Mientras que para las grandes empresas un incidente de ciberseguridad se traduce en un daño a su reputación, para un negocio pequeño una violación de datos puede suponer una sentencia de muerte. La razón es que estas pequeñas compañías no suelen disponer de los medios económicos necesarios para afrontar la interrupción de su actividad.
Los pequeños negocios suelen dedicar tiempo durante el año a revisar sus gastos. Durante este proceso, también deberían incluir una revisión de los protocolos de ciberseguridad y de la gestión de riesgos informáticos. Por tanto, tienen que considerar la inversión que han realizado y asegurarse de que mitigan todos sus riesgos para lograr más seguridad y tranquilidad.
En la actualidad, la gestión del riesgo informático es un campo muy maduro y existen numerosas guías y normativas como la ISO 31000, el modelo de las cinco fuerzas de Porter o la Matriz de Ansoff. Estas herramientas permiten a las organizaciones evaluar el riesgo de una inversión y, además, les proporcionan un marco para que anticipen y aborden cambios que se puedan producir en su actividad de negocio. Y es que la inversión en un proyecto equivocado puede afectar negativamente a una compañía. En cambio, una planificación adecuada permite la recuperación (casi) segura de las empresas.
De hecho, aquellas que no inviertan en seguridad informática y no logren comprender la gestión de riesgos no podrán permitirse cometer ningún error. Sin embargo, la complejidad de los entornos empresariales modernos hace que sea imposible no cometerlos. Por lo tanto, es imprescindible que los negocios que surgen de la pandemia, tanto nuevos como existentes, implementen nuevas políticas laborales y dediquen tiempo a considerar si su planificación empresarial es la adecuada. También sería conveniente que se preguntasen si tienen un plan de continuidad establecido.
Consejos para replantear la estrategia de ciberseguridad
A continuación, encontrará cinco consejos que harán que la implementación de la estrategia de riesgos de seguridad informática en su empresa sea todo un éxito. Además, le permitirán liberarse de cualquier preocupación asociada a estos cambios:
- Entienda la gestión informática. Lo principal tiene que ser el aumento de la concienciación sobre la exposición cibernética. Para que una empresa continúe su actividad de negocio, es esencial que averigüe dónde están los riesgos, aunque esto sea todo un reto. Por suerte, las organizaciones sectoriales y nacionales proporcionan normativas que ayudan a esclarecer las obligaciones de las empresas y protegen sus actividades. Algunas de las regulaciones más conocidas son la ISO 27001, la IEC 62443 y el marco de ciberseguridad del NIST.
- Reduzca la superficie de ataque de su infraestructura informática. La protección y control de las cuentas privilegiadas también debería ser una de las prioridades en su lista de riesgos informáticos. Estas cuentas constituyen un objetivo perfecto para aquellos con intenciones malignas, ya que, con una única cuenta, un atacante puede conseguir extraer, manipular o cifrar datos críticos o incluso infiltrarse mucho más adentro de su infraestructura y operaciones. Si logra entender los riesgos, podrá desplegar herramientas adecuadas para proteger sus cuentas privilegiadas.
- Piense en su estrategia de acceso remoto. Los trabajadores remotos o aquellos que se dedican al mantenimiento de su infraestructura crítica o que la gestionan pueden exponer a su red a una gran cantidad de nuevos riesgos. Puede que los usuarios remotos que se conectan a activos informáticos desde fuera de su red corporativa dispongan de privilegios elevados para operar en sus sistemas críticos y, sin embargo, no se beneficien de la protección perimetral. Como estos empleados no se pueden ver físicamente, tampoco se puede garantizar su identidad; es decir, estos pueden conectarse desde endpoints no controlados o vulnerables. Es por ello por lo que la identificación de estos peligros es una parte imprescindible de toda estrategia de riesgos de seguridad.
- Aplique el principio del privilegio mínimo. Una manera eficaz de asegurarse de que un usuario con privilegios no pueda dañar una infraestructura es simplemente eliminar sus privilegios. No obstante, lo más seguro es que si estos usuarios se encuentran con que de repente no tienen acceso a determinados recursos que necesitan para realizar su trabajo, su productividad se vea afectada. Al implementar una política que incluya el principio del privilegio mínimo, por ejemplo una solución de privilegios de los endpoints, conseguirá restringir los privilegios de acceso al mínimo y facilitará el rendimiento del trabajo. La clave es proporcionar el privilegio correcto al usuario adecuado durante el periodo de tiempo necesario y por la razón apropiada.
- No confíe en nadie. Aunque al principio pueda sonar un poco duro, no debería confiar ni en sus usuarios privilegiados de confianza. Se estaría equivocando al pensar que los usuarios internos son mucho más fiables, técnicamente hablando, que los usuarios externos. Recuerde: todos los humanos son imperfectos e incluso aquellos empleados con privilegios elevados pueden cometer errores y ejecutar el comando incorrecto en el sistema crítico equivocado. Los empleados también son susceptibles de fraudes sofisticados y pueden caer en complejos intentos de phishing. Y por supuesto, no olvide que, por desgracia, la venganza de los empleados existe.
Si las organizaciones plantan cara a los riesgos, pueden vencerlos
Los negocios, por naturaleza, son sinónimo de riesgos. Desde optimizar la producción al seleccionar el mejor equipo o definir los presupuestos. Tener un negocio implica tomar decisiones bien informadas y calculadas para tener éxito y minimizar las pérdidas. La gestión del riesgo informático es parecida: cuando se implementan protecciones planeadas y adecuadas, las empresas prosperan.
La vulnerabilidad de los negocios a los ciberataques junto con las desastrosas consecuencias que dichos incidentes pueden provocar hace que tener una estrategia de gestión de riesgos sea fundamental. De hecho, cuanto antes, mejor. Uno de los componentes esenciales de esta gestión es la protección de los usuarios privilegiados, sobre todo de los accesos privilegiados. La implementación de medidas adecuadas reduce considerablemente el riesgo de que las empresas vean sus infraestructuras comprometidas. Adelántese a los acontecimientos y comience desde hoy a planear su estrategia de ciberseguridad y presupuesto e implemente una política bien planificada para proteger su empresa. Le saldrá rentable.