A estas alturas nadie duda de que la informática está presente en nuestras vidas de una manera global. 
En todo lo que hacemos en nuestro día a día está presente un sistema informático o un dispositivo tecnológico. Y en el mundo empresarial mucho más; no podemos negar que la actividad de las empresas está íntimamente ligada a los ordenadores, sean del tipo que sean. Esta masiva presencia tecnológica hace que las empresas alcancen altísimos niveles de dependencia de sus dispositivos, sin los que se antoja imposible su actividad económica.
Sin embargo, tal grado de dependencia normalmente no se corresponde con la atención que se les suele prestar. Tenemos sistemas informáticos porque nos ayudan a desarrollar nuestra actividad y nos facilitan la vida; pero, ¿cuidamos nuestros sistemas como es debido? Y lo que es más importante, ¿tenemos el control sobre la información que contienen? La respuesta es que no, porque existe un gran número de empresas que no tienen establecidos planes de ningún tipo para prevenir desastres informáticos: avería o rotura de dispositivos, pérdida o robo de información, ataques de virus, etc.
Tanto la normativa legal (legislación mercantil o fiscal, LOPD o cualquier otra) como también el más elemental sentido común obliga a las empresas a evaluar los riesgos de su actividad e implantar medidas que les ayuden a combatirlos, manteniendo su información bajo control.
Con el fin de ayudar a las empresas a establecer unas pautas mínimas de seguridad, recordamos una lista de tareas que toda empresa debería llevar a cabo:
- Plan de mantenimiento informático preventivo: revisiones periódicas que aseguren la actualización del sistema o los drivers recomendados por los fabricantes, chequear las aplicaciones que se ejecutan al arrancar el equipo, la actualización continua del software antivirus, etc. Es conveniente revisar periódicamente la idoneidad del equipo para el uso que se le está dando, porque en ocasiones tendemos a seguir usando equipos que se vuelven más y más lentos, resultando casi improductivos.
- Política de contraseñas: la empresa debe dictar normas que aseguren que todos los usuarios de la empresa utilizan contraseñas fuertes (combinar símbolos, números y letras suele ser muy eficaz), que se renuevan periódicamente, que no se comparten con nadie, etc. La concienciación de los usuarios acerca de la seguridad debe ser el primer objetivo de cualquier política de ciberseguridad.
- Política de copias de seguridad: es imprescindible que la empresa establezca un sistema de copias en el que se especifiquen los soportes a utilizar, la periodicidad, las personas responsables de la ejecución y custodia de las copias, etc., sin olvidar la verificación de su correcto funcionamiento. Disponer de un juego de copias fuera de la empresa, actualizado periódicamente, es una buena medida para asegurarnos de que, en caso de daños graves en las instalaciones y equipos, siempre tendremos la información de la empresa a buen recaudo.
- Control de acceso por los usuarios: la empresa debe definir con claridad y exactitud quien puede acceder o no a cada tipo de información. Como norma general, los empleados sólo deben acceder a lo que necesitan para realizar su trabajo; por tanto, es necesario que la empresa establezca privilegios de usuario en los que se definan los niveles de acceso de cada puesto.
- Custodia de los datos y prevención de fugas: más allá de la conservación de las copias de seguridad en lugar seguro, es fundamental adoptar pautas que aseguren que el contenido de los ordenadores, al igual que la documentación en papel, no se expone a miradas indeseadas durante su uso diario. En muchas ocasiones no somos conscientes de que la información de la empresa constituye su activo más valioso.
- Planes de contingencia y continuidad del negocio; los responsables de la empresa deben establecer la planificación necesaria para cubrir cualquier incidente que pueda producirse con los sistemas informáticos y garantizar la continuidad normal de las operaciones en los plazos más cortos y con los menores daños posibles. Se trata de un ejercicio de previsión que muy pocas empresas llevan a cabo, y que puede evitar graves daños, en ocasiones irreversibles.
En cada una de estas tareas se debe medir de manera realista la situación actual en que se encuentra nuestra empresa, analizar los posibles riesgos y sus consecuencias, proponer pautas de mejora e implantar las medidas de corrección y protección acordadas, revisando periódicamente su cumplimiento por todos los miembros de la empresa. La presencia de profesionales cualificados ayuda en el análisis e implementación de estas medidas, por lo que las empresas no deben dudar en recurrir a ellos cuando no dominan estas cuestiones.