Gracias a la transformación digital, proteger los datos en toda la empresa es más desafiante que nunca
La mayoría, si no todas, las empresas conocen la importancia de protegerse contra las amenazas cibernéticas. Si su organización es violada, las consecuencias pueden ser graves, tanto a nivel de reputación como económicamente gracias a GDPR .
Por lo tanto, es importante tener una estrategia cibernética eficaz, pero no siempre es fácil implementar algo que brinde una cobertura integral. El trabajo no se detiene en la implementación, o la estrategia debe revisarse periódicamente para garantizar el cumplimiento continuo de los requisitos legislativos y reglamentarios, así como el cumplimiento de las normas internas.
Propiedad, mandato y alcance
Para construir una estrategia de seguridad cibernética funcional e integral, debe tener un mandato en el nivel más alto de la organización. Esto significa que el Director de seguridad (CSO), el Director de tecnología (CTO) o alguien en un rol similar debería tener la responsabilidad . Las implicaciones de GDPR en la seguridad de los datos deben entenderse e incorporarse en el plan y los altos funcionarios deben asegurarse de que tanto ellos como los gerentes superiores sean conscientes de sus responsabilidades.
La subcontratación de parte o la totalidad del trabajo real será atractiva para muchas organizaciones. Las ventajas de este enfoque incluyen una nueva perspectiva, acceso a habilidades que podrían no estar disponibles internamente y la capacidad de trabajar más rápido que si el personal interno, con sus responsabilidades de rol continuas, asumiera el trabajo. Pero el apoyo externo debe estar muy bien dirigido y administrado para garantizar que se logren los resultados correctos. La colaboración con una organización externa, en lugar de la subcontratación total, puede ser una mejor manera de avanzar.
También es vital que una estrategia de seguridad cibernética se considere un habilitador comercial, no algo que se interponga en el camino de las personas que intentan hacer su trabajo. Adam Toulson, director gerente de Accenture Security, dice a los profesionales de TI : «El éxito requiere más que solo detección de amenazas y cumplimiento. Una buena estrategia de seguridad siempre debe complementar la estrategia comercial en lugar de sofocarla».
Las organizaciones también deben tener en cuenta que una estrategia debe ser integral y alcanzable. Ese no es necesariamente un equilibrio fácil de lograr. Toulson advierte: «Mantenerlo simple, con un máximo de cinco o seis objetivos clave, garantizará que todos se involucren en la estrategia y trabajen hacia el mismo objetivo».
No dejes nada al azar
Si se sienta y hace una lista de todo lo que debe cubrirse en una estrategia de seguridad cibernética, muchas cosas le vendrán fácilmente a la mente. Es probable que se concentre desde el principio en la tecnología obvia y en los datos que contiene. Kevin Curran, profesor de seguridad cibernética en la Universidad de Ulster y miembro senior del IEEE ofrece una lista de inicio: «Se deben considerar todos los aspectos relacionados con la protección de datos. Esto incluye examinar la seguridad de las ubicaciones físicas y el acceso de los empleados, el almacenamiento de datos, copias de seguridad de datos, seguridad de la red, procedimientos de cumplimiento y recuperación y, por supuesto, todos los dispositivos de IoT «.
Pero hay mucho más en una estrategia integral de seguridad cibernética que esas áreas más obvias. Un área que es muy fácil de omitir o a la que solo se le presta atención parcial es el software. Antes de implementar cualquier estrategia, debe realizar una auditoría de software completa de su organización. Como mínimo, debe registrar todo el software en uso, dónde se obtuvo, cuáles son los acuerdos contractuales para el pago, con qué frecuencia y a través de qué mecanismo se actualiza (esto se hace internamente y, de ser así, por quién, con qué frecuencia, dónde se guardan los registros de actualización) y quién tiene la propiedad.
Esta podría ser una tarea más grande de lo que cree. Es posible que la propiedad no esté en manos del equipo de TI , es posible que encuentre software que se ha infiltrado completamente por debajo del radar. En todos estos escenarios, debe establecer si el propietario es plenamente consciente de sus responsabilidades y, en caso contrario, educarlo o considerar transferir la propiedad al departamento de TI.
¿Qué pasa con las personas y los socios?
Una estrategia de seguridad cibernética debe tener en cuenta el riesgo que pueden traer las personas. Como dice Curran: «Las personas suelen ser el eslabón más débil de la seguridad, por lo que es importante garantizar que todos los empleados estén bien capacitados en aspectos como las mejores prácticas de seguridad cibernética, como prácticas de phishing y de intercambio de datos, mantenimiento del software actualizado, contraseñas sólidas únicas, habilitación de dos -factor de autenticación, etc. »
Dentro de las empresas, la alta gerencia de TI estará muy entusiasmada en introducir el componente de conciencia de seguridad de una estrategia de seguridad cibernética, porque se dan cuenta de los riesgos que se derivan de los empleados sin educación. Simplemente, el conocimiento reduce la cantidad de amenazas que deben detectar y remediar.
Sin embargo, el mismo nivel de entusiasmo puede ser difícil de convencer de los compañeros empleados de nivel C. Para los gerentes comerciales senior, la capacitación en seguridad puede verse como una interrupción no deseada del flujo de trabajo que daña la productividad. En respuesta a tales quejas, los líderes de TI deben resaltar que al eliminar las amenazas de seguridad, los usuarios serán más productivos a largo plazo: después de todo, la capacitación en seguridad es una interrupción mucho menor para el negocio que un ataque de ransomware malicioso que se infiltra en los sistemas y trae todo operaciones a un punto muerto.
Al reducir la escala, es posible que el personal en general no crea o no comprenda el nivel de amenaza, que no crea que los afectará directamente o que tenga una fe sin fundamento en su capacidad para contrarrestar las amenazas. En realidad, los métodos de piratería están en constante evolución. Si el conocimiento de los empleados no sigue el ritmo, la brecha de riesgo se amplía. Para incorporar a los empleados a la formación de concienciación, se deben impartir cursos atractivos que se centren no solo en la importancia de la vigilancia, sino en recompensar al personal por mejorar sus comportamientos de seguridad.
Curran también señala que las personas a menudo no aprenden hasta que las muerden. Algunas organizaciones están tratando de abordar esto enviando correos electrónicos de phishing que contienen malware falso para educar a quienes hacen clic, por ejemplo.
Un proceso continuo
Si se está configurando una estrategia integral de seguridad cibernética por primera vez, llevará un tiempo. Es posible que haya que investigar un poco, algunos cambios forzosos en la forma en que algunas personas trabajan día a día y, dependiendo de su estrategia para controlar la TI en la sombra, algún personal descontento con el que lidiar.
Una vez hecho todo esto, el mantenimiento de la estrategia debe ser un proceso continuo, con auditorías lo suficientemente frecuentes para garantizar el cumplimiento y mensajes regulares y continuos para ayudar a prevenir infracciones. Como dice Curran: «Las organizaciones necesitan mantener sus estándares internos y realizar auditorías periódicas de todos los dispositivos conectados y los riesgos de seguridad, incluidos los físicos. Sin auditorías regulares, el proceso se vuelve ineficaz».