Los ataques informáticos y las filtraciones de datos que aparecen en las noticias suelen ser solo aquellos que ocurren en las grandes organizaciones. Pero todas las empresas, ya sean grandes o pequeñas, necesitan preocuparse por su Seguridad Informática.
De acuerdo Cybersecurity Insiders, el 43% de los ataques tienen como objetivo a pequeñas empresas y tiene un costo promedio de 200.000 dólares. Los hackers comienzan a entender que, a pesar de que las empresas pequeñas o medianas pueden no poseer tanta información valiosa para robar, también es más probable que tengan menos medidas de seguridad instaladas, a diferencia de las grandes compañías.
Para una empresa pequeña, un ataque suele ser devastador. La Alianza Nacional de Ciberseguridad de los Estados Unidos identificó que el 60% de las pequeñas empresas son incapaces de sostener su negocio seis meses después de un ataque.
Si usted quiere prevenir que su organización quede fuera de juego a causa de un hacker, es el momento de mejorar su posición de Seguridad. Lo primero que debe hacer es elaborar algo que la mayoría de las organizaciones ya tienen: una política de ciberseguridad. Descubra cómo.
Paso uno: Asegura la aprobación de la Gerencia
Si usted está en IT, seguramente pueda enseñar a sus colegas algunas cosas sobre las mejores prácticas de Seguridad. Sin embargo, para tener los recursos necesarios para diseñar una política y la autoridad para avalarla, necesita que la Gerencia esté de su lado.
Puede ser útil remarcar que la falta de una política de seguridad, puede exponerlo a situaciones de responsabilidad legal. Por ejemplo, si no quiere que sus empleados se conecten a la red desde sus propios dispositivos, pero no se los ha comunicado, ¿qué sucedería si el dispositivo de un empleado con datos empresariales se pierde? Su primera reacción probablemente sería borrar en remoto el dispositivo, pero ¿puede hacer eso sin una política escrita y conocida por el usuario?
Paso dos: Determine sus lineamientos de Seguridad
Una razón fundamental por la cual usted necesita una política se debe a la complejidad de la ciberseguridad moderna. Existen muchos detalles de los que hay que tener registro, incluso en las organizaciones más pequeñas, al mismo tiempo que el escenario está en constante cambio, a medida que la tecnología de seguridad y los atacantes, se vuelven más avanzados.
Solamente usted conoce las necesidades de su empresa, pero algunos aspectos que debe tener en cuenta incluyen:
- ¿Con qué regulaciones de la industria necesita cumplir?
- ¿Qué información necesita proteger y cómo debe ser almacenada y transferida?
- ¿Qué softwares de negocio necesita mantener y actualizar para estar protegido?
- ¿Qué espera de sus empleados en relación con las contraseñas elegidas, el uso apropiado de internet, el acceso remoto a la red, los lineamientos de e-mail, etc.?
- ¿Quién administrará y mantendrá la política de ciberseguridad?
- ¿Cómo reforzará los lineamientos (cuál es la penalidad por falta de cumplimiento)?
Una vez que haya respondido estas preguntas, ya debería ser capaz de delinear la política de su empresa. Dependiendo de su situación actual, entender sus necesidades de seguridad puede ser fácil o requerir una auditoría profunda sobre sus activos y herramientas.
A continuación, hemos reunido algunos recursos que le proporcionarán templates y ejemplos de políticas de ciberseguridad:
- Templates de políticas de Seguridad generales, de red, de servidores y aplicaciones (SANS.org)
- Templates de internet, seguridad física, privacidad, planificación y procesos (CSO)
Paso tres: Eduque a sus empleados
¿Sabía que los actores internos son responsables del 43% de la pérdida de datos? La mitad de estos son intencionales. Empleados oportunistas, descontentos, o proveedores, realizan actos deliberados de robo de información. La otra mitad es solo negligencia. Los empleados no querrán cambiar su contraseña una vez por mes si pueden mantener el clásico “contraseña123”. Muchos de ellos probablemente tampoco vean un problema en descargar ese archivo que llega en un sospechoso e-mail “urgente”.
Comunique su nueva política de Seguridad a sus empleados y asegúrese de que entiendan los detalles relevantes: qué se espera que hagan, cómo tienen que hacerlo, y qué puede suceder si no lo hacen. Recuerde que las cosas que le parecen obvias, como cambiar la contraseña, pueden que no las entienda toda la compañía.
Algunas organizaciones testean regularmente los conocimientos de ciberseguridad de sus empleados. Hágalo divertido y ofrezca una recompensa. Tiene que haber un incentivo para que se especialicen en las mejores prácticas de Seguridad.
Paso cuatro: Monitorice y actualice su política
Ahora que su política de ciberseguridad está en funcionamiento, no quiere decir que su trabajo esté terminado. Una política de Seguridad es un documento viviente que necesita ser actualizado regularmente para incluir los cambios en su negocio, en la tecnología, y en las regulaciones de cumplimiento. Establezca una fecha en la que volverá a evaluar su política.
Además, necesita determinar cómo auditar a su compañía. Cómo saber si las últimas actualizaciones fueron instaladas en su software de seguridad o si alguien cambió la configuración del servidor en el último mes. Por suerte, mantener el cumplimiento de su política no tiene que ser un proceso completamente manual.
Bonus: Elija una solución que complemente su política de ciberseguridad
Mantener la Seguridad y el cumplimiento a través de toda su empresa y sus empleados puede ser abrumador. Afortunadamente, gestionar todas esas partes en movimiento no tiene que ser complicado. Implementar la solución de software correcta significa que su política de seguridad, prácticamente, se hace cumplir a sí misma.
Por ejemplo, usted puede estar chequeando manualmente sistemas que pueden ser monitorizados en forma automática. Si espera que sus empleados actualicen sus contraseñas con frecuencia, ¿qué es más fácil? ¿Chequear si lo han hecho por su propia cuenta o utilizar un software que se los requiera? Un software con seguridad basada en roles y registros de auditoria garantizará que usted esté siempre al tanto de quién accedió o cambió qué, y cuándo lo hizo.
Cualquier solución que elija debe contar con un proveedor en el que confíe que mantendrá el software actualizado para cubrir las últimas amenazas de Seguridad. La necesidad de cambiar sus herramientas de seguridad o actualizar scripts personalizados hace mucho más difícil el cumplimiento de su propia política.
Conozca el estado de la Seguridad de sus sistemas
El Security Scan de Fortra es el punto de partida para comenzar a proteger sus servidores críticos. Este escaneo gratuito le proporciona una imagen completa de la Seguridad de sus sistemas, en relación a parámetros desarrollados por nuestros expertos.