Cómo identificar los riesgos de ciberseguridad de su empresa

Este artículo apareció originalmente en IndustryWeek. Entrada de blog invitada por Traci Spencer, Gerente del Programa de Subvenciones de TechSolve, Inc., el socio regional suroeste del Ohio MEP, parte de la Red Nacional MEP ^TM .

Este artículo es la primera entrega de una serie de cinco partes que describe las mejores prácticas cuando se trata de "Ciberseguridad para fabricantes". Estas recomendaciones siguen el marco de ciberseguridad del Instituto Nacional de Estándares y Tecnología (NIST), que se ha convertido en el estándar para el sector manufacturero de EE. UU.

Según un estudio patrocinado por IBM en 2018 por el Ponemon Institute, el promedio global de una violación de datos es de $ 3.86 millones. Eso se reduce a casi $ 150 por registro robado. Si es un fabricante pequeño o mediano, es posible que no crea que estadísticas como estas se apliquen a su caso. Pero de las 17 industrias representadas en el informe, los sectores más afectados fueron el financiero, el de servicios y esperarlo:el de fabricación.

Debido a que los fabricantes a menudo dedican menos recursos a la seguridad de la información, son un objetivo popular para los ciberdelincuentes. Y solo se necesita un ataque cibernético para devastar todo el sistema operativo de un fabricante más pequeño. La maquinaria, los proveedores, los distribuidores o incluso los clientes conectados en red podrían ser pirateados a través de una computadora / dispositivo en una instalación de fabricación.

Otros riesgos incluyen:

• Pérdida de información fundamental para el funcionamiento de su empresa
• Impacto negativo en la confianza del cliente
• Multas reglamentarias y honorarios legales resultantes
• Reducción o detención de la productividad.

Afortunadamente, puede aprender a proteger sus operaciones con la ayuda del Instituto Nacional de Estándares y Tecnología (NIST), que ha desarrollado un marco de cinco pasos para la ciberseguridad que puede implementar una empresa de cualquier tamaño. Disponible en línea, el Marco de Ciberseguridad del NIST puede ser explicado con más detalle por su representante local de la Red Nacional MEP, los expertos a quienes acudir para avanzar en la fabricación en EE. UU. También puede ver la Guía de fabricantes de ciberseguridad (agregue un enlace una vez que sepamos la ubicación del documento) que proporciona a los fabricantes las prácticas y herramientas básicas necesarias para desarrollar un programa de ciberseguridad.

¿Listo para dar el primer paso hacia la seguridad de los datos? El proceso comienza identificando sus riesgos.

Controle quién tiene acceso a su información

Haga una lista de empleados con acceso a computadoras e incluya todas sus cuentas comerciales, el tipo de acceso (físico o contraseñas) y asegure físicamente todas las computadoras portátiles y dispositivos móviles cuando no estén en uso. Haga que sus empleados usen una pantalla de privacidad o coloquen la pantalla de la computadora de modo que las personas que pasen cerca no puedan ver la información que se muestra, y pídales que configuren el bloqueo de pantalla para que se active cuando la computadora no esté en uso.

No permita el acceso físico a computadoras o sistemas por parte de personal no autorizado, como:

• Equipos de limpieza o personal de mantenimiento
• Personal de reparación de redes o computadoras sin supervisión que trabaja en sistemas o dispositivos
• Personas no reconocidas que ingresan a su oficina o taller sin ser interrogadas por un empleado

Un delincuente solo tarda unos segundos en acceder a una máquina desbloqueada. No les facilite el robo de su información confidencial.

Realice controles de seguridad y antecedentes para todos los empleados

Las verificaciones de antecedentes son esenciales para identificar sus riesgos de seguridad cibernética. Se deben realizar búsquedas completas en todo el país para todos los posibles empleados u otras personas que tendrán acceso a sus computadoras y a los sistemas y equipos de la empresa.

Estas comprobaciones deben incluir:

• Verificación de antecedentes penales
• Controles de delincuentes sexuales
• Verificaciones de crédito, si es posible (algunos estados de EE. UU. limitan el uso de verificaciones de crédito)
• Referencias para verificar las fechas trabajadas para empleadores anteriores
• Educación y verificación de títulos

También puede considerar realizar una verificación de antecedentes de usted mismo, que puede alertarlo rápidamente si, sin saberlo, se ha convertido en víctima de un robo de identidad.

Exigir cuentas de usuario individuales para cada empleado

Si experimenta pérdida de datos o manipulación de datos no autorizada, puede ser difícil investigar sin cuentas individuales para cada usuario. Configure una cuenta separada para cada empleado y contratista que necesite acceso. Exigirles que utilicen contraseñas únicas y seguras para cada cuenta.

Limite la cantidad de empleados que tienen acceso administrativo, especialmente si no es necesario que realicen sus tareas laborales diarias. Considere cuentas de invitados con acceso a Internet únicamente para visitantes o clientes en sus instalaciones.

Crear políticas y procedimientos de ciberseguridad

Si bien crear su primera política de ciberseguridad puede parecer una tarea abrumadora, hay muchos consejos fáciles de seguir de la Red Nacional MEP que pueden ayudarlo a comenzar. También puede consultar con un profesional legal familiarizado con el derecho cibernético para revisar sus políticas y asegurarse de que cumple con las leyes y regulaciones locales.

Su nueva política de ciberseguridad debe incluir:

• Sus expectativas de sus empleados para proteger la información de la empresa
• Recursos esenciales que deben protegerse y cómo espera que sus empleados protejan esa información
• Un acuerdo firmado por cada empleado para confirmar que han leído la política y la han entendido.

Mantenga el acuerdo firmado en el archivo de recursos humanos de cada empleado. Revise la política al menos una vez al año y actualice cuando realice cambios en la tecnología de su empresa. Luego, puede usar su política de ciberseguridad para capacitar a sus nuevos empleados sobre sus responsabilidades de seguridad de la información y establecer prácticas aceptables para todas sus operaciones comerciales.

Ahora que ha aprendido a identificar sus riesgos y evaluar sus recursos, es hora de pensar en protegerlos. En la segunda parte de nuestra serie de cinco partes "Ciberseguridad para fabricantes" de la Red Nacional MEP, analizamos los pasos clave para proteger su información y datos valiosos de las amenazas cibernéticas.