Por Alexis Aguirre, Director de Ciberseguridad de Unisys para Latinoamérica
A medida que las organizaciones más grandes refuerzan su ciberseguridad contra los ataques, los ciberdelincuentes están siendo oportunistas y están dirigiendo su mirada hacia organizaciones más pequeñas.
Para ellos, es simplemente un juego de números. Cuantas más víctimas puedan tener, más dinero podrán ganar.
Desafortunadamente, debido a las limitaciones de recursos y otros factores, muchas pequeñas y medianas empresas (pymes) se quedan atrás en las inversiones en seguridad.
Para una pyme, el impacto de un incidente de ciberseguridad puede ser devastador, ya que se pueden perder clientes y/o socios comerciales, así como la confianza fuura. Por lo tanto, vale la pena comprender e invertir para garantizar la operación de una manera segura.
La buena noticia es que hay algunos pasos sencillos que las pymes pueden seguir para ayudar a mejorar su postura de seguridad y mantener a raya a los ciberdelincuentes.
Enfoque
Las pymes deben ver la ciberseguridad como un facilitador comercial y no como una carga. Esto requiere alinear la inversión en ciberseguridad con las iniciativas comerciales clave y asegurarse de que está realizando negocios de una manera cibersegura.
Gestión de riesgos
La gestión de riesgos es clave para la supervivencia empresarial. Entendemos la necesidad de la gestión de riesgos financieros y la gestión de riesgos legales; la gestión de riesgos de ciberseguridad no es diferente. Debes comprender el perfil de riesgo cibernético y la exposición de la organización e invertir en consecuencia para protegerla.
Conoce a tu enemigo
Es importante saber quién te ataca y cómo. Y esto no necesita ser sofisticado. Las organizaciones más grandes invierten en inteligencia de amenazas. Las organizaciones más pequeñas pueden simplemente hacer su propia investigación y comprender esto. El phishing y el compromiso del correo electrónico comercial son problemas importantes que afectan a las empresas en la actualidad. Comprenda cuáles son y pregunte si está protegido.
A continuación, se presentan los cuatro tipos de controles o enfoques que se pueden utilizar en un contexto de ciberseguridad:
1. Predecir
Sistemas, herramientas, políticas y procedimientos que ayudan a detectar vulnerabilidades en los sistemas y predecir posibles vías de ataque.
2. Prevenir
Sistemas, herramientas, políticas y procedimientos que evitan las amenazas que afectan a sus sistemas. Un ejemplo sería el firewall corporativo.
3. Detectar
Sistemas, herramientas, políticas y procedimientos que brindan la capacidad de detectar amenazas que pueden estar afectando el sistema. Un ejemplo aquí sería un sistema de detección de intrusiones.
4. Responder
Sistemas, herramientas, políticas y procedimientos que permiten responder a las amenazas y contenerlas / erradicarlas. Un ejemplo de política sería el Plan corporativo de respuesta a incidentes y las herramientas asociadas, como un sistema de gestión de eventos e información de seguridad (SIEM).
Como ocurre con la mayoría de las cosas, la regla 80/20 también se aplica a la ciberseguridad. Esto significa que el 20% del esfuerzo puede mitigar el 80% de los riesgos, si nos enfocamos en las cosas correctas.
Aquí hay tres pasos para comenzar:
1. Inteligencia de amenazas
Realiza una investigación básica y descubre qué y cómo los ciberdelincuentes se dirigen a las pymes. Luego, hazte la siguiente pregunta: ¿contamos con todas las medidas de ciberseguridad adecuadas?
2. La conciencia del usuario y el cambio cultural
Tus mayores activos de seguridad y vulnerabilidad son tu personal. Asegúrate de que comprendan los conceptos básicos de ciberseguridad y de que puedan identificar las ciberamenazas, como un correo electrónico de apariencia poco fiable o una solicitud de pago inmediato de una factura que no se ve bien.
3. Análisis de riesgo
Comprende tu postura de riesgo en función de las actividades comerciales y asegúrate de que estás haciendo lo básico.
Pensar que las inversiones en seguridad son algo solo para las grandes compañías es pensar de manera pequeña. Y aunque tu compañía no sea gigante, no significa que tu estrategia no lo pueda ser.