El Cyber Readiness Institute (CRI) solicitó a su Consejo Asesor de Pequeñas Empresas, un grupo de 15 organizaciones públicas y privadas que atienden a las pymes en diversas funciones, que identifique consejos clave que ayuden a las pymes a ser más seguras y resilientes. El consejo desarrolló las siete medidas destacadas a continuación sobre ciberseguridad. Aunque las circunstancias individuales de cada empresa dictarán los detalles de su programa de ciberseguridad, los consejos que se indican a continuación sirven como medidas de seguridad cuyo propósito es preparar a su organización en materia cibernética.
Todas las organizaciones deben tomarse la ciberseguridad con la misma seriedad que otras funciones principales, como operaciones y finanzas. La ciberseguridad no es solo un problema de TI; ante todo, se trata de una cuestión personal. Estos siete consejos se pueden aplicar a su organización, independientemente del tamaño.
Consejo 1: Elegir un responsable cibernético
Es importante designar a una persona para que encabece las iniciativas cibernéticas de su empresa. Asignar a una persona con autoridad para ser su «responsable cibernético» resalta su compromiso con la ciberseguridad y brinda una experiencia profesional adicional, y necesaria, a la persona. Además de la gestión continua de ciberseguridad, el responsable cibernético puede adoptar y compartir los procedimientos recomendados para que los empleados las puedan implementar y ser la persona de contacto cuando los empleados tengan preguntas o cuando ocurran incidentes cibernéticos.
Consejo 2: Crear una cultura de concienciación cibernética
Crear una cultura de concienciación cibernética supone asegurarse de que todos los empleados sean conscientes de que desempeñan un papel fundamental en la resiliencia cibernética de su empresa. Debe asegurarse de que tengan los conocimientos, las habilidades y el compromiso para desempeñar esa función. Esta cultura se puede facilitar a través de la educación y la formación, pero se requiere liderazgo para crear y mantener una cultura de concienciación cibernética. Con un entorno de trabajo remoto, revise periódicamente las políticas cibernéticas con sus empleados y asegúrese de que comprendan su función a la hora de mantener la organización «cibersegura». En su lugar de trabajo, considere la posibilidad de publicar Recuerde, la cultura se crea a través de sus empleados al tener un comportamiento común.
Consejo 3: Comunicar, comunicar y comunicar
La concienciación se crea a través de comunicaciones breves y frecuentes. Los boletines informativos semanales, los correos electrónicos periódicos, los pósteres o los protectores de pantalla pueden ser vitales para mantener a sus empleados informados sobre los peligros de las infracciones cibernéticas y cómo prevenirlas. El kit básico del CRI tiene pósteres llamativos para comunicar recordatorios importantes a sus empleados. Identifique lo que es relevante para su organización y adapte las comunicaciones en consecuencia. Algunas de nuestras sugerencias incluyen elegir un tema cibernético del mes en el que centrarse, como por ejemplo, reconocer los intentos de phishing o utilizar contraseñas seguras. Muchos gobiernos y organizaciones ofrecen boletines informativos mensuales gratuitos sobre concienciación que las empresas pueden compartir con sus empleados. Los ejemplos incluyen al Estado de Misisipi y Ouch! de SANS
Consejo 4: Proteger las joyas de la corona
No se puede proteger todo por igual. Debe identificar qué datos y sistemas (por ejemplo, sitios web, correos electrónicos, contabilidad, información del cliente) son más importantes para su operación en curso. Como parte de la evaluación de riesgos, piense en lo que sucedería si perdiera datos importantes o su sistema fallara. Esta preparación le ayudará a priorizar lo que debe proteger. Toda organización, por pequeña que sea, debe identificar las llamadas «joyas de la corona» y asegurarse de que los controles de seguridad que protegen las «joyas» sean adecuados para la tarea. Evalúe con frecuencia el grado de protección de sus datos y sistemas más significativos y siga de manera proactiva las medidas necesarias para mejorar la seguridad. El «Manual de estrategias para actuar ante ataques de ransomware» del CRI ofrece una guía útil para dar prioridad a sus activos.
Consejo 5: Tener un plan
Disponer un plan de respuesta ante incidentes es fundamental para dirigir sus acciones cuando se produce un incidente cibernético. El plan de respuesta ante incidentes debe incluir la preparación en caso de un incidente, la respuesta durante el incidente y la recuperación rápida del incidente. Debe incluir consideraciones relacionadas con la continuidad del negocio, la pérdida de datos y las copias de seguridad para la recuperación. Puesto que muchas empresas pequeñas se ven obligadas a cesar sus operaciones en el plazo de un año tras el ciberataque, es especialmente importante contar con un plan de recuperación para comunicarlo a todos los empleados. Además, la realización de ejercicios o simulacros que pongan a prueba el plan de respuesta ante incidentes (conocidos como ejercicios de simulación) ayudará a los empleados a identificar sus responsabilidades durante los incidentes y les permitirá actuar de manera eficaz y segura si (en caso de que hubiera, desafortunadamente) se producen ciberataques. La parte más importante de la preparación es tener copias de seguridad actualizadas que haya probado, especialmente para sus datos más importantes (también conocidos como «joyas de la corona»).
Consejo 6: Comprender los conceptos básicos
Hay muchas tecnologías, actividades y servicios en los que puede centrarse cuando se trata de proteger su infraestructura de TI. Es importante tener a alguien en su organización (el responsable cibernético) que conozca las preguntas que se deben hacer y pueda comprender las respuestas. Los ejemplos incluyen mantener un inventario actualizado de los dispositivos que las personas utilizan para conectarse a su red, garantizar que su software se actualice de manera rutinaria, utilizar autenticación de múltiples factores (MFA) para correos electrónicos, banca en línea y otros servicios confidenciales, utilizar una red privada virtual (VPN) configurada correctamente para todos los accesos remotos, adoptar la gestión de dispositivos móviles, aplicar políticas sólidas de frases de contraseña para los empleados con requisitos de longitud y dificultad, y automatizar las copias de seguridad de almacenamiento seguro. Tanto si su TI es interna como si utiliza un proveedor de servicios gestionados (MSP), es primordial asegurarse de que su TI se administre de manera segura.
Consejo 7: Cumplir con las normativas
Las normativas en materia de datos varían según la industria y la zona. Según la ubicación de su negocio y las ubicaciones de sus clientes, es posible que deba cambiar la forma en que trata los datos personales o enfrentarse a sanciones y multas. Dos ejemplos son el Reglamento General de Protección de Datos (RGPD) en Europa y la Ley de Privacidad del Consumidor de California (CCPA) en los EE. UU. Estos reglamentos se centran en la información de identificación personal (PII) (por ejemplo, nombre completo, número de seguridad social, dirección de correo electrónico). Si recopila información de tarjetas de crédito, también debe estar familiarizado con los estándares para la industria de tarjeta de pago (PCI). Ahora es importante dedicar tiempo a investigar los requisitos de seguridad para asegurarse de que los datos cumplen con las normativas, además de poder ahorrarle mucho tiempo más adelante.
Consejo 8: Escoger a terceros con cuidado
Cuando comparta información con terceros, permite que los proveedores se conecten a su red o confía en ellos para los servicios técnicos, lo que suele aumentar el riesgo para su negocio. Asegúrese de elegir a los terceros con cuidado. Pregunte si tienen certificaciones o declaraciones de seguridad, como la ISO 27001, FedRAMP o Industria de Tarjeta de Pago (PCI). Pregunte si son auditados de forma periódica para garantizar que sus garantías de ciberseguridad sean adecuadas y funcionen como se espera (y solicite revisar una síntesis de los resultados de la auditoría). Incluya cláusulas relacionadas con la ciberseguridad en los contratos, como que los terceros acepten utilizar precauciones de seguridad razonables o cumplan con un conjunto de garantías de seguridad, para mitigar las principales vulnerabilidades de seguridad en un período de tiempo concreto y notificarle en un plazo específico si han sufrido una vulneración.
Autores colaboradores
Especial agradecimiento a:
- Tanya Bolden, AIAG
- Faye Francy, Auto-ISAC
- Ilene Klein, Cybercrime Support Network
- Jill Tokuda, CyberHawaii
- Walter Bran, ICC Guatemala
- Paola Quezada, ICC Guatemala
- Marc Pillon, IT Ally
- Jennifer Khoury, NCMS
- Mike Pritchard, Netchex
- Stan Stahl, SecureTheVillage
- Dawn Yankeelov, TALK
- Craig Moss, CRI
- Marion Lewis, CRI
- Lessie Longstreet, CRI
- Lyubo Hadjiyski, CRI
- Vivek Ghelani, CRI
Acerca del Cyber Readiness Institute
El Cyber Readiness Institute (CRI) es una iniciativa sin fines de lucro que reúne a altos directivos empresariales de diferentes sectores y zonas geográficas para compartir recursos y conocimientos que informen del desarrollo de herramientas de ciberseguridad gratuitas para pequeñas y medianas empresas (pymes). Explore los elementos básicos de una buena ciberseguridad con nuestro kit básico o cree una cultura de preparación cibernética en su organización con el Programa de Preparación Cibernética autodirigido y disponible en línea. Nuestras guías sobre Recursos de trabajo remoto y Lugar de trabajo híbrido ofrecen consejos oportunos para abordar los cambiantes retos cibernéticos de hoy en día. Para obtener más información, visite www.BeCyberReady.com.
