Francis Parra
Escrito por Francis Parra el 16 febrero, 2021

¿Cómo elaborar un plan de ciberseguridad para mi empresa?

Sucede con mucha frecuencia que las empresas esperan la ocurrencia y materialización de algún ciberataque o incidente de seguridad para empezar a pensar en cómo mitigar este tipo de riesgos y darse cuenta de las implicaciones que tiene un ciberataque para su empresa. Principalmente las pequeñas y medianas empresas, Pymes, normalmente piensan que nadie los va a atacar, que ¿Quién va a querer robarles información?, incluso que su información no es tan valiosa o importante. 

Sin embargo, fíjate que en las Tendencias del Cibercrimen en Colombia entre el 2019 y el 2020 indica que el 60% de las pequeñas y medianas empresas, no pueden sostener sus negocios más de seis meses luego de sufrir un ciberataque importante. Y esto se traduce no sólo en pérdidas económicas, también afecta la productividad de la empresa, genera pérdida de confianza, credibilidad y mala reputación por parte de los clientes e incluso implicaciones de carácter legal por fuga de información confidencial y data sensible.

Entonces, es de suma importancia contar con una estrategia o plan de ciberseguridad robusto que te ayude a proteger tu empresa, a reducir los riesgos a los que está expuesta y, además, es una inversión clave para la transformación digital de tu negocio.  

Ahora, te preguntarás ¿Por dónde empezar? Sigue leyendo que te va a interesar…

¿Qué es y por qué elaborar un plan de ciberseguridad?

La ciberseguridad, es hoy en día uno de los elementos fundamentales integrados en los modelos de negocio dentro de las empresas, independientemente de su tamaño y sector.

Un Plan de ciberseguridad es una estrategia que vas a elaborar e implementar en tu empresa para asegurar tu información, para controlar quién, cuándo y cómo accede a ella, y cómo enfrentarse ante cualquier situación que pueda poner en riesgo su confidencialidad, integridad y disponibilidad; a través de un conjunto de políticas, reglas, métodos y tecnología orientados a proteger tus sistemas tecnológicos que almacenan dicha información.

Uno de los mayores retos es saber en qué debes invertir y qué es esencial para tener una empresa segura, es por ello que un Plan de Ciberseguridad será de gran ayuda ya que te dará una visión de la situación actual de tu empresa en materia de ciberseguridad y podrás establecer una meta clara a la que llegar.

Para ayudarte a poner en marcha los procesos internos con los que implementar y/o mejorar tu estrategia de ciberseguridad, te he preparado una serie de recomendaciones que se ajusten a la medida de tu empresa.

Análisis de tu situación actual

Entender e identificar tu posición como empresa en materia de ciberseguridad es el primer paso para iniciar con el plan. Una muy buena práctica es realizar un análisis de riesgos, de esta manera podrás identificar que tan vulnerable se encuentra tu empresa y cuáles son los riesgos a los que te puedes enfrentar. También puedes pedirle a tu actual proveedor que te genere un informe en donde puedas observar y analizar qué aplicaciones, tráfico de URL, tipos de contenido y amenazas conocidas y desconocidas están atravesando actualmente tu red, destacando específicamente dónde existen riesgos potenciales. Este informe debe tomar no más de una semana y es una buena manera de comenzar un análisis de riesgos.

Con el resultado del análisis de riesgos puedes darle un foco a tu plan de acción, priorizando los riesgos que hayas identificado con más alta probabilidad de materializarse y definir algunas actividades para comenzar a trabajar.

Algunas interrogantes que debes tener claras al momento de realizar tu análisis de riesgos son las siguientes:

      • ¿Qué procesos pueden ser más críticos y cuáles son tus activos más valiosos?
      • En caso de incidente o ataque, ¿con cuántos procesos puedes contar para seguir trabajando?
      • ¿Qué datos maneja tu empresa y cuáles están en circulación?
      • ¿Cómo se transmiten tus datos de origen a fin?
      • ¿Dónde se están almacenando los datos?
      • ¿Dónde están los accesos no controlados a tu red?
      • ¿Cuál es la importancia de los datos para la empresa o para tus clientes?
      • ¿Quién maneja la información más sensible de la empresa?

Para esta fase puedes apoyarte con auditores internos o externos que te ayuden a identificar cualquier posible amenaza y establecer un plan de acción.

Detección y Respuesta frente a ataques cibernéticos

Evaluar la conformación de un Equipo de Respuesta a Incidentes - ERI, CSIRT, SOC, o MDR de acuerdo con tus necesidades, estrategia de negocio y presupuesto, te ayudará a garantizar la detección y respuesta de amenazas 7x24x365 y el manejo de incidentes de ciberseguridad en tus servicios de nube, correos electrónicos, endpoints, redes, servidores, estaciones de trabajo, etc.

Esto es fundamental para tener el control de los eventos y alertas de seguridad en tu empresa y la certeza de tener un equipo enfocado las 24 horas del día en este tema. Tener unas directrices claras y lineamientos a seguir te permitirá estar preparado y responder de manera rápida, oportuna y eficiente ante un ataque. 

Puedes marcar la diferencia entre contener un incidente, sufrir un daño menor o perder dinero, datos sensibles y clientes. Te invito a revisar este artículo donde explico cómo elaborar un plan de respuesta a incidentes de ciberseguridad.

Puedes incluir en tu plan, actividades de inteligencia y cacería de amenazas, basadas en los ataques que actualmente están sucediendo en el ciberespacio a nivel global, de esta manera podrás identificar si existe algún compromiso en tu red y actuar de manera proactiva.

Políticas y cultura de ciberseguridad en la empresa

Normalmente la ciberseguridad en las empresas es llevada por las áreas de TI y en el mejor de los casos ya existen áreas creadas específicamente para llevar estos temas, pero un error muy común es pensar que la ciberseguridad es responsabilidad únicamente de estas áreas. Si, proteger la información de tu empresa es responsabilidad especialmente de los stakeholders, pero es tarea también de cada colaborador.

Puedes crear políticas de ciberseguridad para reforzar los siguientes ámbitos:

      • Uso de contraseñas robustas y renovación de las mismas periódicamente.
      • Gestionar los niveles de privilegios de los usuarios.
      • Uso de dispositivos móviles (BYOD).
      • Navegación segura en la red.
      • Almacenamiento correcto de datos.
      • Control de accesos.
      • Actualizaciones de S.O. y parches de seguridad.
      • Uso del correo electrónico.
      • Pentesting.
      • Análisis de vulnerabilidades.
      • Capacitaciones en materia de ciberseguridad, etc.

Sin embargo, es muy importante dar el ejemplo y toda política de ciberseguridad que quieras implementar debe empezar por ti como líder y directivo de la empresa. Eres el primero que debe concientizar y educar a los colaboradores para impulsar una cultura de ciberseguridad.

SGSI: Sistema de Gestión de Seguridad de la Información

La implantación de un SGSI, es una decisión estratégica para tu empresa. La información es un valioso activo del que depende el buen funcionamiento de una organización, y mantener su integridad, confidencialidad y disponibilidad es esencial para alcanzar los objetivos de negocio.

Puedes evaluar, dependiendo del sector al que se disponga tu empresa, si es factible la implementación de un Sistema de Gestión de Seguridad de la Información, basado en la norma UNE-ISO/IEC 27001. Esta es una herramienta o metodología sencilla y de bajo coste que cualquier PYME puede utilizar. La norma te permite establecer políticas, procedimientos y controles con el objeto de disminuir los riesgos de tu empresa.

Algunos de los beneficios de los SGSI, son los siguientes:

      • Reducir las amenazas hasta alcanzar un nivel de riesgo asumible por la organización. De manera que, si ocurre un incidente, los daños se minimizan y se asegura la continuidad del negocio.
      • Ahorro de costos, al eliminar las inversiones innecesarias e ineficientes como las producidas por desestimar o sobrestimar riesgos.
      • La seguridad deja de ser un conjunto de actividades más o menos organizadas y pasa a transformarse en un ciclo de vida metódico y controlado, en el que participa toda la organización.
      • La empresa se asegura del cumplimiento del marco legal que protege a la empresa de aspectos que probablemente no se habían tenido en cuenta anteriormente.
      • La certificación del Sistema de Gestión de Seguridad de la Información contribuye a mejorar la competitividad en el mercado, diferenciando a las empresas que lo han conseguido y haciéndolas más fiables e incrementando su prestigio.
    •  
    •  

Espero haberte dado mayor claridad para iniciar con el Plan de Ciberseguridad de tu empresa, y recuerda que, mientras más rápido empieces a trabajar en el plan, menor riesgo tendrá tu empresa de ser víctima de los ciberatacantes y todas sus repercusiones.

Nueva llamada a la acción

 

Escrito por Francis Parra 16 febrero, 2021
Francis Parra