Un enfoque de la educación sobre seguridad en línea para empleados debe incluir desmentir concepciones erróneas comúnmente citadas sobre ciberseguridad. Esta lista, elaborada por la National Cybersecurity Alliance, en colaboración con socios públicos y privados, se basa en las experiencias de líderes empresariales y empleados de todo Estados Unidos.

10 Concepciones Erróneas Comunes

#1: Mis datos (o los datos a los que tengo acceso) no son valiosos

Las organizaciones de todos los tamaños mantienen, o tienen acceso a, datos valiosos que vale la pena proteger. Dichos datos pueden incluir, pero no se limitan a, registros de empleo, información fiscal, correspondencia confidencial, sistemas de punto de venta, contratos empresariales. Todos los datos son valiosos. Tome Acción: Evalue los datos que crea, recopila, almacena, accede, transmite y luego clasifique esos datos por su nivel de sensibilidad para que pueda tomar las medidas adecuadas para protegerlos. Aprende más sobre cómo hacer esto.

#2: La ciberseguridad es un problema de tecnología

Las organizaciones no pueden confiar únicamente en la tecnología para asegurar sus datos. La ciberseguridad se aborda mejor con una combinación de capacitación de empleados, políticas y procedimientos claros y aceptados, e implementación de tecnologías actualizadas como software antivirus y antimalware.  Asegurar una organización es responsabilidad de toda la fuerza laboral, no solo del personal de TI. Tome Acción: Eduque a cada empleado (en todas las funciones y en todos los niveles de la organización) sobre su responsabilidad de ayudar a proteger toda la información empresarial. Aprenda más sobre cómo hacer esto con la guía del National Institute for Standards and Technology.

#3: La ciberseguridad requiere una gran inversión financiera

Una estrategia de ciberseguridad robusta requiere un compromiso financiero si desea proteger su organización en serio. Sin embargo, hay muchos pasos que puede tomar que requieren poco o ninguna inversión financiera.

Tome Acción: Crear e instituir políticas y procedimientos de ciberseguridad; restringir privilegios administrativos y de acceso; habilitar autenticación multifactor o de 2 factores; capacitar a los empleados para identificar correos electrónicos malintencionados y crear procedimientos manuales de respaldo para mantener los procesos comerciales críticos en operación durante un incidente cibernético. Dichos procedimientos pueden incluir el procesamiento de pagos en caso de que un proveedor o sitio web de terceros no esté operativo. Obtenga más información sobre cómo hacer esto usando el “Quick Wins” de NCA.

#4: Subcontratar el trabajo a un proveedor lo liberará de la responsabilidad de seguridad en caso de un incidente cibernético

Tiene todo el sentido subcontratar parte de su trabajo a otros, pero eso no significa que se libere de la responsabilidad de proteger los datos a los que un proveedor tiene acceso. Los datos son suyos y usted tiene la responsabilidad legal y ética de mantenerlos seguros y protegidos.

Tome Acción: Asegúrese de tener acuerdos exhaustivos con todos los proveedores, incluidos cómo se manejan los datos de la empresa, quién posee los datos y tiene acceso a ellos, cuánto tiempo se retienen los datos y qué sucede con los datos una vez que se termina un contrato. También debe hacer que un abogado revise cualquier acuerdo con proveedores. Aprenda más sobre cómo hacer esto con esta lista de la American Bar Association.

#5: Las brechas cibernéticas están cubiertas por un seguro de responsabilidad general

Muchas pólizas de seguro de responsabilidad empresarial estándar no cubren incidentes cibernéticos o violaciones de datos.

Tome Acción: Hable con su representante de seguros para entender si tiene algún seguro de ciberseguridad existente y qué tipo de póliza se adaptaría mejor a las necesidades de su empresa. Aprenda más sobre cómo hacer esto con el Centro de Pequeñas Empresas de la Comisión Federal de Comercio (FTC).

#6: Los ciberataques siempre provienen de actores externos

En resumen, los ciberataques no siempre provienen de actores externos. Algunos incidentes de ciberseguridad son causados accidentalmente por un empleado, como cuando copian y pegan información sensible en un correo electrónico y se la envían al destinatario equivocado. Otras veces, un empleado descontento (o anterior) puede vengarse lanzando un ataque a la organización.

Tome Acción: Al considerar su panorama de amenazas, es importante no pasar por alto posibles incidentes de ciberseguridad que puedan provenir desde dentro de la organización y desarrollar estrategias para minimizar esas amenazas. Aprenda más sobre cómo hacer esto usando este recurso de la Agencia de Ciberseguridad e Infraestructura Crítica.

#7: Los jóvenes son mejores en ciberseguridad que otros

A menudo, la persona más joven en la organización se convierte en la persona predeterminada de “TI”. La edad no está directamente correlacionada con mejores prácticas de ciberseguridad.

Tome Acción: Antes de darle a alguien la responsabilidad de administrar sus redes sociales, sitio web, red, etc., edúquelo sobre sus expectativas de uso y mejores prácticas de ciberseguridad. Aprenda más sobre cómo diferentes generaciones se comportan en línea.

#8: Cumplir con los estándares de la industria es suficiente para un programa de seguridad

Cumplir con la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) o el Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago (PCI), por ejemplo, es un componente crítico para proteger información sensible, pero simplemente cumplir con estos estándares no equivale a una estrategia robusta de ciberseguridad para una organización.

Tome Acción: Utilice un marco robusto, como el Marco de Ciberseguridad de NIST, para gestionar el riesgo relacionado con la ciberseguridad. Aprenda más sobre el Marco de Ciberseguridad de NIST.

#9: La seguridad digital y física son separadas

Muchas personas asocian la ciberseguridad estrechamente solo con el software y el código. Sin embargo, al proteger sus activos sensibles no debe descartar la seguridad física.

Tome Acción: Incluya una evaluación del diseño de su oficina y cuán fácil es obtener acceso físico no autorizado a información y activos sensibles (por ejemplo, servidores, computadoras, registros en papel) en su planificación. Una vez que se complete su evaluación, implemente estrategias y políticas para prevenir el acceso físico no autorizado. Las políticas pueden incluir controlar quién puede acceder a ciertas áreas de la oficina y asegurar adecuadamente laptops y teléfonos mientras viaja. Aprenda más sobre seguridad física en el sitio web de la FTC.

#10: Nuevos programas y dispositivos están automáticamente seguros cuando los compro

El hecho de que algo sea nuevo, no significa que sea seguro.

Tome Acción: En el momento en que adquiera nueva tecnología, asegúrese de que esté operando con el software más actualizado e inmediatamente cambie la contraseña predeterminada del fabricante por una contraseña segura. Al crear una nueva contraseña, use una frase larga y única para la cuenta o dispositivo. ¿Se ha registrado para una nueva cuenta en línea? Asegúrese de configurar inmediatamente sus configuraciones de privacidad antes de comenzar a usar el servicio. Encuentre información sobre cómo asegurar nuevos dispositivos. Ver y descargar una versión condensada de este contenido que puede compartir alrededor de su negocio y con sus redes. Consulte el Podcast de Concepciones Erróneas sobre Ciberseguridad para Pequeñas Empresas con ITSP Magazine.