natali_mis - stock.adobe.com
Cinco prácticas de ciberseguridad que toda organización debería adoptar
Mejores prácticas y controles a implementar para detectar, responder a, y documentar incidentes de seguridad.
Lo que impacta todas las obligaciones generales de seguridad, tanto en la regulación gubernamental como en la ley de responsabilidad civil, es la expectativa de "protecciones razonables". Estas son las cosas que todo el mundo hace o se espera que haga como un curso normal de negocios, por ejemplo, el uso de salidas de emergencia en un edificio o la obligación de limpiar peligros resbaladizos en un sitio comercial.
Las organizaciones que descuidan estas regulaciones de seguridad más básicas pueden encontrarse en serios problemas con sus clientes, socios y propietarios de empresas. Las empresas no pueden eludir la obligación de proteger la información privada de las personas.
Con base en todo esto, nos encontramos cinco prácticas que toda organización debería adoptar.
-
Designar a alguien a cargo de la ciberseguridad
Cada regulación de ciberseguridad incluye un requisito, ya sea directa o indirectamente, de asignar la autoridad y las obligaciones de ciberseguridad a una persona en específico quien es el principal punto de contacto para asuntos de ciberseguridad, tanto interna como externamente.
-
Hacer un inventario de sus datos, equipos y procesos
Si no sabe lo que tiene y dónde está, no puede protegerlo. De hecho, muchas infracciones implican filtraciones de datos confidenciales almacenados accidentalmente en correos electrónicos o almacenados incorrectamente en computadoras portátiles pérdidas o cintas de respaldo. Las organizaciones deben tener un proceso para identificar y catalogar sus procesos operativos clave y datos críticos: los registros de los empleados, el sistema financiero de la empresa (incluidos los códigos de acceso bancario y las firmas que controlan la transferencia y el desembolso de dinero) y cualquier tipo de información del cliente (desde nombres de usuario y contraseñas hasta información de contacto).
-
Realizar evaluaciones periódicas de riesgos
Las organizaciones deben identificar las amenazas previsibles que probablemente perturben los activos clave y expongan datos privados. Estas amenazas pueden ser externas, como ciberatacantes o desastres naturales, o internas, como personas maliciosas o usuarios descuidados. Estos riesgos pueden ser tecnológicos, como infectarse con malware, o físicos, como olvidar borrar los discos duros desechados. Evalúen los riesgos al menos una vez al año, así como también cuando ocurran cambios comerciales o tecnológicos importantes.
-
Implementar controles de reducción de riesgos
La implicación de realizar una evaluación de riesgos es que, ahora que conoce posibles puntos problemáticos, está obligado a hacer algo para evitarlo. Este es el corazón del concepto de "seguridad razonable". Las cosas que hace para reducir estos riesgos se denominan controles y se dividen en tres categorías principales:
Controles Administrativos
En este contexto incluye a los usuarios y al equipo técnico. Cada regulación de seguridad menciona alguna forma de capacitación en concientización de seguridad, como informar sobre el phishing y el malware, así como las reglas de seguridad específicas que deben seguir, como no almacenar datos confidenciales en equipos personales.
Otro control administrativo es la evaluación de los nuevos empleados, desde simplemente verificar la identidad y las calificaciones hasta realizar una verificación de antecedentes penales.
También la configuración de nuevos usuarios con solo los privilegios de seguridad que requieren para hacer su trabajo.
Controles técnicos
El control más obvio y simple aquí es la autenticación, que comienza con las contraseñas. Dado que los ataques de contraseña son la causa más común de infracciones, es una buena idea definir a fondo su estrategia de control de acceso considerando el uso de autenticación multifactorial
Otro control técnico es un firewall que debe configurarse correctamente para mantener alejados a los atacantes y al mismo tiempo dejar entrar a los clientes. Los firewalls también deben mantenerse con parches periódicos y revisiones de configuración para garantizar que funcionen correctamente.
La mayoría de las regulaciones de ciberseguridad requieren el uso de encriptación cuando se transmiten datos confidenciales a través de redes públicas. Esto significa utilizar una red privada virtual (VPN), que encripta el tráfico de trabajadores remotos a los sistemas de su organización.
La protección antivirus queda implícita.
Controles físicos
Una de las formas más comunes de violación de datos involucra computadoras portátiles robadas o perdidas. Casi todas las regulaciones de ciberseguridad incluyen cifrado de dispositivos portátiles, que afortunadamente está integrado en todos los sistemas operativos contemporáneos.
Cualquier equipo que sea retirado, donado o eliminado también debe tener sus sistemas de almacenamiento ilegibles para garantizar que no queden datos confidenciales en el dispositivo una vez que esté fuera de las manos de la organización.
-
Incorporar la ciberseguridad en los procesos operativos
Uno de los procesos operativos de TI más básicos y potentes para la ciberseguridad es fortalecer y parchar los sistemas. Esto implica eliminar o cambiar las credenciales predeterminadas y aplicar rápidamente parches de seguridad críticos.
Las organizaciones también necesitan monitorear los sistemas y las redes para detectar la actividad inesperada o maliciosa. Para vigilar las configuraciones de seguridad y los niveles de parche se debe realizar análisis periódicos de vulnerabilidades tanto en internet como en los sistemas internos clave.
Las organizaciones deben tener procesos establecidos para detectar, responder y documentar incidentes de seguridad que involucren datos personales privados.
Sobre el autor: Carlos Ortiz Bortoni es Country Manager de F5 México.