Un enfoque de la educación sobre seguridad en línea de los empleados debe incluir la desmitificación de las ideas erróneas sobre la ciberseguridad que se citan comúnmente. Esta lista, recopilada por la Alianza Nacional de Ciberseguridad, en colaboración con socios públicos y privados, se basa en las experiencias de líderes empresariales y empleados de todo Estados Unidos.

10 Ideas Erróneas Comunes

#1: Mis datos (o los datos a los que tengo acceso) no son valiosos

Las organizaciones de todos los tamaños mantienen, o tienen acceso a, datos valiosos que merecen ser protegidos. Estos datos pueden incluir, entre otros, registros de empleo, información fiscal, correspondencia confidencial, sistemas de punto de venta, contratos empresariales. Todos los datos son valiosos. Tomar Acción: Evalúe los datos que crea, recopila, almacena, accede, transmite y luego clasifique esos datos según su nivel de sensibilidad para que pueda tomar los pasos apropiados para protegerlos.  Aprenda más sobre cómo hacer esto.

#2: La ciberseguridad es un problema tecnológico

Las organizaciones no pueden confiar en la tecnología solo para asegurar sus datos. La ciberseguridad se aborda mejor con una combinación de capacitación de empleados, políticas y procedimientos claros y aceptados, e implementación de tecnologías actualizadas como software antivirus y anti-malware.  Ciberasegurar una organización es responsabilidad de toda la fuerza laboral, no solo del personal de TI. Tomar Acción: Eduque a cada empleado (en cada función y en cada nivel de la organización) sobre su responsabilidad de ayudar a proteger toda la información empresarial. Aprenda más sobre cómo hacer esto con la guía del Instituto Nacional de Estándares y Tecnología.

#3: La ciberseguridad requiere una gran inversión financiera

Una estrategia de ciberseguridad robusta requiere un compromiso financiero si usted está serio acerca de proteger su organización. Sin embargo, hay muchos pasos que puede tomar que requieren poca o ninguna inversión financiera.

Tomar Acción: Crear e instituir políticas y procedimientos de ciberseguridad; restringir privilegios administrativos y de acceso; activar la autenticación multifactor o de 2 factores; capacitar a los empleados para detectar correos electrónicos maliciosos y crear procedimientos manuales de respaldo para mantener los procesos empresariales críticos en operación durante un incidente cibernético. Dichos procedimientos pueden incluir el procesamiento de pagos en caso de que un proveedor o sitio web de terceros no esté operativo. Aprenda más sobre cómo hacer esto utilizando la hoja de consejos de "Beneficios Rápidos" de NCA.

#4: Externalizar trabajo a un proveedor te libra de la responsabilidad de seguridad en caso de un incidente cibernético

Tiene pleno sentido externalizar parte de su trabajo a otros, pero eso no significa que ceda la responsabilidad de proteger los datos a los que un proveedor tiene acceso. Los datos son suyos y tiene una responsabilidad legal y ética para mantenerlos seguros.

Tomar Acción: Asegúrese de tener acuerdos completos con todos los proveedores, incluidos cómo se maneja la data de la empresa, quién posee los datos y tiene acceso a ellos, cuánto tiempo se retienen los datos y qué sucede con los datos una vez que se termina un contrato. También debería hacer que un abogado revise cualquier acuerdo con proveedores.

#5: Las brechas cibernéticas están cubiertas por un seguro de responsabilidad general

Muchas pólizas de seguro de responsabilidad empresarial estándar no cubren incidentes cibernéticos o brechas de datos.

Tomar Acción: Hable con su representante de seguros para entender si tiene algún seguro de ciberseguridad existente y qué tipo de póliza se adaptaría mejor a las necesidades de su empresa. Aprenda más sobre cómo hacer esto con el Centro de Pequeñas Empresas de la Comisión Federal de Comercio (FTC).

#6: Los ciberataques siempre provienen de actores externos

En resumen, los ciberataques no siempre provienen de actores externos. Algunos incidentes de ciberseguridad son causados accidentalmente por un empleado, como cuando copian y pegan información sensible en un correo electrónico y lo envían al destinatario incorrecto. Otras veces, un empleado descontento (o anterior) podría tomar represalias lanzando un ataque contra la organización.

Tomar Acción: Al considerar su paisaje de amenazas, es importante no pasar por alto posibles incidentes de ciberseguridad que pueden provenir del interior de la organización y desarrollar estrategias para minimizar esas amenazas. Aprenda más sobre cómo hacer esto utilizando este recurso de la Agencia de Ciberseguridad e Infraestructura Crítica.

#7: Los jóvenes son mejores en ciberseguridad que otros

A menudo, la persona más joven en la organización se convierte en el "persona de TI" por defecto. La edad no se correlaciona directamente con mejores prácticas de ciberseguridad.

Tomar Acción: Antes de dar a alguien la responsabilidad de gestionar sus redes sociales, sitio web, red, etc., edúquelos sobre sus expectativas de uso y las mejores prácticas de ciberseguridad. Aprenda más sobre cómo se comportan diferentes generaciones en línea.

#8: Cumplir con los estándares de la industria es suficiente para un programa de seguridad

Cumplir con el Acta de Portabilidad y Responsabilidad de Seguro Médico (HIPAA) o con el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI), por ejemplo, es un componente crucial para proteger información sensible, pero simplemente cumplir con estos estándares no equivale a una estrategia de ciberseguridad robusta para una organización.

Tomar Acción: Utilice un marco sólido, como el Marco de Ciberseguridad del NIST, para manejar el riesgo relacionado con la ciberseguridad. Aprenda más sobre el Marco de Ciberseguridad del NIST.

#9: La seguridad digital y física son separadas

Muchas personas asocian estrechamente la ciberseguridad solamente con software y código. Sin embargo, al proteger sus activos sensibles no debe descartar la seguridad física.

Tomar Acción: Incluya una evaluación del diseño de su oficina y qué tan fácil es obtener acceso físico no autorizado a información y activos sensibles (por ejemplo, servidores, computadoras, registros en papel) en su planificación. Una vez que se complete su evaluación, implemente estrategias y políticas para prevenir el acceso físico no autorizado. Las políticas pueden incluir controlar quién puede acceder a ciertas áreas de la oficina y asegurar adecuadamente las laptops y teléfonos mientras viajan. Aprenda más sobre seguridad física en el sitio web de la FTC.

#10: El software y los dispositivos nuevos son automáticamente seguros cuando los compro

Solo porque algo es nuevo, no significa que sea seguro.

Tomar Acción: Tan pronto como compre nueva tecnología, asegúrese de que esté operando con el software más actual y cambie inmediatamente la contraseña predeterminada del fabricante a una frase de contraseña segura. Al crear una nueva frase de contraseña, use una frase larga y única para la cuenta o dispositivo. ¿Registrarse para una nueva cuenta en línea? Asegúrese de configurar inmediatamente sus ajustes de privacidad antes de comenzar a usar el servicio. Encuentre información sobre cómo asegurar nuevos dispositivos. Ver y descargar una versión condensada de este contenido que pueda compartir alrededor de su empresa y con sus redes.