A medida que las empresas automatizan operaciones e interactúan digitalmente con empleados, clientes, socios y proveedores, la amenaza de ciberataques e infracciones se vuelve profundamente preocupante. Desafortunadamente, el 85% de las empresas aún carecen de un nivel adecuado de preparación cibernética.
A continuación, presentamos seis mejores prácticas para ayudar a las empresas a mejorar sus estándares y defensas de ciberseguridad.
Cómo mejorar los estándares y defensas de ciberseguridad
- Adoptar un marco de controles de seguridad
Adoptar un marco de control de la seguridad permite a las organizaciones identificar los distintos tipos y niveles de riesgos, trazar procesos existentes, determinar tolerancia al riesgo y brindar garantías a las partes interesadas de que los riesgos de la información se están abordando adecuadamente.
Además, estos marcos brindan una amplia cobertura y asesoramiento sobre una amplia gama de temas de seguridad, como estrategias de seguridad, inteligencia sobre amenazas, gestión de incidentes, gestión de crisis, continuidad del negocio y ciberresiliencia, que pueden ayudar a las organizaciones a mejorar las defensas contra una amplia gama de amenazas al mismo tiempo que se alinea la estrategia de seguridad con la estrategia empresarial.
- Evaluar el riesgo de la información y ofrecer una protección integral y consistente
Se deben realizar evaluaciones de riesgos de la información para los entornos objetivo (por ejemplo, aplicaciones comerciales, entornos y procesos críticos), incluidos aquellos en desarrollo. Dar soporte a la infraestructura técnica de forma regular ayuda a las organizaciones a obtener una visión y una comprensión más profundas de su entorno, así como de su propio riesgo y postura de seguridad.
Es recomendable realizar una evaluación de riesgos al emprender cambios comerciales importantes, como nuevas empresas, proyectos de transformación de sistemas comerciales, fusiones y adquisiciones, introducción de nuevas tecnologías como Internet de las cosas (IoT), Near Field Communication (NFC) o redes definidas por software (SDN) o permitir el acceso a las aplicaciones y sistemas comerciales de la organización por parte de terceros y empleados remotos.
- Gestionar las cadenas de suministro con un enfoque de seguridad de la información basado en riesgos
Los ataques a la cadena de suministro se han triplicado en los últimos doce meses y es un vector cada vez más utilizado por los ciberdelincuentes para infiltrarse en las organizaciones. Es importante que los riesgos de la información se evalúen, identifiquen y gestionen de forma eficaz en todas las etapas de la relación con los proveedores externos. Las revisiones de proveedores deben cubrir una amplia gama de proveedores, particularmente aquellos que proporcionan hardware (puntos finales y dispositivos móviles), software (sistemas operativos, aplicaciones comerciales y soluciones de seguridad), dispositivos de red (enrutadores, conmutadores y firewalls), equipos especializados (calefacción, ventilación y aire acondicionado), terminales de control y vigilancia de acceso físico y autoservicio, equipos de oficina, servicios en la nube (infraestructura como servicio, plataforma como servicio y software como servicio), servicios públicos (electricidad, gas y agua), y tercerización (call center, procesadores de datos y servicios de limpieza).
- Garantizar el cumplimiento normativo de forma eficiente y proactiva
Las leyes y regulaciones relativas a la privacidad de los datos, la seguridad de la información y la divulgación se actualizan y aplican cada vez más. Las organizaciones que no cumplan con estos mandatos pueden enfrentar fuertes sanciones y sufrir daños irreversibles a su reputación. Los controles de seguridad deben priorizarse y abordarse constantemente de acuerdo con las obligaciones de ciberseguridad asociadas con las legislaciones, regulaciones, contratos, estándares de la industria y políticas organizacionales.
Idealmente, el proceso de cumplimiento debería cubrir lo siguiente: identificación de los requisitos de las obligaciones de seguridad; traducción de esas obligaciones en requisitos de seguridad relacionados con el cumplimiento; implementación de controles de seguridad para cumplir con esos requisitos; seguimiento de los controles relacionados con el cumplimiento; informar los resultados de las actividades de seguimiento; y recomendar acciones para mitigar los riesgos de cumplimiento.
- Documentar y comunicar expectativas en la gestión de la seguridad de la información
Se debe crear y comunicar a todos los empleados y terceros que tengan acceso a los sistemas de información una política de seguridad de la información exhaustiva y bien documentada. La política de seguridad de la información debe abordar los requisitos desde una perspectiva de estrategia empresarial y de TI, los requisitos legales, regulatorios y contractuales, así como el panorama de amenazas actual y proyectado. Los empleados y socios deben conocer las obligaciones de seguridad esperadas y cumplir con las licencias de software y los requisitos legales, reglamentarios y contractuales. Deben informar infracciones, cumplir con los procesos de respuesta a incidentes y cooperar durante las investigaciones forenses posteriores a un incidente o una infracción.
- Aumentar la concienciación y educación sobre seguridad de los empleados
El 95% de los incidentes de ciberseguridad se debe a errores humanos. La formación en seguridad es tan importante como la aplicación de controles de seguridad. Se debe educar a los empleados sobre cómo ejecutar sistemas y aplicaciones correctamente y proporcionarles las habilidades para proteger la información y cumplir con sus responsabilidades de ciberseguridad. La capacitación en seguridad debe cubrir recomendaciones prácticas sobre los riesgos de la ingeniería social, el uso seguro de las redes sociales, las aplicaciones de terceros y la Inteligencia Artificial generativa. Se debe instruir a los desarrolladores de sistemas y TI para que aprovechen los enfoques y marcos de codificación segura. Debe haber una orientación clara sobre cómo los usuarios protegen las aplicaciones y equipos empresariales, cómo se deben almacenar, proteger, clasificar, compartir, realizar copias de seguridad y eliminar los datos confidenciales.
Los estándares efectivos de ciberseguridad son el resultado de una buena gobernanza. Sin embargo, lograr la gobernanza requiere la implementación de controles, políticas y procesos de seguridad bien documentados que sean consistentes, repetibles y mensurables. Estas medidas deben considerar los riesgos de seguridad, las superficies de ataque, las vulnerabilidades y el panorama de amenazas en constante cambio y los requisitos regulatorios. Al adoptar estas mejores prácticas, las organizaciones pueden establecer estándares de seguridad sólidos y mejorar su resiliencia con el tiempo.
