Por: Carlos Ortiz Bortoni
Country Manager de F5 México
Lo
que impacta todas las obligaciones generales de seguridad, tanto en la
regulación gubernamental como en la ley de responsabilidad civil, es la
expectativa de "protecciones
razonables". Estas son las cosas que todo el mundo hace o se espera que
haga como un curso normal de negocios, por ejemplo, el uso de salidas
de emergencia en un edificio o la obligación de limpiar peligros
resbaladizos en un sitio comercial.
Las
organizaciones que descuidan estas regulaciones de seguridad más
básicas pueden encontrarse en serios problemas con sus clientes, socios y
propietarios de empresas.
Las empresas no pueden eludir la obligación de proteger la información
privada de las personas.
En base a todo esto, nos encontramos cinco prácticas que toda organización debería adoptar.
1. Designar a alguien a cargo de la ciberseguridad
Cada
regulación de ciberseguridad incluye un requisito, ya sea directa o
indirectamente, de asignar la autoridad y las obligaciones de
ciberseguridad a una persona en
específico quien es el principal punto de contacto para asuntos de
ciberseguridad, tanto interna como externamente.
2. Haga un inventario de sus datos, equipos y procesos
Si
no sabe lo que tiene y dónde está, no puede protegerlo. De hecho,
muchas infracciones implican filtraciones de datos confidenciales
almacenados accidentalmente en
correos electrónicos o almacenados incorrectamente en computadoras
portátiles perdidas o cintas de respaldo. Las organizaciones deben tener
un proceso para identificar y catalogar sus procesos operativos clave y
datos críticos: Los registros de los empleados,
el sistema financiero de la empresa (incluidos los códigos de acceso
bancario y las firmas que controlan la transferencia y el desembolso de
dinero) y cualquier tipo de información del cliente (desde nombres de
usuario y contraseñas hasta información de contacto).
3. Realizar evaluaciones periódicas de riesgos
Las
organizaciones deben identificar las amenazas previsibles que
probablemente perturben los activos clave y expongan datos privados.
Estas amenazas pueden ser externas,
como ciberatacantes o desastres naturales, o internas, como personas
maliciosas o usuarios descuidados. Estos riesgos pueden ser
tecnológicos, como infectarse con malware, o físicos, como olvidar
borrar los discos duros desechados. Evalúe los riesgos al menos
una vez al año, así como también cuando ocurran cambios comerciales o
tecnológicos importantes.
4. Implemente controles de reducción de riesgos
La
implicación de realizar una evaluación de riesgos es que, ahora que
conoce posibles puntos problemáticos, está obligado a hacer algo para
evitarlo. Este es el corazón
del concepto de "seguridad razonable". Las cosas que hace para reducir
estos riesgos se denominan controles y se dividen en tres categorías
principales:
Controles Administrativos
En
este contexto incluye a los usuarios y al equipo técnico. Cada
regulación de seguridad menciona alguna forma de capacitación en
concientización de seguridad, como
informar sobre el phishing y el malware, así como las reglas de
seguridad específicas que deben seguir, como no almacenar datos
confidenciales en equipos personales.
Otro
control administrativo es la evaluación de los nuevos empleados, desde
simplemente verificar la identidad y las calificaciones hasta realizar
una verificación de
antecedentes penales.
También configurar nuevos usuarios con solo los privilegios de seguridad que requieren para hacer su trabajo.
Controles técnicos
El
control más obvio y simple aquí es la autenticación, que comienza con
las contraseñas. Dado que los ataques de contraseña son la causa más
común de infracciones,
es una buena idea definir a fondo su estrategia de control de acceso
considerando el uso de autenticación multifactorial
Otro
control técnico es un firewall que debe configurarse correctamente para
mantener alejados a los atacantes y al mismo tiempo dejar entrar a los
clientes. Los firewalls
también deben mantenerse con parches periódicos y revisiones de
configuración para garantizar que funcionen correctamente.
La
mayoría de las regulaciones de ciberseguridad requieren el uso de
encriptación cuando se transmiten datos confidenciales a través de redes
públicas. Esto significa
utilizar una red privada virtual (VPN), que encripta el tráfico de
trabajadores remotos a los sistemas de su organización.
La protección antivirus queda implícita.
Controles físicos
Una
de las formas más comunes de violación de datos involucra computadoras
portátiles robadas o perdidas. Casi todas las regulaciones de
ciberseguridad incluyen cifrado
de dispositivos portátiles, que afortunadamente está integrado en todos
los sistemas operativos contemporáneos.
Cualquier
equipo que sea retirado, donado o eliminado también debe tener sus
sistemas de almacenamiento ilegibles para garantizar que no queden datos
confidenciales
en el dispositivo una vez que esté fuera de las manos de la
organización.
5. Incorporar la ciberseguridad en los procesos operativos
Uno
de los procesos operativos de TI más básicos y potentes para la
ciberseguridad es fortalecer y parchar los sistemas. Esto implica
eliminar o cambiar las credenciales
predeterminadas y aplicar rápidamente parches de seguridad críticos.
Las
organizaciones también necesitan monitorear los sistemas y las redes
para detectar la actividad inesperada o maliciosa. Para vigilar las
configuraciones de seguridad
y los niveles de parche se debe realizar análisis periódicos de
vulnerabilidades tanto en Internet como en los sistemas internos clave.
Las
organizaciones deben tener procesos establecidos para detectar,
responder y documentar incidentes de seguridad que involucren datos
personales privados.
No hay comentarios:
Publicar un comentario