A la hora de contratar una cobertura de ciber riesgos hay empresas españolas que encuentran dificultades. Por eso, me gustaría compartir varios consejos para que las compañías puedan mejorar su perfil de seguridad.
Hay cinco áreas clave en las que centrarse:
1. Seguridad informática
• ¿Tiene la certeza de que todos sus sistemas están siempre al día con las actualizaciones de seguridad necesarias? No es suficiente con mantener actualizado el antivirus. Es importante comprender bien el proceso para gestionar las vulnerabilidades y actualizaciones del software, aunque sea un proveedor de TI externo quien facilite el servicio.
• ¿Cuenta con una autenticación de múltiples factores (MFA) en todas las conexiones remotas y cuentas de administrador? Es necesario que el usuario disponga de dos tipos distintos de información para acceder al sistema, de modo que, en caso de que uno de ellos se vea comprometido (por ejemplo, si le adivinan la contraseña), siga quedando un segundo paso (por ejemplo, un código enviado a un teléfono móvil o dirección de correo electrónico, reconocimiento biométrico) antes de permitir el acceso.
• ¿Tiene la garantía de que sus empresas o empleados no recurren a sistemas no compatibles? Y, cuando no queda más remedio, ¿puede asegurar que se encuentran aislados de Internet y del resto de su red?
• ¿Conoce la diferencia entre el análisis de vulnerabilidades y las pruebas de penetración? ¿Con qué frecuencia lleva a cabo cada uno de ellos? En pocas palabras, las pruebas de vulnerabilidad analizan y evalúan sus sistemas informáticos en busca de puntos débiles, mientras que las pruebas de penetración actúan a modo de ataque cibernético simulado contra esos puntos débiles para constatar lo grave que podría ser la situación.
2. Empleados
• Sus empleados pueden ser el eslabón más débil en lo que respecta a la seguridad cibernética, por lo que es muy importante contar con un programa formativo que les tenga al tanto de los riesgos, de cómo detectar actividades sospechosas y de qué hacer, o lo que es más importante, qué no hacer en esos casos.
• También se recomienda llevar a cabo simulaciones de phishing esporádicas para poner de manifiesto los aspectos relacionados con el personal en los que pueda ser necesario dedicar más tiempo a impartir formación acerca de los riesgos.
3. Continuidad de la actividad
La continuidad de la actividad ha de ser un objetivo clave para todas las empresas, con procesos y prioridades claramente establecidos para ayudar a proteger los datos, la reputación, los ingresos y, en última instancia, la recuperación. Estas son algunas de las cuestiones clave que se deben considerar:
• ¿Realiza copias de seguridad de los datos críticos Offline con regularidad?
• ¿Mantiene separada la TI (la tecnología de la información) de la TO (tecnología de la operación) haciendo uso de firewalls o air gaps, por ejemplo?
• ¿Aísla las diferentes ubicaciones?
• ¿Cuenta con un plan de continuidad de la actividad o de recuperación ante desastres en caso de producirse una interrupción de la red? ¿Ha probado la aplicación de estos planes?
4. Datos personales
• ¿Hasta qué punto se preocupa por los datos que posee? ¿Los datos confidenciales están bien protegidos mediante un cifrado adecuado? ¿Conserva únicamente los datos que necesita y se deshace de los no esenciales de forma adecuada?
¿Limita la cantidad de empleados que pueden acceder a datos confidenciales?
5. Regulación
• ¿Su empresa debe cumplir con los estándares PCI-DSS? Las empresas que posean, utilicen o transmitan datos de titulares de tarjetas deben contar con esta acreditación.
Los suscriptores de seguros cibernéticos tendrán en cuenta los factores anteriores a la hora de decidir si ofrecen la cobertura y el valor de la prima; sin embargo, aunque su empresa no esté buscando ninguna cobertura cibernética en este momento, tomar estas precauciones de seguridad tiene mucho sentido desde un punto de vista empresarial.
