Inicio / Protege tu empresa / Blog / Los 7 hábitos de la ciberseguridad efectiva en la empresa

Los 7 hábitos de la ciberseguridad efectiva en la empresa

Publicado el 03/09/2013, por INCIBE
Efectividad

El popular libro de «Los 7 hábitos de la gente altamente efectiva» de Stephen R. Covey está ya en la memoria colectiva de muchos empresarios y emprendedores.  Los 7 hábitos pueden aplicarse en la empresa para hacer más efectiva la seguridad en un mundo interconectado.  ¿Cuáles son?:

  1. Ser proactivo, es decir, ser responsables de la propia ciberseguridad de nuestra empresa, tomar las decisiones conscientemente.

    En la empresa la proactividad tiene nombre de «análisis de riesgos». Abarca desde valorar los activos de información (qué tengo, cuánto vale), pasando por ser consciente de los riesgos a los que están sometidos, de las vulnerabilidades de los sistemas y de las personas, hasta elegir un nivel de riesgo aceptable para actuar en consecuencia. El análisis de riesgos nos da un «panel de control» de la seguridad de la empresa en el ciberespacio.

  2. Empezar con un fin en la mente o elegir la dirección y destino antes de ponerse a actuar. Nuestro panel de control, nos da las pistas de la orientación a seguir, indica que tenemos que actuar sobre los puntos débiles, aquellos que más pérdidas pueden provocarnos.

    Por ejemplo, hemos descubierto que nuestros empleados no toman las medidas básicas de protección del puesto de trabajo o que nuestros sistemas están desactualizados. Es urgente definir y poner en marcha acciones para contrarrestar estos defectos y evitar sus consecuencias: un plan de seguridad es una buena respuesta para afrontar el problema de forma global.

  3. Primero lo Primero: el tiempo es oro, centremos nuestros esfuerzos en lo más importante en primer lugar. El análisis de riesgos nos da también una idea de la magnitud de los riesgos a los que nos enfrentamos y de la trascendencia de cada uno para nuestro negocio.  Consideraremos estas prioridades como parte del plan, para secuenciar las acciones de la forma más efectiva.

    Es posible que si nuestros sistemas están desactualizados pronto nuestros equipos serán objeto de algún ataque o que sin querer formemos parte de una botnet. Quizá sea más urgente sensibilizar al personal o cumplir la LOPD, consultaremos el «panel de control».

  4. Pensar en ganar – ganar: en el ciberespacio, la seguridad es cosa de todos. Ofrece seguridad a tus clientes y exige el mismo trato de seguridad a tus proveedores; tiene ventajas para todos.

    Dicen las estadísticas que las empresas que invierten más en herramientas colaborativas y B2B también invierten más en seguridad, están mejor preparadas. Cada vez más nos vemos abocados a trabajar en Internet, tener negocios con otros negocios, tratar con la Administración, vender y comprar o contratar servicios on-line; estamos atrapados en la red, pero podemos sacarle provecho.

  5. Buscar primero entender, luego ser comprendido, es decir, primero investigar, observar qué protección necesitan nuestros clientes, qué formación demandan nuestros empleados, quién puede obtener beneficio de nuestra información, y escuchar los consejos del responsable de seguridad. Con esto, después podremos cuidar de los datos de nuestros clientes, ofrecer la sensibilización y formación adecuada a nuestros empleados, adecuar nuestra página web a la legislación vigente (LSSI-CE), solicitar servicios seguros de internet a nuestro proveedor, establecer acuerdos de nivel de servicio proporcionados. En definitiva, dirigir los recursos allí donde más efecto tienen.

  6. Sinergia es el hábito de la cooperación creativa, de la inteligencia colectiva. Para una ciberseguridad efectiva, tenemos que buscar la agrupación y la colaboración. Muchas empresas y consumidores demandando seguridad en el ciberespacio (privacidad de los datos, protección de los pagos on-line, etiquetado de servicios,...) harán posible una mejor y más eficiente autorregulación del mercado.

    Por otra parte denunciando con diligencia los ataques a las autoridades podemos poner freno rápidamente a la expansión de los mismos. Los centros de respuesta a incidentes de seguridad (más conocidos como CERT o CSIRT) y las Fuerzas y Cuerpos de Seguridad del Estado (FCSE) velan por la seguridad de todos y debemos reportar los incidentes para que su vigilancia sea efectiva, para que puedan localizar el origen de los ataques y desmontar toda actividad delictiva.

  7. Afilar la sierra, es el hábito de la optimización. La seguridad es un continuo pues las amenazas cambian, la tecnología avanza. Hacer un replanteamiento periódico del plan de seguridad, volver a enfocarlo, actualizar los objetivos de acuerdo con el estado actual de nuestro «panel de control» es un hábito que va a permitir que la ciberseguridad en la empresa alcance poco a poco mayores niveles de madurez.

    Este año actualizamos todo el software e implantamos una política de contraseñas y sensibilizamos a todo el personal, después habrá que dedicarse a la página web y finalmente pondremos en marcha un plan de contingencia. Sin prisa pero sin pausa, con método y sistemáticamente estaremos poco a poco mejor preparados para hacer negocios con confianza en el ciberespacio.

Ahí quedan estos 7 hábitos para reflexionar y poner en marcha. En su versión original los tres primeros hábitos están dirigidos a mejorar las aptitudes, los tres siguientes a fomentar la interdependencia y el último a la renovación continua. Como hemos visto, aptitudes, interdependencia y renovación continua, son también claves para la ciberseguridad en la empresa.