Durante varios meses, mi jefe y yo hemos trabajado intensamente en la seguridad del sistema de información.
La empresa contaba con conocimientos básicos de ciberseguridad, pero sin ser insegura. Contábamos con una gestión de contraseñas adecuada, un firewall que bloqueaba todas las solicitudes no autorizadas y capacitación ocasional para los usuarios, entre otras cosas.
Sin embargo, a medida que evolucionaban los estándares, nos hemos basados en la información proporcionada por la ANSSI (Agencia Nacional Francesa para la Seguridad de la Información y la Seguridad) para mejorar nuestra seguridad.
Durante varios meses, hemos implementado, en coordinación con el gerente, una política de seguridad y un reglamento interno de seguridad informática.
Hemos utilizado diversos métodos de la ANSSI para identificar nuestros recursos críticos, identificar nuestros riesgos y, por lo tanto, definir diversas acciones para implementar y aumentar la seguridad del sistema informático.
Una de las principales medidas de seguridad implementadas fue la capacitación sistemática y obligatoria de usuarios. A partir de ahora, todos los nuevos empleados reciben aproximadamente una hora de capacitación sobre las mejores prácticas de seguridad, qué no hacer y cómo contactar con el departamento de IT. Esta capacitación está en constante evolución y se revisa periódicamente para incorporar las actualizaciones de la ANSSI.
La segunda medida que se está implementando actualmente se refiere a la red: mejor aislamiento del tráfico e implementación de un sistema de doble puerta, seguido de uno de triple puerta. También se ha revisado la gestión de contraseñas, así como la implementación de la autenticación multi-factores. Finalmente, se ha creado un repositorio de logs y se está implementando un SIEM.
No entraré en detalles sobre las medidas implementadas, no solo porque sería demasiado largo (se han identificado más de 100), sino también para evitar comprometer la seguridad del sistema de información de mi empresa.
