SEGURIDAD DE INFORMACION PARA PyMES

Después de muchos años de estándares de seguridad (o buenas prácticas) dirigidos a corporaciones se está girando la mirada a las PyMES debido a su aporte económico (En Argentina representan cerca del 60% del PIB).

Otro caso en el que se le está dando la importancia debida a las PyMES es la "Mejora de procesos de Software para pequeñas empresas" como es COMPETISOFT y también el "Modelo de ciclo de vida de software para pequeñas empresas" ISO/IEC 29110.

Ya hablando de la NISTIR 7621, a muchos les parecerán recomendaciones muy obvias pero las PyMES seguramente valorarán en alto grado este documento si lo aplican. En 20 páginas incluidos los 3 anexos se presenta los fundementos básicos de seguridad de información para una PyME.

A continuación una traducción del índice del documento:

SEGURIDAD DE INFORMACION PARA PyMES(*): LOS FUNDAMENTOS
NISTIR 7621
Richard Kissel
Octubre 2009

Acciones "absolutamente necesarias" que las PyMES deberían tomar para proteger su información, sistemas y redes.
1. Proteger información/sistemas/redes del daño de virus, spyware y otros códigos maliciosos.
2. Proveer seguridad a las conexiones de Internet.
3. Instalar y activar programas firewalls en todos los sistemas del negocio.
4. Parchar los sistemas operativos y las aplicaciones.
5. Realizar copias de seguridad de los datos/información importantes.
6. Controlar el acceso físico a las computadoras y a los componentes de la red.
7. Securizar/asegurar los puntos de acceso de la red inalámbrica y de las redes.
8. Entrenar a los empleados en principios básicos de seguridad.
9. Requerir cuentas de usuario individual para cada empleado en las computadoras del negocio y para las aplicaciones de negocio.
10. Limitar el acceso de empleados a datos e información y limitar la autorización para instalar software.

Prácticas altamente recomendadas
1. Preocuparse acerca de la seguridad de los adjuntos de email y petición de emails con información sensible.
2. Preocuparse acerca de los enlaces web en los emails, mensajería instantánea, redes sociales y otros.
3. Preocuparse acerca de ventanas emergentes y otros trucos de hackers.
4. Hacer los negocios en linea o banca más segura.
5. Prácticas de personal recomendadas al contratar empleados.
6. Consideraciones de seguridad para la navegación web.
7. Problemas en descargas de software de Internet.
8. Como conseguir ayuda con la seguridad de información cuando lo necesites.
9. Como deshacerse de computadoras y medios de almacenamientos viejos
10. Como protegerse contra la Ingenieria Social

Otras consideraciones para información, computación y seguridad en redes.
1. Consideraciones de Planes de Contingencia y Recuperación de Desastres.
2. Consideraciones de anulación de costos en seguridad de información.
3. Políticas de negocio relacionadas a seguridad de información y otros tópicos.

Apéndice A: Identificando y priorizando los tipos de información de tu organización
Apéndice B: Identificando la protección necesaria para las prioridades por tipos de información de tu organización
Apéndice C: Estimando los costos de que sucedan cosas malas a la información importante del negocio.

(*) La traducción literal de "Samll business" es "pequeños negocios" sin embargo se optó en vez de esta por PyMES.

Descargar el documento completo (pdf)