top of page
Buscar

Día Internacional de la Seguridad de Información: Webinar sobre Ciberseguridad

  • Foto del escritor: Angelina Angelov
    Angelina Angelov
  • 30 nov 2021
  • 7 Min. de lectura

Los incidentes de seguridad cibernética pueden provocar daños a la reputación, pérdida de productividad, robo de propiedad intelectual, interrupciones operativas y gastos de recuperación. La protección de datos es un gran desafío que requiere un compromiso continuo. Por tanto, se deben de establecer, las políticas y procedimientos de seguridad y asegurar su implementación y cumplimientos. La capacitación en todos los niveles, sobre todo de los lideres puede ser factor diferenciador para disminuir los riesgos asociados con el uso de tecnologías. Es necesario, por tanto, crear una cultura de ciberseguridad.


A continuación, transcripción de algunas partes del Webinar:


Primero aprovecho para agradecer al público por acompañarnos en el día de hoy, miembros de la asociación IWIRC y más ampliamente colegas y amigos, por acompañarnos en este encuentro en ocasión del Dia Mundial de la Ciberseguridad.


Estilo de vida que llevamos ha cambiado. Según IoT Analytics, para finales de 2020, la cantidad de dispositivos conectados en todo el mundo alcanzaría los 21.700 millones, y el 54% de ellos formará parte de Internet de las cosas. Estamos rodeados de dispositivos inteligentes: en casa, en la oficina, en la calle. En octubre 2019 American Bar Association publicó el Reporte Tecnológico, donde señalan que una persona promedio utiliza alrededor de 36 aplicaciones basadas en las nubes en su diario vivir.


Juan Jose ha dejado claro lo que han sido las estadísticas del 2021. A nivel mundial 1 de cada 61 organizaciones se ha visto afectada por ransomware cada semana. A pesar de los esfuerzos, el delito cibernético seguirá creciendo, por lo que ya no se suficiente tener ciberseguridad, sino construir la ciber resiliencia. Ampliamente, construir la estrategia sobre ciber resiliencia.


Ciberseguridad debe formar parte del Plan Estratégico de su negocio hacia la transformación digital. La ciber resiliencia debe convertirse en una piedra angular del ecosistema. El director de seguridad de la información como un profesional técnico, debe participar activamente en la planificación estratégica.

Ciberseguridad NO es la responsabilidad exclusiva del personal de Tecnología. Es la responsabilidad de todos.


Gestión de Riesgo


La política de seguridad cibernética se basará en la Evaluación de Riesgo de la firma y los responsables para cada proceso. Primer punto es contar con el apoyo de Alta gerencia y a partir de allí identificar políticas y pautas a seguir y luego implementar las medidas correctivas para lograr los cumplimientos.


Palabras Claves: Dueño, Gerente General, CEO: Si identifica su nombre entre las palabras claves, Usted es el responsable en última instancia

El conocimiento básico de las reglas de cibernética evitará que sea un objetivo perfecto para los ciber delincuentes.


Palabras claves: Legal, cumplimientos

Si encuentra cualquiera de las palabras claves en el nombre o la descripción del puesto, entonces su rol es fundamental para gestión de riesgo.

  • Comprender las implicaciones legales de la ciberseguridad para permitir solida mitigación de riesgos,

  • Implementar efectivo programa de cumplimientos

  • Participar activamente en el proceso de gestión de riesgos trabajando con áreas de Planificación, Finanzas, Administración y otras, para mitigar los riesgos de manera integral.

  • Apoyar equipo de respuesta a incidentes

  • Después de un eventual incidente, llevar a cabo los pasos necesarios, sea en apoyo de órganos oficiales de investigación, notificaciones a los clientes, proveedores o el público en general.

  • Proteger la información de cumplimiento legal: Asegúrese de que la información se destruya de acuerdo con las políticas de retención de datos de la organización o las regulaciones externas.

Otros roles:

Comprenda completamente su función y asuma la responsabilidad personal de saber cómo su organización aborda los riesgos de ciberseguridad.

Estar dispuesto a aprender, ya que la tecnología evoluciona continuamente.

Sepa cómo manejar, controlar, almacenar, transferir y disponer de información en su organización.

Proteja sus activos salvaguardando físicamente su computadora, dispositivos móviles e información no electrónica

Siga los procedimientos de seguridad de su organización para las instalaciones y evite el acceso no autorizado mediante trucos de ingeniería social o llamada suplantación de identidad

Utilice las mejores capacidades de autenticación que ofrece su organización para controlar el acceso a computadoras, dispositivos móviles y otros

Utilice encriptación para información en tránsito y en reposo.

Si trabaja desde casa, proteja las conexiones y los dispositivos domésticos

Conozca la política y los contactos de notificación de incidentes de seguridad de su organización.

Tome el control de su propia seguridad y ciberseguridad; no asuma que los proveedores de hardware y software lo harán por usted


Políticas de seguridad incluyen los tres ejes:

  • Seguridad física: políticas de usuarios

  • Seguridad Técnica: esponsabilidad de IT

  • Seguridad Administrativa: Políticas y Programa de ciberseguridad

Que es lo que protegemos

  • Base de datos física y electrónica de los empleados

  • Base de datos física y electrónica de los clientes

  • Informaciones financieras física y electrónica de los clientes y de la organización

Los datos vulnerables son los almacenados, en proceso y en tránsito.


Seguridad administrativa empieza por definir las políticas y esas son aprobadas por la Alta Gerencia. Para implementar cualquier proyecto, necesariamente debemos de contar con el apoyo de alta gerencia y el caso de cibserresiliencia ellos deben formar parte de todo el proceso.

Prepare un plan de continuidad de negocios y de recuperación ante desastres, así como plan de respuesta a incidentes:

  • Plan debe ser consistente y de vez en cuando, hay que probarlo.

  • Tenga un plan de continuidad de negocios en base a la identificación y análisis de los procesos críticos

  • Establezca una infraestructura física alternativa de donde trabajar, equipos de comunicaciones, tecnología, identifica las personas claves, etc.

  • Prepare escenarios de ataques informáticos y pruébelos.

  • Defina los responsables de comunicación y el comité de emergencia, responsable de toma de decisiones

Asegurar las capacitaciones periódicas con la participación de todos los empleados, desde la Alta gerencia hasta los empleados en la primera línea, a través de cursos especiales, pruebas y simulaciones. El error humano al usar sistemas de información de manera inadecuada sigue siendo entre las razones más comunes de un incidente de seguridad cibernética.

Los ejercicios y capacitaciones cibernéticas para todo el equipo ayudan a construir una cultura de seguridad dentro de las organizaciones, aumentan la conciencia sobre la seguridad cibernética y no permiten que los empleados caigan en la ingeniería social y el robo de datos. También mejora la resistencia del personal al phishing.


Una vez completados los entrenamientos, que además deben ser continuos y obligatorios para nuevos ingresos, los empleados deben firmar los acuerdos de seguridad y si aplica, los de uso de equipos propios.


Que significa Construir Cultura de Ciberseguridad


La cultura de nuestras organizaciones es fundamental para establecer exitoso programa de ciberseguridad. Cultura debe enfatizar, reforzar, impulsar a los lideres modelar el comportamiento hacia la seguridad. Cultura es como hacemos las cosas en nuestras organizaciones: y son los lideres los que marcan las pautas. Se requiere de visión, apoyo a la inversión en seguridad y modelar en buenos hábitos de seguridad personal. Y empieza por generar conciencia. Es el componente crítico. Cuando creamos la conciencia en la cultura organizacional, aumenta nuestra capacidad para abordar los riesgos. Hay que estar alerta y preparados, independientemente si es una organización pequeña, sin fines de lucro o una de las Fortun 100. Los cambios de mentalidad impulsarán comportamientos apropiados a nivel individual, ayudando a crear resiliencia en toda la organización.


En cuanto al liderazgo: Necesidades de ciberseguridad requieren recursos financieros y humanos


Comprender los conceptos básicos y las mejores prácticas, lo suficiente para permitir una toma de decisiones sensata Incluir los riesgos cibernéticos dentro de la categoría del riesgo de su negocio: NO es un tema reservado para IT


Desarrollar y mantener políticas y estándares de seguridad de la información.


Crear los equipos multifuncionales para lograr los objetivos de programa de ciberseguridad

Contratar expertos puede ahorrar dinero, recursos y proteger el negocio. Porque cuentan con mayor experiencia y equipos y el personal calificado.


Usar tecnología para reforzar las políticas

  • Cambios de contraseñas

  • Uso de contraseñas con características específicas

  • Desactivar los puertos USB

  • No permitir acceso a determinadas páginas

  • Bloqueo de sistemas por inactividad

Nota para lideres


No tenga miedo de hacer preguntas. Nadie espera de los lideres comprender ciberseguridad tan bien como las finanzas u operaciones, pero todos esperan que mitigue riesgos para el negocio y un riesgo real al día de hoy es el riesgo de ciberseguridad. Como líder, su trabajo depende de que tan bien aborda los riesgos reales a veces con temas con los cuales no se sienten familiarizados.


Normas ISO 27000 proporcionan recomendaciones para el uso de políticas y estructuras organizacionales para reducir el riesgo, y el marco COSO conecta gobierno corporativo con la cultura destacando la importancia de requisitos culturales, valores fundamentales y desarrollo y capacitación de talento humano. El claro compromiso de los lideres en la gestión de riesgo es esencial para el éxito.

La buena noticia es que un estudio publicado por Ernst and Young en 2020 identifica que el 81% de los miembros de junta directiva clasifican la ciberseguridad como "Altamente relevante", y Gartner predice que para el año 2025, el 40% contará con un comité de ciberseguridad (actualmente solo es un 10%).


Expectativas de los clientes internos es trabajo hibrido y clientes externos es la seguridad, movilidad y conectividad.


Auditorias, auditorias y auditarías están a la luz del día, formularios de cientos de paginas que hay que llenar, tanto la parte sobre protecciones administrativas u otros.

Riesgo de no estar en cumplimiento es caro:

Hablando, por ejemplo, del GDPR, lo primero que mencionan muchas personas es el riesgo de multas. Pero para la mayoría de las organizaciones, las multas no son el riesgo más importante de incumplimiento.


Pérdida de confianza

Este es el susto número uno para la mayoría de las organizaciones. Si los clientes no le confían sus datos, no harán negocios con usted. Cumplir con las regulaciones y estándares aplicables se está convirtiendo en la base para hacer negocios. "Si no está cumpliendo con las reglas, ni siquiera hablamos".


Daño reputacional

Si ocurre una infracción, su nombre aparecerá en las noticias y dañará la reputación y disminuirá la confianza. Ninguna organización quiere ser conocida o recordada por la violación que ocurrió y los datos que perdieron. Panamá Papers, Pandora Papers


\Multas

Aunque no es la consecuencia más importante según muchas organizaciones, estas siguen siendo muy importantes y podrían tener un impacto sustancial en los negocios.


Recomendaciones simples:

  • NO colocar sus contraseñas escritas en un “post it”

  • NO dejar que sus hijos menores utilicen los dispositivos donde tienen la data de la oficina

  • Usar la encriptación, pero recordar que deben salvaguarda la clave o la contraseña usada para encriptar. No existen caminos alternativos para abrir datos previamente encriptados

  • Memorias USB: Encriptadas, ejemplo Ironkey, Apricom

  • Mantener los archivos personales separados de los de la oficina

Pero, además:

  • Limitar a los demás la posibilidad de encontrar su router

  • Usar conexiones seguras (VPN)

  • Si viaja, no ingrese los datos sensibles en las computadoras públicas y mucho menos redes públicas abiertas, por ejemplo, bibliotecas, cibercafés, hoteles, aeropuertos

  • Finalmente: utilice Social Medias con sabiduría: No comparta su información personal en las cuentas corporativas o viceversa

Para concluir solo me queda una vez más agradecer al público quedando a su disposición de contestar cualquier pregunta.


Angelina Angelov



Comments

©2020 por The time of change. Creada con Wix.com

bottom of page