Creating a Smarter Future

Connecting the Dots

3 reglas básicas de ciberseguridad para mantener a su compañía segura – Consejos de nuestros expertos

Facebook
Twitter
LinkedIn
Skype
WhatsApp
Email
La ciberseguridad no es solamente cuestión de comprar productos de seguridad de TI costosos. Siendo una compañía global, todos los días conocemos empresas de todos los tamaños: desde pequeñas hasta grandes. Sorprendentemente, aunque todas tienen productos de seguridad incorporados en sus sistemas, ninguna parece implementar los protocolos muy básicos que las mantendrían seguras de los ciberataques.
Aunque no existe una estrategia infalible para evitar los ciberataques, estos son algunos consejos básicos que pueden mantener segura a su compañía:

1.       LA CIBERSEGURIDAD ES UN ESFUERZO DE EQUIPO

En muchas organizaciones se cree que la ciberseguridad es un asunto de TI exclusivamente. Esta percepción es simplemente equivocada. Cuando ocurren incidentes de ciberseguridad, afectan a una amplia gama de departamentos internos de las organizaciones y esto requiere que respondan inmediatamente. Los departamentos descritos a continuación deben tener implementados procesos claros para responder a cualquier ciberamenaza potencial. Su participación antes (prevención), durante (respuesta) y después (conclusiones) de un ciberincidente es crucial para fortalecer la ciberseguridad.

Departamento jurídico: cuando se trata de ciberseguridad, siempre es bueno tener un abogado a su lado.

  • El rol de departamento jurídico incluye la redacción de políticas y procedimientos internos, y las disposiciones contractuales relacionadas con el descubrimiento, investigación, remediación y reporte de vulneraciones. El objetivo es minimizar cualquier perjuicio legal que pueda resultar de las violaciones de seguridad potenciales.
  • Esto también incluye la investigación de incidentes para determinar el alcance de la brecha y analizar los requisitos de conformidad con las leyes y normativas aplicables. 
  • Los ciberincidentes pueden exponer a las compañías a demandas de clientes cuya información personal está en riesgo.  A nivel ejecutivo, los directores también son responsables por la violación del deber fiduciario y el deber de atención, dos obligaciones vinculantes.
  • El ciberataque a Target en 2013 y las demandas resultantes son ejemplos impactantes de las graves consecuencias legales que resultan de los ciberataques.  Como recordatorio: en noviembre y diciembre de 2013, Target Corporation sufrió una de las mayores ciber violaciones hasta la fecha. La violación puso en riesgo la información personal y de tarjetas de crédito de cerca de 110 millones de clientes de Target.  Luego de la violación, se interpusieron más de 140 demandas (1)

Recursos humanos (HH. RR.): Se preguntará, ¿cuál es la conexión entre HH. RR. y la ciberseguridad?
Bueno, el departamento de recursos humanos:

  • Trabaja con la información más sensible del personal. Aunque esta información es una mina de oro para los atacantes, con frecuencia está desprotegida y vulnerable a los ataques.
  • Se debe asegurar que los nuevos empleados no han traído con ellos datos o información sensible de sus anteriores lugares de trabajo o, por otra parte, asegurar que los antiguos empleados ya no tengan acceso a sus cuentas en línea tan pronto dejen sus cargos.
  • Tiene un papel vital en los riesgos de comunicación y las lecciones aprendidas de anteriores ciberincidentes.
  • Ayuda al departamento de TI a desarrollar y diseminar las orientaciones de los procedimientos de seguridad en toda la organización.

Comunicaciones/medios: la forma en que la compañía responde a un ciberincidente, junto con la comunicación que entabla con los afectados por el incidente, puede afectar enormemente el éxito que tenga en retener los clientes.

  • De acuerdo con una encuesta reciente (2), el 29% de los clientes existentes terminarán sus relaciones con la compañía luego de una violación de datos.
  • El Reglamento General de Protección de Datos (RGPD), que será aplicable en la Unión Europea a partir de mayo de 2018, refuerza la necesidad de la transparencia y las comunicaciones eficientes.  En un mundo post-RGPD, las compañías estarán legalmente obligadas a divulgar información sensible relacionada con ciberincidentes en sus sistemas, dentro de las siguientes 72 horas. Por lo tanto, los equipos de TI y comunicaciones deberán tener implementados procesos que aseguren la respuesta rápida requerida por el RGPD.

Nivel C: es bien conocido que los ejecutivos de nivel C son los responsables de mitigar los riesgos del negocio, mientras que TI proporciona el apoyo tecnológico que impulsa el negocio.

  • En el mundo hiperconectado de hoy, es casi imposible separar los negocios de la tecnología.
  • La amenaza de los ciberataques ahora es una parte más de la realidad diaria de hacer negocios, por lo tanto, es crítico incluir al C-suite en la respuesta ante incidentes y los ejercicios de simulación, para que comprendan completamente sus roles al igual que el coste potencial de un ataque.
  • Tener experiencia práctica con un ataque, incluso uno simulado, significa que el C-suite obtendrá conciencia, lo que es vital para generar una cultura enfocada en seguridad descendente.

2.      CREAR UN CORTAFUEGOS HUMANO 

Cuando se trata de ciberseguridad, sus empleados son la primera línea de defensa. Es responsabilidad de todos los trabajadores, desde los miembros de la junta ejecutiva hasta la recepcionista.  

Para crear una cultura de ciberseguridad en la organización se debe hacer énfasis en los siguientes valores: 

  • Conciencia: el enfoque debe ser en los usuarios desinformados quienes pueden perjudicar su red visitando sitios web infectados con malware, respondiendo a correos electrónicos de phishing, posponiendo las actualizaciones de software y el respaldo de los datos, almacenando su información de inicio de sesión en ubicaciones inseguras, y/o incluso, entregando información sensible por teléfono al ser sujetos a ataques de ingeniería social. Los trabajadores deben ser conscientes de todos esos riesgos y estar capacitados para responder de adecuadamente.
  • Simulacros de preparación en ciberseguridad: un simulacro de incendio es una práctica de los procedimientos de emergencia que se usarán en caso de incendio. ¿Por qué no practicar los procedimientos de emergencia que se deben usar en caso de un ciberataque? Asegúrese de practicar los simulacros de ciberseguridad en diferentes escenarios y de forma oportuna para identificar problemas y tener implementados los procesos para responder eficientemente en el futuro.
  • Capacitación: sus trabajadores deben estar capacitados para comprender el concepto de “exposición a los ciberiesgos” y familiarizarse con las muchas formas de cómo los atacantes pueden explotar la información que recopilan. Esto incluye una amplia gama de riesgos, desde esfuerzos de reconocimiento hasta ataques dirigidos. Los entrenamientos no deben ser teóricos, sino usar ejemplos de la vida real.

3.      TENER PREPARADO UN PLAN DE RESPUESTA ANTE CIBERINCIDENTES (RI)

  • Cuando se trata de un plan de respuesta ante incidentes, el primer paso es definir qué es un incidente. Al hacer esto, el proceso de decidir si actuar o no ante una amenaza, será más fácil y mejorará la efectividad de su equipo de TI.
  • Asigne roles: asegúrese que los trabajadores relevantes estén conscientes de sus roles y responsabilidades. Estos roles deben incluir:
    • Un gerente de TI para monitorear la situación en curso e informar a los equipos relevantes.
    • Un tomador de decisiones que apruebe el plan de respuesta.
    • Un coordinador que lidere las comunicaciones entre los diferentes departamentos.
    • Un escritor técnico para asegurarse de documentar todo.
  • Aprenda sus lecciones: con base en la anteriormente mencionada documentación se pueden tomar decisiones y definir los procesos para responder efectivamente a los ciberincidentes.
  • Involucre a los diferentes departamentos: un plan RI exitoso y bien entrenado requiere de una excelente cooperación interna en toda la organización.
  • Mida su éxito en el manejo del evento definiendo indicadores de desempeño clave (tanto cualitativos como cualitativos). Por ejemplo; ¿cuánto tiempo tomó identificar la amenaza? ¿Cuál es el lapso de tiempo para informar a los clientes afectados? 
  • No espere al siguiente ciberincidente para sacar su reporte RI. Lleve a cabo simulacros periódicos de ciberseguridad para probar a su equipo RI, sus procesos y procedimientos, y actualícelos en consecuencia. 

En conclusión: antes de invertir en un producto de ciberseguridad, recuerde estos dos consejos clave:

La ciberseguridad requiere ante todo un cambio en la cultura de la compañía.
Las secuelas de los ciberataques son siempre más costosas que su prevención.

Leave a Comment

Get in touch with us today, we’d love to hear from you!