Buenas prácticas para garantizar
la seguridad de su Intranet

¿Cómo puede mitigar los riesgos y mejorar la seguridad de su intranet? Casi el 70% de las violaciones de datos se deben a errores de los empleados. Qué es una intranet y qué amenazas potenciales plantea?

Demostración gratuitaHable con un experto
Rúbrica 2 Enlace
Rúbrica 2 Enlace

La Intranet es una red informática interna que se crea dentro de una organización. Aunque proporciona un espacio interactivo en el que los empleados pueden comunicarse y contribuir a la cultura corporativa, por desgracia no está exenta de riesgos. Existen amenazas (tanto internas como externas) para la seguridad de estas redes.

¿Cómo puede protegerse contra ella? ¿Cuáles son las mejores prácticas para garantizar la seguridad de su Intranet? He aquí algunas respuestas.

¿Qué es una intranet y cuáles son sus peligros?

Recordemos con más precisión qué es una Intranet. Es una red informática privada utilizada por los empleados de una empresa (o cualquier otra entidad equivalente), y que utiliza los mismos protocolos de intercambio que en Internet. En muchas empresas, la Intranet adopta la forma de un sitio web. Permite a los empleados intercambiar documentos e información en un entorno seguro, con acceso restringido a un grupo definido. Al facilitar la vida laboral diaria, representa la infraestructura básica de la comunicación interna de una organización.

Debido a los datos personales y confidenciales que contiene, la intranet requiere una vigilancia especial en materia de seguridad. Sobre todo porque cerca del 70% de las violaciones de datos pueden atribuirse a errores cometidos por los empleados, incluso en ausencia de intenciones maliciosas. Así, los tres principales riesgos de seguridad proceden de :

  • negligencia interna;
  • acceso no autorizado por parte de los usuarios;
  • y la exposición accidental a la red.

A menudo, las contraseñas demasiado simples son el origen de ciberataques y pirateo de datos. Y si se accede al servidor a través de una conexión VPN desde un ordenador privado (riesgo que aumenta con la generalización del teletrabajo), también existe el riesgo de que la intranet sea blanco de programas maliciosos. Por tanto, hay que estar alerta.

En el plano jurídico, la Ley de Protección de Datos de 1978 obliga a las organizaciones que implantan ficheros a garantizar la seguridad de los datos tratados en ellos. Por tanto, estas organizaciones están obligadas a establecer, en particular a través de su departamento informático, una serie de medidas de seguridad, como la adopción de una política rigurosa de contraseñas, la protección de los puestos de trabajo y de la red local, y la restricción del acceso a los locales donde se alojan los servidores informáticos.

Pero se pueden adoptar otras medidas para proteger la intranet.  

Prevención de riesgos mediante la elección de herramientas

Un primer nivel de protección debe garantizarse asegurando la intranet. Generalmente se prefiere la instalación de un cortafuegos: se trata de una herramienta que permite proteger la red de la empresa contra accesos externos no reconocidos. También pueden utilizarse otras tecnologías, como los servidores proxy. Se trata de componentes de hardware informático que actúan como intermediarios en el intercambio entre dos hosts. Puede tratarse, por ejemplo, de un ordenador: en este caso, sólo el servidor proxy tiene acceso a Internet. Si los usuarios de otros ordenadores quieren acceder a Internet desde la red, sólo pueden hacerlo a través de una conexión segura con el servidor proxy.

Con un Microsoft 365 Digital Workplace, dispone de un entorno totalmente seguro. Para garantizar la protección frente a intrusiones malintencionadas, puede utilizar extensiones de Microsoft 365 100% seguras como Mozzaik365, que no alojan datos de clientes.

Prevenir los riesgos supervisando, vigilando y controlando el uso de las herramientas proporcionadas.

Una protección fiable contra los virus y otros ciberataques requiere una vigilancia, actualización y supervisión constantes de las herramientas a disposición de los empleados. En este sentido, el correo electrónico debe ser especialmente vigilado, ya que es un lugar por el que pasan cientos de datos cada día. Además, la difusión de una cultura del riesgo entre los empleados, unida a un mecanismo de vigilancia destinado a detectar las señales de alarma de un pirateo informático, deben estar en primera línea de las misiones del departamento informático.

Uno de los principales riesgos que hay que prevenir es el shadow I, en el que los empleados hacen uso de herramientas y tecnologías no proporcionadas (y, por tanto, no reguladas) por la empresa. Esta práctica expone a la empresa a numerosas brechas de seguridad al permitir que herramientas desconocidas accedan a datos confidenciales. La lucha contra las TI en la sombra debe llevarse a cabo de varias maneras, en particular concienciando a los empleados sobre los problemas de seguridad y supervisando el uso de las TI. Así, la empresa debe dejar claro que ningún empleado debe utilizar una herramienta o aplicación sin haber pedido permiso al departamento de TI.

Por último, limitar el acceso a los datos sensibles debe ser una prioridad para el departamento de informática. Es probable que la mayoría de los empleados no necesiten acceder a todo el sistema de datos de la empresa en el curso de su trabajo diario. Restringir los datos sensibles sólo a quienes los necesitan reduce, por tanto, el riesgo de que un tercero acceda a ellos y los explote.

Convierta su intranet en un lugar de trabajo digital

Guía gratuita

Formar a los empleados en buenas prácticas

Como hemos visto anteriormente, el principal riesgo en seguridad informática es el error humano. Por eso hay que formar a los usuarios en buenas prácticas. Y lo que es más importante, deben ser conscientes de los riesgos asociados al uso de herramientas informáticas y al uso de software, herramientas y aplicaciones no reguladas(Shadow IT). Para ello, puede implantar una Política de Seguridad del Sistema de Información (ISSP). Es el documento que rige la estrategia de seguridad informática de tu empresa. En su interior se encuentran las normas de seguridad y el plan de acción. ¿Cuál es el objetivo? Mantener un alto nivel de seguridad de la información. Toda la documentación la formaliza el Responsable de Seguridad de los Sistemas de Información (ISSM). Puede encontrar guías de certificación que le ayudarán en su planteamiento.

Esta sensibilización puede adoptar diversas formas: envío de correos electrónicos u hojas informativas prácticas, publicación colectiva, formación presencial, etc. También puede formalizarse en un documento como la "Carta Informática". Este documento precisará las normas que deben respetarse en materia de seguridad informática y debe ir acompañado de un compromiso de responsabilidad que debe firmar cada usuario. Este documento debe ser accesible a todos los empleados.

Prácticas de seguridad para intranet

Aplicar una estrategia de crisis para responder inmediatamente a los problemas

La palabra "crisis" procede del griego"Krisis", que significa el momento en que una situación alcanza su punto crítico. Hoy en día, la palabra se utiliza para describir un periodo difícil para un individuo o un grupo, como puede ser el caso de un ciberataque. Según la Autoridad Nacional Francesa de Seguridad de los Sistemas de Información (ANSSI), el número de ciberataques se ha cuadruplicado de aquí a 2020. Y estos sucesos tienen un coste considerable: Hiscox estima su coste medio en 5.200 euros. En efecto, un ciberataque genera diversos gastos directos e indirectos. Los costes directos incluyen el cumplimiento de la normativa, las relaciones públicas, la mejora de los sistemas existentes, etc. La interrupción de las actividades y la pérdida de confianza son costes indirectos que pueden afectar a los resultados de la empresa.

Anticiparse a estos periodos de crisis es esencial para dar una respuesta óptima. No se trata de reaccionar de forma totalmente espontánea en este ámbito, a riesgo de cometer graves errores.

Así, la gestión de crisis se prepara siempre antes del acontecimiento desencadenante. La dirección de la empresa, en estrecha colaboración con los equipos informáticos, debe planificar los distintos escenarios de crisis y las respuestas que deben darse. Estos equipos deben prepararse y formarse en gestión de crisis, en función de los riesgos considerados más probables. Estos simulacros les permiten aprender las técnicas y procedimientos, pero también corregir posibles fallos en las respuestas a los problemas de seguridad.

Por último, cuando se produce una crisis, es importante reconocerla como lo que es: un acontecimiento repentino que perturba el funcionamiento normal de la empresa.

Conclusión

Aunque las intranets tienen muchas ventajas, sobre todo para gestionar la comunicación interna y la cohesión de los equipos, no dejan de ser vulnerables a los ciberataques. Sin embargo, los riesgos inherentes a ellas no son inevitables: poniendo en práctica ciertas buenas prácticas, como elegir las herramientas adecuadas, supervisar el uso de los ordenadores y concienciar a los empleados sobre los problemas de seguridad, es posible protegerse contra ellos eficazmente.

Aspectos a tener en cuenta



📌 Anticiparse al riesgo con las herramientas adecuadas;

📌 Utilizar la supervisión para limitar las Shadow IT;

📌 Educar a sus empleados.

📌 Planificar una estrategia de crisis.


PREGUNTAS FRECUENTES

-

Buenas prácticas para la seguridad de su intranet