La seguridad cibernética se debe tomar tan en serio como otras funciones de misión crítica, como operaciones y finanzas.
Walter Bran / coordinador Inteligencia Estratégica CIG
Con información del Consejo de Ciberseguridad del
Cyber Readiness Institute
[email protected]
El Consejo Asesor de Pequeñas y Medianas Empresas del Cyber Readiness Institute (CRI), es un grupo de 15 organizaciones públicas y privadas que sirven a las pymes en diversas capacidades, que tiene como objetivo mejorar el acceso y el uso de los recursos cibernéticos. Y desarrolló sus mejores consejos de seguridad cibernética para este grupo de empresarios.
Toda organización debe tomarse la ciberseguridad tan en serio como otras funciones de misión crítica, como operaciones y finanzas. La ciberseguridad no es solo un problema de tecnología de información, ante todo, se trata de una cuestión de personas. A continuación, presentamos algunos consejos que puede aplicar a su negocio:
Poner a cargo a un ejecutivo (o alguien con autoridad): Es importante que una persona designada encabece los esfuerzos cibernéticos de su empresa. Asignar a una persona para que sea el líder de este tema resalta su compromiso con la seguridad cibernética y proporciona una experiencia profesional adicional y relevante para todos. El cyber leader puede adoptar y compartir las mejores prácticas que los empleados pueden implementar y ser la persona de contacto cuando los empleados tienen preguntas o cuando ocurren incidentes cibernéticos.
Crear una cultura de conciencia cibernética: Esto significa que todos los empleados saben que juegan un papel fundamental en la resiliencia cibernética de una empresa. Este tipo de cultura se puede facilitar mediante la educación y la formación. Considere publicar las políticas cibernéticas de su empresa en un lugar visible para recordar a los empleados qué hacer y que todos tienen la responsabilidad de la seguridad cibernética de la organización. Recuerde, la cultura se crea cuando sus empleados tienen un comportamiento común.
Mantenga sus comunicaciones de ciberseguridad: La conciencia se construye mediante comunicaciones breves y frecuentes. Los boletines informativos semanales, los correos electrónicos regulares, los carteles o los protectores de pantalla pueden ser vitales para mantener a sus empleados al tanto de los peligros de las infracciones cibernéticas y cómo prevenirlas. Identifique lo que es relevante para su negocio y adapte las comunicaciones en consecuencia. Algunas de nuestras sugerencias incluyen elegir un tema cibernético del mes en el que enfocarse, por ejemplo, reconocer los intentos de phishing o usar contraseñas seguras.
Evaluar cada trimestre, qué datos y sistemas son más críticos para su negocio: No se puede proteger todo por igual. Debe identificar qué datos y sistemas son más importantes para su operación en curso. Como parte de la evaluación de riesgos, piense en lo que sucedería si perdiera datos importantes o su sistema fallara. Esta preparación le ayudará a priorizar qué proteger. Toda organización, por pequeña que sea, debe identificar su información más sensible y asegurarse de crear copias de seguridad de esos datos.
Desarrollar y probar un plan de respuesta a incidentes cibernéticos: Tener un plan de respuesta a incidentes para dirigir sus acciones si ocurre una violación cibernética es vital. El plan de respuesta a incidentes debe cubrir la preparación en caso de un incidente, la respuesta y la rápida recuperación. Dado a que el 60% de las pequeñas empresas se ven obligadas a cesar sus operaciones por al menos un año después de un ciberataque, es especialmente importante tener un plan de recuperación que se comunique adecuadamente a todos los empleados. Además, la realización de ejercicios o simulacros que prueben el plan de respuesta a incidentes (conocidos como ejercicios de mesa) ayudará a los empleados a identificar sus responsabilidades durante los incidentes y les permitirá actuar de manera eficaz y segura si se producen ataques cibernéticos. La parte más importante de la preparación es tener copias de seguridad actuales que haya probado, especialmente para sus datos más importantes.