Durante los últimos años, se ha producido un proceso de digitalización de la sociedad sin precedentes, tanto a nivel laboral como personal. Todas las empresas estaban interesadas en obtener los últimos equipos para facilitar las tareas y aumentar su productividad, este proceso implicó consecuencias a nivel de seguridad, puesto que los nuevos requerimientos y necesidades de comunicación implicaban mayor exposición de la información. Se entendió que era necesario tomarse la seguridad muy en serio y aplicar políticas que permitiesen un uso seguro y responsable de la tecnología.
¿Qué es una política de ciberseguridad?
Se trata de un documento derivado de las regulaciones, estándares y guías de buenas prácticas, donde se recogen los planes, procedimientos y procesos que dictaminan cómo ha de proteger una compañía su información y sus activos. Lo que significa que está en constante cambio y ampliación a medida que la tecnología avanza, la compañía crece y se añaden las lecciones aprendidas en las respuestas dadas a incidentes recientes. Este documento tiene como objetivo principal preservar la confidencialidad e integridad de la información, así como la disponibilidad de los sistemas. Además se debería contemplar, la manera con la que los empleados de la compañía interactúan con las otras políticas de la empresa e informarles sobre sus responsabilidades, de cara a proteger los activos y la información propiedad de la compañía.
La política de ciberseguridad de la empresa suele ser un documento bastante genérico que se apoya en el resto de políticas, entre las que destacan:
- Clasificación y manejo de la información.
- Control de acceso.
- Seguridad física y ambiental.
- Uso adecuado de activos.
- Transferencia de información.
- Copias de respaldo.
- Protección ante software malicioso.
- Gestión de vulnerabilidades.
- Relaciones con proveedores.
- Gestión de incidentes de ciberseguridad.
- Plan de continuidad del negocio.
- Formación y concienciación en ciberseguridad.
- Seguridad de las operaciones.
¿Por qué debo disponer de una estrategia de ciberseguridad en mi industria?
Hay muchos aspectos que determinan la necesidad de disponer de una estrategia clara en ciberseguridad en una industria, ya que hay varios aspectos que las hacen cada vez más similares a las organizaciones TI tradicionales. Entre las más destacables se encuentran:
- La dependencia de las industrias a la infraestructura de red en sus procesos productivos. - El software malicioso como una amenaza de primer nivel. - Cualquier negocio puede ser atacado por estas vías. - La existencia de casos conocidos específicos para sistemas de control. - El cibercrimen se ha convertido en un gran negocio muy lucrativo, sobre todo a raíz del auge del esquema de negocio cybercrime-as-a-service. - El cibercrimen como servicio, facilitando actividades ilegales en la red mediante el provisionamiento de servicios. - El cibercrimen se ha convertido en un asunto de gran relevancia, más aún si tenemos en cuenta el peligro añadido que conlleva una disrupción en los sistemas pertenecientes a infraestructuras críticas.
Además de proteger una compañía contra las ciberamenazas y disponer de una política de seguridad, tiene, entre otros, estos beneficios:
- Contribuye a los fines de la compañía. Juega un papel muy importante en las decisiones de una compañía y la ayuda a conseguir sus objetivos. - Prevención: para un buen control de ciberseguridad. Por ejemplo, control de acceso, identificación y autenticación, seguridad de las comunicaciones, etc.
- Detección: identificar las desviaciones que se produzcan, violaciones o intentos de violación de la seguridad.
- Recuperación: una vez detectado un incidente de ciberseguridad, se aplicará esta medida para restaurar el funcionamiento normal. - Organización de la seguridad: en todas las empresas se realizan una infinidad de tareas muy diferentes, algunas relacionadas con la línea del negocio principal que se desarrolla y otras más enfocadas al mantenimiento, propiamente dicho, de la compañía y sus instalaciones. Por ello, es importante estructurar una red de personal responsable de la ciberseguridad en sus respectivos campos. Éstos deberían ser designados por los directores de cada departamento y serán los encargados de proveer a sus subordinados directrices claras sobre cómo llevar la ciberseguridad a su respectivo departamento. También serán las personas que responderán ante la dirección de la empresa en el caso de que su departamento sufra un incidente de ciberseguridad. Además, es muy importante que tanto los responsables, como la dirección muestren compromiso con las políticas de ciberseguridad establecidas, con el fin de dar ejemplo e incentivar a sus empleados a seguirlas.
Debe ser obligatorio en las empresas que manejan Sistemas de Control Industrial o designadas como infraestructuras críticas, donde mantener la disponibilidad de los sistemas es vital. En este plan se deben recoger y especificar los objetivos de recuperación en caso de disrupción del servicio, donde se incluya una evaluación detallada de cada elemento que compone el sistema productivo, con el fin de establecer un orden de recuperación del proceso. También se debe hacer un análisis del impacto y de las consecuencias asociadas a un incidente en cada sistema. Tal y como se ha comentado anteriormente, debe existir un equipo designado de ciberseguridad que asegure la continuidad del negocio, donde se debe asignar la prioridad a los sistemas SCI con el fin de reestablecer las operaciones.
La ciberseguridad debe ser un asunto prioritario para todas las industrias, sin importar el tipo de sector en el que operen. El costo de sufrir un ciberataque es cada vez mayor, ya que son cada vez más sofisticados y destructivos. Por ello, es necesario tomar medidas al respecto, y disponer de una estrategia de ciberseguridad clara, acorde con el negocio productivo y comprensible para poder ser aplicada a todo el sistema de control.
Si usted desea conocer más sobre cómo implementar una estrategia de #ciberseguridad para su negocio puede ingresar en https://www.satelite-ec.com/ y solicitar la asistencia de nuestro equipo de especialistas.
Comments