No hay duda de que la ciberseguridad presenta un riesgo considerable y creciente para muchas empresas. Los reguladores, inversionistas, medios de comunicación y otras partes interesadas a menudo son conscientes de dichos riesgos y querrán saber cómo los gestiona una empresa. Por supuesto, los miembros de la junta directiva y los jefes de las empresas deben supervisar cualquier programa de gestión de riesgos de ciberseguridad y, como parte de este trabajo, deben iniciar métodos de auditoría sólidos. Si usted es responsable de la ciberseguridad y la protección, ¿cómo puede intensificar estas auditorías en su empresa?
Retos de ciberseguridad del trabajo remoto
A raíz de la pandemia, más empleados que nunca trabajan desde casa, una tendencia que probablemente continuará. Desafortunadamente, el trabajo remoto puede aumentar significativamente el riesgo de sufrir una violación de la ciberseguridad debido a varios factores.
Por ejemplo, muchas empresas no tienen una política escrita de trabajo remoto para ayudar a cada individuo a abordar el riesgo. Como tal, es posible que no existan reglas de respaldo, almacenamiento de medios, acceso remoto y manejo de información. Una política de este tipo debería insistir en que los trabajadores mantengan sus dispositivos separados y nunca mezclen negocios y placer en una máquina en particular. Podría defender el uso de una VPN.
Además, es posible que algunos trabajadores deban ser conscientes de que deben instalar actualizaciones tan pronto como estén disponibles, lo que puede provocar fallos de seguridad y otras posibles lagunas. Es posible que los trabajadores remotos no sean conscientes del potencial de estafas de phishing, que han aumentado desde el cierre. Un clic descuidado podría comprometer todo el sistema.
Auditoría de seguridad
Aunque las empresas pueden tener una política de trabajo remoto (o estar dispuestas a crear una), no es una buena idea ser pasivo. Aquí es donde entra en juego una auditoría cibernética, ya que puede evaluar continuamente el potencial de incidentes de ciberseguridad.
Mejores prácticas para auditorías de ciberseguridad
La ciberseguridad no es simplemente un desafío técnico; el riesgo es muy personal. El empleado individual es a menudo el eslabón más débil; por lo tanto, los programas de auditoría deben centrarse en la fuerza laboral.
Un enfoque sólido para comprender las vulnerabilidades de su organización es un punto de partida crucial y tiene tres etapas distintas:
Etapa 1: Taller: realice un taller detallado con usted para comprender en detalle su TI, red e infraestructura actuales junto con sus controles, sistemas y procesos.
Etapa 2: Análisis técnico y auditoría: realizaremos el análisis técnico y la auditoría cibernética de sus controles y sistemas utilizando las mejores prácticas internacionales y soluciones de implementación de seguridad de próxima generación.
Etapa 3: Informe y presentación: tras nuestra evaluación de los hallazgos de nuestra auditoría, prepararemos un informe completo de auditoría de ciberseguridad. Le presentaremos este informe y, cuando sea necesario, incluiremos un plan de implementación y remediación por fases recomendado.
Una vez que se completa una auditoría, la empresa debería tener algunos conocimientos prácticos para ayudar a los tomadores de decisiones a identificar vulnerabilidades y basar sus estrategias. Pueden identificar áreas que son particularmente vulnerables y crear campañas, políticas y procedimientos de capacitación.
¿Quién debería auditar?
La experiencia en ciberseguridad es la única opción para garantizar que tenga una visión clara de las vulnerabilidades de su organización. Una auditoría de seguridad profesional, realizada según un estándar global, se denomina Auditoría CIS (Centro de Seguridad de Internet). Este enfoque determina el perfil de riesgo y proporciona información valiosa sobre posibles vulnerabilidades. Dado que este enfoque fue desarrollado por la comunidad cibernética y se basa en datos de amenazas reales, es un enfoque autorizado, amigable para la industria y neutral con respecto a los proveedores para evaluar y auditar la seguridad. Lo más importante es que están actualizados, dada la naturaleza en constante evolución del delito cibernético. Los controles CIS se consideran una colección de mejores prácticas de seguridad a nivel internacional.
¿Con qué frecuencia?
No existe un estándar establecido para la frecuencia; el enfoque se considera mejor por sector industrial. Después de una auditoría, la mayoría de las organizaciones prudentes optan por que su organización sea monitoreada continuamente, dado que es un enfoque más eficaz y de bajo costo para mitigar las amenazas para los líderes empresariales.
Estructurar sus informes de auditoría
Una vez que se complete la auditoría, la información estará en una forma estructurada y procesable. Contendrá un resumen ejecutivo sólido y un análisis significativo de cada hallazgo en lugar de simplemente presentar los resultados tal como se recopilaron.
El informe debe incluir las cifras utilizadas en la auditoría y sugerir orientación para remediarlo en lugar de simplemente señalar cualquier brecha de seguridad.
El resumen escrito tanto para los equipos técnicos como para la junta directiva explicará la importancia de los hallazgos, especialmente en el contexto de eventos recientes o amenazas actuales.
