Los 10 pasos para que las empresas alcancen el éxito en ciberseguridad

Negocios

Mario García, director general de Check Point, muestra cómo las empresas pueden adoptar un enfoque sistemático para mejorar la seguridad de sus redes y datos

La creciente frecuencia y sofisticación de las amenazas de seguridad hace que la protección de las organizaciones sea más importante que nunca. Sólo en 2014, los ciberdelincuentes robaron más de 500 millones de identidades individuales de empresas y organizaciones de todo el mundo, y los ataques e infecciones de malware continúan a escala industrial. Para muchas empresas, la defensa de sus redes y datos se está convirtiendo en una tarea que parece inabarcable.

Sin embargo, cuando se concreta en sus elementos más básicos, el riesgo de la seguridad de la información puede ser evaluado como una combinación de tres factores principales: activos, vulnerabilidades y amenazas. Los activos se hallan expuestos debido a las vulnerabilidades que a su vez pueden ser explotadas por amenazas, con la circunstancia de que una sola brecha en la seguridad puede convertirse en la semilla para ataques posteriores.

En un intento de hacer frente a estos problemas, la UE está introduciendo nuevas leyes para la protección de la seguridad de la información y los datos que pronto serán implementadas y que van a exigir que las empresas protejan la información del cliente con las mismas responsabilidades que el sector público y los órganos de gobierno – o se enfrentarán a fuertes sanciones en caso de incumplimiento. No importará que el foco de negocio de una empresa sea la tecnología, la banca, la salud, el fitness, o la comida rápida, si venden algo, lo más probable es que tengan los datos personales de los clientes almacenados en su red.

Si bien los gobiernos y los organismos encargados de hacer cumplir la ley están ahora trabajando en esta línea para contrarrestar las amenazas, esto solo tiene un impacto inmediato limitado sobre los riesgos a los que se enfrentan las empresas. Se requiere que sean las propias compañías las que aborden las tareas de seguridad por sí mismas.

Pero ¿cómo deben enfocar este asunto? Aunque la mayoría de los directivos sitúan a la ciberseguridad como una prioridad, en general han sido lentos para elevarla a un nivel directivo – hasta que ocurre una brecha de datos en la seguridad de la empresa, no se suelen tomar ese tipo de medidas-. Este enfoque reactivo tiene que cambiar y es necesario que la seguridad se convierta en el nuevo status quo, pensando en ella de una manera proactiva. Para ayudar con el diseño de una estrategia de seguridad proactiva, a continuación se expone una guía de 10 pasos para un enfoque más robusto y novedoso, que permita proteger la red crítica de negocio y los activos de los datos.

  1. Utilizar la seguridad para potenciar la innovación: Una estrategia de seguridad robusta puede hacer algo más que proteger a una empresa de los ataques; también puede estimular la migración a tecnologías de base más completas que puedan impulsar su negocio., lo que permite a las empresas operar de una manera más eficiente. Al adoptar nuevas soluciones y dispositivos, una evaluación de los riesgos de seguridad debe ser parte del proceso para garantizar que la protección contra las amenazas está integrada en el despliegue desde el principio. La incorporación de la seguridad da un mayor nivel de protección, permitiendo a las organizaciones impulsar su innovación.
  2. Poner a prueba los límites: Un error habitual que cometen las empresas es asumir que, una vez que se implementen medidas de seguridad, el trabajo ya está hecho. En la actualidad esto no puede estar más lejos de la realidad. Las amenazas se están transformando y los ciberdelincuentes aprenden sobre la marcha, incrementando su nivel de sofisticación. Para mitigar estos riesgos, las organizaciones han de ver la seguridad TI como un proceso continuado en el que la infraestructura sea probada regularmente para detectar intrusiones y se realicen auditorías sobre el terreno a fin de identificar las vulnerabilidades. No han de ver la seguridad TI como algo puntual que solo se hace al comenzar el ejercicio y que luego se olvida.
  3. Centrarse: Las empresas deben centrarse en dónde serían más vulnerables en caso de un fallo de seguridad y hacer de esto su principal prioridad. Temas como la pérdida de información confidencial, la reputación corporativa, o el incumplimiento de las regulaciones se deben considerar, antes de concentrarse en lo que se puede hacer para minimizar el riesgo.
  4. Estar preparados: No importa lo cuidadosa que sea una empresa, los incidentes de seguridad ocurrirán. Cómo las organizaciones manejen estos incidentes puede ser determinante en términos del impacto en sus operaciones. Si tienen un plan de contingencia, podrán recuperarse más rápido, con menos impacto en las operaciones comerciales. Identificar amenazas de antemano reducirá significativamente los tiempos y costes de respuesta en el caso de un ataque real.
  5. Tener una visión global: Al revisar la seguridad empresarial, es importante ver las amenazas y vulnerabilidades, así como el panorama general de lo que una organización está tratando de lograr. Las empresas más preparadas saben que la política de seguridad tiene que provenir de los objetivos estratégicos, los objetivos de negocio y la política corporativa, fijándola a los procedimientos y requisitos, medidas de rendimiento, y por supuesto, aplicada a todas las personas, en todos los niveles de la organización.
  6. Hacer más de lo necesario: Muchas organizaciones creen que si cumplen con las leyes y reglamentos que rigen la privacidad, las finanzas y la protección del consumidor, ya están cubiertos. Pero este tipo de pensamiento puede sesgar el alcance y la efectividad de una buena política de seguridad, porque el cumplimiento de lo general se centra en amenazas específicas. Dado que el cumplimiento no garantiza una red segura, no debe ser la base de una política de seguridad. Con esto en mente, las empresas necesitan ir más allá del cumplimiento y crear una política de seguridad robusta que proteja la información y mitigue amenazas.
  7. Hacerlo oficial: Hacer que la información de las políticas de seguridad corporativas sea oficial y compartirlas con toda la empresa puede ser muy eficaz. Cuando los empleados están comprometidos en ayudar a implementar las políticas, la aplicación se vuelve más eficiente. Como resultado las mejores políticas de seguridad son aquellas que están bien publicitadas, son fáciles de entender y los empleados puedan ayudar a hacer cumplir.
  8. Obtener apoyos: La protección de la información confidencial de una organización debe ser un objetivo global. Asegurar los recursos adecuados – tanto en términos de presupuestos financieros como de recursos personales – es importante para la protección de la empresa. En consecuencia, la aceptación por parte del nivel directivo de la empresa de la política de seguridad es esencial, ya que demuestra el apoyo activo y fomenta una mayor conciencia. La clave para obtener esto es a menudo la identificación de los indicadores clave de seguridad y medidores que demuestran la rentabilidad de la inversión que una seguridad robusta ofrece. Esto también proporciona información valiosa para la optimización continua de las políticas de seguridad.
  9. Establecer medidas: Las organizaciones deben dedicar un tiempo a identificar a los individuos específicos que serán responsables de su política de seguridad de la información. Se deben tener en cuenta distintas cuestiones y comprender que implicaciones se derivan de ellas. Esto debe ser documentado y compartido a lo largo de toda la estructura de la empresa de modo que todos los involucrados sean convenientemente informados. También debe incluirse la capacitación del personal sobre sus responsabilidades y cuáles son sus funciones en la protección contra amenazas.
  10. No bajar la guardia: En algunas empresas, la gestión de la seguridad se externaliza por falta de personal o conocimientos. Sin embargo, las empresas externas que no protegen adecuadamente los activos representan un grave riesgo para las operaciones de negocio, la reputación y el valor de marca de una organización. Las empresas deben exigir que los proveedores de servicios sigan sus políticas de seguridad de la información, y también asegurarse de que, a su vez, comprenden las políticas y las garantías para hacerlas cumplir a sus partners.

Una buena seguridad es crítica para el negocio

Teniendo en cuenta que los datos son la piedra angular de los negocios, los líderes de hoy no pueden permitirse el lujo de ignorar la cuestión de la seguridad. Sin unas políticas adecuadas, se pone en riesgo tanto a los clientes como a la empresa en sí misma.

No obstante, mediante la comprensión de las amenazas y vulnerabilidades potenciales, de la mano de un plan sólido que se alinee con el negocio y asegurando que las protecciones se integran en la infraestructura TI, sí es posible convertir la seguridad en un verdadero habilitador del negocio.

Lea también :