Buenas prácticas para la protección de riesgos cibernéticos para las empresas

Nos encontramos en un contexto en el que, en los últimos dos años, aproximadamente una gran parte de las empresas han sufrido una brecha de seguridad, de las cuales un elevado porcentaje ha sido a consecuencia de errores humanos. Las PYMES son las más propensas a ser infectadas con malware y gran cantidad de ellas consideran un problema grave la falta de personal cualificado.

Los ataques cibernéticos se producen de forma sistemática hasta que tarde o temprano se encuentra un fallo en la seguridad del sistema a atacar. Los principales botines son datos o dinero.

Pero, ¿cuáles son los riesgos y costes para la empresa? El coste medio por cada ciber ataque sufrido en España asciende a cantidades elevadas de seis cifras, y entre los cuales se incluyen: infraestructuras y software, consultores de imagen de marca, de seguridad TI, de gestión de riesgo, auditore, y rescate, entre otros.

Estos datos deberían hacernos reaccionar y realizar algunas reflexiones con respecto a:

La Ciberseguridad.

Debemos pensar en los datos. Una correcta formación y concienciación del personal de la empresa es clave. Es una línea de defensa que no podemos controlar y cuanto más preparada esté, mucho más segura será nuestra empresa. Pero tenemos que pensar también en invertir en otros elementos de seguridad (firewalls, copias de seguridad, actualizaciones…). Si además de todo ello, queremos estar más protegidos y que las gestiones en caso de brecha de seguridad se lleven a cabo con la mayor rapidez y seguridad, para ellos es muy recomendable contratar un seguro.

La Responsabilidad Civil del administrador de la empresa.

El administrador puede ser responsable de forma personal si no garantiza las medidas de protección mínimas con respecto a las políticas de Ciberseguridad necesarias y las medidas de protección de datos personales de obligado cumplimiento para la empresa.

El aumento de seguridad en los accesos.

Mediante la autenticación multifactorial se obliga a la persona que accede a una cuenta o aplicación a pasar una verificación de identidad adicional, como una doble autenticación mediante contraseña y código de verificación, por ejemplo.

¿Cuáles serían por tanto unas buenas prácticas y por dónde empezamos?

IDENTIFICACIÓN, PROTECCIÓN Y DETECCIÓN

Es importante conocer las características internas y externas de la organización, para ello hay que conocer los activos de información que gestionamos, realizando un inventario, priorizando los recursos. Además de todo ello, es necesario nombrar a una persona como responsable de seguridad.

Desarrollar una Política de Ciberseguridad y mantener una formación y concienciación del equipo humano de forma periódica es imperativo. Pero en cuanto a contrataciones con terceros, debemos también exigir que se cumplan unos requerimientos mínimos de ciberseguridad.

Si mantenemos un inventario de las operaciones, flujo de datos y una monitorización de la red, nos será más fácil detectar a tiempo una brecha en la seguridad en la empresa.

RESPUESTA

Una buena práctica es la creación de un Plan de contingencia con los pasos a seguir guardado fuera de nuestra red local para poder acceder al mismo en caso de sufrir un ciberataque, el cual debe ser revisado de forma periódica. La realización de simulacros de ataques cibernéticos son un buen entrenamiento para reducir nuestro tiempo de respuesta ante un ciberataque. Si a ello le sumamos una correcta gestión de las copias de seguridad, nuestro margen de respuesta será mínimo.

RECUPERACIÓN

Un ataque cibernético puede haber dañado múltiples activos de nuestra compañía. Es por ello por lo que el Plan de Continuidad de Negocio es vital para recuperarnos. Pero también la imagen de marca de nuestra empresa puede haber resultado dañada, con lo que nuestro plan de comunicación entra en juego. Todo ello sin olvidar que en este momento tenemos que poner en marcha las mejoras para que no vuelva a suceder.

Si tenemos contratada una póliza de seguro de CIBER-RIESGOS ésta asesorará durante las acciones de recuperación de información, ayudará a la eliminación del malware, en la comunicación a la Agencia de Protección de Datos sobre el alcance de la brecha sufrida y las medidas tomadas, se hará cargo de las pérdidas económicas del siniestro y de la pérdida de beneficio causada por la paralización de la actividad, atenderá reclamaciones de terceros, sanciones de protección de datos, etc.