Unos empleados dotados de los recursos y conocimientos necesarios para proteger a su organización de las ciberamenazas es una de las mejores líneas de defensa que puede tener.
Uno de los puntos centrales de la educación en seguridad en línea de los empleados debería incluir el desmantelamiento de los conceptos erróneos de ciberseguridad más comúnmente citados. Esta lista -elaborada por la National Cybersecurity Alliance, en colaboración con socios públicos y privados- se basa en las experiencias de líderes empresariales y empleados de todo Estados Unidos.
10 errores comunes
#1: Mis datos (o los datos a los que tengo acceso) no son valiosos
Organizaciones de todos los tamaños mantienen, o tienen acceso a, datos valiosos que merece la pena proteger. Dichos datos pueden incluir, entre otros, registros de empleo, información fiscal, correspondencia confidencial, sistemas de punto de venta o contratos comerciales. Todos los datos son valiosos.
Actúe: Evalúe los datos que crea, recopila, almacena, a los que accede y transmite y, a continuación, clasifíquelos por su nivel de sensibilidad para poder tomar las medidas adecuadas para protegerlos. Más información sobre cómo hacerlo.
#2: La ciberseguridad es un problema tecnológico
Las organizaciones no pueden confiar en la tecnología para proteger sus datos. La ciberseguridad se aborda mejor con una combinación de formación de los empleados, políticas y procedimientos claros y aceptados, y la aplicación de tecnologías actualizadas, como software antivirus y antimalware. La ciberseguridad de una organización es responsabilidad de toda la plantilla, no sólo del personal informático.
Actúe: Eduque a cada empleado (en cada función y en cada nivel de la organización) sobre su responsabilidad de ayudar a proteger toda la información empresarial. Obtenga más información sobre cómo hacerlo con la guía del National Institute for Standards and Technology.
#nº 3: La ciberseguridad requiere una gran inversión financiera
Una estrategia de ciberseguridad sólida requiere un compromiso financiero si se toma en serio la protección de su organización. Sin embargo, hay muchas medidas que puede tomar que requieren poca o ninguna inversión financiera.
Actúe: Cree e instituya políticas y procedimientos de ciberseguridad; restrinja los privilegios administrativos y de acceso; active la autenticación multifactor o de 2 factores; forme a los empleados para detectar correos electrónicos maliciosos y cree procedimientos manuales de copia de seguridad para mantener en funcionamiento los procesos empresariales críticos durante un incidente cibernético. Estos procedimientos pueden incluir el procesamiento de pagos en caso de que un proveedor externo o un sitio web no estén operativos. Obtenga más información sobre cómo hacerlo utilizando la hoja de consejos "Quick Wins" de NCA.
#nº 4: Externalizar el trabajo a un proveedor le lavará las manos de la responsabilidad de seguridad en caso de incidente cibernético
Tiene todo el sentido subcontratar parte de su trabajo a terceros, pero eso no significa que renuncie a la responsabilidad de proteger los datos a los que tiene acceso un proveedor. Los datos son suyos y usted tiene la responsabilidad legal y ética de mantenerlos a salvo y seguros.
Actúe: Asegúrese de que tiene acuerdos exhaustivos con todos los proveedores, que incluyan cómo se manejan los datos de la empresa, quién es el propietario de los datos y tiene acceso a ellos, cuánto tiempo se conservan y qué ocurre con los datos una vez finalizado el contrato. También debe pedir a un abogado que revise los acuerdos con los proveedores. Obtenga más información sobre cómo hacerlo con esta lista de la American Bar Association.
#nº 5: Las infracciones cibernéticas están cubiertas por el seguro de responsabilidad civil general
Muchas pólizas estándar de seguro de responsabilidad civil de las empresas no cubren los incidentes cibernéticos o las violaciones de datos.
Actúe: Hable con su representante de seguros para saber si ya tiene algún seguro de ciberseguridad y qué tipo de póliza se adaptaría mejor a las necesidades de su empresa. Obtenga más información sobre cómo hacerlo en el Small Business Center de la Comisión Federal de Comercio (FTC).
#nº 6: Los ciberataques siempre proceden de agentes externos
En pocas palabras, los ciberataques no siempre proceden de agentes externos. Algunos incidentes de ciberseguridad son causados accidentalmente por un empleado, como cuando copia y pega información sensible en un correo electrónico y lo envía al destinatario equivocado. Otras veces, un empleado descontento (o antiguo) puede vengarse lanzando un ataque contra la organización.
Actúe: Al considerar su panorama de amenazas, es importante no pasar por alto los posibles incidentes de ciberseguridad que pueden provenir de dentro de la organización y desarrollar estrategias para minimizar esas amenazas. Obtenga más información sobre cómo hacerlo utilizando este recurso de la Agencia de Ciberseguridad e Infraestructuras Críticas.
#nº 7: Los jóvenes son mejores que los demás en ciberseguridad
A menudo, la persona más joven de la organización se convierte en la persona de "TI" por defecto. La edad no está directamente correlacionada con mejores prácticas de ciberseguridad.
Actúe: Antes de dar a alguien la responsabilidad de gestionar tus redes sociales, sitio web, red, etc., instrúyele sobre tus expectativas de uso y las mejores prácticas de ciberseguridad. Más información sobre cómo se comportan en Internet las distintas generaciones.
#nº 8: El cumplimiento de las normas del sector es suficiente para un programa de seguridad
Cumplir con la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) o la Industria de Tarjetas de Pago (PCI), por ejemplo, es un componente crítico para asegurar la información sensible, pero el simple cumplimiento de estas normas no equivale a una estrategia de ciberseguridad sólida para una organización.
Actúe: Utilice un marco sólido, como el Marco de Ciberseguridad del NIST, para gestionar los riesgos relacionados con la ciberseguridad. Más información sobre el Marco de Ciberseguridad del NIST.
#nº 9: La seguridad digital y la física están separadas
Mucha gente asocia la ciberseguridad únicamente con software y código. Sin embargo, a la hora de proteger sus activos sensibles no debe descartar la seguridad física.
Actúe: Incluye en tu planificación una evaluación de la distribución de tu oficina y de la facilidad de acceso físico no autorizado a información y activos sensibles (por ejemplo, servidores, ordenadores, registros en papel). Una vez realizada la evaluación, aplique estrategias y políticas para impedir el acceso físico no autorizado. Las políticas pueden incluir el control de quién puede acceder a determinadas zonas de la oficina y la protección adecuada de portátiles y teléfonos durante los desplazamientos. Más información sobre seguridad física en el sitio web de la FTC.
#10: Los programas y dispositivos nuevos son seguros automáticamente cuando los compro
Que algo sea nuevo no significa que sea seguro.
Actúe: En el momento en que adquiera una nueva tecnología, asegúrese de que funciona con el software más reciente y cambie inmediatamente la contraseña predeterminada del fabricante por una frase de contraseña segura. Cuando cree una nueva frase de contraseña, utilice una frase larga y única para la cuenta o el dispositivo. ¿Se ha registrado en una nueva cuenta en línea? Asegúrese de configurar inmediatamente los ajustes de privacidad antes de empezar a utilizar el servicio. Obtenga información sobre cómo proteger los nuevos dispositivos.
Vea y descargue una versión resumida de este contenido que puedes compartir en tu empresa y con tus contactos.
Eche un vistazo al Small Business Cybersecurity Misconceptions Podcast con ITSP Magazine.