¿Sabes gestionar la ciberseguridad en tu empresa?

¿Sabes gestionar la ciberseguridad en tu empresa?

Para saber cómo mejorar en la mayoría de facetas de la vida es necesario conocer el punto de partida, y todo lo que afecta a la ciberseguridad de la empresa sigue el mismo patrón. Por eso, tenemos que comenzar por analizar cómo estamos. Después de conocer la situación actual de la organización se debe elaborar una hoja de ruta que establezca de forma clara a donde se dirige la empresa en materia de ciberseguridad. Finalmente para ver el progreso del plan utilizaremos puntos de comprobación. Te explicamos cómo hacerlo con algunas herramientas.

¿Cómo está actualmente la ciberseguridad de tu empresa?

Para conocer cómo está actualmente el nivel de ciberseguridad tu empresa desde INCIBE ponemos a tu disposición la herramienta de autodiagnóstico. Mediante esta herramienta en tan solo 5 minutos podrás saber los riesgos a los que se enfrenta tu organización.

A través de una serie de preguntas sobre los sistemas y metodologías utilizadas en la empresa, la herramienta te guiará en todo su recorrido hasta obtener el resultado final con un nivel de riesgo de la organización. Este resultado está dividido en tres puntuaciones para «personas, procesos y tecnologías». Para cada una de estas puntuaciones parciales podrás consultar informes con recomendaciones específicas para reducir los riesgos.

Marcar el camino a seguir en ciberseguridad

El siguiente paso será establecer el camino a seguir para mejorar la ciberseguridad de manera integral. Para ello, se debe elaborar un Plan Director de Seguridad. Este documento contendrá los proyectos que se abordarán tanto nivel técnico como legal y organizativo, con los que mejorar la ciberseguridad de manera integral. Utiliza las tres plantillas que encontrarás en la sección de recursos del enlace anterior.

Un Plan Director de Seguridad se puede dividir en las siguientes fases:

  1. Conocer la situación actual. Con la herramienta de autodiagnóstico habrás dado el primer paso. Te hará falta hacer un inventario de activos (plantilla). Si quieres profundizar más has de hacer un análisis de riesgos (plantilla). Con este análisis podrás hacer una gestión de riesgos. Te contamos cómo en este artículo: “Gestión de riesgos, una guía de aproximación para el empresario”.
  2. Alinearse con la estrategia de la organización teniendo en cuenta sus objetivos a medio y largo plazo, ya que estos marcarán en gran medida las siguientes etapas.
  3. Definir proyectos e iniciativas que permitan incrementar la ciberseguridad en base a los objetivos del negocio. Así, podremos dar pasos para alcanzar el nivel de ciberseguridad deseado.
  4. Clasificar y priorizar los proyectos e iniciativas (plantilla) anteriormente descritos. De esta forma, se podrán abordar los que más se adecúen a los objetivos estratégicos de la empresa.
  5. Aprobación por la dirección, etapa fundamental y sin la cual ningún Plan Director de Seguridad llegará a buen puerto.
  6. Implantación del plan. Para ello, es esencial asignar responsables, establecer hitos y revisarlo periódicamente, ya que las necesidades de la empresa es muy probable que cambien.

Es importante recordar que no es posible proteger todo frente a todo, es decir, no podemos proteger todos nuestros activos frente a todos los posibles incidentes. Tenemos que priorizar y seguir un enfoque incremental y de mejora continua para alcanzar los objetivos que convengan al negocio. Por ejemplo, este año la prioridad es asegurar ese servicio que nos da tanta rentabilidad, a él dedicaremos la mayor parte de nuestros esfuerzos. Cada año revisaremos nuestro plan, verificaremos su avance, lo readaptaremos a nuestras estrategias y elegiremos cuáles son los siguientes pasos para avanzar en nuestra protección.

Checklist para las políticas de seguridad de tu empresa

Las políticas de seguridad tratan los aspectos y elementos esenciales con los que mejorar la ciberseguridad. Estas serán importantes si se quieren alcanzar los proyectos e iniciativas definidos en el Plan Director de Seguridad. Por ejemplo, si utilizamos un tipo de almacenamiento en la nube tendremos que incorporar las medidas indicadas en la política. Igualmente para el uso de móviles, wifi y otras redes, etc. Para cada política contiene una lista de chequeo de las acciones que deben seguir el empresario, el técnico o el resto de empleados, ya que no todos realizan las mismas tareas.

No Comments

Post A Comment

× Contáctanos