La ciberseguridad ocupa un lugar destacado en la lista de preocupaciones de cualquier organización. Adoptar las mejores prácticas de ciberseguridad permite a las organizaciones consolidar una defensa sólida en la lucha contra ataques y vulneraciones informáticas.
Para organizaciones pequeñas es fácil pensar que los ciberdelincuentes no las atacarán. Curiosamente, las grandes organizaciones creen que son lo suficientemente fuertes para resistir con facilidad toda clase de incidencias contra su seguridad informática.
Tan equivocadas están unas como otras, porque este tipo de ataques pueden darse independientemente del tamaño de la organización. Por ello, adoptar las mejores prácticas de ciberseguridad, sincronizadas con un sistema de gestión de seguridad de la información, es la única forma para evitar ser víctima de un ciberataque.
Mejores prácticas de ciberseguridad – Las 10 más efectivas
Los ciberataques tienen como objetivo generalmente comprometer los sistemas y acceder a información relevante de la que sacar provecho. Algunos ejemplos típicos son la información de tarjetas de crédito o las credenciales de acceso para el robo de identidad.
Implementar las mejores prácticas de ciberseguridad ahorra mucho dinero a las organizaciones. Aunque esto requiere una inversión inicial, a mediano y largo plazo se apreciará con satisfacción el retorno de la inversión. Estas son algunas de esas prácticas:
1. Asignar un rol dedicado a las amenazas internas
Las amenazas internas son especialmente críticas para la seguridad de la información. Tener empleados con acceso a datos implica un riesgo. Un riesgo inevitable, pero que debe ser tratado.
La creación de un programa de amenazas internas es esencial para las organizaciones que trabajan con datos confidenciales. Con él se protege esa información junto con la reputación de la marca. Por eso, la labor debe ser una responsabilidad asignada a un profesional en el área que reporte directamente a la alta dirección. Esta incluye desarrollar políticas para cada área y obtener el compromiso de los directores de cada una de ellas.
2. Instalar un Firewall y un software antimalware
La primera línea de defensa en un ciberataque es el firewall. El “muro de fuego” es una barrera poderosa entre la información y los ciberdelincuentes. Además del firewall externo, las organizaciones hoy también instalan firewalls internos para contar con protección adicional. Pero el teletrabajo también ha generado la necesidad de instalar firewall en la red domestica de cada uno de los empleados que trabajan desde casa.
Por las mismas razones, la instalación de software antimalware se hace obligatoria. Los ataques de phishing crecen todos los días, y los empleados no siempre están alerta para no abrir enlaces de riesgo que aparecen en un mail.
3. Crear una política clara sobre gestión de contraseñas
En una organización se utilizan muchas contraseñas. Un solo empleado puede tener a su cargo diez credenciales de acceso diferentes. Es fácil ceder a la tentación de utilizar la misma para todo, o anotar las claves de acceso en un post-its que se adhieren a la pantalla del ordenador.
Crear una política al respecto que sea conocida, comprendida y aceptada por todos los empleados es un primer paso. Primer paso que debe estar acompañado por otras acciones, como el uso obligatorio de una aplicación que genere contraseñas seguras para cada evento, y que obligue a modificarlas de forma periódica.
4. Implementar programas de formación sobre seguridad de la información
Más que implementar las mejores prácticas de ciberseguridad, estas deben inculcarse a los empleados mediante programas de formación que cumplan tal propósito. Los empleados son la primera línea de defensa contra el ciberdelito. Por eso, es importante estar atentos a sus necesidades de formación, para desarrollar todas las habilidades y conocimientos necesarios para proteger a la organización.
5. Extender el alcance de las mejores prácticas de ciberseguridad a todas las partes interesadas
La globalización y la interconectividad obligan a muchas organizaciones a reasignar tareas especializadas a socios externos u otras organizaciones subcontratadas. Estos contratistas externos también deben adoptar las mejores prácticas de ciberseguridad a las que hacemos referencia.
Tanto el personal interno como los contratistas externos deben ser informados y capacitados para seguir las políticas de ciberseguridad implementadas, así como los requisitos del estándar internacional ISO 27001.
#ISO27001 es el estándar internacional que se basa y promueve las mejores #PrácticasCiberseguridad. Conocemos hoy las 10 más importantes. Clic para tuitear6. Preservar la seguridad física de los equipos
La seguridad física es tan importante como la seguridad técnica. Esto es aun más importante bajo las condiciones impuestas por la nueva normalidad. La seguridad física comienza por apagar totalmente un equipo que no estará en uso durante un periodo de tiempo tal que pueda eventualmente ser utilizado por una persona no autorizada.
Igual principio debe aplicarse para la información almacenada en discos externos o en unidades flash.
7. Realizar copias de seguridad con regularidad
Si bien es importante prevenir tantos ataques como sea posible, aún existe la posibilidad de perder información como consecuencia de una avería o un pico de voltaje imprevisto.
Hacer copias de seguridad de los documentos de procesamiento de texto, hojas de cálculo, bases de datos, archivos financieros, archivos de recursos humanos y archivos contables, es sin duda una de las mejores prácticas de ciberseguridad, que siempre tiene validez.
Del mismo modo, es importante asegurar que las copias se almacenan en lugar separado, para prevenir en caso de incendio, inundación o robo, por ejemplo.
8. Implementar protocolos de seguridad para empleados móviles
Muchos empleados corporativos deben acceder a redes públicas no seguras mientras viajan a causa de su trabajo. Sacrificar la seguridad por conveniencia es inaceptable en el mundo organizacional moderno.
Este tipo de empleados, usualmente del área comercial, corren muchos riesgos. La formación y la educación sobre precauciones que pueden tomar para evitar riesgos es una forma de estar preparados y protegidos. Diseñar e implementar protocolos de seguridad para el acceso a la red corporativa desde lugares remotos reducirá la brecha de seguridad que implica la fuerza laboral fuera de la oficina.
9. Implementar un enfoque de gobernanza de seguridad de la información
Todas las organizaciones han de establecer y mantener un marco de seguridad de la información (SI) que se alinee con las estrategias y sistemas de gestión existentes. Esto permite que se aplique un enfoque basado en el riesgo en todos los niveles, facilitando la detección de brechas de seguridad, y la identificación clara de incidentes para responder ante ellos con rapidez.
En otras palabras, cada acción de cada empleado, aunque no requiera el uso de un equipo electrónico, debe realizarse considerando el riesgo que puede representar para la seguridad de la información. Así debe ser para los miembros de la alta dirección y para el empleado responsable de las tareas de mantenimiento en el nivel inferior.
10. Documentar las políticas sobre ciberseguridad
En pequeñas organizaciones, la política sobre seguridad de la información se transmite de boca en boca. Que así suceda, y que, por azar, en algunas de estas organizaciones así funcione bien, no significa que esto sea lo apropiado.
Documentar políticas, procedimientos, procesos y protocolos sobre seguridad de la información es importante porque es la única forma de garantizar una comunicación directa y sin alteraciones en todos los niveles de la organización. Y además, se trata de un requisito del estándar internacional sobre seguridad de la información, ISO 27001.
Diplomado de Seguridad de la Información ISO/IEC 27001
ISO 27001 es el estándar internacional para sistemas de gestión de seguridad de la información más adoptado e implementado a nivel global. Sus requisitos y directrices, así como sus controles, están basados en las mejores prácticas sobre seguridad de la información. Pero adoptar estas prácticas de modo efectivo requiere capacitación y formación adecuadas.
El Diplomado de Seguridad de la Información ISO/IEC 27001 es un programa de excelencia dirigido tanto a profesionales en el área, como a empleados y ejecutivos en otros departamentos que tienen responsabilidades para garantizar la seguridad de la información, para prevenir incidentes y tratar riesgos como ciberataques, hackeo o destrucción de la información.
Este es un programa que te permitirá dar un gran paso hacia adelante en tu carrera. Hoy lo puedes hacer. Pero antes, no dejes de consultar si puedes solicitar una de las becas de nuestro programa Excellence.
