Inicio
Ciberseguridad para empresarios: por dónde empezar
Gestión

Ciberseguridad para empresarios: por dónde empezar

Ciberseguridad para empresarios: por dónde empezar

Si la ciberseguridad le parece algo que sólo deben tener en cuenta los negocios online y las grandes empresas, ¡está muy equivocado!

Piénselo: Pasamos mucho tiempo en línea, entre las actividades personales en las redes sociales, la banca por Internet y todas las cosas que hacemos en línea para nuestro negocio.

En los negocios contratamos personal a través de portales en línea y nos relacionamos con contratistas y autónomos en línea. Realizamos nuestras operaciones bancarias y de contabilidad en línea, así como nuestras comunicaciones por correo electrónico con clientes y proveedores.

Si sumamos nuestra presencia diaria en línea y luego incluimos el hecho de que el Internet de las cosas es cada vez más una realidad, ya no se puede negar que la importancia de la ciberseguridad es algo real y que afecta a todas las empresas, grandes y pequeñas.

El RGPD tiene que ver con la protección de la privacidad y los datos personales y con asegurarse de que estos datos personales están protegidos de ataques externos.

Datos personales.

El RGPD se aplica a los «datos personales», es decir, a cualquier información relativa a una persona identificable que pueda ser identificada directa o indirectamente, en particular mediante un identificador.

¿Qué tipos de datos de privacidad protege el GDPR?

  • Datos básicos de identidad como nombre, dirección y números de identificación
  • Datos de la web como la ubicación, la dirección IP, los datos de las cookies y las etiquetas RFID
  • Datos sanitarios y genéticos
  • Datos biométricos
  • Datos raciales o étnicos
  • Opiniones políticas
  • Orientación sexual

¿Recoge su empresa información personal identificable por vía electrónica? Si es así, puede que tenga que revisar seriamente sus procesos y procedimientos de ciberseguridad. Especialmente los relacionados con la gestión y el almacenamiento de datos privados. Todas las empresas que hacen negocios con una persona en la UE están potencialmente sujetas a las regulaciones del GDPR y el incumplimiento puede ser muy caro con multas de hasta el 4% de sus ingresos globales.

Como empresarios tenemos que tomarnos en serio la ciberseguridad y tomar decisiones conscientes y educadas para proteger nuestro negocio, a nuestros clientes y a nosotros mismos.

Sin embargo, no dispone de un equipo de especialistas en ciberseguridad que revise toda su empresa para identificar los riesgos. ¿Por dónde empezar?

¿Qué puede hacer usted, como empresario o propietario de una pequeña empresa, para crear más conciencia en torno a la ciberseguridad y crear un perfil de riesgo para su propio negocio sin tener que pasar cientos de horas tratando de educarse a sí mismo? No hay suficientes horas en el día, así que ¿qué hacer?

En primer lugar, aléjese de las arenas movedizas técnicas. Aborde este tema desde un punto de vista empresarial. Cuando llegues a un punto en el que se requieran más conocimientos técnicos, siempre puedes contratar a un experto en la materia. No hay ningún beneficio empresarial directo para que te conviertas en un experto en ciberseguridad.

Considerar la ciberseguridad desde un punto de vista empresarial significa que los requisitos de gestión de la ciberseguridad pueden dividirse en 5 fases diferentes. Estas fases coinciden con el ciclo de vida general de un proceso empresarial y se alinean libremente con el ciclo de calidad de Deming: Planificar – Hacer – Comprobar – Actuar (PDCA para abreviar).

  • Planifique lo que va a hacer
  • Haz lo que habías planeado
  • Comprueba/estudia y analiza los resultados de lo que has hecho en el paso anterior
  • Actuar en consecuencia: mejorar las actividades, las mediciones y los resultados previstos.

Fase 1: Reconocer el valor de la ciberseguridad para la empresa en general

¿Cuáles son los objetivos empresariales que se pretenden alcanzar con la gestión de riesgos de ciberseguridad? ¿Resolverá problemas reales?

Estas preguntas pueden parecer redundantes, pero si no comprende realmente cuál es el beneficio empresarial de aplicar medidas de ciberseguridad en su empresa, cada tarea que tenga que hacer en relación con la ciberseguridad le parecerá una tarea y un desperdicio de recursos preciosos.

Pero ser capaz de vincularlo a sus objetivos empresariales crea energía y espacio para explorar cómo puede beneficiarse de la ciberseguridad en su negocio.

¿Qué problema real puede resolver la ciberseguridad? O quizás la pregunta debería ser.. ¿Qué oportunidad ve usted? ¿Cómo puede la ciberseguridad añadir valor a su negocio?

Fase 2: Definir lo que significa la ciberseguridad en el contexto de nuestro negocio

¿Expresamos específicamente los requisitos de ciberseguridad a nuestros socios, proveedores y otros terceros?

¿Hemos identificado las posibles repercusiones empresariales y las probabilidades de que esto ocurra?

La ciberseguridad es un tema muy amplio, y no todas las amenazas de seguridad tienen impacto en su negocio. En esta fase del proceso, es importante reconocer la probabilidad de que se produzca una brecha de seguridad y cuál es el impacto en el futuro de su empresa cuando se produzca. ¿Hasta qué punto dependes del uso y almacenamiento de información sensible y qué ocurre cuando alguien ajeno a tu empresa accede a esta información?

También es posible que quieras charlar con tus proveedores y, si es posible, con tus terceros proveedores. Esto puede ser un reto cuando se trata de grandes empresas (por ejemplo, tiene direcciones de correo electrónico y su sistema de contabilidad tiene datos de transacciones financieras almacenados en sus servidores. ¿Cómo te garantizan que tu información está a salvo y segura?)

Fase 3: Medir y analizar cómo se realiza actualmente la ciberseguridad

¿Cómo se identifican y analizan las partes interesadas y sus intereses?

¿Cómo se determina qué sistemas, componentes y funciones tienen prioridad en cuanto a la aplicación de nuevas medidas de ciberseguridad?

¿Qué controles tenemos para proteger los datos?

Ahora que conocemos el panorama en el que nos movemos, es el momento de averiguar cómo vamos a medir y analizar los datos relacionados con la ciberseguridad.

Si no se puede medir, es muy difícil de gestionar. Por ello, dedique algún tiempo a pensar en los puntos de datos sobre los que debe informar para identificar lo bien que está gestionando la seguridad de los datos sensibles.

Como no podemos hacer todo a la vez, es importante priorizar. Así que empiece por los procesos y sistemas que más sufren un ataque de ciberseguridad. O empiece por los almacenes de datos que son más vulnerables, por ejemplo los datos de sus clientes. ¿Cómo y dónde almacena los datos de sus clientes? ¿Quién tiene acceso a ellos? ¿Cómo está protegido el acceso? ¿Tiene copias de seguridad de estos datos y cómo gestiona la seguridad de estas copias?

También configura las alertas de Google para las brechas de seguridad/datos de tus aplicaciones externas más importantes. Tienes que estar al tanto de lo que ocurre en el mundo para asegurarte de que tus datos no se han filtrado.

Fase 4: Mejorar los procesos de ciberseguridad

¿Qué cosas pueden salir mal?

¿Cómo decidimos qué actividades hay que llevar a cabo en materia de ciberseguridad?

Aquí es donde empieza la diversión. Ahora que tenemos una base de referencia de cómo es la ciberseguridad en nuestra empresa, tenemos que analizar seriamente si lo estamos haciendo bien.

¿Qué puede salir mal? ¿Y qué es lo más probable que salga mal? ¿Qué pasos nos faltan y qué se puede hacer de forma más eficiente?

Por supuesto, se empieza por las actividades claramente no conformes que se han identificado a partir de las tareas de análisis de la fase 3 y se trabaja desde la más alta prioridad hasta la más baja.

Fase 5: Controlar y mantener los objetivos de ciberseguridad

¿Se comprenden y gestionan los requisitos legales y reglamentarios en materia de ciberseguridad, incluidas las obligaciones de privacidad y libertades civiles?

Parte de la mejora de la forma de gestionar la ciberseguridad consiste en asegurarse de estar al tanto de los cambios en las normas y reglamentos. Muchas empresas se apresuran a actualizar sus políticas de privacidad y seguridad para cumplir con la nueva normativa.

Tendrá que incorporar a su sistema una forma de comprobar periódicamente si sigue cumpliendo las normas y reglamentos más recientes.

Mirar la ciberseguridad desde el punto de vista de la empresa hace que sea menos aterradora y abrumadora. Piensa en ello de forma lógica para asegurarte de que todo lo que haces beneficia a tu negocio y a tus objetivos a largo plazo.

Tags:

Este sitio usa cookies para ofrecer la mejor experiencia. Al continuar, acepta nuestra política de cookies. Más información en el enlace.

ACEPTAR
Aviso de cookies