¿Cuál es la cultura de ciberseguridad de su empresa?

Advertencia

Siempre recomendamos que cualquiera de las actividades descritas haya sido aprobada explícitamente por el (los) objetivo (s) dentro del alcance de una prueba de penetración autorizada y que lleve consigo una copia de una carta de autorización en todo momento.

Toda la información proporcionada en este sitio es solo para fines educativos. El sitio y los autores del sitio web no son responsables en ningún caso del uso indebido de la información.

Categoría: Seguridad de la información

¿Cuál es la cultura de ciberseguridad de su empresa?

by Juan Oliver Publicado el 02 de septiembre de 2018

Cada vez que se produce una importante brecha de seguridad, muchas personas se quedan rascando la cabeza y se preguntan "¿Cómo sucedió esto? ¿Son realmente los hackers tan buenos?

En muchos casos, sí, los hackers son mucho más sofisticados de lo que la mayoría de la gente les da crédito. Sin embargo, los ciberdelincuentes generalmente tienen algo de ayuda, y generalmente se presenta en forma de negligencia de un empleado promedio. Los hackers dependen de los empleados de la compañía, desde los ejecutivos hasta la sala de correo, para crear brechas, lo que les permite obtener acceso a las redes más sensibles de las organizaciones.

"¡Pero nunca haría eso!", Podrías estar pensando. "Además, nuestro departamento de TI tiene todas las últimas herramientas de seguridad en su lugar. Tenemos protección antivirus y firewalls. ¿No debería eso mantener alejados a los piratas informáticos?" Si bien es cierto que los programas antivirus, firewalls y otras herramientas de seguridad ayudan a proteger las redes contra intrusiones, quizás la mejor arma contra los piratas informáticos y el cibercrimen sea una cultura fortalecida de ciberseguridad.

¿Qué es una cultura de ciberseguridad?

En términos simples, una cultura de ciberseguridad es cuando todos en la organización entienden la necesidad de mantener las redes y los datos seguros, y juegan un papel activo en esa comprensión. Es un entorno en el que los empleados reciben capacitación y se actualizan continuamente sobre los procedimientos de seguridad, sin mencionar que sus gerentes saben de qué actividades son seguras y qué actividades ponen en riesgo los datos confidenciales. En resumen, es donde la ciberseguridad es una prioridad en todos los departamentos, donde todos entienden los riesgos y donde todos son conscientes de su responsabilidad personal con la seguridad de los datos de la organización.

Desafortunadamente, en demasiadas organizaciones, la gente simplemente asume que TI tiene la ciberseguridad "bajo control" y no tiene idea de que sus propios comportamientos y hábitos podrían ser peligrosos. Al mismo tiempo, muchos equipos de seguridad de TI asumen que los empleados conocen los riesgos y no harán nada arriesgado. Estas son suposiciones peligrosas.

Para determinar si su empresa tiene una cultura de seguridad cibernética, tome esta prueba rápida de ciberseguridad:

  1. ¿Qué tipo de capacitación en ciberseguridad reciben los nuevos empleados?
    1. Tenemos un programa integral que cubre nuestras políticas y procedimientos con respecto a la ciberseguridad que todos los empleados deben completar
    2. Recordamos a los empleados que no deben dar sus contraseñas y evitar virus, pero eso es todo
    3. Todo el mundo sabe sobre seguridad: no necesitamos hacer entrenamiento
  2. ¿Con qué frecuencia actualiza a los empleados sobre noticias de seguridad?
    1. Nos comunicamos regularmente para informar a los empleados sobre nuevos riesgos
    2. Si aparece algo nuevo y creemos que es importante, podríamos enviar un correo electrónico
    3. Nunca
  3. ¿Alguna vez ha probado su entrenamiento de seguridad?
    1. Sí. Hemos tenido varios ejercicios de phishing exitosos, y realizamos pruebas de penetración regularmente
    2. Probamos el sistema cuando fue instalado
    3. Puedo ejecutar pruebas?
  4. ¿Cuál es su política de BYOD?
    1. Tenemos parámetros estrictos con respecto al uso de dispositivos personales por parte de los empleados. Los empleados deben aceptar un plan de administración de dispositivos móviles, y nos reservamos el derecho de bloquear o borrar los dispositivos que consideremos comprometidos
    2. Los empleados pueden usar dispositivos aprobados, y tenemos una lista de aplicaciones aprobadas y alentar a los usuarios a instalar software antivirus
    3. No tenemos una
  5. ¿Qué pueden los empleados instalar en sus máquinas?
    1. Nada. Todas las aplicaciones o software deben venir a través de TI
    2. Algunas máquinas tienen privilegios de administrador restringidos, pero la mayoría de las personas pueden instalar software si lo solicitan
    3. Lo que sea que quieran. Todos tienen privilegios de administrador en sus máquinas
  6. ¿Cuál es su política de contraseñas?
    1. Tenemos reglas de contraseña estrictas; de hecho, utilizamos un administrador de contraseñas y autenticación de múltiples factores para mantener seguros nuestros datos más confidenciales
    2. Requerimos contraseñas complejas y alentamos a los empleados a cambiarlas regularmente, pero no es obligatorio
    3. La mayoría de las personas usa la misma contraseña por años y para cada sistema

Resultados

Si respondió principalmente A, es muy probable que su empresa tenga una sólida cultura de ciberseguridad.

Si respondió principalmente B, estás bien, tiene mucho trabajo por hacer. Comience desarrollando políticas claras y firmes, y brindando capacitación a los empleados.

Si respondió principalmente C, tiene una buena posibilidad de que su red se vea comprometida, es decir, si su red aún no lo ha estado. Debe hacer de la ciberseguridad una prioridad y hacer que su empresa entera participe.

Si bien esta prueba puede parecer una simplificación ligera de problemas de seguridad muy complejos, debería servir como una llamada de atención a la importancia de mejorar su cultura de ciberseguridad y la seguridad de su red corporativa. Con tanto en juego, no puede dejar su seguridad en suposiciones y suposiciones. Si hace falta, comience a cambiar la cultura de tu empresa hoy.

Compartir