Construir una fortaleza de seguridad cibernética para mantener sus datos seguros

Construir una fortaleza de seguridad cibernética para mantener sus datos seguros
Anterior

Es posible que las compañías medianas no dispongan de millones de dólares para gastar en la seguridad cibernética. Sin embargo, si adoptan el método adecuado, pueden defenderse de los ataques.

El delito cibernético no es algo que solamente afecta a las grandes compañías. De hecho, los negocios medianos son particularmente vulnerables, ya que los delincuentes cibernéticos los ven como un blanco fácil y lucrativo. Según la encuesta sobre el estado internacional de la seguridad de la información realizada en 2016 por PwC, las compañías medianas de los Estados Unidos tenían más probabilidades que otras de haber sufrido al menos 50 incidentes en la seguridad de datos en los últimos 12 meses (un 40 por ciento contra un 32 por ciento). Al mismo tiempo, dichas compañías no poseen los recursos que tienen las grandes compañías para combatir el delito cibernético. La buena noticia es que proteger los datos de su compañía no tiene por qué dejarlo en bancarrota. Lo que se necesita, dice Scott Schober, autor de Hacked Again y director ejecutivo de Berkeley Varitronics Systems en Metuchen, Nueva Jersey, es un método por etapas con cuatro líneas de defensa:

  1. Personas. Ni toda la tecnología del mundo podría protegerlo de la filtración de datos si los empleados, los clientes y otros usuarios no comprenden las amenazan que afrontan. "Cada vez más la educación básica y la capacitación figuran en mi lista de principales recomendaciones", dice Schober. Me sorprende ver cuán generalizados son los problemas tales como las contraseñas inseguras, incluso en organizaciones sofisticadas". La capacitación debería incluir no sólo cómo crear contraseñas seguras, sino también mencionar las mejores prácticas para manipular datos confidenciales y cómo reconocer las denominadas técnicas de ingeniería social que utilizan los piratas, como por ejemplo el fraude electrónico. (Los ataques mediante el fraude electrónico utilizan correos electrónicos o sitios web maliciosos para solicitar información de seguridad al fingir ser una organización confiable).
  2. Política. La política de la compañía debe reflejar y reforzar la capacitación y la educación. Dichas políticas deben incluir cómo garantizar la manipulación segura de los datos, quiénes acceden a ciertos datos y de qué forma se les permite o no a los empleados utilizar sus dispositivos personales para los negocios de la compañía. Muchas políticas pueden ser reforzadas por la tecnología, como por ejemplo al requerir contraseñas complejas y autenticación de múltiples factores (por ejemplo, al ingresar un código enviado por mensaje de texto además de la contraseña).
  3. Tecnología. Se da por hecho que las compañías deben instalar y mantener un software antivirus y anti-malware, pero es igualmente importante comprender las limitaciones de dichas aplicaciones. "Según ciertos cálculos, los programas de antivirus detectan tan solo el 5 de códigos maliciosos", expresa Schober. La codificación es un nivel adicional de protección mediante software. ¿Conoce dónde se almacenan sus datos? La respuesta cada vez más frecuentes es "en la nube", pero eso puede significar muchas cosas, y los expertos en seguridad parecen tener una postura ambigua con respecto a las soluciones basadas en la nube. Muchos creen que dichas soluciones les brindan a las organizaciones más pequeñas una protección típica de las corporaciones. Mientras que otros, entre ellos Schober, desconfían de las soluciones que impliquen almacenar datos en un lugar donde no se tiene el control total sobre los mismos. Si decide almacenar sus datos en la nube, advierte, no asuma que todos los proveedores son iguales. "Haga preguntas simples", sugiere. ¿El sistema está codificado? ¿Con cuánta frecuencia se crea una copia de seguridad? ¿Qué sucede si tengo problemas de mantenimiento?" Las soluciones tecnológicas también deben incluir un programa de copias de seguridad integrales.
  4. Planificación. Las copias de datos son beneficiosas si los datos fueron destruidos pero ¿qué pasa si caen en las manos equivocadas? Parte de cualquier plan de seguridad cibernética debe incluir un equipo capaz de reaccionar rápidamente cada vez que surja un problema, ya sea una potencial amenaza o una filtración concreta. Además de los expertos técnicos, su equipo debe contar con especialistas (internos o externos) en comunicación, asuntos legales y administración de riesgos. Además, debe tener la autoridad de tomar decisiones rápidas y fundamentadas. Parte de la planificación debe incluir una política de seguros de seguridad cibernética, que puede limitar el impacto financiero de ciertos incidentes. Schober también recomienda realizar una evaluación de la vulnerabilidad, una forma relativamente asequible de conocer las vulnerabilidades y saber cómo abordarlas.

Al final, no existe una bala mágica para prevenir el delito cibernético. “Nada es 100 por ciento infalible", advierte Schober pero luego agrega, “No necesita invertir millones de dólares para estar seguro. Se trata más de una cuestión de desarrollar una mentalidad cultural sobre la seguridad".

Siguiente

En una escala del 1 al 5, donde 1 significa "No muy bueno" y 5 significa "Excelente", ¿cómo calificaría este artículo?

Oprima "Enter" para enviar su calificación

Calificar este artículo

Use este formulario para enviar más comentarios sobre la calificación otorgada.

¡Gracias por su calificación!

¿Desea brindar algún comentario?

¡Gracias por sus comentarios!

Esta información es general y se proporciona únicamente con fines educativos. La información provista no se debe interpretar como asesoramiento contable, financiero, de inversión, legal o impositivo. Regions lo alienta a consultar a un profesional para obtener asesoramiento en relación con su situación particular. La información provista y las declaraciones realizadas por individuos que no son empleados de Regions son los puntos de vista u opiniones de la persona que hizo la declaración y no necesariamente reflejan los puntos de vista, políticas y opiniones de Regions. Regions no se expresa sobre la precisión, totalidad, puntualidad, idoneidad o validez de toda la información presentada.