarlos, modificarlos, eliminarlos… ¡un desastre, vaya!
En el documento que define la política de seguridad se dibujan las normativas que marcan, por ejemplo, cómo se almacenarán y se protegerán los datos de la empresa (de los clientes, proveedores, pedidos, productos,…), que se pueden cifrar.

También se define cómo serán las claves de acceso y cada cuánto se cambiarán; sí, aquello tan pesado de “¿ahora el ordenador me vuelve a pedir que cambie la contraseña? Pero ¡si solo hace un mes! la madre que lo…” tiene una razón de ser, y no es por el gusto del administrador de los sistemas informáticos ni porque es un ‘psicópata’ que se entretiene haciéndonos exprimir el cerebro buscando una clave de acceso que no hayamos introducido antes, y que recordamos para acceder en el sistema. Tiene una razón de ser, como todo en materia de ciberseguridad.
Explica también cómo tiene que ser la seguridad perimetral, cuáles tienen que ser los sistemas antimalware que empleará la red y los equipos que la componen, como se conectarán los usuarios desde fuera (para teletrabajar), empleando una VPN o una solución análoga, y cómo y cuando se llevarán a cabo las actualizaciones de los sistemas y los programas.
Finalmente, el documento de política de seguridad también tiene que explicar aquellas prácticas que no se tienen que llevar a cabo de ninguna forma, por obvias que parezcan: no compartir la contraseña con nadie, no descargar ni instalar programas de páginas web dudosas (cosa que el mismo sistema ya no tendría que dejar hacer a los usuarios si está bien configurado), o vigilar con el que se nos pide que basura mediante un mensaje de correo electrónico (evitar prácticas de phishing o de ransomware).
Por qué hay que tenerla?
Para responder a esta pregunta, parémonos un momento a imaginar qué pasaría si nuestra empresa no tuviera una política de seguridad correcta.
Los directivos y trabajadores actuarían cada uno según su propio criterio, y esto llevaría al hecho que más de una persona instalara programas informáticos de dudoso origen para, por ejemplo, descargar películas de forma ilícita desde Internet. Lo hemos visto en más de una organización, y la mayoría de las veces es algo que no se hace con mala fe, sino que la persona que lo hace cree que el programa es seguro y no pasará nada. Pero bien es verdad que nunca sabemos del todo qué es lo que hacen estos programas en nuestro sistema informático y por eso podrían abrir una puerta a un ataque exterior con mucha facilidad.
Tampoco existiría una política común de seguridad, por lo cual cada cual aplicaría sus propias reglas. En esta situación, la compartimentación de la infraestructura de gestión de la información sería imposible, y un ataque exterior se haría rápidamente amo de toda la red corporativa, con las peores consecuencias para la empresa.
Los datos los guardaría cada cual por su parte cuanto más bien entendiera, el que llevaría a una ineficiencia marcada (datos repetidos, desactualizados, perdidos,…), además de que, incluso, podríamos sufrir repercusiones legales en el supuesto de que una inspección por parte de protección de datos encontrara algo irregular.

Pensad que cualquier empresa, incluida la vuestra, trabaja hoy en día con un conjunto de datos, donde se incluyen los de terceras partes, que están sometidas a una especial protección. Si, por inacción nuestra, se filtran los datos de clientes, proveedores, o cualquier otra que sea de terceras partes, nuestra empresa puede recibir una sanción, y no precisamente pequeña, con todas las consecuencias que se desprenden tanto para la gerencia como para los trabajadores.
Actualmente, la informática no es un añadido que “hace ir mejor la empresa”, sino que es un activo necesario para trabajar, una herramienta más del conjunto que tenemos, y en la mayoría de los casos, la principal de estas herramientas, sin la cual la empresa no funcionará.
Si os gastáis un dinero en una alarma, si compráis las mejores herramientas para poder crear un producto o servicio de calidad, ¿por qué no invertir en un buen sistema informático debidamente protegido? El futuro de vuestra empresa está depositado.
¿Cómo construir nuestra política de seguridad?
La respuesta es sencilla: dejad que la hagamos los profesionales. Nos tendréis que ayudar, porque nadie conoce vuestro negocio mejor que vosotros mismos, y la política siempre se tiene que ajustar a los objetivos de la empresa y la manera en la que trabaja a pesar de que hay estándares a seguir e implementar, pero tiene que ser un profesional, como los de ANH Infotech, quienes construyan esta política.
Ah! y de nada sirve si después no se implementa y se sigue fielmente, y esto es cosa vuestra. Así que ni se os acuda darle acceso a aquel trabajador a los ficheros que necesita sin antes preguntarlo al administrador del sistema o profesional encargado, que será quien decidirá si se puede hacer y cómo.