Construir una fortaleza de seguridad cibernética para mantener sus datos seguros

Construir una fortaleza de seguridad cibernética para mantener sus datos seguros
Anterior

Es posible que las compañías medianas no dispongan de millones de dólares para gastar en la seguridad cibernética. Sin embargo, si adoptan el método adecuado, pueden defenderse de los ataques.

Los delitos informáticos no son algo que les sucede solo a las grandes empresas. De hecho, las empresas medianas son particularmente vulnerables, porque los cibercriminales las consideran blancos fáciles y rentables. Según la encuesta The Global State of Information Security® de Pricewaterhouse Cooper's de 2016, las compañías medianas de América del Norte tienen más probabilidades que otras de haber sufrido al menos 50 incidentes de seguridad con sus datos en los 12 meses anteriores (40 por ciento, con respecto al 32 por ciento). Al mismo tiempo, estas empresas no tienen los recursos que las empresas más grandes pueden asignar a combatir los delitos informáticos. La buena noticia es que proteger los datos de su compañía no tiene por qué arruinar su presupuesto. Lo que hace falta, dice Scott Schober, autor de "Hacked Again" y director ejecutivo de Berkeley Varitronics Systems de Metuchen, New Jersey, es un enfoque por etapas, con cuatro líneas de defensa:

  1. Personas. No hay tecnología en el mundo que pueda protegerlo de una violación de seguridad de sus datos si los empleados, clientes y otros usuarios no comprenden los riesgos que enfrentan. "Cada vez más la capacitación básica ocupa el primer lugar en mi lista de recomendaciones", dice Schober. "Me sorprende cómo sigue habiendo problemas tan básicos como contraseñas inseguras, incluso en organizaciones sofisticadas". La capacitación debe incluir no solo cómo crear contraseñas sólidas, sino también las mejores prácticas para el tratamiento de datos confidenciales y cómo reconocer lo que se conoce como técnicas de ingeniería social que emplean los hackers, como phishing (robo de identidad). (En los ataques de phishing se utiliza el correo electrónico o sitios web maliciosos para obtener información de seguridad, haciéndose pasar por organizaciones confiables).
  2. Políticas. Las políticas de la compañía deben reflejar y reforzar la capacitación. Estas políticas pueden abordar el manejo seguro de datos, indicar quiénes tienen acceso a determinada información y de qué manera pueden los empleados usar o no sus dispositivos personales para tareas comerciales. Muchas políticas pueden reforzarse con tecnología, como exigir contraseñas complejas y autenticaciones de varios pasos (por ejemplo, ingresar un código que se envía por mensaje de texto además de la contraseña).
  3. Tecnología. Es imprescindible que las compañías instalen y mantengan software antivirus y de protección contra malware, pero es igual de importante comprender las limitaciones de estas aplicaciones. "Según algunas estimaciones, los programas de antivirus detectan tan solo el 5 por ciento de los códigos maliciosos", dice Schober. La codificación es otro nivel de protección del software. ¿Sabe dónde se almacenan sus datos? La respuesta cada vez más frecuente es "en la nube", pero eso puede significar muchas cosas, y los expertos en seguridad no parecen ponerse de acuerdo cuando se trata de soluciones de almacenamiento en la nube. Muchos consideran que esta alternativa ofrece a las organizaciones más pequeñas protección de nivel empresarial, mientras que otros, incluido Schober, dudan de cualquier solución que implique guardar sus datos donde no tiene control total. Si efectivamente almacena sus datos en la nube, advierte, no asuma que todos los proveedores son iguales. "Haga preguntas sencillas", sugiere. "¿Los datos están codificados? ¿Con qué frecuencia hacen copias de respaldo? ¿Qué sucede si tienen problemas de mantenimiento?" Las soluciones tecnológicas también deben incluir un programa integral de respaldo.
  4. Planificación. Las copias de respaldo sirven si se destruyen los datos. Pero ¿qué pasa si los datos caen en manos equivocadas? Cualquier plan de seguridad informática debe incluir a un equipo en condiciones de reaccionar de manera rápida cuando surge un problema, así se trate de una posible amenaza o una violación real a la seguridad. Además de expertos técnicos, su equipo debe tener pericia (interna y externa) en comunicaciones, aspectos legales y gestión de riesgos. También debe tener la autoridad necesaria para poder tomar decisiones informadas rápidamente. Parte de la planificación podría incluir una póliza de seguro de seguridad informática, que puede limitar el impacto financiero de ciertos incidentes. Schober también recomienda solicitar una evaluación independiente de las vulnerabilidades, que es una forma relativamente económica de saber cómo abordarlas.

En definitiva, no hay una receta mágica para prevenir los delitos informáticos. "Ninguna alternativa es 100 por ciento efectiva", advierte Schober. Pero añade: "no es necesario gastar millones de dólares para resguardar su seguridad. Es más una cuestión de desarrollar una cultura de la seguridad".

Siguiente

En una escala del 1 al 5, donde 1 significa "No muy bueno" y 5 significa "Excelente", ¿cómo calificaría este artículo?

Oprima "Enter" para enviar su calificación

Calificar este artículo

Use este formulario para enviar más comentarios sobre la calificación otorgada.

¡Gracias por su calificación!

¿Desea brindar algún comentario?

¡Gracias por sus comentarios!

Esta información es general y se proporciona únicamente con fines educativos. La información provista no se debe interpretar como asesoramiento contable, financiero, de inversión, legal o impositivo. Regions lo alienta a consultar a un profesional para obtener asesoramiento en relación con su situación particular. La información provista y las declaraciones realizadas por individuos que no son empleados de Regions son los puntos de vista u opiniones de la persona que hizo la declaración y no necesariamente reflejan los puntos de vista, políticas y opiniones de Regions. Regions no se expresa sobre la precisión, totalidad, puntualidad, idoneidad o validez de toda la información presentada.