1. Formación en ciberseguridad para los empeados
Existen diferentes requisitos de conocimiento para cada nivel. Todos, incluidos los empleados de primera línea, deben asimilar las reglas de ciberseguridad, además de los consejos sobre cómo responder a situaciones sospechosas o fueras de lo común.
Los directivos, se benefician de una información ampliada sobre cómo se integra la seguridad en el desarrollo de producto y en el ciclo de vida de uso, qué políticas de seguridad adoptar en sus departamentos y cómo puede afectar al rendimiento empresarial.
Por su parte, los empleados de seguridad de la información deberían estudiar los procesos empresariales en la compañía para hacerse una mejor idea sobre cómo integrar los mecanismos de protección de la forma menos agresiva posible.
2. Integrar ciberseguridad en la estrategia y procesos de la compañía
A medida que la economía se digitaliza, la gestión de los riesgos cibernéticos se está convirtiendo en una tarea completa a nivel directivo. Hay toda una serie de aspectos tecnológicos, humanos, financieros, legales y organizacionales al respecto, por lo que los líderes de todas las áreas deben estar involucrados en la adaptación de la estrategia y procesos de la compañía.
- ¿Cómo podemos minimizar los riesgos en el caso de que un proveedor o contratista reciba un ataque, dado que podríamos convertirnos en un objetivo secundario?
- ¿Qué leyes regulan la industria del almacenamiento y la trasferencia de datos sensibles como la información personal de los clientes?
- ¿Cuál sería el impacto de un ataque de ransomware y cuánto tiempo llevaría la restauración de las copias de seguridad?
- ¿Pueden los daños reputacionales medirse en dinero cuando el público y los socios se han enterado del ataque recibido?
- ¿Qué medidas de seguridad adicionales se pueden tomar para proteger a los empleados en remoto?
Estas son las cuestiones que deben abordar los servicios de seguridad de la información y los expertos de otros departamentos, apoyándose en medidas organizativas y técnicas.
Es importante recordar a la directiva que “comprar tal sistema de protección” no es una solución milagrosa para cualquier problema. Según las estimaciones, entre el 46 y el 77 % de todos los incidentes están relacionados con el factor humano: desde el incumplimiento de las regulaciones y los intrusos maliciosos, hasta la falta de transparencia TI por parte de los contratistas.
A pesar de todo, los problemas de la seguridad de la información siempre giran en torno al presupuesto.
3. Invertir correctamente
La inversión en seguridad de la información siempre se queda corta, mientras que los problemas por resolver parecen infinitos. Es importante priorizar en consecuencia con los requerimientos de la industria en cuestión y con las amenazas más relevantes que puedan causar más daño a la organización. Esto es posible prácticamente en todas las áreas, desde el cierre de vulnerabilidades hasta la formación del personal. No se puede ignorar ninguna, cada una tendrá su prioridad. Trabajando dentro del presupuesto asignado, empezar con los riesgos principales para después continuar con los menos probables.
Evidentemente, las cosas se ponen más interesantes cuando hay que elevar el presupuesto. Una estrategia madura para la elaboración del presupuesto es aquella basada en los riesgos y el costo respectivo de su actualización y minimización, pero también es más laboriosa. Los ejemplos reales juegan un papel importante en reuniones de las juntas directivas. Dicho esto, no son fáciles de encontrar, por lo que es común recurrir a puntos de referencia que brinden presupuestos promedio para un sector comercial y país en particular.
4. Considerar todos los tipos de riesgo
Los debates sobre la seguridad de la información se suelen centrar en los ciberdelincuentes y las soluciones de software para combatirlos. Pero las operaciones diarias de muchas organizaciones se enfrentan a otros riesgos que también están relacionados con la seguridad de la información.
Sin duda alguna, uno de los riesgos más relevantes en los últimos años ha sido el de la violación de normas en el almacenamiento y uso de datos personales, como el RGPD, CCPA, etc. Una perspectiva aún más alarmante que se avecina para las empresas es la imposición de multas basándose en el volumen de filtraciones o gestión inadecuada de datos personales, por lo que una auditoría integral de los sistemas y procesos de información con el objetivo de eliminar paso a paso estas violaciones sería de lo más oportuna.
Varias industrias tienen sus propios criterios, incluso más estrictos, en concreto los sectores financiero, sanitario y de telecomunicaciones, así como los operadores de infraestructura crítica. Debe ser una tarea supervisada regularmente por los gerentes de área para mejorar el cumplimiento de los requisitos normativos en sus departamentos.
5. Responder correctamente
Lamentablemente, los incidentes de ciberseguridad son prácticamente inevitables. Si la escala de un ataque es lo suficientemente grande como para atraer la atención de la sala de juntas, lo más seguro es que haya supuesto una interrupción de las operaciones o una filtración de datos importantes.
Como mínimo, la alta directiva debe conocer y seguir los procedimientos de respuesta para no reducir las posibilidades de un resultado favorable. Estos son los tres pasos fundamentales que debe seguir el CEO:
5.1 Notificar de inmediato a las partes clave sobre el incidente: departamentos financieros y legales, aseguradoras, reguladores de la industria, reguladores de protección de datos, fuerzas policiales, clientes afectados. En muchos casos, el plazo para dicha notificación está establecido por la ley, pero si no, debe establecerse en el reglamento interno. El sentido común dicta que la notificación sea rápida pero informativa; es decir, antes de notificar se debe recabar información sobre la naturaleza del incidente, incluyendo una evaluación inicial de la escala y las medidas de primera respuesta tomadas.
5.2 Investigar el incidente. Es importante tomar diversas medidas para poder evaluar correctamente la escala y las ramificaciones del ataque. Además de las medidas puramente técnicas, realizar encuestas a los empleados también puede aportar relevancia, por ejemplo. Durante la investigación, es de vital importancia no dañar las pruebas digitales del ataque. En muchos casos, tiene sentido traer expertos externos para investigar el incidente.
5.3 Elaborar un programa de comunicaciones. Un error típico que cometen las empresas es tratar de ocultar o restar importancia a un incidente. Tarde o temprano, la verdadera escala del problema saldrá a la luz, prolongando y ampliando los daños, desde la reputación hasta el financiero. Por lo tanto, las comunicaciones deben ser periódicas y sistemáticas, entregando información consistente y de uso práctico para clientes y empleados. Deben informar claramente sobre qué acciones se tomarán y qué se esperará en el futuro.
Comunicar los asuntos de seguridad de la información a la alta directiva es una tarea que requiere mucho tiempo y no siempre es gratificante, por lo que es poco probable que estos cinco mensajes se transmitan y se tomen en serio en solo una o dos reuniones. La interacción entre la empresa y la seguridad de la información es un proceso continuo que requiere un esfuerzo mutuo para entenderse mejor.
Fuente https://www.kaspersky.es/blog/5-cybersecurity-lessons-ceo/28364/