La casa inteligente por definición es aquella casa provista de dispositivos inteligentes que permiten automatizar tareas y ser controlados de forma remota desde un dispositivo móvil.
Algunas de las principales buenas prácticas que garantizan el cumplimiento de los tres principios fundamentales de la seguridad de la información son las que se comentan a continuación:
Política de mínimos privilegios: Las personas de una organización no deberían acceder a toda la información de esta, solo a aquella que sea de utilidad e importante para la ejecución de su trabajo. Aplicando efectivamente una política de gestión de privilegios de los usuarios, estamos minimizando los riesgos de fugas de información, manipulación no autorizada de la misma, etc. y minimizando la superficie de ataque de nuestra organización.
Política de control de acceso cerrado por defecto: Todos los accesos a la información y los sistemas que la tratan o almacenan deberían estar cerrados para todos los usuarios y se permitirá solo para aquellos que estén autorizados para acceder.
Segregación de funciones: Se debería definir e implementar una separación efectiva de las funciones y responsabilidades del personal de las organizaciones para evitar conflictos de intereses y minimizar los riesgos de seguridad de la información derivados de la acumulación de privilegios y conocimiento en las personas.
Defensa en profundidad: Ante la gran cantidad de riesgos para la seguridad de la información a la que están expuestas las organizaciones, derivadas de la utilización y dependencia de las TIC, cada vez la superficie de ataque de estas es mayor, por lo que sería necesario diseñar e implementar varios niveles de seguridad acorde a un análisis de riesgos riguroso de sus activos de TIC.
Formación en ciberseguridad: El eslabón más débil de la seguridad de la información de una compañía son las personas. La mayoría de los incidentes de seguridad que sufren las organizaciones están originados por personal interno de estas de manera no intencionada o fortuita y derivados de su desconocimiento de las mejores prácticas de ciberseguridad o de las políticas y procedimientos a tal efecto de la organización. Por eso, es fundamental definir e implementar planes formativos en seguridad informática para todo el personal de la compañía y acorde a sus funciones y responsabilidades.
Auditorías de seguridad informática: Es recomendable realizar controles de auditoría donde se verifique la efectividad y el cumplimiento de las políticas, procedimientos, medidas técnicas y organizativas de la seguridad de la información de la organización y que permitan detectar debilidades y/o vulnerabilidades que puedan ser explotadas por potenciales atacantes. En base a los resultados de las mismas, se deberían diseñar y poner en marcha planes de acción correctivos para solucionar los hallazgos detectados durante las mismas.
Comentarios