10 prácticas de ciberseguridad imprescindibles para cualquier negocio

1. Sensibilizar a los empleados sobre los riesgos de ciberseguridad

La sensibilización periódica y la formación continua constituyen una de las mejores prácticas en ciberseguridad y un sistema de control de las prácticas promovidas internamente.

Ejemplos de buenas prácticas de sensibilización:

  • Talleres interactivos y atractivos sobre SI.
  • Pruebas de phishing simuladas para evaluar la vigilancia de los empleados.
  • Recompensar el comportamiento seguro para fomentar la participación de todos los empleados.
  • Proporcionar recursos de fácil acceso para recordatorios y consejos de seguridad rápidos, como píldoras y newsletters.
  • Hacer un esfuerzo para certificar a los miembros del personal, de esta forma estarán implicados con las buenas prácticas.

2. Realizar auditorías periódicas de riesgos de seguridad

Las auditorías periódicas de riesgos de seguridad son un pilar fundamental de cualquier estrategia eficaz de ciberseguridad. No en vano, estas auditorías permiten identificar y evaluar vulnerabilidades en sus sistemas de SI. Es la forma de adelantarse a los actores de amenaza: modelizar el pensamiento adversario y entender la Kill Chain concreta para cada tipología de dupla vulnerabilidad/amenaza. Esto ayuda a garantizar el enfoque de seguridad integral en profundidad, única forma global de contrarrestar los ataques multivariable/multisecuenciales actuales.

La nueva ISO 27001/22 propone Integrar un sistema de detección temprana de amenazas externas, como ciberataques a otros, brechas de seguridad accidentales usadas, perfil de atacante, etc. Es lo que se denomina Threat Intelligence, y es obligatorio

10 essential cybersecurity practices every business should follow

3. Fortalecer los equipos de seguridad TI

Fortalecer los equipos de seguridad de TI es un aspecto fundamental para proteger una empresa. De hecho, estos profesionales especializados son esenciales para identificar y prevenir amenazas: en la prevención, en la gestión durante el incidente y conocer qué prepara para el post incidente y mitigar los impactos. De esta manera, las empresas no sólo pueden mejorar su capacidad para contrarrestar las amenazas actuales, sino también prepararse de forma proactiva para los desafíos futuros.

¿De qué deben constar estos equipos?:

  • Talentos con diversas habilidades de seguridad, como analistas de ciber inteligencia, analistas de seguridad y forenses TIC, y especialistas en cumplimiento legal.
  • Para este equipo, capacitación continua para mantener las habilidades del equipo actualizadas con las últimas amenazas y tecnologías.
  • Fomentar la colaboración entre los equipos de seguridad y otros departamentos para lograr un enfoque integrado de la seguridad.

4. Estar al tanto de las nuevas soluciones TI

Adquirir nuevas soluciones de TI es esencial para mantener una defensa sólida contra las ciber amenazas, puesto que éstas son evolutivas. De hecho, los avances tecnológicos, como la inteligencia artificial y el aprendizaje automático, ofrecen una mejor protección contra los ciberataques.

  • Al permitir una detección más rápida de actos efectuados por las amenazas, y determinando nuevos tipos de patrones de ataque (IOA).
  • Este enfoque basado en ciberseguridad con esteroides de IA permite contribuye un negocio más resiliente frente a los rápidos cambios que provoca… la IA de los adversarios.

¿Qué debemos hacer para tener un mapa de tecnologías de ciberseguridad evolutivo?

  • Seguir soluciones en función de su compatibilidad con su infraestructura existente.
  • Cada nueva herramienta debe cumplir con los estándares de cumplimiento y seguridad, a un nivel equivalente al de su propia empresa; la tecnología no debe ser el eslabón débil de su cadena de seguridad.
  • Cotejar la usabilidad con opiniones de pares suyos, y entender los usos posibles de dichas herramientas. Para ello, tenga una sólida red de contactos a los que solicitar información “off the record”.
10 essential cybersecurity practices every business should follow

5. Tener un sistema testado de copias de seguridad de los datos adaptado a tu negocio

La copia de seguridad periódica de los datos es parte de buenas prácticas indispensables de ciberseguridad. Es el seguro contra la pérdida de datos en caso de un ciberataque. Evita la pérdida de datos, pero también garantiza una reanudación rápida y eficaz de las operaciones, plasmado en el Plan de Continuidad de Negocio y el Plan de Gestión de Crisis

  • Adoptar la regla 3-2-1: 3 copias de sus datos, en 2 tipos de almacenamiento diferentes, incluido 1 externo.
  • Automatizar los procesos de respaldo para asegurar la periodicidad impuesta por los estándares y reducir los errores humanos.
  • Hacer test periódico de las copias de seguridad para asegurarse de que estén completas y recuperables.
  • En función de la Estrategia de Seguridad de la información, cifrar los datos guardados para evitar que, dado el caso de tener que restituir, datos confidenciales con una necesidad de saber dada aparezcan en el sistema de producción si esta segmentación.

6. Actualizar los dispositivos y el software

Actualizar los dispositivos y el software en cuanto los parches de seguridad estén disponibles, para así evitar ataques de día 0, es fundamental para mantener una postura sólida en materia de ciberseguridad. Por una buena razón, las actualizaciones proporcionan soluciones para vulnerabilidades de seguridad que pueden ser aprovechadas por los ciberdelincuentes, en cuanto estas vulnerabilidades son publicadas: los Actores de Amenaza hacen inteligencia de amenazas, adquieren conocimiento sobre exploits, y esperan que las empresas tarden en parchear, para así aprovechar vulnerabilidades señaladas por el propio fabricante.

Por tanto, y dado que queda patente que un parche no instalado es una vulnerabilidad clara, se debe:

  • Automatizar las actualizaciones siempre que sea posible para garantizar una aplicación diligente.
  • Realizar pruebas para garantizar que los sistemas funcionen correctamente después de una actualización, y en el caso contrario hacer un roll back con conocimiento de la vulnerabilidad expuesta.

7. Firewall y antivirus efectivos

El software antivirus analiza y protege las computadoras contra virus, malware y otros programas maliciosos. Los firewalls, por su parte, actúan como barreras que controlan el tráfico entrante y saliente de la red, proporcionando una capa adicional de protección. Un sistema integrado, como el EDR (Endpoint Detection and Response), permite gestionar todo de manera centralizada.

Para proceder correctamente, debemos:

  • Elegir soluciones de seguridad adaptadas a las necesidades específicas de tu negocio, asegurándote de que realmente «apoyan al negocio» sin entorpecerlo.
  • Verificar que los estándares de seguridad que poseen sean adecuados (es decir, que tengan un alcance significativo) y que los SLA (Acuerdos de Nivel de Servicio) cubran adecuadamente.
  • Configurarlos correctamente para maximizar su efectividad sin interferir en las operaciones comerciales.
  • Implementar un marco de ciberseguridad que integre todas las herramientas y evite puntos ciegos en la seguridad.

8. Establecer un sistema que obligue al acceso a los datos con contraseñas seguras

El control estricto del acceso a los datos es crucial para la seguridad de una empresa. Y eso comienza con el uso de contraseñas seguras. Son la primera barrera contra el acceso no autorizado y los intentos de piratería.

El sistema a implementar esta primera línea de defensa debe obligar a:

  • Utilizar contraseñas largas que combinen letras, números y símbolos.
  • Sea compatible autenticación multifactor para mayor seguridad. MFA agrega una capa de protección al solicitar prueba de identidad adicional. Existen sistemas para tener dicho segundo factor de autenticación, aunque no haya conexión a internet ni cobertura móvil.
  • El sistema debe automatizar el cambio periódico de las contraseñas y no debe permitir reutilizar la misma contraseña, o una con patrón similar, para varias cuentas o servicios, o la el mismo en diferentes periodos.
  • Implantar el uso de administradores de contraseñas para almacenar y generar contraseñas complejas. Estas herramientas ayudan a administrar de forma segura una multitud de contraseñas diferentes teniendo una maestra de complejidad máxima (pero usabilidad compleja, solo hay que usarla una vez).

9. Establecer una política robusta de Seguridad de la Información

Documente sus políticas de ciberseguridad, tanto para comunicarlas a sus empleados como a sus clientes: cada tipología de actor (Third party) debe saber qué sistema de seguridad le aplica y con qué debe comprometerse. Es probable, cada vez ocurre más, que los clientes quieran saber cómo gestiona la información confidencial, quién tiene acceso a ella, dónde se almacenan los datos y qué pasaría en caso de una violación de datos. Ofrezca esta información a sus clientes como prueba de buen gobierno y cumplimiento normativo férreo.

Exponga sus niveles de seguridad y que éstos formen parte un sistema homogéneo de trabajo:

  • No todos los miembros de su equipo necesitan tener acceso a los datos de su empresa; es lo que se denomina clasificación de la información y estrategia de “necesidad de saber”.
  • Adoptar una política para determinar quién puede acceder a qué información, como información financiera, listas de clientes y propiedad intelectual, y bajo qué circunstancias es un nivel mínimo de protección del activos más importante de una empresa: su información.
  • Procedimentar el uso, segmentación y protección de la información por criticidad de la misma
  • Nombre un responsable de la Estrategia de Seguridad de la Información: sin designación no hay implicación. Sin implicación no hay resultados

10. Asegurar el tránsito de la información y las transacciones en línea

Utilizar un sistema DLP, o “Data Loss Prevention”, también oirá hablar de Prevención de fuga de datos. De media, las empresas tardan 277 días en darse cuenta de una violación de datos, según el último informe de IBM. Si una organización no posee ni sistemas, ni políticas ni concienciación a la hora de proteger los datos confidenciales que posee o que se le confían, corre el riesgo de exponerlos a personas que no están autorizadas a verlos o poseerlos. Las violaciones de datos pueden tener consecuencias devastadoras para la empresa y su reputación, desde la pérdida de la confianza del cliente hasta acciones legales.

¿Qué tener en cuenta para esta medida?

  • Priorizar datos: El primer paso es decidir qué datos plantearían el mayor problema en caso de robo. El DLP debe comenzar con los datos más valiosos o confidenciales que probablemente sean el objetivo de los atacantes.

Aquí entra la aplicación directa de lo visto en el punto 9

  • Clasificar datos: La aplicación de etiquetas de clasificación persistentes a los datos permite a las organizaciones realizar un seguimiento de su uso.

Aquí entra la aplicación directa de lo visto en el punto 9

  • Monitorear datos en movimiento: Es importante comprender cómo se utilizan los datos e identificar comportamientos que los ponen en riesgo. Las organizaciones necesitan monitorear los datos en movimiento para obtener una mejor visibilidad de lo que sucede con sus datos confidenciales y determinar el alcance de los problemas que su estrategia DLP debe abordar.
  • Comunicar y desarrollar controles: El siguiente paso es trabajar con los líderes de las líneas de negocio para comprender quién puede enviar qué, a quién y cómo. Es una auditoría de necesidades que desemboca en un Gap Analysis
  • Formar a los empleados y brindar orientación continua sobre los riesgos de “infoleak”.

 

Implementando estas prácticas, tu negocio estará mejor preparado para enfrentar las amenazas cibernéticas actuales y futuras.