Imagínese esto: es la temporada de impuestos y su director de recursos humanos recibe un correo electrónico de alguien que se hace pasar por usted: el director ejecutivo. El director de recursos humanos cree que el correo electrónico es legítimo y cumple con la solicitud de enviar copias de todos los W2 de sus empleados. Días después, el remitente del correo electrónico, que en realidad es un pirata informático experto, utiliza esos W2 para presentar un lote de declaraciones de impuestos falsas.
Ciberataques como este ocurren todos los días. Y si dirige una empresa pequeña o mediana, es el objetivo directo de un ataque. Las pequeñas y medianas empresas son víctimas de la gran mayoría de las violaciones de datos porque tienden a:
- Carecen de suficientes medidas de seguridad y personal capacitado
- Conservar datos que son valiosos para los piratas informáticos (por ejemplo, números de tarjetas de crédito, información médica protegida)
- No utilizar una fuente externa o un servicio de terceros para realizar copias de seguridad de sus archivos o datos, lo que los hace vulnerables al ransomware.
- Conéctese a la cadena de suministro de una empresa más grande y se puede aprovechar para entrar
Nuestro más reciente informe - una colaboración de investigación con Cisco y el Centro Nacional del Mercado Medio - se basa en datos de 1377 directores ejecutivos de pequeñas y medianas empresas que cuentan una historia similar. El sesenta y dos por ciento de nuestros encuestados dijo que sus empresas no tienen una estrategia de ciberseguridad activa o actualizada, o ninguna estrategia en absoluto. Y ese es un problema importante, dado que el costo de un ciberataque puede ser lo suficientemente alto como para sacar a una empresa del negocio; según la Alianza Nacional de Seguridad Cibernética, el 60 por ciento de las pequeñas y medianas empresas que son pirateadas cierran en seis meses.
Si se encuentra entre estos directores ejecutivos, es hora de hacer un cambio. Siga estos cuatro pasos para comenzar a desarrollar una estrategia de ciberseguridad que mantenga a los piratas informáticos fuera de su negocio.
1. Determine el estado actual de la seguridad cibernética de su empresa.
Reúna a los miembros de su equipo de liderazgo superior, la junta directiva y los inversores para realizar una auditoría informal del negocio. Tenga una idea del nivel de seguridad que tiene hoy.
Preguntas que hacer: ¿Alguien está a cargo de nuestra ciberseguridad? ¿Qué defensas tenemos ya instaladas? ¿Nuestra estrategia es integral y coordinada? Si no, ¿podemos identificar nuestros puntos débiles?
2. Identifique a la persona clave responsable de su ciberseguridad.
Involucre a los líderes de toda la organización, no solo a los de TI. Incluya personas de diferentes áreas funcionales, como relaciones humanas, marketing, operaciones y finanzas. Otros jugadores esenciales para esta conversación son su abogado y su contador / auditor.
Preguntas que hacer: ¿Quién debería ser responsable de nuestra ciberseguridad? ¿Qué proceso podemos implementar para garantizar la rendición de cuentas? ¿Cómo podemos comunicarnos y aumentar la conciencia sobre la ciberseguridad en nuestros diferentes departamentos y equipos?
3. Haga un inventario de sus activos, determine su valor y priorice sus activos más críticos.
Identifique las 'joyas de la corona' en su empresa, ya sean registros de empleados, propiedad intelectual o datos de clientes. Reconozca que nunca estará 100% a salvo de un ataque, por lo que es importante priorizar las áreas de defensa.
Preguntas que hacer: ¿Cuáles son los activos más importantes que debemos proteger? ¿Información de los clientes? ¿Propiedad intelectual? Registros de empleados? ¿Podemos medir el grado de confidencialidad, integridad, disponibilidad y seguridad de nuestros activos más críticos?
4. Decida qué capacidades comerciales y medidas de ciberseguridad desea administrar usted mismo frente a la subcontratación.
Considere si tiene sentido subcontratar ciertos aspectos de su negocio a un sistema basado en la nube para aumentar su seguridad. Al mismo tiempo, considere si tiene sentido contratar a un experto o proveedor en ciberseguridad. Decida si desea trabajar con un consultor para averiguar su plan de ciberseguridad o si desea subcontratar su ciberseguridad por completo.
Preguntas que hacer: ¿Qué aspectos de nuestro negocio, como el cumplimiento de pedidos, deberíamos manejar internamente en lugar de la subcontratación a un tercero (por ejemplo, Amazon, Cisco, Google)? ¿Deberíamos subcontratar nuestra ciberseguridad a un servicio de terceros? ¿Deberíamos utilizar un modelo de CIO fraccional y buscar consultoría en ciberseguridad? ¿O deberíamos manejar todo el proceso nosotros mismos?
quien esta saliendo con enzo amore
La mejor defensa es un buen ataque. Convierta en una prioridad proteger sus datos en beneficio de sus empleados, sus clientes y la salud a largo plazo de su negocio.
