Pautas clave para diseñar tu proceso de gestión de ciberseguridad

Las personas inteligentes aprenden de su propia experiencia; las personas sabias de la experiencia de otras. Basarte en la recopilación de conocimiento propio y ajeno te permitirá desarrollar buenas prácticas que te ayuden a solventar los retos de ciberseguridad a los que hace frente tu organización.

Consigue gratis nuestra guía para proteger tu negocio

Los equipos TI valoran la gestión de la ciberseguridad como un proceso, y no sólo como un proyecto. Existen tipos de riesgos que necesariamente han de ponerse en conocimiento de la plantilla de la compañía, con el objetivo de mitigar, en la mayor medida posible, impactos maliciosos. Así, tomando como base la concienciación, es conveniente establecer procedimientos evolutivos que prioricen la seguridad.

Documéntate para convertir tu organización en una fortaleza inexpugnable

Es fundamental integrar la cultura de la ciberseguridad en cualquier tipo de negocio. Esta perspectiva se vuelve especialmente importante en el caso de la nueva fase evolutiva a la que hace frente la industria, en la que están apareciendo nuevas tecnologías habilitadoras con la digitalización del sector.

Es crucial que los equipos TI de las PYMEs conozcan las amenazas o diferentes vectores de ataque, tanto presentes como su tendencia evolutiva, a la hora de construir una fortaleza digital lo suficientemente robusta.

Las experiencias pasadas son vitales para el desarrollo de buenas prácticas. Diversas bases de datos online recopilan un histórico de ataques, junto con una breve descripción y actuación ante distintos tipos de amenazas. Es el caso de RISI Data, que cuenta con un breve recorrido sobre incidentes en el sector industrial actualizado hasta 2014. Además, gracias al Instituto Nacional de Ciberseguridad de España (INCIBE), puedes acceder a un mapa de impacto del cibercrimen en España y una base de datos en la que puedes consultar en castellano las últimas vulnerabilidades documentadas.

¿Cuál es el talón de Aquiles de tu organización?

Una consciencia plena de las posibles carencias o vulnerabilidades presentes dentro de la red informática de tu compañía, además de un control real o vigilancia sobre la seguridad de tus redes, dispositivos conectados, sistemas operativos o aplicativos software en equipos finales, serán los cimientos sobre los que deberás construir un sistema de gestión de ciberseguridad. Este proceso requiere una continuidad constante para que pueda ser una herramienta eficiente y útil.

La ciberseguridad es diferente en un entorno de red de área local y en un entorno de área extensa. En el caso específico de una PYME industrial, los elementos activos en una red Cloud son diferentes a los activos de una red de oficinas corporativas (IT), al igual que estos últimos son totalmente dispares a los activos que nos encontramos dentro una red informática dedicada a la fabricación (OT).

Prevención, control y reacción frente al cibercrimen

El equipo TI cuenta con soluciones de ciberseguridad para prevenir y responder rápido a cualquier incidente cibernético. Dispones de normativas y referencias, como NIST e IEC62443, entre otros. Además, existen los controles CIS, que componen una guía vital para evaluar y mejorar el estado de la ciberseguridad y realizar una correcta gestión de riesgos. Los controles son 20 en total y se reparten entre básicos, fundamentales y organizacionales.

Controles CIS básicos:

• Inventario y control de activos de hardware.
• Inventario y control de activos de software.
• Gestión continua de vulnerabilidades.
• Uso controlado de privilegios administrativos.
• Configuración segura para hardware y software en dispositivos móviles, computadoras portátiles, estaciones de trabajo y servidores.
• Mantenimiento, monitoreo y análisis de logs de auditoría.

Controles CIS fundamentales:

• Protección de correo electrónico y navegador web.
• Defensa contra malware.
• Limitación y control de puertos de red, protocolos y servicios.
• Capacidad de recuperación de datos.
• Configuración segura de los equipos de red, tales como cortafuegos, enrutadores y conmutadores.
• Defensa de borde.
• Protección de datos.
• Control de acceso basado en la necesidad de conocer protección de datos.
• Control de acceso inalámbrico.
• Monitoreo y control de cuentas.

Controles CIS organizacionales:

• Implantación de un programa de concienciación y entrenamiento de seguridad.
• Seguridad del software de aplicación.
• Respuesta y manejo de incidentes.
• Pruebas de penetración y ejercicios de equipo rojo.

Un gran porcentaje de ciberincidentes están motivados por errores humanos, casuales o intencionados. De hecho, las personas de la plantilla no concienciadas con la seguridad digital son el eslabón más débil de la ciberseguridad de una organización.

Es clave evitar incidentes mediante una formación eficaz y específica para todas aquellas personas que trabajen con datos sensibles en la organización. Esta cultura corporativa debe diseñarse y actualizarse anualmente, para conseguir una modificación de creencias o actitudes, que deben ser capaces de llegar al empleado mediante un aprendizaje evaluable.

Comienza ahora a desarrollar tu propio proceso de gestión de ciberseguridad. Descubre algunas de las herramientas clave con las que los equipos TI protegen sus organizaciones frente al cibercrimen en el e-book «10 funciones y herramientas fundamentales para proteger tu PYME».

Descarga el e-book ahora