La ciberseguridad de una organización no empieza con adquirir herramientas complejas, sino por asentar unos hábitos básicos de seguridad. Hoy día, muchos incidentes siguen entrando por los mismos vectores: correos maliciosos, contraseñas débiles, falta de doble autenticación, sistemas sin actualizar, permisos mal revisados o copias de seguridad que no se comprueban hasta que ya es tarde entre otros muchos casos.
En ese contexto, el Decálogo Básico de Seguridad del Centro Criptológico Nacional (CCN-CERT) sirve como una hoja de ruta sencilla para orientar las primeras medidas de protección en nuestras organizaciones. A continuación, se recogen las diez reglas básicas que cualquier organización debería tener presentes para reforzar su seguridad desde lo esencial.
Decálogo básico de ciberseguridad
- La cultura de la ciberseguridad, la concienciación del empleado, debe ser uno de los pilares en lo que se asiente la ciberseguridad de cualquier organización.
- No abrir ningún enlace ni descargar ningún fichero adjunto procedente de un correo electrónico que presente cualquier indicio o patrón fuera de lo habitual.
- Utilizar software de seguridad, herramientas antivirus y antimalware, cortafuegos personales, herramientas de borrado seguro, etc. debe ser algo irrenunciable cuando se utiliza un sistema de las TIC.
- Limitar la superficie de exposición a las amenazas, no solo hay que implementar medidas de seguridad que protejan el acceso a la información, sino que hay que determinar los servicios que son estrictamente necesarios.
- Cifrar la información sensible, no hay otra alternativa.
- Utilizar contraseñas adaptadas a la funcionalidad siendo conscientes de que la doble autenticación ya es una necesidad.
- Hacer un borrado seguro de la información una vez que esta ya no sea necesaria o se vaya a retirar de uso el soporte en cuestión.
- Realizar copias de seguridad periódicas, no existe otra alternativa en caso de infección de código malicioso tipo ransomware, pérdida de datos, averías del hardware de almacenamiento, borrado de información involuntaria por parte del usuario, etc.
- Mantener actualizadas las aplicaciones y el sistema operativo es la mejor manera de evitar dar facilidades a la potencial amenaza.
- Revisa regularmente la configuración de seguridad aplicada, los permisos de las aplicaciones y las opciones de seguridad.
Sobre el CCN-CERT
El Centro Criptológico Nacional (CCN) es el organismo oficial español responsable de garantizar la seguridad de las tecnologías de la información. Está adscrito al Centro Nacional de Inteligencia (CNI) y, desde su fundación en 2004, su misión principal es proteger y defender la ciberseguridad de España.
Su foco de actuación se centra especialmente en blindar a las Administraciones Públicas y a aquellas empresas e industrias estratégicas para el funcionamiento del Estado, como pueden ser los sectores de la energía, la sanidad, las telecomunicaciones o el transporte.
Dentro de este organismo opera el CCN-CERT, que es su equipo especializado de respuesta ante emergencias informáticas, Computer Emergency Response Team, creado en el año 2006. Este equipo actúa como el gran escudo nacional frente a los ciberataques: no solo interviene de urgencia para gestionar y neutralizar incidentes graves cuando ya han ocurrido, sino que investiga las nuevas amenazas, emite alertas tempranas y diseña normativas preventivas.
A través de la publicación de manuales y guías prácticas, como su Decálogo Básico de Seguridad, el CCN-CERT dota a las organizaciones de las herramientas y conocimientos necesarios para protegerse de forma autónoma.
