Que un empleado pierda un documento que había en una memoria USB en la que ha estado trabajando durante semanas o que un ciberdelincuente te chantajee con información confidencial de tu compañía es más común de lo que piensas.
Si quieres saber cómo evitar este tipo de situaciones, lo primero que debes saber es el nivel de seguridad de tu empresa para, después, hacer las mejoras necesarias con un Plan Director de Seguridad (PDS).
Tareas previas
Antes de realizar cualquier movimiento, necesitamos concretar una serie de tareas previas.
- Alcance de nuestro Plan Director de Seguridad. Podemos escoger un único departamento, un conjunto de procesos o un grupo de sistemas. Lo recomendable es determinar aquellos procesos de negocio y activos críticos de nuestra compañía, y utilizarlos como PDS. Por ejemplo, uno de los procesos más delicados es el de la fabricación o facturación.
- Lo siguiente que debemos hacer es nombrar al responsable de cada una de las funciones de los departamentos informáticos: equipos, dispositivos móviles, apps, instalaciones, servicios e información.
De cara a la realización del PDS será recomendable definir los siguientes cargos: Seguridad, Información, ámbito Lógico, Físico, Legal y Organizativo.
En el caso de que la empresa sea pequeña podemos asignar estos roles a una sola persona o contratar a una compañía externa.
Valoración de la situación
Para saber cuál es cuál es el nivel de seguridad de tu empresa, lo primero que debes saber es que existe un Código de Buenas Prácticas para la Gestión de la Seguridad de la Información.
Este conjunto de tareas es imprescindible que se implementen para resolver cualquier amenaza externa que pueda afectar a la compañía.
Para determinar los controles necesarios, debes seguir una serie de pasos.
- Hacer una inspección física de las instalaciones, comprobando si se siguen las normas de seguridad físicas.
- Realizar reuniones de personal de los distintos departamentos de la organización que se encuentren dentro del PDS. Se suele encargar el Departamento TIC, pero también es recomendable que lo hagan los de Personal, Jurídico, Administración y Servicios Generales.
- Todos los problemas detectados deben ponerse por escrito en un documento formal que pueda ser evaluado (del 0 al 5) en función del riesgo.
Además de basarnos en percepciones, el estado real de ciberseguridad de nuestra empresa se comprueba con la valoración de: si nuestra web es segura, si la red está bien segmentada y dispone de firewalls o si contamos con antivirus.
Al terminar este paso, contaremos con un documento que no deja de ser una auditoría del estado actual de la empresa.
Menos de la mitad de las empresas se ven capaces de afrontar un ciberataque
El alcance de la misma variará en función del ámbito de nuestra empresa. Por ejemplo, si nuestra compañía se dedica al comercio electrónico, hay que darle mucha importancia a las políticas de buenas prácticas del uso del correo corporativo.
Para visualizar de forma rápida el nivel de ciberseguridad de nuestra empresa, podemos dibujar un gráfico. En el siguiente ejemplo, la línea roja representa el grado de cumplimiento actual, la naranja el objetivo de cumplimiento a largo plazo y la verde el óptimo.
Por último, os recomendamos realizar estas auditorías a nuvel externo o interno.
Objetivos contínuos
Una ver tenemos claro el grado de ciberseguridad de nuestra compañía, el siguiente paso es establecer objetivos a cumplir. Así podremos mejorar e identificar los problemas con menos esfuerzos.
Ya sólo nos queda tener un Plan Director de Seguridad para saber cuáles son los proyectos necesarios a realizar y así cumplir nuestros objetivos.
Como consejo, os recomendamos ser conscientes de nuestra capacidad de maniobra y no imponernos unos objetivos inalcanzables si no tenemos suficiente presupuesto.
Fuente: ticbeat.com