La ciberseguridad es esencial para todas las empresas que administran un sitio web o venden sus productos en línea. La mayoría de las empresas utilizan el almacenamiento en la nube en la actualidad, y tienen canales de medios sociales que también están en línea.
Existen distintos marcos de seguridad informática que ayudan a las empresas a protegerse. La información que se detalla a seguir pretende ayudarte a crear la mejor estructura de seguridad posible para tu compañía. Cada empresa es diferente, pero todas se hacen las mismas preguntas al implementar su plan de seguridad; algunas se enumeran a continuación.
La ciberseguridad impulsada desde gobiernos nacionales y supranacionales
En el ámbito europeo, la ENISA (European Union Agency for Cybersecurity) proporciona recomendaciones sobre ciberseguridad, apoya el desarrollo de políticas y su implementación, y colabora con equipos operativos en todo el continente.
Su misión es contribuir a la protección de la sociedad de la información mediante la sensibilización, el desarrollo y la promoción de una cultura de redes y de seguridad de la información, además de promover el correcto funcionamiento del mercado interior.
Por otro lado, desde Estados Unidos, el NIST (National Institute of Standards and Technology) también proporciona pautas que generalmente son apropiadas en cualquier organización, por lo que también se convierten en una buena base sobre la que trabajar.
La ISO 27000
El grupo ISO 27000 es un conjunto de parámetros al que se puede recurrir cuando se planifica un marco de ciberseguridad. Esta serie de estándares internacionales puede ayudarte a:
- Definir cuál es la política de seguridad.
- Determinar cuál es el alcance de la política
- Hacer una evaluación completa del riesgo
- Gestionar cualquier riesgo conocido
- Crear objetivos
- Determinar cómo alcanzar esos objetivos
Formación en ciberseguridad para tu personal de Tecnología
Cuando tu empresa esté trabajando en la anterior lista de opciones, no está de más formar a tu plantilla en cada aspecto del marco. Será recomendable contratar a expertos en seguridad para trabajar con tu equipo de Tecnología. Cuando terminen su formación serán capaces de gestionar la seguridad informática de tu empresa y de crear la política más adecuada.
¿Qué marco es el mejor?
Si quieres protegerte de todas las amenazas, el marco del NIST es una buena referencia. Es considerablemente simple, aunque siempre puedes pedir ayuda a un analista especializado para aplicar ese marco a tu empresa. Debes evaluar los riesgos a los que se enfrenta tu empresa hoy y utilizarás este marco cada año para garantizar que tu empresa sigue permaneciendo segura.
El marco de referencia sirve de herramienta para tomar las decisiones más adecuadas. Si surgen nuevos problemas de seguridad, entonces habrá que completar una nueva evaluación de riesgos. Si has alcanzado tus objetivos originales, deberías crear nuevos objetivos.
En cualquier caso, es aconsejable reunir a tu personal de IT para discutir cómo hacer los cambios apropiados y, si es necesario, optar por marcos específicos que se adaptan mejor a la situación.
¿Existen otros marcos?
¡Claro! Entre ellos se encuentran:
Si tu empresa es un e-commerce tradicional y publica información para los clientes, puede usar el marco NIST sin problemas. Puedes elegir la ISO 27000 si haces negocios a nivel internacional y, si tu compañía se encuadra en una industria de nicho, otros marcos destinados a tipos específicos de negocios pueden adaptarse perfectamente.
El PCI DSS
El estándar de seguridad de datos de la industria de tarjetas de pago se utiliza cuando una empresa vende productos online como actividad principal. Si cuenta con un gran catálogo online, estos estándares colaboran a la protección de ciertos tipos de datos que recopila la empresa en cuestión. El PCI DSS ayuda a:
- Administrar una red segura
- Proteger los datos de la tarjeta
- Comprobar la vulnerabilidad
- Usar medidas de control de acceso para evitar ataques de piratería
- Poner a prueba las redes de seguridad
- Crear una política de seguridad
La publicación especial del NIST 800-53
Si tu empresa trabaja con datos gubernamentales o tiene un contrato con el gobierno en Estados Unidos, debería utilizar este marco de seguridad, un poco más estricto y con actualizaciones más frecuentes.
AICPA
Este marco se utiliza para datos no comerciales en el ámbito estadounidense. Protege la propiedad intelectual y otros datos que la empresa genera todos los días. Este marco es útil si no hablamos de e-commerce. Podría utilizarse este marco para proteger los proyectos que aún no han sido financiados o incluso ideas para proyectos. En definitiva, cuando no quieres que alguien te robe una idea y se lleve un contrato.
COBIT
Es una guía de mejores prácticas dirigida al control y supervisión de tecnología de la información y suele utilizarse cuando hay ciertas regulaciones de obligatorio seguimiento debido a la naturaleza de un negocio. COBIT ayuda a empresas de cualquier magnitud a:
- Optimizar el coste de la tecnología
- Apoyar el cumplimiento de la normativa, acuerdos contractuales y políticas
- Gestionar las nuevas tecnologías de la información
En conclusión, si buscas un marco de seguridad para tu empresa, revisa las opciones anteriores antes de tomar una decisión final. Por supuesto, eso no es óbice para formar a al equipo de Tecnología, sobre todo si se elige un marco específico. En ese caso, se puede contratar a un consultor que te advertirá de lo que tu empresa necesita hacer, o de qué normas gubernamentales rigen tu administración online. Si almacenas datos de clientes online, guardas datos para proyectos futuros o administras plataformas online que podrían ser pirateadas en cualquier momento, el marco de seguridad es la única forma de mantenerse seguro.
