Icon Registrate
Regístrate
Icon Perfil
Iniciar Sesión

¿Cómo debería ser la cultura de seguridad para evitar ciberataques?

¿Cómo debería ser la cultura de seguridad para evitar ciberataques?

Hoy, el cibercrimen es uno de los mayores riesgos para las empresas en donde sólo en 2019 más de 1.5 billones de intentos de ataques informáticos tuvo que enfrentar Chile.

New call-to-action

Hoy, en medio del aluvión tecnológico que vivimos en la nueva era digital, el cibercrimen cada día evoluciona tanto en cantidad como en sofisticación, sobre todo en tiempos donde se ha incrementado el teletrabajo y las empresas han tenido que adoptar una cultura de seguridad más adecuada a la realidad, puesto que estas medidas juegan un papel clave para evitar hackeos.

El hecho de que los trabajadores desarrollen sus labores desde casa o de forma remota, implica tener presente que los datos de la empresa pueden estar expuestos, ya que la mayoría se está conectando a una red diferente a la de sus oficinas y que pueden no tener las medidas necesarias para contrarrestar algún ciberataque.

En ese contexto, puede que tengas instalado en tu empresa un buen software de ciberseguridad y pienses que no debes preocuparte más que sólo asegurarte que esté actualizado y en funcionamiento. Sin embargo, aun cuando tu empresa cuente con el mejor antivirus o firewall, si tus empleados son descuidados o pichan enlaces que no deben, acabarás sufriendo uno de estos ataques.

Por tanto, para prevenir ataques habituales, como por ejemplo de phishing, siempre es importante implementar una cultura de seguridad que se extienda a todos los procesos y prácticas que lleven a cabo todos los empleados en los sistemas de información de la empresa.

Aprende a proteger tu empresa ante ciberataques
 

¿Cuáles son los aspectos que incluye la cultura de seguridad?

Según explican en un artículo del portal especializado Escuela Europea de Excelencia, la cultura de seguridad consta de los siguientes puntos:

  • Concientización de los trabajadores: la concientización es el punto principal. Hay que elaborar políticas que inciten a los empleados a realizar sus tareas correctamente y a no seguir malas prácticas. Se debe fomentar la comunicación y la cooperación entre la gente, dando a entender que es mejor informar de los fallos cometidos en vez de ocultarlos, pues un error detectado rápidamente puede ahorrar mucho tiempo y dinero a la empresa.
  • Implicación de la dirección: para fomentar una adecuada cultura de seguridad es necesaria la implicación de la dirección. Esta debe ser la que lidere y de ejemplo en cuestión de prevención y buenas prácticas, y debe ser ella la que se encargue de premiar los buenos comportamientos y amonestar las negligencias.
  • Formación: la mejor forma de conseguir que las actividades se lleven a cabo de forma correcta y de forma segura será la de dotar a los empleados de formación. Estos deben ser competentes, sentir que tienen responsabilidades y ser sensibilizados de las consecuencias que tienen sus actividades.
  • Control de las actividades: por último, hay que controlar las actividades para comprobar que se llevan a cabo de forma correcta. Esto es muy importante para tener una visión general de si las personas han entendido bien cómo deben llevar a cabo sus tareas, y ver si hay dificultades o se llevan a cabo malas prácticas.

Puesto que, adicional a lo anterior mencionado, lo primero es establecer normas y protocolos en materia de seguridad respecto al uso de:

  • Ordenadores
  • Correo electrónico
  • Bases de Datos
  • Dispositivos propios
  • Aplicaciones personales
  • Acceso remoto

En una investigación hecha en 2019, expuesto en Corporateit, a la plataforma Fortinet Threat Intelligence Insider Latin America, herramienta que recopila y analiza miles de incidentes de ciberseguridad a nivel global, señala que hubo un fuerte aumento en la actividad de malware, exploits y botnets a través de ataques como phishing.

Además, explican en el mismo artículo, que las amenazas variaron desde descargas no deseadas y troyanos que permitieron tomar control de dispositivos infectados hasta explotación de vulnerabilidades, donde muchas de estas amenazas también buscan propagar malware para robar información crítica. Por tanto, la educación y concientización de los usuarios se vuelve fundamental.

¿Cómo desarrollar la cultura de seguridad en tu empresa?

Sobre todo en un contexto en que la forma de trabajar ha ido cambiando hacia el teletrabajo u otras tendencias, y el acceso a los servidores de las empresas a través de dispositivos propios se ha convertido en un tema que atender dentro de la cultura de seguridad, te dejamos algunos pasos para crear una adecuada cultura de ciberseguridad, expuestos en el portal de La Nueva ISO. Revísalos:

  • Impartir cursos de formación
  • Concientizar a los trabajadores de por qué es importante seguir con los procedimientos y adoptar buenas prácticas.
  • Proporcionar el material adecuado: maquinaría, herramientas, procedimientos de trabajo, guías técnicas, entre otros.
  • Difundir los aspectos clave y comportamientos esperados por medio de posters, boletines, entre otros.
  • Premiar las buenas prácticas.
  • Dar ejemplo por parte de la dirección, jefes y coordinadores.
  • Controlar los procesos clave y buscar formas de minimizar dificultades, riesgos y puntos negros.
  • Fomentar la comunicación, participación y cooperación entre los empleados

Protocolos en la cultura de seguridad 

Basado en los procesos que se están implementando empresas para mejorar la cultura de seguridad, se recomiendan algunos consejos de seguridad. Cónocelos:

  • Habilitar el acceso remoto a la red a través de un canal seguro, sólo cuando sea necesario, por ejemplo, VPN.
  • Exigir doble factor de autenticación cuando sea posible.
  • Utilizar servicios remotos sólo por protocolos seguros (HTTPS).
  • Limitar los accesos remotos únicamente a los servicios permitidos y a zonas aisladas en la red.
  • Validar los controles en equipos remotos. Por ejemplo, antivirus, actualizaciones, configuraciones de seguridad, entre otros.
  • Validar las capacidades de borrado y bloqueo remoto en los equipos.
  • Asegurar que los equipos personales cuenten con cifrado de disco y validar los controles de prevención de fuga de información.
  • Realizar un backup de la información crítica.
  • Concientización. Por ejemplo, cómo detectar un phishing, correos maliciosos, entre otros.
  • Definir a los usuarios los protocolos para reportar cualquier situación anómala o sospechosa.
  • Incrementar los niveles de monitoreo de eventos de seguridad:

– Intentos de autenticación fallidos y luego exitosos.

– Acceso con un mismo usuario desde múltiples direcciones IP.

– Tráfico de red sospechoso.

– Conexiones desde ubicaciones anómalas. Por ejemplo, países inusuales.

  • – Evitar el uso de redes públicas o inseguras para la conexión

Por último, es sugerible monitorizar todos estos pasos con los debidos cambios en el comportamiento, así las organizaciones pueden minimizar considerablemente las oportunidades de sufrir un devastador ataque.

 

¿Tu empresa soportaría un ciberataque?
 

New call-to-action

Suscríbete a nuestro newsletter y no te pierdas nada

Te puede interesar