Muchas organizaciones nacionales y profesionales han publicado listas de buenas prácticas de seguridad. La siguiente es una lista de algunas de las buenas prácticas de seguridad:
- Realizar una evaluación de riesgos: conocer el valor de lo que proteges ayuda a justificar los gastos de seguridad.
- Crear una política de seguridad: crea una política que delinee claramente las reglas de la empresa, las tareas y las expectativas.
- Medidas de seguridad física: restringe el acceso a los centros de datos, a las ubicaciones de servidores y a los extintores.
- Medidas de seguridad de recursos humanos: los empleados deben ser correctamente investigados con comprobaciones de antecedentes.
- Efectuar y probar las copias de respaldo: realiza copias de respaldo periódicas y prueba los datos recuperados de las copias de respaldo.
- Mantener parches y actualizaciones de seguridad: actualiza periódicamente los servidores, equipos, los programas y sistemas operativos de los dispositivos de red.
- Implementa controles de acceso: configura los roles de usuario y los niveles de privilegios, así como una autenticación de usuario sólida.
- Revisa periódicamente la respuesta ante incidentes: utiliza un equipo de respuesta ante incidentes y prueba los escenarios de respuesta ante emergencias.
- Implementa una herramienta de administración, análisis y supervisión de red: selecciona una solución de monitoreo de seguridad que se integre con otras tecnologías.
- Implementa dispositivos de seguridad de la red: utiliza routers de nueva generación, firewalls y otros dispositivos de seguridad.
- Implementa una solución de seguridad integral para terminales: utiliza software antivirus y antimalware de nivel empresarial.
- Informa a los usuarios: educa a los usuarios y a los empleados sobre los procedimientos seguros.
- Cifra los datos: cifra todos los datos confidenciales de la empresa, incluido el correo electrónico.
Algunas de las pautas más útiles se encuentran en los depósitos organizacionales, como el Centro de Recursos de Seguridad Informática del Instituto Nacional de Normas y Tecnología (NIST, por sus siglas en inglés).
Una de las organizaciones más conocidas y respetadas para la capacitación en ciberseguridad es el SANS Institute.