¿Sabes gestionar la ciberseguridad en tu empresa? ¡Que no te pille el toro!

Fecha de publicación 13/02/2020
Autor
INCIBE (INCIBE)
Imagen de acompañamiento

Para saber cómo mejorar en la mayoría de facetas de la vida es necesario conocer el punto de partida, y todo lo que afecta a la ciberseguridad de la empresa sigue el mismo patrón. Por eso, tenemos que comenzar por analizar cómo estamos. Después de conocer la situación actual de la organización se debe elaborar una hoja de ruta que establezca de forma clara a donde se dirige la empresa en materia de ciberseguridad. Finalmente para ver el progreso del plan utilizaremos puntos de comprobación. Te explicamos cómo hacerlo con algunas herramientas.

¿Cómo está actualmente la ciberseguridad de tu empresa?

Para conocer cómo está actualmente el nivel de ciberseguridad tu empresa desde INCIBE ponemos a tu disposición la herramienta de autodiagnóstico. Mediante esta herramienta en tan solo 5 minutos podrás saber los riesgos a los que se enfrenta tu organización.

Pregunta sobre las tecnologías utilizadas en la empresa.

A través de una serie de preguntas sobre los sistemas y metodologías utilizadas en la empresa, la herramienta te guiará en todo su recorrido hasta obtener el resultado final con un nivel de riesgo de la organización. Este resultado está dividido en tres puntuaciones para «personas, procesos y tecnologías». Para cada una de estas puntuaciones parciales podrás consultar informes con recomendaciones específicas para reducir los riesgos.

Marcar el camino a seguir en ciberseguridad

El siguiente paso será establecer el camino a seguir para mejorar la ciberseguridad de manera integral. Para ello, se debe elaborar un Plan Director de Seguridad. Este documento contendrá los proyectos que se abordarán tanto nivel técnico como legal y organizativo, con los que mejorar la ciberseguridad de manera integral. Utiliza las tres plantillas que encontrarás en la sección de recursos del enlace anterior.

Un Plan Director de Seguridad se puede dividir en las siguientes fases:

  1. Conocer la situación actual. Con la herramienta de autodiagnóstico habrás dado el primer paso. Te hará falta hacer un inventario de activos (plantilla). Si quieres profundizar más has de hacer un análisis de riesgos (plantilla). Con este análisis podrás hacer una gestión de riesgos. Te contamos cómo en este artículo: “Gestión de riesgos, una guía de aproximación para el empresario”.
  2. Alinearse con la estrategia de la organización teniendo en cuenta sus objetivos a medio y largo plazo, ya que estos marcarán en gran medida las siguientes etapas.
  3. Definir proyectos e iniciativas que permitan incrementar la ciberseguridad en base a los objetivos del negocio. Así, podremos dar pasos para alcanzar el nivel de ciberseguridad deseado.
  4. Clasificar y priorizar los proyectos e iniciativas (plantilla) anteriormente descritos. De esta forma, se podrán abordar los que más se adecúen a los objetivos estratégicos de la empresa.
  5. Aprobación por la dirección, etapa fundamental y sin la cual ningún Plan Director de Seguridad llegará a buen puerto.
  6. Implantación del plan. Para ello, es esencial asignar responsables, establecer hitos y revisarlo periódicamente, ya que las necesidades de la empresa es muy probable que cambien.

Es importante recordar que no es posible proteger todo frente a todo, es decir, no podemos proteger todos nuestros activos frente a todos los posibles incidentes. Tenemos que priorizar y seguir un enfoque incremental y de mejora continua para alcanzar los objetivos que convengan al negocio.

Enfoque incremental -> 2020 -> 2021 -> 2022 -> ...

Por ejemplo, este año la prioridad es asegurar ese servicio que nos da tanta rentabilidad, a él dedicaremos la mayor parte de nuestros esfuerzos. Cada año revisaremos nuestro plan, verificaremos su avance, lo readaptaremos a nuestras estrategias y elegiremos cuáles son los siguientes pasos para avanzar en nuestra protección.

(Identificar activos -> Prevenir -> Detectar incidentes -> Responder -> Recuperar) = Mejora continua

Checklist para las políticas de seguridad de tu empresa

Las políticas de seguridad tratan los aspectos y elementos esenciales con los que mejorar la ciberseguridad. Estas serán importantes si se quieren alcanzar los proyectos e iniciativas definidos en el Plan Director de Seguridad. Por ejemplo, si utilizamos un tipo de almacenamiento en la nube tendremos que incorporar las medidas indicadas en la política. Igualmente para el uso de móviles, wifi y otras redes, etc. Para cada política contiene una lista de chequeo de las acciones que deben seguir el empresario, el técnico o el resto de empleados, ya que no todos realizan las mismas tareas.

Checklist del plan director de seguridad

Además, para cada política también se pone a disposición de todos los usuarios un documento PDF con una descripción más detallada de los controles que se deben llevar a cabo para que la política sea lo más efectiva posible. En total, cuenta con 29 políticas distintas, por lo que las exigencias de tu organización siempre estarán cubiertas. Están agrupadas en políticas para el empresario, para personal técnico y para el empleado. Las primeras tratan aspectos organizativos, como la gestión de recursos humanos, las aplicaciones permitidas o la clasificación de la información. Las segundas se ocupan de aspectos más técnicos, como las auditorías de sistemas, el control de accesos o la respuesta a incidentes. Y las últimas, cubren aspectos que el empleado puede atender, como el uso del correo electrónico, la protección del puesto de trabajo, las contraseñas o el uso de dispositivos móviles corporativos.

Recuerda el dicho: «el camino más largo comienza en un solo paso». ¿Has analizado tus riesgos? ¿Has dado el primer paso?

Etiquetas