Pasos para gestionar una estrategia de ciberseguridad para una pyme

Pasos para gestionar una estrategia de ciberseguridad para una pyme

La ciberseguridad es una práctica que cualquier empresa que almacena sus datos o los de sus clientes en un ordenador, un disco duro o en una nube debe tener bien aceitada. En IT NOW le contamos cuáles son los primeros pasos si quieres implementar una estrategia de ciberseguridad para tu Pyme.

(ITNOW)-.    La ciberseguridad puede parecer muy compleja de entender y esa es la principal razón por la que las autoridades de las empresas suelen pensar “no creo que esto pueda pasarnos a nosotros” o “eso le pasa solo a las grandes empresas”, pero eso no es así.

El ingreso de un cibercriminal no es la única forma de perder información importante. También se puede extraviar o romper algún instrumento, por ejemplo puede ingresar un malware, entre otros.

Solamente con un poco de dedicación y paciencia se puede aprender lo necesario, no para convertirse en un experto, pero sí como para vivir más tranquilo con la seguridad de que toda la información que maneja la compañía está vigilada.

El primer paso que se debe considerar es clasificar la información: Definir cuál información crítica, aquello que es muy importante para una empresa, y de qué manera lo tengo que proteger.

Por ejemplo: si se trata de una clínica, se deberá cifrar los historiales clínicos, los servicios de turnos, etcétera. Proteger absolutamente toda la información que esté en cada dispositivo significaría un gasto gigante que una pyme no podría afrontar.

Quizás le interese: La importancia del DDI basadas en la nube dentro de negocios

El segundo paso es hacer un análisis de riesgo, es decir, ver toda esa información crítica a qué riesgos está expuesta. Este punto está directamente relacionado con el siguiente;

El tercer paso es implementar las medidas preventivas en base a los riesgos que evalué. Algunos ejemplos de riesgos:

  • Ingreso un atacante desde el exterior, ¿Cómo se puede evitar? Con un firewall bajan las probabilidades de ser atacado.
  • Pérdida, robo o rotura de un elemento con información, ¿Cómo prevenir? Con backups diarios.
  • Acceso de alguien externo a la empresa, ¿Qué hacer para que no ocurra? Utilizar contraseñas más robustas o con autenticación de dos pasos (es decir, verificar a través de mail o mensaje de texto)
  • Usuarios se conectan de manera remota, ¿Cómo se asegura la conexión? Mediante la implementación de una VPN.
  • Dispositivo de algún usuario infectado con un malware, ¿Cómo mitigo eso? Con un antivirus.

Para este último punto, Randall Sancho, especialista en ciberseguridad en CMA, recomendó adquirir un antivirus con una alta reputación en el mercado (no versiones gratuitas), y que tenga un consumo moderado de memoria

Lea también Ciberseguridad: Erradicando los mitos y realidades

Una vez tomadas las medidas, se debe probar que todo esté en correcto funcionamiento.

“Al realizar pruebas, se pueden remediar baches de seguridad y mantener los sistemas de información protegidos. Se pueden alcanzar altas tasas de remediación en programas de evaluación continua porque a los desarrolladores de software se les facilita tratar vulnerabilidades con reportes en fases tempranas del desarrollo y casi de forma inmediata”, explicó Andrés Roldán, Offensive Team Leader de Fluid Attacks. 

Es importante tener en cuenta que la ciberseguridad requiere de un proceso continuo, según Ricardo Villadiego, CEO de Lumu Technologies.

Uno de los problemas más grandes de la industria de la ciberseguridad es la falta de medición continua acerca del estado de compromiso en una organización. Debemos entender que los ataques mejoran su capacidad de impacto y alcance”, añadió Villadiego.

Por último, para poder llevar a cabo la estrategia de ciberseguridad, también es necesario que todos los empleados estén alineados con la misma.

En tanto Cecilia Pastorino, Security Researcher en ESET para Latinoamérica sugirió: “no hacer que la ciberseguridad sea una traba para los empleados. Si se plantea como un problema, la tendencia va a ser que la rechacen y no quieran cumplirla, tiene que ser una solución”.

Ejemplificó además que si se implementa una VPN en la compañía tengo que explicar cómo ingresar con tres clicks.

“Si aplico una política de contraseñas de 15-20 caracteres, con mayúsculas, signos de puntuación y números, posiblemente complique al usuario y termine pegando un papelito en la computadora con la clave, y eso es lo último que queremos. Cada uno debe saber que la ciberseguridad cuida tanto a uno como a la empresa, partiendo de esa base va a ser más sencillo que se pueda llevar a cabo una estrategia”, finalizó Pastorino, de ESET.