Medidas de ciberseguridad empresarial por contingencia
Tendencias30-07-2020
Ciberseguridad: el nuevo reto para los líderes empresariales
Más allá de lo que han sido las preocupaciones históricas de las empresas como las ventas, el mercadeo o la producción, llegó la ciberseguridad para convertirse en un tema en el que los ejecutivos de hoy tienen que pensar de aquí en adelante.
En la Internet los riesgos han aumentado y son riesgos, de acuerdo con el Foro Económico Mundial, de los más importantes que tiene la sociedad. La protección de los datos, garantizar la privacidad y adoptar políticas y modelos en ciberseguridad ya no es opcional.
Los ejecutivos tienen un nuevo panorama retador, que no solo implica aprovechar las oportunidades que hay con la transformación digital acelerada -que estamos viviendo por cuenta del aislamiento social-, sino que conlleva asumir y prevenir los riesgos y amenazas inherentes de esa tecnología que hoy soporta las dinámicas laborales y personales en el mundo.
Los ataques cibernéticos son cada vez más sofisticados, abundan las noticias falsas, y ante la situación sanitaria por la que pasamos, hay desconocimiento, incertidumbre y búsqueda de respuestas de las empresas y, por supuesto, de las personas, de lo que se valen y aprovechan los ciberdelincuentes.
Una reflexión que abordaron Mauricio Botero, vicepresidente de Servicios Administrativos y Seguridad del Grupo Bancolombia, y Ramsés Gallego, profesor de la maestría en ciberseguridad en el IE Business School y director internacional de Security, Risk and Governance de la compañía Micro Focus. Reviva su charla y descubra el rol de los líderes en este contexto y las medidas que pueden tomar.
¿Qué es lo primero que se debe considerar para proteger la información en las compañías?
Cualquiera sea el sector productivo al que pertenezca la industria, hay que proteger y defender la información, los datos. ¿Cómo hacerlo? Para iniciar todo proceso de ciberseguridad deben formularse y responderse estas cinco preguntas básicas: quién tiene acceso a qué, dónde (tanto origen como destino) y cuándo.
Hacerse esas preguntas correctas, en el momento correcto y a las personas correctas es el punto de partida. Y tener el control y visibilidad inequívoca de qué pasa por las redes de la empresa, desde los diferentes vectores de entrada y salida, permitirá lograr el objetivo de la seguridad informática.
¿Qué deben conocer los ejecutivos para garantizar la ciberseguridad en las empresas?
Los líderes deben conocer tres cosas, fundamentalmente: el entorno, las amenazas y cuáles son esos controles que tienen para proteger su compañía, a nivel corporativo y personal.
- En el entorno, deben tener claro cuál es la información valiosa para proteger, saber dónde está, quién tiene acceso a ella y cómo accede, para poder definir cómo protegerla. Un entorno empresarial estará compuesto por clientes, empleados, proveedores, aplicaciones, hardware, redes y la información misma.
No se puede proteger lo que no se conoce y no se puede mejorar lo que no se controla. Por eso, hay que saber cuánto vale esa información que se quiere proteger. Por ejemplo, saber qué valor tienen los datos de los clientes o en cuánto está valorada la base de datos de la cadena de suministro. Esto permitirá definir cómo se protege, pues ya se sabe cuál es el riesgo asumible por la empresa si esa información es víctima de hurto, pérdida o suplantación.
- En cuanto a las amenazas hay de diferentes tipos y entre las más frecuentes están: phishing, smishing, ataques en las nubes, ataques a equipos y dispositivos móviles, malware y ransomware.
- Asimismo, el líder debe conocer qué controles usar. Hay controles muy específicos para proteger la identidad, los dispositivos, las redes, las aplicaciones y los datos. Un segundo factor de autenticación sirve, por ejemplo, para el tema de la identidad; los antivirus protegen los dispositivos; el firewall está diseñado para defender las redes y las políticas de respaldo de la información ayudan en cuanto a aplicaciones y protección de datos, entre muchos otros controles que hay en el mercado.
Hay que aclarar que, si bien el ejecutivo de hoy probablemente no se encargue directamente de la gestión de estos controles de ciberseguridad, sí debe saber cuál es su entorno, cuáles son las amenazas y cuáles son los controles que tiene y cómo están funcionando actualmente.
Tal vez le interese leer:
Control Dual: un esquema de seguridad para que las transacciones de su empresa tengan un doble factor de autenticación con 2 usuarios y token diferentes, para quien las prepare y apruebe.
Conocer más
¿Cuáles son los pasos para crear una estrategia de ciberseguridad empresarial efectiva?
- Definir el apetito de riesgo de la empresa y con base en ello crear la estrategia de ciberseguridad y retroalimentarla.
- Precisar los focos de trabajo de esa estrategia, la aspiración que se tiene y los temas transversales.
- Elegir el modelo de seguridad o frameworks de ciberseguridad que sirva como referencia para ser utilizado según la estrategia definida.
- Poner a las personas en el centro de la estrategia. Hay que cuidar su información (la de los clientes, proveedores, empleados…) y, además, son quienes materializan la estrategia. Las personas son finalmente quienes dan el clic al correo sospechoso o lo eliminan.
- Garantizar una visibilidad transversal todo el tiempo. La inteligencia y el monitoreo continuo se vuelven factores fundamentales en todo este proceso de protección.
- Saber priorizar las inversiones en ciberseguridad de acuerdo con el diagnóstico actual de la empresa.
¿Qué debe incluir el plan de inversiones de ciberseguridad?
Este panorama retador para los líderes empresariales implica también que, de ahora en adelante, deberán considerar en los presupuestos de las compañías un plan de inversiones en ciberseguridad, que probablemente crezca a una tasa superior a la que crecen otras líneas de inversión, ¿por qué? Porque cada día hay más amenazas y ataques cibernéticos y prepararse para enfrentarlos requiere de inversiones significativas.
Ese plan de inversiones debe ser definido desde dos frentes para que sea eficiente:
- Para atender lo inmediato: hay riesgos que no dan espera y vulnerabilidades que deben ser resueltas cuanto antes porque pueden ser aprovechadas por los ciberdelincuentes. Aquí debe priorizarse en función del riesgo.
- Para avanzar en el futuro: estas serán las inversiones que permitirán que a mediano y largo plazo la empresa cuente con un modelo sólido en ciberseguridad, con mejoramientos estructurales y donde se encuentran todas las iniciativas de transformación para llegar a esa aspiración que tiene la estrategia
¿Cómo saber que la ciberseguridad empresarial está siendo efectiva?
La única forma de saber si se está haciendo bien la tarea en ciberseguridad es probando continuamente a la empresa a través de equipos internos y con ayuda de terceros. Hay que hacer escaneos de vulnerabilidades y realizar hackeos éticos. Una vez se conocen las vulnerabilidades, hay que priorizarlas e iniciar nuevamente el recorrido de amenazas, de riesgos, de foco, de plan de inversiones y volver a probar. Es un círculo virtuoso.
Le recomendamos leer:
El eslabón suelto de la ciberseguridad: el empleado
¿Cuáles son las nuevas amenazas que están surgiendo en este entorno producto de la transformación digital acelerada de los meses recientes?
- Cryptojacking. Básicamente es cifrar el disco del computador o dispositivo mientras se navega en él para hacer minería de criptodivisas y criptomonedas como bitcoin. La máquina se vuelve extremadamente lenta porque alguien está utilizando el 95% de su poder computacional.
- Formjacking. Es un tipo de ataque que usa un formulario de los que se suelen diligenciar para hacer las compras por internet. Este es un ataque que se llama “the man in the middle”, es decir “un alguien en el medio”, y consiste en impersonarse como el comercio, impersonarse en el tráfico para robar el dinero y los datos de la tarjeta de crédito. Este es un ataque que afecta a 4.800 empresas cada mes.
- Business Email Compromise. Como su nombre indica es comprometer el correo corporativo, impersonarse como el director financiero o la responsable de compras con un sentido de urgencia, con un sentido de “ahora mismo”, “hazlo ya o no cerramos ese negocio”, “envíame esta transferencia o no podemos pagar las nóminas de este mes”. Y si alguien se dirige al departamento de contabilidad o financiero y el requerimiento parece ser pedido por el director general o la responsable de finanzas, muchos pueden caer.
La ciberseguridad no es solo un tema de tecnología, las personas son su centro. ¿Qué personas? Todas las implicadas. La ciberseguridad no es un problema de las áreas de seguridad informática o de las áreas de tecnología, es un asunto de toda la organización, de todo su ecosistema de empleados, clientes, proveedores, y demás participantes del entorno de negocios.
¿Te pareció útil este contenido?
Continúe leyendo
03-07-2019Tendencias
[Webinar] Gestión del talento humano en tiempos difíciles
El mercado y la sociedad han cambiado drásticamente con la llegada de la pandemia, y por ende las compañías también deben hacerlo y a gran velocidad. También es cierto que la gestión del talento es una parte fundamental de todo negocio y lo que se transforme en este ámbito influye en la toma de decisiones de las organizaciones. Por eso, invitamos a expertos en la materia para que nos ayudaran a comprender cómo debería ser la gestión del talento humano en esta nueva normalidad.
16-06-2020Tendencias
Estrategias de redes sociales: paradigmas, el rol de los líderes y cómo medir el éxito
La redes sociales pueden ser parte efectiva de un plan de mercadeo y es una herramienta fundamental para alcanzar los objetivos de los negocios. En este punto el rol de los líderes es el de ser flexibles y curiosos para explorar los nuevos formatos y encontrar aprendizajes valiosos para el equipo.
17-05-2017Tendencias
¿Qué tan protegida está la información de su empresa?, un experto de la Interpol nos habla de ciberseguridad
De los 47 millones de habitantes que tiene nuestro país, aproximadamente unos 25 millones tienen hoy acceso a internet. De ahí, la importancia de que en Colombia las diferentes industrias tengan la figura de “Oficial de Seguridad”, que permitan que las empresas desarrollen sistemas de seguridad acordes a sus diferentes nichos de mercado, para que la seguridad esté armonizada con las necesidades de los clientes y con expectativas que tienen los diferentes negocios.
Suscríbase a nuestro boletín
Capital Inteligente
- Para conocer
el acontecer económico. - Para tomar mejores
decisiones de inversión. - Para compartir
información de valor.
Lo más reciente
26-11-2024
/CapitalInteligente/Categoria Capital Inteligente/Especiales
Especial infraestructura 2024: retos, tendencias de inversión y oportunidades hacia 2030
26-11-2024
/CapitalInteligente/Categoria Capital Inteligente/Actualidad economica y sectorial
Análisis y gestión de riesgos de mercado en los proyectos de infraestructura vial en Colombia
20-11-2024
/CapitalInteligente/Categoria Capital Inteligente/Actualidad economica y sectorial