Ciberseguridad para Negocios
|
Lectura breve
Conceptos erróneos comunes sobre la ciberseguridad sostenidos por pequeñas y medianas organizaciones
Empleados empoderados con los recursos y el conocimiento para proteger su organización de las ciberamenazas es una de las mejores líneas de defensa que puede tener.
Un enfoque de la educación sobre seguridad en línea para empleados debe incluir desmontar los conceptos erróneos de ciberseguridad que se citan comúnmente. Esta lista – elaborada por National Cybersecurity Alliance, en colaboración con socios públicos y privados – se basa en las experiencias de líderes empresariales y empleados de todo Estados Unidos.
10 conceptos erróneos comunes
#1: Mis datos (o los datos a los que tengo acceso) no tienen valor
Las organizaciones de todos los tamaños mantienen, o tienen acceso a, datos valiosos que vale la pena proteger. Tales datos pueden incluir, entre otros, registros de empleo, información fiscal, correspondencia confidencial, sistemas de punto de venta y contratos comerciales. Todos los datos son valiosos. Tome acción: Evalúe los datos que crea, recopila, almacena, accede y transmite, y luego clasifíquelos según su nivel de sensibilidad para que pueda tomar las medidas adecuadas para protegerlos. Obtenga más información sobre cómo hacerlo.
#2: La ciberseguridad es un asunto tecnológico
Las organizaciones no pueden confiar en la tecnología para proteger sus datos. La ciberseguridad se aborda mejor con una combinación de capacitación para los empleados, políticas y procedimientos claros y aceptados, e implementación de tecnologías actualizadas, como software antivirus y antimalware. Proteger una organización es responsabilidad de toda la fuerza laboral, no solo del personal de TI. Tome acción: Capacite a cada empleado (en cada función y a todos los niveles de la organización) sobre su responsabilidad de ayudar a proteger toda la información empresarial. Obtenga más información sobre cómo hacerlo con la guía del National Institute for Standards and Technology.
#3: La ciberseguridad requiere una gran inversión financiera
Una estrategia sólida de ciberseguridad sí requiere un compromiso financiero si realmente está comprometido con proteger su organización. Sin embargo, hay muchos pasos que puede tomar que requieren poca o ninguna inversión financiera.
Tome acción: Cree e implemente políticas y procedimientos de ciberseguridad; restrinja los privilegios administrativos y de acceso; habilite la autenticación multifactor o de 2 factores; capacite a los empleados para identificar correos electrónicos maliciosos y cree procedimientos manuales de respaldo para mantener en operación los procesos críticos del negocio durante un incidente cibernético. Dichos procedimientos pueden incluir el procesamiento de pagos en caso de que un proveedor o sitio web de terceros no esté operativo. Obtenga más información sobre cómo hacerlo usando la hoja de consejos “Quick Wins” de NCA.
#4: Subcontratar trabajo a un proveedor no lo libera de la responsabilidad de seguridad en caso de un incidente cibernético
Tiene sentido subcontratar parte de su trabajo a otros, pero eso no significa que renuncie a la responsabilidad de proteger los datos a los que tiene acceso un proveedor. Los datos son suyos y usted tiene la responsabilidad legal y ética de mantenerlos seguros y protegidos.
Tome acción: Asegúrese de tener acuerdos detallados con todos los proveedores, incluyendo cómo se manejan los datos de la empresa, quién es el propietario de los datos y quién tiene acceso a ellos, durante cuánto tiempo se conservan los datos y qué sucede con ellos una vez que termina un contrato. También debe pedir a un abogado que revise cualquier acuerdo con proveedores.
#5: Las brechas cibernéticas están cubiertas por el seguro de responsabilidad civil general
Muchas pólizas estándar de seguro de responsabilidad civil empresarial no cubren incidentes cibernéticos ni filtraciones de datos.
Tome acción: Hable con su representante de seguros para saber si ya cuenta con algún seguro de ciberseguridad y qué tipo de póliza se ajustaría mejor a las necesidades de su empresa. Obtenga más información sobre cómo hacerlo con el Centro para Pequeñas Empresas de la Comisión Federal de Comercio (FTC).
#6: Los ciberataques siempre provienen de actores externos
En pocas palabras, los ciberataques no siempre provienen de actores externos. Algunos incidentes de ciberseguridad son causados accidentalmente por un empleado, por ejemplo, cuando copia y pega información confidencial en un correo electrónico y se lo envía al destinatario equivocado. Otras veces, un empleado descontento (o antiguo) podría buscar venganza lanzando un ataque contra la organización.
Tome acción: Al considerar su panorama de amenazas, es importante no pasar por alto posibles incidentes de ciberseguridad que pueden originarse dentro de la organización y desarrollar estrategias para minimizar esas amenazas. Obtenga más información sobre cómo hacerlo usando este recurso de la Cybersecurity and Critical Infrastructure Agency.
#7: Los jóvenes son mejores en ciberseguridad que otros
Con frecuencia, la persona más joven de la organización se convierte en la persona de “TI” por defecto. La edad no se correlaciona directamente con mejores prácticas de ciberseguridad.
Tome acción: Antes de darle a alguien la responsabilidad de administrar sus redes sociales, sitio web, red, etc., explíquele sus expectativas de uso y las mejores prácticas de ciberseguridad. Obtenga más información sobre cómo se comportan en línea las distintas generaciones.
#8: Cumplir con los estándares de la industria es suficiente para un programa de seguridad
Cumplir con la Ley de Portabilidad y Responsabilidad de Seguros Médicos (HIPAA) o con la Industria de Tarjetas de Pago (PCI), por ejemplo, es un componente crítico para proteger la información confidencial, pero simplemente cumplir con estos estándares no equivale a una estrategia sólida de ciberseguridad para una organización.
Tome acción: Use un marco sólido, como el NIST Cybersecurity Framework, para gestionar el riesgo relacionado con la ciberseguridad. Obtenga más información sobre el NIST Cybersecurity Framework.
#9: La seguridad digital y la física son independientes
Muchas personas asocian la ciberseguridad solo con software y código. Sin embargo, al proteger sus activos confidenciales no debe subestimar la seguridad física.
Tome acción: Incluya en su planificación una evaluación de la distribución de su oficina y de lo fácil que es obtener acceso físico no autorizado a información y activos confidenciales (por ejemplo, servidores, computadoras, registros en papel). Una vez completada su evaluación, implemente estrategias y políticas para evitar el acceso físico no autorizado. Las políticas pueden incluir controlar quién puede acceder a ciertas áreas de la oficina y asegurar adecuadamente las computadoras portátiles y los teléfonos mientras viaja. Obtenga más información sobre seguridad física en el sitio web de la FTC.
#10: El software y los dispositivos nuevos son seguros automáticamente cuando los compro
Solo porque algo sea nuevo, no significa que sea seguro.
Tome acción: En el momento en que compre nueva tecnología, asegúrese de que funcione con el software más reciente y cambie de inmediato la contraseña predeterminada del fabricante por una frase de contraseña segura. Al crear una nueva frase de contraseña, use una frase larga y única para la cuenta o el dispositivo. ¿Se registró para una nueva cuenta en línea? Asegúrese de configurar de inmediato sus ajustes de privacidad antes de comenzar a usar el servicio. Encuentre información sobre cómo proteger nuevos dispositivos. Ver y descargar una versión resumida de este contenido que puede compartir en su empresa y con sus redes.
