La avanzada digitalización que vivimos ha obligado a las empresas a desarrollar sus políticas de ciberseguridad como método de defensa ante las nuevas formas de delincuencia informática existente.

De igual forma, la vulnerabilidad de las empresas se ha visto afectada, ya que según nuestro partner Microsoft el robo de datos aumentó en un 74% en 2022. Dato clave, si consideramos que, como detalla nuestro aliado, una empresa promedio cuenta con cerca de 3.500 dispositivos conectados y sin una protección básica.

La información es única y, por tanto, es el gran diferenciador y lo más preciado para cualquier empresa. Por ende, el mayor error recae en la ausencia de políticas, y en pensar que la ciberseguridad es responsabilidad exclusiva del Departamento de Tecnología.

La importancia de las políticas de ciberseguridad

Considerando los datos entregados anteriormente, es importante que las empresas desarrollen de forma correcta las políticas de ciberseguridad, y el primer paso para implementarla es educar a tu equipo. 

Las políticas de ciberseguridad deben ser abordadas desde un nivel legal, técnico y educacional, con consideraciones de capacitación, lo cual se puede dividir en tres etapas:

1. Creación de una matriz de riesgo: se deben realizar entrevistas a los trabajadores, para conocer sus quehaceres y los riesgos en el flujo de información de sus áreas. En ese momento se produce un primer acercamiento hacia la concientización sobre el tema de seguridad digital y la importancia que tiene su ejecución para la compañía.
2. Implementación de la política: es la segunda fase, cuando se comunica a todos los miembros de la organización, diferenciada de acuerdo a los departamentos y niveles corporativos, las obligaciones que tienen con respecto a la ciberseguridad. Asimismo, es necesario capacitar, con énfasis en los riesgos y las medidas adecuadas para cada área. Además, estos entrenamientos deben ser periódicos, ya que siempre existe rotación del personal y cambios en los procesos.
3. Controles habituales y auditorías de ciberseguridad: finalmente, se debe revisar la política para reafirmar su importancia. En este caso, se puede efectuar un control que supervise los departamentos, chequeando si se llevan a cabo los protocolos acordados. Por otro lado, es posible hacer una auditoría que someta el sistema a un estrés, y ver cómo reacciona. 

En ese sentido, hay que entender que las políticas de ciberseguridad se engloban en dos grupos: las políticas de ciberseguridad orientadas a la cultura de la empresa y las políticas de ciberseguridad orientadas a procesos.

Te invitamos a conocer más sobre la ciberseguridad para empresas con nuestro podcast.

Las políticas de ciberseguridad culturales 

Orientadas en los principales protagonistas de la seguridad: los empleados. Ellos son quienes finalmente gestionan y utilizan los dispositivos que poseen la información sensible. Por eso, es fundamental entregar políticas para proteger esta data y tomar medidas con los colaboradores que la manipulen.

En esa línea, hay ciertas claves para implementar estas políticas de ciberseguridad:

• Establecer protocolos para la modificación periódica de contraseñas: una medida básica pero fundamental. Los equipos informáticos deben configurarse para que periódicamente los empleados tengan que cambiar sus contraseñas, siguiendo los criterios de seguridad pertinentes (introducir mayúsculas, símbolos y números, entre otros).
• Implementar un plan de formación: la formación informática es esencial para concienciar de los peligros que implica un ciberataque. La principal desventaja es que muchos empleados ven los protocolos de seguridad informática como una pérdida de tiempo. Por eso es muy importante conseguir que tengan una percepción del riesgo real y establecer hábitos de ciberseguridad que formen parte de la rutina de la empresa. Algunas acciones para conseguirlo son las sesiones formativas, tanto de carácter genérico como más específico, en las que se informe sobre los principales tipos de ciberataque y se den pautas para actuar ante los mismos.
• Designar un responsable de ciberseguridad: sus funciones principales serán diseñar la estrategia de cultura de ciberseguridad en la empresa, determinar las directrices para implantarla, y supervisar su cumplimiento y vigencia.

Las políticas de ciberseguridad orientadas a los procesos

Estas políticas de seguridad se refieren al conjunto de sistemas, softwares y procedimientos informáticos que sirven para protegerse de los ciberataques. Como hemos visto, su correcto uso dependerá en gran parte de haber instaurado previamente una política de ciberseguridad cultural en la empresa.  Algunos de los principales activos que integran las políticas de seguridad informática son:

• Firewalls: este sistema impone políticas y reglas informáticas entre la red privada y el internet, determinando a qué servicios pueden acceder los usuarios tanto internos como externos. Todo el tráfico de la información debe pasar por el firewall y ser inspeccionada. Las políticas de seguridad establecidas entregan normas de acceso remoto o local, a los recursos de la red, reglas de encriptación, normas de protección de virus y entrenamiento.
• Herramientas EDR: son soluciones de ciberseguridad que ayudan a la organización a combatir amenazas informáticas. Funcionan en distintas áreas de la seguridad mejorando la efectividad de los sistemas de alerta temprana y la respuesta a posibles ataques de cada uno de los endpoints, o equipos finales. A modo de ejemplo, si un equipo sufre un intento de instalación de un malware desde un archivo adjunto, este se bloquea para el resto de los equipos de la empresa.

Ahora bien, las buenas prácticas en las políticas de ciberseguridad orientadas a procesos tienen que ver con considerar personas con conocimientos, tecnologías adecuadas y procesos para obtener la máxima capacidad de la tecnología elegida entregando protección a los procesos alineados con los objetivos del negocio. Además:

• Crear una política de bloqueo explícita que niegue todo el tráfico por defecto.
• Habilitar el registro de eventos (logs) en esta política para controlar lo que se le niega el tráfico. Esto es fundamental al momento de investigar o analizar algún evento anómalo.
• Asegurarse de que el período de retención de los registros de eventos es el tiempo suficiente para apoyar las regulaciones locales. Si es necesario, hay que pensar en reenviar los registros a un sistema externo (concentrador de logs).
• Para un enfoque más avanzado, conviene permitir la inteligencia artificial y otras capacidades de aprendizaje automático en los registros para encontrar anomalías.
• Realizar auditorías periódicas de las políticas para revisar la efectividad de estas. Una regla mal configurada o no mejorada podría minar todas las acciones tomadas para ayudar a defender la empresa.
• Mantener un enfoque “nunca confíes, siempre verifica”. Cuestionar siempre si todos los servidores necesitan tener acceso a internet.
• Generar políticas temporales para limitar el acceso a terceras partes, solo darles acceso a los hosts que necesiten acceder.

A todo esto, siempre hay que complementar con tecnología que permita revisar las aplicaciones o que brinden seguridad de next generation o NG, como puede ser obtener protección para un ataque de DoS hasta un análisis de malware de día cero más complejo; identificar al usuario en lugar de su dirección IP aumentando la responsabilidad; o diferenciar las políticas según la necesidad de acceso (por roles y funciones).