5 principios para aumentar la ciberseguridad de una empresa

12.09.2019

Escrito por: Seguridad Informática

La información en la nube, el acceso ilimitado de todo los documentos vía móvil, la hiperconectividad, el Internet de las Cosas… Todas las nuevas y modernas tecnologías de la información y las comunicaciones permiten que la sociedad avance y que las empresas sean más innovadoras, eficientes y alcancen nuevos mercados. Pero el reverso de estas bondades es un creciente elenco de riesgos que aprovechan las vulnerabilidades del sistema para provocar todo tipo de ataques. El Instituto Nacional de Ciberseguridad (INCIBE) constata un aumento del 180% de los incidentes de ciberseguridad gestionados en España en el último año.

Para concienciar sobre los riesgos cibernéticos para las empresas y la sociedad la Cámara de Comercio Internacional acaba de presentar la Guía de Seguridad ICC para los Negocios. El documento presenta unas pautas para saber gestionar este entorno y elevar el nivel de seguridad si bien queda claro de antemano que “no hay, ni nunca la habrá, una seguridad absoluta”.

La guía ofrece cinco principios para las empresas de cualquier tamaño –explica también cómo aplicarlos– e identifica seis acciones clave que éstas deberían tomar, a partir de materiales y mejores prácticas procedentes de diversas fuentes. Además incluye un cuestionario de autoevaluación en seguridad.

Principio 1: Centrarse en la información, no en la tecnología

La seguridad de la información es una combinación de personas, procesos y tecnología que implica a toda la empresa, no sólo a los asuntos de tecnología de la información (IT). La implementación de medidas de seguridad no debe limitarse al departamento de IT, sino más bien reflejarse en toda la empresa y en cada proyecto.

Principio 2: Hacer de la resiliencia una mentalidad

Las amenazas de seguridad cambian mucho más rápido que las leyes y reglamentos, lo que hace que las políticas y procedimientos pueden quedar obsoletos o simplemente resultar ineficaces en la práctica. La evaluación periódica de la resistencia de una empresa frente a las ciberamenazas y vulnerabilidades es esencial. Pero la aversión al riesgo no debe bloquear la introducción de nuevas tecnologías.

Principio 3: Prepárese para responder

Incluso la empresa mejor protegida experimentará en algún momento una violación de seguridadde la información. La pregunta no es si nos sucederá, sino cuándo sucederá. Por lo tanto, la forma en cómo una empresa responde a una brecha será la forma en cómo será evaluada (es un buen examen). Para minimizar el impacto en el negocio, las empresas deben desarrollar planes de respuesta organizativos, además de medidas de respuesta técnicas. Autorice al personal seleccionado a compartir información apropiada con sus colegas y otras partes interesadas de la industria, tanto para ayudar a construir prácticas innovadoras como para advertir de posibles ataques futuros

Principio 4: Demostrar un compromiso de liderazgo

La gerencia del negocio debe entender y apoyar las actividades de gestión de riesgos como unelemento esencial para el éxito y debe participar visiblemente en la gestión y supervisión de las políticas de gestión de riesgos de ciberseguridad.

Principio 5: Actuar según su visión

Hay que llevar a la práctica una visión singular (de la gerencia) para la gestión de riesgos de ciberseguridad de la empresa mediante la creación (o revisión) de diversas políticas de seguridad de la información. Si un tercero (proveedor) no está protegiendo adecuadamente su información (o sus sistemas de información, en los que usted confía), cualquier incidente de seguridad que les ocurra a ellos puede afectar a su empresa. Utilice el cifrado para proteger los datos en almacenamiento y en tránsito con atención especial para conexiones de red pública y en dispositivos portátiles y haga cumplir una política de contraseñas seguras y considere la implementación de métodos de autenticación fuertes para acceder al sistema.