HLS & Cyber

Connecting the Dots

 HLS & Cyber

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on skype
Skype
Share on whatsapp
WhatsApp
Share on email
Email

3 Basic cybersecurity rules to keep your company safe – Tips from our experts

Connecting the Dots

3 Basic cybersecurity rules to keep your company safe – Tips from our experts

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on skype
Skype
Share on whatsapp
WhatsApp
Share on email
Email
Cybersecurity is not only about buying expensive IT security products. As a global company, we meet daily with companies of all sizes - from small businesses to big enterprises.
Surprisingly enough, while all companies have security products embedded in their systems, none seems to implement the very basic protocols that would keep them safe from cyberattacks.
While there is no bullet proof strategy to avoid cyberattacks, here are some basic tips that can help keep your company safe:

1.       CYBERSECURITY IS A TEAM EFFORT

In many organizations, cybersecurity is still believed to be an IT issue only. This perception is simply wrong. When cyber incidents occur, they affect a wide range of departments within organizations and require their immediate responses. The departments listed below should have clear processes in place to respond to any potential cyberthreat. Their involvement before (prevention), during (response), and after (conclusions) a cyber incident is crucial to strengthen cybersecurity.

The Legal Department  when it comes to cybersecurity, it is always good to have an attorney by your side.

  • The legal department role includes drafting internal policies, procedures, and contractual provisions regarding discovery, investigation, remediation and reporting of breaches. The goal here is to minimize any legal damage that could result from potential data breaches.
  • It also includes investigating incidents to determine the scope of a breach, and analyzing requirements under applicable laws and regulations. 
  • Cyber incidents may expose companies to lawsuits from customers whose personal details are compromised.  At the executive level, directors are also liable for breach of fiduciary duty and duty of care, which are both binding obligations.
  • The cyberattack at Target in 2013, and resulting lawsuits, are striking examples of heavy legal consequences resulting from cyberattacks.  As a reminder: in November and December of 2013, Target Corporation suffered one of the largest cyber breaches to date. The breach resulted in personal and credit card information of approximately 110 million Target customers being compromised.  More than 140 lawsuits were filed following the breach (1)

Human Resources (HR) – what is the connection between HR and cybersecurity you might ask?

Well, the HR department:

  • Works with the most sensitive personnel data. While this information is a goldmine for attackers, it is often left unprotected and vulnerable to attacks.
  • Ensures that new employees have not brought any sensitive data or information with them from their previous places of employment – or conversely, ensures that former employees no longer have access to their online accounts as soon as they leave their positions.
  • Plays a vital role in communicating risks and lessons learnt from previous cyber incidents.
  • Helps the IT department develop and disseminate security procedure guidelines across the organization.

Communications/Media – The way a company responds to a cyber incident, along with its communications with those affected by the incident, can greatly affect its success in retaining customers.

  • According to a recent survey(2) 29% of existing customers would discontinue relationships with the company after a data breach.
  • The General Data Protection Regulation (GDPR), which will become applicable in the European Union in May 2018, reinforces the need for transparency and efficient communications.  In a GDPR-post world, companies will be legally obligated to disclose sensitive information regarding cyber incidents on their systems, within 72 hours. Therefore, IT and communications teams should have processes in place to ensure the quick response required by the GDPR.

C-level – It is a well-known fact that C-suite executives are responsible for mitigating business risks, while IT delivers the technological support that drives the business.

  • In today’s hyper connected world, it is almost impossible to separate business from technology.
  • The threat of cyberattacks is now just part of the day-to-day reality of doing business, therefore it is critical to include the C-suite in incident response and table-top exercises, so they fully understand their roles, as well as the potential cost of an attack.
  • Having firsthand experience of an attack, even a simulated one, means the C-suite will gain awareness, which is vital to driving a top-down security-focused culture.

2.      CREATE A HUMAN FIREWALL

When it comes to cybersecurity, your employees are the first line of defense. It is everyone’s responsibility – from board members, to the secretary sitting at the front desk.  To create a cybersecurity culture in the organization, the following values should be emphasized : 

  • Awareness – The focus will be on uninformed users who can do harm to your network by visiting websites infected with malware, responding to phishing e-mails, postponing software update and data back-up, storing their log-in information in unsecured locations, or even giving away sensitive information over the phone when exposed to social engineering. Employees must be aware of those various risks, and trained to respond accordingly.
  • Readiness/Cybersecurity Drills – A fire drill is a practice of the emergency procedures to be used in case of fire. Why not practice the emergency procedures to be used in the case of a cyberattack? Make sure to practice cybersecurity drills with different scenarios and in a timely manner to identify problems, and have processes in place to respond efficiently in the future.
  • Training – your employees should be trained to understand the concept of “cyber risk exposure”, and become familiar with the many ways attackers can exploit information they gather. This includes a wide range of risks, from reconnaissance efforts to targeted attacks. Training should not be theoretical, but rather use real life examples.

3.      HAVE A CYBER INCIDENT RESPONSE (IR) PLAN READY 

  • When it comes to the incident response plan, the first step is to define what an incident is. By doing so, the process of deciding whether to act upon a threat or not will be much easier and will improve your IT team effectiveness.
  • Assign roles – make sure the relevant employees are aware of their roles and responsibilities. Those roles should include:
    • an IT manager to monitor the evolving situation and update relevant teams accordingly;
    • a decision-maker to approve the response plan;
    • a coordinator to lead the communications between the different departments;
    • a technical writer to make sure everything is documented.
  • Learn your lessons – Based on the above-mentioned documentation, decisions should be made, processes should be defined to effectively respond to cyber incidents.
  • Involve different departments – A successful, well-drilled, IR plan requires excellent internal cooperation across the organization.
  • Measure your success in handling the event by defining key performance indicators (both qualitative and quantitative) – For example: how much time should it take to identify the threat? What is the timeframe to report to affected customers?  
  • Do not wait for the next cyber incident to pull out your IR document. Perform periodic cybersecurity drills to test your IR team, your processes and procedures, and update them accordingly. 

In conclusion, before investing in a cybersecurity product, remember two key tips:

Cybersecurity requires first and foremost a change in your company culture.
The aftermath of cyberattacks are always more expensive than preventing them.

3 reglas básicas de ciberseguridad para mantener a su compañía segura – Consejos de nuestros expertos

Creating a Smarter Future

Connecting the Dots

3 reglas básicas de ciberseguridad para mantener a su compañía segura – Consejos de nuestros expertos

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on skype
Skype
Share on whatsapp
WhatsApp
Share on email
Email
La ciberseguridad no es solamente cuestión de comprar productos de seguridad de TI costosos. Siendo una compañía global, todos los días conocemos empresas de todos los tamaños: desde pequeñas hasta grandes. Sorprendentemente, aunque todas tienen productos de seguridad incorporados en sus sistemas, ninguna parece implementar los protocolos muy básicos que las mantendrían seguras de los ciberataques.
Aunque no existe una estrategia infalible para evitar los ciberataques, estos son algunos consejos básicos que pueden mantener segura a su compañía:

1.       LA CIBERSEGURIDAD ES UN ESFUERZO DE EQUIPO

En muchas organizaciones se cree que la ciberseguridad es un asunto de TI exclusivamente. Esta percepción es simplemente equivocada. Cuando ocurren incidentes de ciberseguridad, afectan a una amplia gama de departamentos internos de las organizaciones y esto requiere que respondan inmediatamente. Los departamentos descritos a continuación deben tener implementados procesos claros para responder a cualquier ciberamenaza potencial. Su participación antes (prevención), durante (respuesta) y después (conclusiones) de un ciberincidente es crucial para fortalecer la ciberseguridad.

Departamento jurídico: cuando se trata de ciberseguridad, siempre es bueno tener un abogado a su lado.

  • El rol de departamento jurídico incluye la redacción de políticas y procedimientos internos, y las disposiciones contractuales relacionadas con el descubrimiento, investigación, remediación y reporte de vulneraciones. El objetivo es minimizar cualquier perjuicio legal que pueda resultar de las violaciones de seguridad potenciales.
  • Esto también incluye la investigación de incidentes para determinar el alcance de la brecha y analizar los requisitos de conformidad con las leyes y normativas aplicables. 
  • Los ciberincidentes pueden exponer a las compañías a demandas de clientes cuya información personal está en riesgo.  A nivel ejecutivo, los directores también son responsables por la violación del deber fiduciario y el deber de atención, dos obligaciones vinculantes.
  • El ciberataque a Target en 2013 y las demandas resultantes son ejemplos impactantes de las graves consecuencias legales que resultan de los ciberataques.  Como recordatorio: en noviembre y diciembre de 2013, Target Corporation sufrió una de las mayores ciber violaciones hasta la fecha. La violación puso en riesgo la información personal y de tarjetas de crédito de cerca de 110 millones de clientes de Target.  Luego de la violación, se interpusieron más de 140 demandas (1)

Recursos humanos (HH. RR.): Se preguntará, ¿cuál es la conexión entre HH. RR. y la ciberseguridad?
Bueno, el departamento de recursos humanos:

  • Trabaja con la información más sensible del personal. Aunque esta información es una mina de oro para los atacantes, con frecuencia está desprotegida y vulnerable a los ataques.
  • Se debe asegurar que los nuevos empleados no han traído con ellos datos o información sensible de sus anteriores lugares de trabajo o, por otra parte, asegurar que los antiguos empleados ya no tengan acceso a sus cuentas en línea tan pronto dejen sus cargos.
  • Tiene un papel vital en los riesgos de comunicación y las lecciones aprendidas de anteriores ciberincidentes.
  • Ayuda al departamento de TI a desarrollar y diseminar las orientaciones de los procedimientos de seguridad en toda la organización.

Comunicaciones/medios: la forma en que la compañía responde a un ciberincidente, junto con la comunicación que entabla con los afectados por el incidente, puede afectar enormemente el éxito que tenga en retener los clientes.

  • De acuerdo con una encuesta reciente (2), el 29% de los clientes existentes terminarán sus relaciones con la compañía luego de una violación de datos.
  • El Reglamento General de Protección de Datos (RGPD), que será aplicable en la Unión Europea a partir de mayo de 2018, refuerza la necesidad de la transparencia y las comunicaciones eficientes.  En un mundo post-RGPD, las compañías estarán legalmente obligadas a divulgar información sensible relacionada con ciberincidentes en sus sistemas, dentro de las siguientes 72 horas. Por lo tanto, los equipos de TI y comunicaciones deberán tener implementados procesos que aseguren la respuesta rápida requerida por el RGPD.

Nivel C: es bien conocido que los ejecutivos de nivel C son los responsables de mitigar los riesgos del negocio, mientras que TI proporciona el apoyo tecnológico que impulsa el negocio.

  • En el mundo hiperconectado de hoy, es casi imposible separar los negocios de la tecnología.
  • La amenaza de los ciberataques ahora es una parte más de la realidad diaria de hacer negocios, por lo tanto, es crítico incluir al C-suite en la respuesta ante incidentes y los ejercicios de simulación, para que comprendan completamente sus roles al igual que el coste potencial de un ataque.
  • Tener experiencia práctica con un ataque, incluso uno simulado, significa que el C-suite obtendrá conciencia, lo que es vital para generar una cultura enfocada en seguridad descendente.

2.      CREAR UN CORTAFUEGOS HUMANO 

Cuando se trata de ciberseguridad, sus empleados son la primera línea de defensa. Es responsabilidad de todos los trabajadores, desde los miembros de la junta ejecutiva hasta la recepcionista.  

Para crear una cultura de ciberseguridad en la organización se debe hacer énfasis en los siguientes valores: 

  • Conciencia: el enfoque debe ser en los usuarios desinformados quienes pueden perjudicar su red visitando sitios web infectados con malware, respondiendo a correos electrónicos de phishing, posponiendo las actualizaciones de software y el respaldo de los datos, almacenando su información de inicio de sesión en ubicaciones inseguras, y/o incluso, entregando información sensible por teléfono al ser sujetos a ataques de ingeniería social. Los trabajadores deben ser conscientes de todos esos riesgos y estar capacitados para responder de adecuadamente.
  • Simulacros de preparación en ciberseguridad: un simulacro de incendio es una práctica de los procedimientos de emergencia que se usarán en caso de incendio. ¿Por qué no practicar los procedimientos de emergencia que se deben usar en caso de un ciberataque? Asegúrese de practicar los simulacros de ciberseguridad en diferentes escenarios y de forma oportuna para identificar problemas y tener implementados los procesos para responder eficientemente en el futuro.
  • Capacitación: sus trabajadores deben estar capacitados para comprender el concepto de “exposición a los ciberiesgos” y familiarizarse con las muchas formas de cómo los atacantes pueden explotar la información que recopilan. Esto incluye una amplia gama de riesgos, desde esfuerzos de reconocimiento hasta ataques dirigidos. Los entrenamientos no deben ser teóricos, sino usar ejemplos de la vida real.

3.      TENER PREPARADO UN PLAN DE RESPUESTA ANTE CIBERINCIDENTES (RI)

  • Cuando se trata de un plan de respuesta ante incidentes, el primer paso es definir qué es un incidente. Al hacer esto, el proceso de decidir si actuar o no ante una amenaza, será más fácil y mejorará la efectividad de su equipo de TI.
  • Asigne roles: asegúrese que los trabajadores relevantes estén conscientes de sus roles y responsabilidades. Estos roles deben incluir:
    • Un gerente de TI para monitorear la situación en curso e informar a los equipos relevantes.
    • Un tomador de decisiones que apruebe el plan de respuesta.
    • Un coordinador que lidere las comunicaciones entre los diferentes departamentos.
    • Un escritor técnico para asegurarse de documentar todo.
  • Aprenda sus lecciones: con base en la anteriormente mencionada documentación se pueden tomar decisiones y definir los procesos para responder efectivamente a los ciberincidentes.
  • Involucre a los diferentes departamentos: un plan RI exitoso y bien entrenado requiere de una excelente cooperación interna en toda la organización.
  • Mida su éxito en el manejo del evento definiendo indicadores de desempeño clave (tanto cualitativos como cualitativos). Por ejemplo; ¿cuánto tiempo tomó identificar la amenaza? ¿Cuál es el lapso de tiempo para informar a los clientes afectados? 
  • No espere al siguiente ciberincidente para sacar su reporte RI. Lleve a cabo simulacros periódicos de ciberseguridad para probar a su equipo RI, sus procesos y procedimientos, y actualícelos en consecuencia. 

En conclusión: antes de invertir en un producto de ciberseguridad, recuerde estos dos consejos clave:

La ciberseguridad requiere ante todo un cambio en la cultura de la compañía.
Las secuelas de los ciberataques son siempre más costosas que su prevención.

Get in touch with us today, we’d love to hear from you!