Cómo proteger tu organización contra los ciberataques

In the lead up to Cybersecurity Month, we outline some of the key actions librarians and publishers can take now to help protect against cyber-attacks

Las organizaciones educativas y de investigación son un objetivo prioritario de los ciberataques debido a los valiosos datos que contienen. La Encuesta sobre violaciones de la ciberseguridad en el Reino Unido, dio a conocer que el 86% de los institutos de enseñanza superior y un asombroso 97% de las universidades habían sufrido una violación o un ataque el año pasado. La ciberseguridad también ocupó el puesto nº 1 en la Lista EDUCAUSE de problemas a los que se enfrentan las universidades estadounidenses.

La mayoría de las instituciones educativas del Reino Unido ya han establecido políticas de ciberseguridad y controles técnicos, en comparación con la media de las empresas británicas. Entonces, ¿cuál es la respuesta para prevenir nuevos incidentes de seguridad?

Es tentador para las organizaciones invertir más dinero en soluciones tecnológicas basadas en riesgos conocidos, pero ¿ofrecerá esto la solidez que las organizaciones necesitan?

Bueno sí, pero no del todo. Porque las organizaciones no disponen de un pozo sin fondo de dinero. Y de todos modos, la mayoría de los riesgos de seguridad se deben a una mala estrategia o a la falta de concienciación del personal sobre los procesos de seguridad.

La seguridad es responsabilidad de todos

Los ciberdelincuentes buscan brechas en tu sistema de protección y sólo necesitan una pequeña grieta para entrar. El personal suele eludir la seguridad porque desconoce los procesos organizativos. O, peor aún, podrían verse obligados a encontrar soluciones alternativas si los controles de seguridad no satisfacen sus necesidades. Esto también se aplica a los usuarios finales si no pueden acceder a un recurso al que están suscritos.

Dejar la responsabilidad exclusiva de la seguridad de la organización en manos del equipo informático no es una solución viable. Es necesario un enfoque integral para gestionar los riesgos de seguridad y un cambio fundamental en la cultura de tu organización.

Qué puedes hacer para proteger a tu organización

He aquí tres cosas en las que puedes trabajar ahora para que tu organización sea más segura:

1. Revisa y actualiza tu estrategia y tus procesos

El diseño seguro, privado y accesible debe estar en el centro de tu estrategia y procesos organizativos. Trabaja con tu equipo de seguridad informática para comprender mejor su papel en la planificación de la continuidad de la actividad.

Tómate el tiempo necesario para revisar y actualizar tus procesos y normas de calidad ISO 9001. Porque los problemas de seguridad también pueden ser problemas de calidad. Y si mejoras la calidad, también mejoras tu negocio.

Una sólida gestión de identidades y accesos es uno de los 10 pasos hacia la ciberseguridad y un elemento esencial para mantener tu organización segura. Facilita a tu personal y a los usuarios finales el acceso a los servicios para que no recurran a soluciones inseguras. Si ya dispones de una solución de acceso federado, asegúrate de que control de acceso es apropiada para las personas suscritas a un recurso o servicio. Y para mayor seguridad, activa la verificación en 2 pasos para todos tus servicios.

2. Hazte menos vulnerable. Invierte en tecnología, infraestructura y servicios seguros

La mayoría de nosotros hemos oído hablar del sonado ataque de ransomware a la Biblioteca Británica. Los piratas informáticos lograron acceder a través de más de un punto de entrada en la compleja infraestructura tecnológica de la biblioteca, compuesta principalmente por sistemas heredados.

Realiza una auditoría de tu tecnología, infraestructura y servicios y actualiza o sustituye los que no cumplan las normas de seguridad más recientes, como la ISO 27001 y Cyber Essentials. La seguridad de la cadena de suministro es una de las áreas más vulnerables identificadas en la Encuesta sobre violaciones de la ciberseguridad en el Reino Unido. Asegúrate de que la contratación de proveedores externos incluya comprobaciones de calidad, seguridad y cumplimiento de la normativa en materia de protección de datos.

Como parte de la auditoría, examina detenidamente la evaluación de riesgos de su organización y consulta con tu equipo de seguridad informática sobre la gestión de vulnerabilidades y las pruebas de penetración en los sistemas que gestionas.

3. Prioriza la concienciación y la formación en ciberseguridad

Las técnicas de ingeniería social, como el phishing y la suplantación de identidad, son dos de las principales causas de violaciones de la seguridad y de los datos.

Reduce tu riesgo de seguridad concienciando al personal y a los usuarios finales sobre los procesos organizativos. Infórmales sobre algunas cosas prácticas que pueden hacer para proteger sus datos y sistemas, como por ejemplo:

• Sensibilizar al personal sobre los procesos de respuesta a incidentes de tu organización.
• Mantener actualizados el software y los dispositivos.
• Utilizar contraseñas seguras y un gestor de contraseñas.
• Activar la autenticación multifactor.
• Saber reconocer y denunciar el phishing.

Implementar una buena estrategia de seguridad puede ayudar a mantener los datos de su organización y de los usuarios finales privados, seguros y protegidos La responsabilidad recae en la prevención, que es menos costosa para tu presupuesto y reputación que si sufres una brecha o un ataque.

Trabajar como una sola organización con tu equipo de seguridad informática y los usuarios finales puede ayudar a reducir la amenaza de la ciberdelincuencia.

Visita nuestro centro de recursos de ciberseguridad para obtener más recursos.