Los emprendedores y las PYMES en su lucha diaria por sacar adelante su negocio no deben olvidarse de la importancia de mantener los niveles de seguridad cibernética de sus negocios.
Aunque el líder de cualquier negocio, por pequeño que éste sea, establezca recomendaciones y niveles de seguridad cibernética en la empresa, existe el peligro de que alguno de los colaboradores no obedezca. Por ejemplo cuando ingrese a páginas de internet no seguras, busque jueguitos electrónicos o sea víctima de hackers que explotando emociones y necesidades personales lo haga víctima del phishing para robar contraseñas e información confidencial de la empresa.
Es precisamente en ese momento en que el colaborador podría convertirse en el foco de infiltración de malware (malicious software) o ataques cibernéticos a sus sistemas con el fin de que no funcionen adecuadamente, dañarlos o secuestrarlos, sin que el mismo colaborador lo sepa.
En su proceso de crecimiento, una organización puede tener diseñadas políticas claras de seguridad electrónica para evitar cualquier ataque contra sus sistemas de información.
Sin embargo, aun cuando las políticas estén bien definidas, puede existir algún miembro de la organización que no las ponga en práctica. Esto puede constituirse en un posible punto vulnerable a través del cual el criminal podría infiltrarse en el sistema operativo de las empresas.
Los expertos en estos temas tienen sugerencias prácticas sobre los puntos que toda empresa debería considerar para evitar ser víctimas del cibercrimen.
La administración de la Seguridad Informática
Una organización internacional independiente, no gubernamental, con sede en Ginebra, Suiza, propone la estandarización de procesos de calidad en diferentes disciplinas.
A través de sus miembros, reúne a expertos para que compartan sus conocimientos con el fin de desarrollar estándares internacionales que apoyen la innovación y propongan soluciones a Retos Globales. En este caso el Reto Global se refiere a la ciberseguridad.
Una de las normativas que tratan de homogeneizar los temas de seguridad se conoce como el ISO/IEC 27001, cuyo objetivo es estandarizar los procesos para un Sistema de Administración de Seguridad Informática (ISMS por sus siglas en inglés).
Esta normativa se refiere a la Administración de la seguridad informática de una empresa, definida por ellos como “el sistema mediante el cual una organización dirige y controla la administración de la seguridad informática, en el que se especifica un marco de rendición de cuentas y propone una vigilancia que asegure que los riesgos puedan ser adecuadamente mitigados mediante una administración que establezca los controles necesarios para enfrentar cualquier riesgo”.
Un ISMS es un enfoque sistemático para administrar información sensible con el fin de que permanezca la información segura en una empresa, incluyendo la de su recurso humano, información financiera, propiedad intelectual, procesos y tecnología, a través de un sistema de administración de riesgos.
Este sistema puede ayudar a negocios pequeños, medianos y grandes que necesiten proteger sus activos de información y darles seguridad.
La implementación de un ISMS requiere de la pericia del personal a lo largo de toda la organización. Esto implica crear equipos multi-departamentales para supervisar el control, establecimiento y cumplimiento del estándar ISO/IEC 27001.
Retos para un efectivo Sistema de Administración de Seguridad Informática
Existen indicadores o factores importantes que se deben tomar en cuenta en una empresa, al momento de considerar seriamente la implementación de un sistema de seguridad informática. Según los expertos, alguno de los retos serían:
Evaluación de la amenaza cibernética
Una empresa debe evaluar el grado de riesgo que tiene ante posibles ataques cibercriminales.
Esto se puede realizar a través de un estudio documentado de todos los niveles de la organización con el fin de construir un sistema de protección efectivo.
Se debe tener claro cómo los riesgos de ataques cibernéticos afectan los puntos críticos de la operación de su negocio, definir su alcance y decidir sobre el monto de los recursos a invertir en este continuo monitoreo de la ciberseguridad.
Estandarizar el Proceso de protección cibernética
Si la empresa ya definió sus objetivos sobre la seguridad cibernética, debe establecer metodologías rutinarias y estandarizadas para que la protección sea efectiva en toda la organización y a todos los niveles.
La empresa debe tener expertos que hayan diseñado procesos para asegurarse que las tareas diarias sean ejecutadas para mantener el nivel de seguridad deseada.
Aplicación efectiva de la seguridad
Una organización debe evitar que su personal opte por su forma personal de hacer las cosas, que va en contra de la estandarización de procesos.
Por eso, deben establecerse normas y exigencias al personal para seguir los procesos y definir sus responsabilidades.
Esto requiere de un monitoreo continuo que asegure la privacidad y la seguridad de la empresa.
Vigilancia
La seguridad cibernética tiene que ser uno de los objetivos claves de la organización, por lo que toda iniciativa debe originarse del líder de la empresa, mostrándose muy comprometido para que el proceso sea tomado en serio.
Esto requiere esquemas de comunicación efectiva con toda la organización, asegurándoles que el muro protector cibernético forma parte del quehacer diario de sus actividades y cuyo diseño está en mejora continua de acuerdo a las amenazas que surjan a través del tiempo.
Financiamiento
La empresa debe tener un renglón de financiamiento para asignar los recursos que puedan sustentar la estrategia de ciberseguridad de la empresa.
Se deben identificar las prioridades de acuerdo a los niveles de riesgo identificados en toda la organización. También se debe asignar financiamiento para la contratación de expertos y entrenamiento del personal.
Conclusión
No existe una receta específica para tener un muro protector efectivo contra los cibercrímenes. De lo que sí debemos estar conscientes es que el panorama de crímenes cibernéticos es amenazador en la medida que la innovación tecnológica proporciona nuevas herramientas a los hackers.
Seguiremos hablando de las estrategias que las empresas deben mantener ante un horizonte caracterizado por amenazas cibernéticas que están evolucionando simultáneamente con la innovación tecnológica.
