5 preguntas para hacerle a su profesional de ciberseguridad

Casi todas las semanas nos enteramos de otra empresa u organización que ha sido víctima de un ciberataque. Sabemos que los ciberdelincuentes son más persistentes y debemos ser más diligentes en la protección de la información.

Creo que en nuestra vida personal la mayoría de nosotros intentamos ser más cuidadosos. Atrás (espero) quedaron los días de establecer cada una de nuestras contraseñas personales en 123456. Sin embargo, no parece que tengamos el mismo nivel de preocupación en la oficina. Dado que nuestro profesional de TI seguramente controla nuestra ciberseguridad, no debería preocuparme ... ¿verdad?

El hecho es que nosotros, como empleados, desempeñamos un papel vital en la protección de la empresa para la que trabajamos, y solo se necesita un clic equivocado para comprometer una empresa. Un estudio reciente de Willis Towers Watson encontró que el 90 por ciento de las reclamaciones por incidentes cibernéticos son el resultado de algún tipo de error o comportamiento humano. A continuación, presentamos cinco preguntas y respuestas que lo guiarán en su viaje para hacer que su empresa sea más segura.

1. ¿Cuáles son los principales riesgos cibernéticos a los que se enfrenta mi empresa?

El riesgo de una empresa varía considerablemente según su entorno operativo único, por lo que hay muchas cosas para evaluar y considerar.

¿Tiene muchos empleados que utilizan el correo electrónico? El spear phishing puede ser un riesgo importante para usted. ¿Todos los dispositivos con una dirección IP en su taller están protegidos? De lo contrario, el código malintencionado, el acceso y uso no autorizados o la exfiltración de datos podrían ser los principales riesgos.

La realización de evaluaciones de riesgos de seguridad cibernética debe ser una parte clave del programa de gestión de seguridad de la información de su organización. Todo el mundo sabe que existe cierto nivel de riesgo cuando se trata de los datos críticos y seguros, los activos de información y las instalaciones de una empresa. Pero, ¿cómo se cuantifica y se prepara para este riesgo de ciberseguridad? El propósito de una evaluación de riesgos de seguridad de TI es determinar qué riesgos de seguridad enfrentan los activos críticos de su empresa y saber cuántos fondos y esfuerzo se deben usar para protegerlos.

El marco de gestión de riesgos del NIST (RMF) es un gran recurso para comenzar. El RMF proporciona un enfoque estructurado pero flexible para administrar la porción de riesgo resultante de los sistemas que su empresa puede controlar y los procesos comerciales de su organización.

2. ¿Está bien usar un administrador de contraseñas?

Si bien usar un administrador de contraseñas para sus cuentas personales en línea es una excelente manera de mantenerse seguro, recuerde verificar las políticas de su empresa antes de usar cualquier software en el trabajo.

Los administradores de contraseñas pueden ayudarlo a almacenar sus contraseñas, así como a generar unas únicas para cada sitio. Sin embargo, mantener todas sus contraseñas en un solo lugar es arriesgado. Es importante comprender cómo se protegen sus contraseñas y si están cifradas. Hay varios productos comerciales disponibles que funcionan con varios dispositivos y navegadores, así que investigue para encontrar el que mejor se adapte a sus necesidades.

3. ¿Mi empresa cumple con los principales marcos o estándares de seguridad de la información y es necesario que lo haga?

La protección de su propiedad intelectual y la información confidencial de los clientes y empleados puede brindarles tranquilidad a usted y a sus clientes. También es una práctica comercial sólida cuando se analiza el impacto financiero, la disminución de la productividad y la pérdida de confianza que un ciberataque puede costarle.

Para las empresas de la cadena de suministro del Departamento de Defensa (DoD), dicha protección es una necesidad absoluta. Estas empresas deben cumplir con los estándares mínimos de seguridad del Suplemento de la Regulación de Adquisiciones Federales de Defensa (DFARS) o se arriesgan a perder sus contratos con el Departamento de Defensa.

Aquí hay varios ejemplos de marcos o estándares de seguridad que pueden ayudarlo a comprender y mitigar su riesgo:NIST Cybersecurity Framework, NIST SP 800-53 - Controles de seguridad y privacidad para sistemas y organizaciones de información, el NIST MEP Cybersecurity Self-Assessment Handbook, y el Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS). Es fácil confundirse acerca de qué documento debe hacer referencia, así que aquí hay un poco más de información sobre cada uno:

• El marco es más de alto nivel (y más conciso) en comparación con NIST SP 800-53, que es un catálogo de controles de seguridad y privacidad. El Marco es más manejable para ejecutivos y tomadores de decisiones que pueden no tener antecedentes técnicos. También se centra en cómo evaluar y priorizar las funciones de seguridad y hace referencia a documentos existentes como NIST SP 800-53, que es mejor utilizado por el personal técnico que implementará la seguridad y puede comprender su información más detallada sobre qué controles seleccionar e implementar.
• El Manual de autoevaluación de ciberseguridad de NIST MEP ayudará a su empresa a cumplir con los requisitos de seguridad de NIST SP 800-171 en respuesta a los requisitos de ciberseguridad de DFARS. El manual proporciona una guía paso a paso para evaluar los sistemas de información de un pequeño fabricante frente a los requisitos de seguridad de NIST SP 800-171 rev 1, "Protección de la información no clasificada controlada en sistemas y organizaciones no federales".

• El Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) es un conjunto ampliamente aceptado de políticas y procedimientos destinados a optimizar la seguridad de las transacciones con tarjetas de crédito, débito y efectivo. El PCI DSS fue creado en 2004 por Visa, MasterCard, Discover y American Express. El mantenimiento de la seguridad de los pagos es un requisito para todas las empresas que almacenan, procesan o transmiten datos de titulares de tarjetas. La violación o el robo de los datos del titular de la tarjeta afecta a todo el ecosistema de tarjetas de pago. Algunos ejemplos de impactos en su empresa son la pérdida de confianza del cliente, la disminución de las ventas, las pérdidas por fraude, los costos legales, las multas y la terminación de la capacidad para aceptar tarjetas de pago. Mantener el cumplimiento de PCI DSS es vital para el éxito a largo plazo de una empresa que procesa pagos con tarjeta y mantiene preparadas las defensas cibernéticas contra ataques dirigidos a robar datos de titulares de tarjetas. La mayoría de las pequeñas empresas pueden utilizar una herramienta de autovalidación para evaluar su nivel de seguridad de los datos del titular de la tarjeta.

4. ¿Qué es la autenticación de dos factores y cómo la habilito? ¿Por qué las contraseñas no son lo suficientemente buenas?

La autenticación de dos factores (2FA) es una capa adicional de seguridad que se utiliza para asegurarse de que usted es quien dice ser. El problema es que los nombres de usuario y las contraseñas por sí solos se adivinan fácilmente, y la gente usa las mismas contraseñas para varios sitios. Los incidentes divulgados públicamente revelan que cada minuto se filtran 5.518 registros.

2FA evita que otras personas accedan fácilmente a sus cuentas. Cuando 2FA está habilitado, ingresa su nombre de usuario y contraseña en la página de inicio de sesión. Luego, en lugar de obtener acceso de inmediato, se le pedirá que proporcione otra información. Este segundo factor podría ser uno de los siguientes:

• Algo que sepa:un número de identificación personal (PIN), frase de contraseña o respuestas a preguntas secretas.
• Algo que tenga:una tarjeta de crédito, una tarjeta llave, un teléfono inteligente, un token de hardware o software o una notificación del sitio.
• Algo que eres:un patrón biométrico de una huella digital, un escaneo de iris o una huella de voz.

Si no está seguro de si sus sitios o aplicaciones tienen 2FA, visite TwoFactorAuth.org para averiguarlo.

Active 2FA para todas las cuentas. Consulte las instrucciones paso a paso de Telesign para habilitar2FA:https://www.turnon2FA.com.

5. ¿Existe un proceso de aprobación para comprar aplicaciones que considero útiles para mi trabajo?

La mayoría de las empresas tienen políticas sobre cómo comprar software (ya sea en caja / en línea o alojado externamente en la nube). Es importante saber qué aplicaciones puede usar de inmediato y cuáles pueden necesitar más investigación para asegurarse de que sean lo suficientemente seguras para su uso y los datos que se procesarán y / o almacenarán en ellas. Sepa lo que se requiere y trabaje con su profesional de ciberseguridad para pasar por los procesos requeridos y garantizar que la información esté protegida correctamente.

Si desea comprender mejor su riesgo de ciberseguridad, puede utilizar la Red Nacional MEP ^TM Herramienta de autoevaluación de ciberseguridad. Si tiene preguntas o le gustaría hablar con un profesional de ciberseguridad, conéctese con su Centro de Red Nacional MEP local.