Redacción
Más del 80% de los ciberataques o vulnerabilidades de seguridad provienen de dentro del negocio
l panorama de ciberseguridad va siendo cada vez más claro para los empresarios en México, ya que actualmente no sólo pueden ser víctimas de un ciberataque, también de estrategias tan simples, como el robo de identidad mediante un correo electrónico o un mensaje de WhatsApp.
Para las organizaciones en el país es un tema relevante, al menos así lo señala el estudio Perspectivas de la Alta Dirección en México 2022, de KPMG, en el que entrevistó a 1,383 directivos de empresas del país, y detectó dos riesgos principales: El primero es la pérdida de talento para sus compañías (52%), el segundo es la amenaza de sufrir un ciberataque (45%).
“Pero no se trata de salir corriendo a hacer “compras de pánico”, es decir, de adquirir hardware y software de seguridad costosos e instalarlos rápidamente. De nada sirve contar con lo último en tecnología de protección de datos si no existen políticas y mejores prácticas de ciberseguridad en empleados y directivos”, afirma David Cárdenas, Director de Consultoría de Data Warden.
De acuerdo a Cárdenas, estos son los pasos por seguir para contar con una adecuada protección de la información del negocio:
- Diagnóstico. Así como vamos al médico cuando nos sentimos mal para saber qué tenemos o cómo estamos, lo primero que la empresa debe hacer es un diagnóstico para Identificar cómo se encuentra ante amenazas y riesgos, este diagnóstico lo conocemos como un análisis de riesgo y nos permitirá identificar debilidades y los impactos a nuestra organización y también de como debemos tratar los riesgos identificados para reducir en lo posible eventos que afecten la confidencialidad, integridad y disponibilidad de la información.
- Plan de seguridad. Con base a los resultados en el diagnóstico, se elaborará un plan de rector de seguridad. Con él, se identifican los caminos a los que se deben dirigir tanto las inversiones como en el diseño e implementación de controles, y van orientados donde se encuentran los riesgos más importantes que podrían causar el mayor impacto al negocio, ya que en ocasiones un error de los directivos es destinar inversiones enormes donde el riesgo es menor.
- Elegir un responsable. Toda empresa debe tener un responsable de la seguridad, es algo que aún muchas organizaciones en México no tienen porque lo ven como una plaza innecesaria o que representa gastos. Lo recomendable es que se instituya la función del CISO (jefe de Seguridad de la Información), quien llevara la responsabilidad del cumplimiento del plan de seguridad establecido.
- Capacitación. A la par de todo lo anterior, se debe llevar a cabo una capacitación en seguridad de la información para los empleados, directivos e incluso de los proveedores y clientes. Más del 80% de los ciberataques o vulnerabilidades de seguridad provienen de dentro de la empresa. Sin embargo, muchos de estos incidentes se deben a que algunos colaboradores desconocen qué hacer ante correos maliciosos o mensajes inusuales en el celular y eventos llamados hoy en día como ingeniería social. Por tanto, es necesario impartir campañas y talleres de seguridad para alertar a todos sobre los riesgos que actualmente vulneran la información de la compañía y clientes y cómo actuar ante la presencia de estos.
- Implantar mejores prácticas. La organización debe seguir las mejores prácticas de seguridad de la información que ya existen, como la ISO 27000 o el NIST, que son los estándares que se usan tanto en Europa como los Estados Unidos. El ISO 27000 es un conglomerado de mejores prácticas, que, si se siguen al pie de la letra, se contará con un alto nivel de seguridad, no sólo se reducirán los riesgos, también los colaboradores sabrán cómo actuar cuando ocurra un ciberataque, cómo manejar el incidente y qué hacer después del ataque.
- Extenderlo a todos. Finalmente, como la pandemia provocó que muchos empleados trabajaran desde sus hogares, todas las prácticas y el plan de seguridad deben extenderse hasta ellos. Por otro lado, es necesario que las organizaciones implementen mecanismos de autenticación más estrictos y poner límites a sus colaboradores, de tal manera que no tengan acceso a zonas de la red de la empresa en las que no deban estar.
“Hoy en día hay que tener mucho cuidado en dónde navegamos, qué abrimos, qué vemos en internet; hay que usar el sentido común para no caer en trampas que a diario lanzan los atacantes, ya que nuestras pantallas son como las puertas de una casa y nosotros debemos saber a quién dejamos entrar y a quién no”, afirma el director de operaciones de Data Warden.
Imágenes Cortesía: Data Warden
Ayudamos a las marcas a acelerar su crecimiento. Somos agencia de marketing y relaciones públicas dedicada a implementar estrategias, experiencias y campañas 360º físicas, digitales y virtuales en los segmentos de salud, RSE, consumo, arte, construcción, turismo, lujo y estilo de vida.