This post is also available in: Português Español
Preguntas como “por qué realizar un assessment de seguridad” y “cuándo realizar un assessment de seguridad” están siendo consideradas cada vez más por empresarios de todos los ramos de la industria. Esto se remonta al concepto mismo de assessment; traduciendo, significa evaluación de seguridad. Es un servicio que básicamente analiza los riesgos de seguridad de la información en los procesos y tecnologías que utiliza una empresa.
Se trata por tanto de una evaluación proactiva que tiene como objetivo detectar o identificar amenazas o vulnerabilidades en cualquier sistema, red, software o dispositivo. Los resultados de esta evaluación ayudan a la empresa a planificar que hacer para responder y gestionar el riesgo.
La profundidad y amplitud de un assessment de ciberseguridad pueden depender del tamaño de la empresa, el sector, el umbral de riesgo, el cronograma y el presupuesto. Entonces, pueden haber varios indicios que sugieran que ha llegado el momento de que la empresa realice un assessment de seguridad.
Uno de ellos tiene que ver con las oportunidades de negocio. Las empresas pueden tener dificultades para vender productos o servicios a empresas que tienen una mayor madurez de seguridad. Muchas de estas empresas incluso exigen certificaciones de mercado para demostrar el compromiso de la empresa con la excelencia en temas asociados a la seguridad digital.
Otra razón para considerar un assessment es cumplir con requisitos reglamentarios. Por ejemplo, existen muchas reglas sobre las pruebas de exposición cibernética en entornos financieros, de salud, energéticos y educativos. El cumplimiento comienza con una evaluación integral del riesgo cibernético, y también se pueden hacer recomendaciones basadas en los resultados de la evaluación para ayudar a la organización a mantener, o lograr, el cumplimiento deseado.
También existe una posible falta de experiencia por parte de los equipos en materia de ciberseguridad. Las amenazas internas siguen siendo uno de los mayores problemas en lo que respecta a la ciberseguridad.
La mayoría de los empleados no actúan de mala fe, pero sí tienen malos hábitos, inconscientemente. Algunos colaboradores no tienen problemas para usar una contraseña como «123456» en todos los inicios de sesión. Incluso aquellos con capacitación en seguridad pueden ser víctimas de estafas de phishing. Además, es posible que los empleados con exceso de trabajo no se den cuenta cuando reciben una factura falsa que se parece mucho a las legítimas enviadas por proveedores de confianza, por ejemplo. Así, un documento aparentemente inocente y rutinario puede hacer que una buena cantidad de dinero caiga en manos de estafadores virtuales.
Considere, también exempleados. Dependiendo del tamaño de la empresa y del volumen de trabajo, es posible que aún no existan procedimientos claros y objetivos para tratar el acceso de los trabajadores despedidos a los sistemas. No todo el mundo deja las empresas de forma amistosa, por lo que es necesario eliminar el acceso de todos los ex empleados incluso antes de que se les notifique su despido.
Actualización
La existencia de estructuras físicas y lógicas obsoletas entra en la lista de razones para considerar un assessment. Por eso, es común escuchar frases como “el sistema es antiguo, pero aún satisface bien nuestras necesidades”. En estos casos, el problema no es si hacer el trabajo o no, sino la capacidad de defenderse de los cibercriminales.
La razón es que softwares o sistemas operativos más antiguos son más propensos a riesgos cibernéticos. Cuando el software alcanza cierta antigüedad, el proveedor deja de dar soporte a esa solución. Microsoft, por ejemplo, está eliminando parches y actualizaciones de seguridad de Windows 7. Quiere decir que, las empresas que usan ese sistema operativo pueden comenzar a pensar cambiarse a Windows 10. La sustitución puede ser engorrosa, pero es menos complicado que un posible ataque cibernético.
Por lo tanto, lo ideal es no conformarse con tecnologías antiguas y aún funcionales, creyendo que todo está seguro porque aún no ha habido una falla. Los mayores peligros son las vulnerabilidades pequeñas e inadvertidas de las que el personal de la empresa no es consciente, pero los ciberdelincuentes sí lo son.
Hablando de vulnerabilidades, la ausencia de una política de control de datos es otra señal de que ha llegado el momento de un assessment. Algunas situaciones se han potenciado, ya que el trabajo a distancia se ha convertido en una realidad cada vez más presente en las empresas. En este sentido, si la empresa no se ha preparado para este cambio, es muy relevante realizar un assessment de seguridad.
Las empresas que alienten al empleado a utilizar su propio dispositivo para realizar actividades en la empresa (BYOD) deben prestar especial atención. Es un enfoque lleno de beneficios, pero es necesario garantizar que todos los empleados cuenten con los dispositivos adecuados para realizar sus actividades sin poner en riesgo los datos corporativos. Otro problema es que los trabajadores pueden descargar software o aplicaciones maliciosas en sus dispositivos personales que dan acceso a los ciberdelincuentes a los sistemas de la empresa. Por lo tanto, pueden ignorar por completo que su equipo tenga malware y puede infectar los sistemas cuando se conecta.
Ante tantas posibilidades de fallas diarias, el assessment muestra que el momento de hacerlo es ahora. Después de todo, los ataques cibernéticos y las filtraciones de datos dañan gravemente las empresas. Si algo sucede, la empresa podría perder el acceso a la red o a los sistemas durante horas o incluso días. Cada momento que pasa en una inactividad cuesta caro en términos de pérdida de productividad, pérdida de ingresos, abandono de clientes y daño a la reputación de la marca, con valores mucho más altos que hacer assessment regularmente.
This post is also available in: Português Español
