Top 5 consejos para que reconsideres tu estrategia de ciberseguridad
Febrero de 2023
Según Growth Intelligence, durante el primer confinamiento, en Reino Unido se pusieron en marcha cerca de 85 000 negocios en Internet, una cifra asombrosa. Algunos de estos emprendedores trataban de buscar nuevas vías para obtener ingresos o ampliar las que ya tenían en vista de las innumerables bajas que la situación sanitaria estaba causando. Para otros, la pandemia supuso una oportunidad para iniciar una nueva carrera profesional o lanzar un nuevo producto o servicio destinado al público remoto.
Muchos de estos eran pequeños negocios que posiblemente nunca habían vendido sus productos a través de Internet, o desde luego no en grandes cantidades. Al escalar, estas empresas ampliaron sus superficies de ataque, seguramente sin saberlo, volviéndose más vulnerables a ciberataques. Mientras que para las grandes empresas un incidente de ciberseguridad se traduce en un daño a su reputación, para un negocio pequeño una violación de datos puede suponer una sentencia de muerte. La razón es que estas pequeñas empresas no suelen disponer de los medios económicos necesarios para afrontar la interrupción de su actividad. Así lo demostró un estudio reciente, que determinó que cerca de un cuarto de las empresas medianas y pequeñas de Reino Unido quebrarían si tuvieran que hacer frente al coste de un ciberataque promedio.
Entonces, ¿cómo de expuestos se encuentran los pequeños negocios? Está demostrado que el 43% de todas las violaciones de datos están dirigidas a las pymes. Estas empresas suelen dedicar tiempo durante el año a revisar sus gastos. Durante este proceso, también deberían incluir una revisión de los protocolos de seguridad y de la gestión de riesgos informáticos. Las empresas tienen que considerar la inversión que han realizado y asegurarse de que mitigan todos sus riesgos para lograr más seguridad y tranquilidad. En la actualidad, la gestión del riesgo informático es un campo muy maduro y existen numerosas guías y normativas como la ISO 31000, el modelo de las Cinco Fuerzas de Porter o la Matriz de Ansoff. Estas herramientas permiten a las empresas evaluar el riesgo de una inversión y, además, les proporcionan un marco para que anticipen y aborden cambios que se puedan producir en su actividad de negocio. La inversión en un proyecto equivocado puede afectar negativamente a un negocio. En cambio, una planificación adecuada permite la recuperación (casi) segura de las empresas.
Aquellas empresas que no inviertan en seguridad informática y no logren comprender la gestión de riesgos no podrán permitirse cometer ningún error. Sin embargo, la complejidad de los entornos empresariales modernos hace que sea imposible no cometerlos. Por lo tanto, es imprescindible que los negocios que surgen de la pandemia, tanto nuevos como existentes, implementen nuevas políticas laborales y dediquen tiempo a considerar si su planificación empresarial es la adecuada. También sería conveniente que se preguntasen si tienen un plan de continuidad establecido.
A continuación, te presentamos los 5 consejos que harán que la implementación de la estrategia de riesgos de seguridad informática en tu empresa sea todo un éxito. Además, estas ideas te permitirán liberarte de cualquier preocupación asociada a estos cambios.
1. Comprender la gestión informática
Lo principal tiene que ser el aumento de la concienciación sobre la exposición cibernética. Para que una empresa continúe su actividad de negocio, es esencial que esta averigüe dónde están los riesgos, aunque esto sea todo un reto. Por suerte, las organizaciones sectoriales y nacionales proporcionan normativas que ayudan a esclarecer las obligaciones de las empresas y protegen sus actividades. Algunas de las regulaciones más conocidas son la ISO 27001, la IEC 62443 y el marco de ciberseguridad del NIST.
2. Reducir la superficie de ataque de tu infraestructura informática
La protección y control de las cuentas privilegiadas también debería ser una de las prioridades en tu lista de riesgos informáticos. Estas cuentas constituyen un objetivo perfecto para aquellos con intenciones malignas, ya que con una única cuenta, un atacante puede conseguir extraer, manipular o cifrar datos críticos, o incluso infiltrarse mucho más adentro de tu infraestructura y operaciones. Si logras entender los riesgos, podrás desplegar herramientas adecuadas para proteger tus cuentas privilegiadas.
3. Pensar en tu estrategia de acceso remoto
Los empleados que trabajan a distancia o aquellos que se dedican al mantenimiento de tu infraestructura crítica o que la gestionan pueden llegar a exponerla a una gran cantidad de nuevos riesgos. Aunque los usuarios remotos que se conectan a tus activos informáticos desde fuera de la red corporativa dispongan de privilegios elevados para operar en los sistemas críticos, puede que no siempre se beneficien de una protección perimetral. Como estos empleados no se pueden ver físicamente, es imposible garantizar su identidad, es decir, estos pueden conectarse desde endpoints no controlados o vulnerables. Por ello es por lo que la identificación de estos peligros es una parte imprescindible de toda estrategia de riesgos de seguridad.
4. Aplicar el Principio del Menor Privilegio
Una manera eficaz de asegurarse de que un usuario con privilegios no puede dañar una infraestructura es simplemente eliminando sus privilegios. Sin embargo, lo más seguro es que, si estos usuarios se encuentran con que de repente no tienen acceso a determinados recursos que necesitan para realizar su trabajo, su productividad se vea afectada. Al implementar una política que incluya el Principio del Menor Privilegio, como por ejemplo una solución de privilegios de los endpoints, conseguirás restringir los privilegios de acceso al mínimo y facilitarás el rendimiento de tus trabajadores. La clave es proporcionar el privilegio correcto al usuario adecuado durante el periodo de tiempo necesario y por la razón apropiada.
5. No confiar en nadie
Aunque en un principio pueda sonar un poco duro, no deberías confiar ni en tus usuarios privilegiados de confianza. Te estarísa equivocando al pensar que los usuarios internos son mucho más fiables, técnicamente hablando, que los usuarios externos. Recuerda: todos los humanos son imperfectos e incluso aquellos empleados con privilegios elevados pueden cometer errores y ejecutar el comando incorrecto en el sistema crítico equivocado. Los empleados también son susceptibles de sofisticados fraudes y pueden caer en complejos intentos de phising. Y por supuesto, no olvides que, por desgracia, la venganza de los empleados también existe.
Si le plantas cara a los riesgos, ¡puedes vencerlos!
Los negocios, por naturaleza, son sinónimo de riesgo. Desde optimizar la producción a seleccionar el mejor equipo o definir los presupuestos, tener un negocio implica tomar decisiones bien informadas y calculadas para tener éxito y minimizar las pérdidas. La gestión del riesgo informático es parecida: cuando se implementan protecciones planeadas y adecuadas, las empresas prosperan.
La vulnerabilidad de las empresas frente a los ciberataques, junto con las desastrosas consecuencias que dichos incidentes pueden provocar, hacen que tener una estrategia de gestión de riesgos sea fundamental. De hecho, cuanto antes, mejor.
Uno de los componentes esenciales de esta gestión es la protección de los usuarios privilegiados, sobre todo de los accesos privilegiados. La implementación de medidas adecuadas reduce considerablemente el riesgo de que las empresas vean sus infraestructuras comprometidas.
Adelántate a los acontecimientos y comienza desde hoy a planear tu estrategia y presupuesto e implemente una política bien planificada para proteger a tu empresa. Te saldrá rentable.