Lo que los fabricantes deben saber sobre la ciberseguridad en este momento:una entrevista con Pat Toth

El número de ataques cibernéticos sigue aumentando y los delincuentes cibernéticos son cada vez más decididos. Las empresas se quedan tratando de navegar por una guía técnica confusa en un panorama digital que cambia rápidamente. Los pequeños fabricantes a menudo no creen que sus empresas corran peligro. Después de todo, ¿por qué alguien querría apuntar a un pequeño fabricante rural cuando hay empresas más grandes a las que apuntar?

Para comprender lo que está sucediendo y averiguar lo que los fabricantes realmente necesitan saber sobre ciberseguridad, me senté con Pat Toth. Pat es un científico informático en NIST Manufacturing Extension Partnership que tiene más de 30 años de experiencia en ciberseguridad y ha trabajado en numerosos documentos de orientación sobre ciberseguridad del NIST.

Pregunta:¿Están los fabricantes realmente en riesgo de sufrir ataques cibernéticos en comparación con otras industrias? Si es así, ¿por qué?

Pat: Según el Departamento de Seguridad Nacional de EE. UU., La industria manufacturera es la segunda industria más atacada según el número de ciberataques informados.

Creo que los pequeños fabricantes son especialmente vulnerables porque se los considera puntos de entrada fáciles a cadenas de suministro más grandes. Piénselo de esta manera:si usted es un delincuente y planea irrumpir en un edificio y robarlo, ¿intentará ingresar a un edificio con equipo de vigilancia, un sistema de alarma y guardias, o es más probable que apunte a un edificio que no tiene ninguna de estas características de seguridad en su lugar? Suele ser lo último, por lo que los ciberdelincuentes se dirigen específicamente a los fabricantes. Desafortunadamente, muchas pequeñas empresas no cuentan con las medidas de seguridad adecuadas porque estas empresas no creen que sean objetivos.

Los ciberdelincuentes pueden estar interesados ​​en su propiedad intelectual (IP) o pueden querer acceder a información sobre con quién trabaja o con quién emplea. La filtración de datos de clientes de Target en 2013 es una de las instancias más conocidas de esto. Los ciberdelincuentes atacaron deliberadamente a su proveedor de sistemas HVAC porque los piratas informáticos sabían que podían acceder a los sistemas de Target a través de este proveedor HVAC. La violación de datos resultó en el robo de información de tarjetas de crédito de millones de personas.

Pregunta:Dado que los fabricantes pequeños y medianos (SMM) suelen ser los objetivos principales, aunque también suelen tener recursos limitados, ¿qué pueden hacer estos SMM?

Pat: Puede parecer complicado y probablemente un poco abrumador, pero hay cosas que los SMM pueden hacer que son de bajo costo o sin costo y fáciles de implementar.

De lo que realmente se trata es de implementar políticas y educar a los empleados. Varios estudios han encontrado que los empleados son uno de los puntos más vulnerables en la seguridad de toda empresa. La mayoría de los empleados simplemente desconocen lo que deben vigilar y cómo identificar un incidente cibernético real o potencial hasta que es demasiado tarde. Las empresas deben comunicarse de forma regular para ayudar a los empleados a comprender las tácticas de los ciberdelincuentes y el papel fundamental que desempeñan en la prevención de incidentes cibernéticos.

Por ejemplo, su empresa debe tener una política para el uso de las redes sociales en el lugar de trabajo. Algunos empleados esperarán acceder a las redes sociales durante la jornada laboral. Existe un acto de equilibrio al que se enfrentan las empresas:permitir que los empleados accedan a las redes sociales y proteger sus sistemas. Entonces, ¿cómo vas a hacer eso? Pones una política en su lugar. La política podría ser que no permita el uso de redes sociales en los sistemas de la empresa. Quizás proporcione una red semipública separada para que las personas accedan a las redes sociales durante todo el día que no exponga a su empresa a riesgos. Cualquiera que sea su política, asegúrese de que sus empleados la conozcan, comprendan por qué existe y las posibles consecuencias si se infringe la política.

Pregunta:Es bueno escuchar que existen soluciones gratuitas o de bajo costo que los fabricantes pueden implementar. Si una empresa está lista para mejorar su ciberseguridad, ¿por dónde debería empezar?

Pat: Comience por consultar el marco de seguridad cibernética de NIST y NISTIR 7621 Seguridad de la información para pequeñas empresas:los fundamentos. El marco de ciberseguridad consta de estándares, directrices y mejores prácticas para gestionar los riesgos relacionados con la ciberseguridad. Proporciona un enfoque prioritario, flexible y rentable para proteger los sistemas. Seguridad de la información para pequeñas empresas:The Fundamentals se basa en el marco de ciberseguridad y proporciona una descripción general más manejable para los tomadores de decisiones de la empresa que pueden no tener antecedentes técnicos. También se centra en cómo evaluar y priorizar las funciones de seguridad.

Para comenzar, aquí hay un breve resumen de lo que encontrará en el Marco.

El primer paso es Identificar . Identifique la información más valiosa para su empresa. Esta es la información que, si se pierde o modifica, paralizaría sus operaciones. Por ejemplo, supongamos que es un fabricante de alimentos y hace galletas con chispas de chocolate con la receta de su abuela. Esa receta es vital para su negocio y debe protegerse contra robo o modificación para que su negocio pueda continuar.

El segundo paso es Proteger . Ha hablado con los gerentes y el personal y ha utilizado estos comentarios para identificar la información más importante para su empresa. Ahora es el momento de decidir qué se debe hacer para proteger adecuadamente esa información. Este paso depende en gran medida de las amenazas y vulnerabilidades específicas de su negocio. Las pequeñas empresas que simplemente trabajan con los clientes a través de la interacción cara a cara o por teléfono no tendrán tanto que proteger como las empresas que realizan negocios a través del correo electrónico y los portales web. Realmente depende de su entorno operativo en cuanto a qué protección necesita implementar.

El tercer paso es Detectar . Debe poder detectar cuándo se ha producido un incidente cibernético. Debe disponer de sistemas de detección de intrusos, antivirus y antispyware actualizados. También debe considerar su espacio físico. Considere cosas como si necesita recibir una alerta cuando las personas acceden a áreas que no deberían. Ya sea que un incidente sea digital o físico, es importante saber cuándo ocurrió y a qué tuvieron acceso las personas.

El cuarto paso es Responder . Cuando ocurre un incidente cibernético, su empresa deberá responder rápidamente para mitigar el daño potencial. Debe tener un plan antes de que suceda algo. El plan debe incluir quiénes son los responsables y quiénes deben ser contactados cuando ocurra algo. Además, los empleados deben saber cómo acceder al plan durante y después del horario laboral.

¿Recuerda el regreso a la escuela primaria cuando practicábamos simulacros de incendio algunas veces al año? Al igual que en los simulacros de incendio, su empresa debe practicar regularmente su respuesta a incidentes cibernéticos para que los empleados sepan exactamente qué hacer si ocurre un incidente cibernético.

El quinto y último paso es Recuperar . Debe realizar copias de seguridad periódicas para poder recuperar sus sistemas. Estas copias de seguridad deben almacenarse en una ubicación separada o en la nube. Necesita probar sus copias de seguridad. Si no prueba su información de respaldo, no puede estar seguro de que podrá recuperarse por completo de un evento. La frecuencia con la que decida probar sus copias de seguridad debe basarse en la importancia de la información para las operaciones de la empresa.

Esta no es una situación de “talla única”, y debe decidir qué funciona para su empresa y su cultura. Para una empresa, puede ser suficiente realizar pruebas una vez al año. Para otra empresa, es posible que deba realizar una prueba una vez por semana. No es una respuesta fácil de escuchar, pero realmente requiere observar sus sistemas para ver dónde es vulnerable, conocer las amenazas a las que se enfrenta y cómo contrarrestarlas.

Pregunta:supongamos que mi empresa ha implementado las medidas de seguridad adecuadas y hemos creado un plan de respuesta:¿qué sigue?

Pat: Esta no es una actividad de "uno y listo". No puede escribir un plan de respuesta y ponerlo en un estante. Este debería ser un documento vivo. Todos deben conocer su postura en materia de ciberseguridad y cómo puede continuar mejorándola.

Cada vez que compra un equipo nuevo o contrata a un nuevo empleado, debe pensar en cómo estas actividades afectan su seguridad. Para las empresas más pequeñas, esto puede resultar complicado. Con demasiada frecuencia, veo casos en los que una empresa ha crecido rápidamente y se olvida de que no todo el mundo necesita acceder a toda la información. Puede llevar algo de tiempo, pero la administración debe revisar una lista de empleados y ver a qué deben y no deben tener acceso. Alguien en el taller no necesita acceder a la información de la nómina. Definir roles e implementar la separación de esos roles puede ser difícil, pero es necesario cuando se busca proteger a su empresa de las amenazas cibernéticas.

Creo que la ciberseguridad y la calidad tienen muchas similitudes en términos de adopción. Muchas empresas tardaron en adoptar sistemas de calidad como ISO 9000. Un componente importante de la calidad es la mentalidad de una empresa. La ciberseguridad no está relegada solo a la persona de TI o la persona a cargo de la ciberseguridad:todos los empleados en todos los niveles de la empresa tienen algún tipo de responsabilidad. La ciberseguridad debe formar parte de la cultura de una empresa, al igual que la calidad, para ser eficaz.

Preguntas:¿Dónde puedo encontrar información para educar a mis trabajadores sobre las cosas que pueden hacer para reducir el riesgo cibernético de la empresa?

Pat: Vaya a la página web de recursos de ciberseguridad de NIST MEP. En esta página encontrará una serie de recursos, incluida una sencilla herramienta de autoevaluación que puede utilizar (basada en el marco de ciberseguridad del NIST) para autoevaluar el nivel de riesgo cibernético de su empresa. La autoevaluación puede ayudarlo a determinar dónde están las debilidades de su empresa y dónde concentrar los recursos para mejorarlas. No rastreamos su información ni guardamos los resultados. Después de realizar la evaluación, recibirá una puntuación para que sepa dónde están sus debilidades con respecto a sus esfuerzos de ciberseguridad. También puede comunicarse con uno de los 51 Centros MEP, ubicados en los 50 estados y Puerto Rico, que forman parte de la Red Nacional MEP ^TM para preguntas o ayuda.