Si eres responsable de la ciberseguridad de tu empresa, no hay que explicarte por qué hay que tomarsela en serio. Eres el responsable de reducir el riesgo, capacitar a tu personal y dar el ejemplo. 

Sin embargo, actualizar parches de forma rutinaria a todos los sistemas, y tener que aprender cada nuevo framework de javascript, muchas veces nos arrastra a dejar la seguridad de lado.

El error humano es la causa número uno de las violaciones de ciberseguridad, y el phishing sigue siendo uno de los principales métodos de ataque. 

Por eso en este artículo quisimos desarrollar una guía que sea eficiente a la hora de crear una campaña de ciberseguridad, y que además capacite a tu personal para que esté en guardia ante mensajes sospechosos.

Fundamentos para crear una campaña de ciberseguridad en tu empresa

Establecer una cultura de información

Una plataforma de colaboración en la nube, como Google Workspace, será mucho más segura que cualquier otra biblioteca de información de seguridad que puedas configurar. 

La cultura de información no es solo generar entregables o capacitaciones que deduzcan que la información fue percibida de manera correcta por todos, también se basa en generar plataformas donde la información se encuentre disponible y sea funcional en los momentos de auto-ayuda.

En resumen, establece una sólida cultura de seguridad de la información que haga hincapié en la seguridad individual como estándar para una campaña de ciberseguridad exitosa. 

Recomendación: Crea una capacitación y proporciona una inducción básica en seguridad de la información cuando incorporen personal nuevo.

Crear un círculo de confianza 

Cuando cuentas con plataformas como Google Cloud Platform para gestionar el almacenamiento de información de varias células de trabajo, o los sistemas de trabajo están siendo administrados a través de máquinas virtuales, la seguridad del marco de trabajo está garantizada por el proveedor, en este caso, Google. 

Por lo que con esa ventaja, podemos crear un círculo de confianza, en el que para pertenecer, es necesario estar capacitado, y es nuestro deber educar al personal para que esté atento al phishing. 

Los ataques de phishing contra las campañas van en aumento y continúan siendo el principal método utilizado por los actores malintencionados, por lo que tu personal debe tener una actitud sospechosa y cuestionadora ante todo.

Los ataques de phishing sofisticados pueden provenir de remitentes falsificados o comprometidos que parecen legítimos. Ante esto, anima a los empleados a compartir cualquier cosa sospechosa contigo o tu personal de TI. 

El círculo de confianza también consiste en crear ese espacio para compartir experiencias. Cuantas más personas compartan, más confianza tendrán en que están atentos a los ataques como equipo.

Los canales de comunicación como Google Chat, ayudan a generar nuevas conversaciones que fortalezcan la cultura de información de ciberseguridad, basada en experiencias y actualizaciones.

Sistematizar la gestión de cloud computing

Si vas a establecer un sistema en la nube, es importante contar con una suite ofimática que proporcione comunicación segura por correo electrónico, creación de documentos, chat, uso compartido de archivos, y mucho más; como lo hace Google Workspace.

Los sistemas basados en la nube administrados por los principales proveedores estarán mejor protegidos que cualquier servidor que puedas configurar en tu empresa. 

Hay versiones gratuitas, pero las versiones pagas te brindan muchas más capacidades administrativas. El Programa de Protección Avanzada de Google brinda seguridad adicional contra ataques en línea dirigidos como el phishing (esto está disponible para las cuentas de Google/Gmail de cada usuario). 

Instalar una plataforma basada en la nube, solo costará unos pocos dólares al mes por empleado. 

Implementar la autenticación de dos pasos

Implementa la autenticación 2FA para todas las cuentas importantes, cualquier otro servicio de almacenamiento o correo electrónico, y las cuentas de redes sociales. Usa una app de autenticación, o una llave física para su segundo factor, no mensajes de texto.

Para tus contraseñas y las de tu equipo, usar un administrador de contraseñas es la mejor manera de reducir el riesgo. Te permiten generar y almacenar contraseñas largas y aleatorias que no tienes que memorizar.

Encriptar ciertas conversaciones y documentos

El cifrado codifica los datos, lo que reduce drásticamente la probabilidad de que alguien pueda leer tus mensajes, incluso si interceptan los datos.

Prohibir la transferencia de información confidencial en canales de comunicación que no estén administrados y protegidos por la compañía, puede sumarse a tu campaña de ciberseguridad. Puedes jerarquizar y solicitar que cierto grado de información se transfiera solo a través de mensajes cifrados. 

Si alguien se comunica para solicitar una contraseña o un restablecimiento de contraseña, exige que la solicitud se realice en persona o mediante un chat de video para asegurarse de que sea el miembro del personal de la célula de trabajo. 

Solo comparte contraseñas en persona o mediante mensajes cifrados de corta duración. 

Nunca compartas contraseñas por correo electrónico ni las almacenes o distribuyas utilizando un sistema gratuito de asistencia remota.

Diseña el plan 

Diseña un plan, manual o guía en caso de que tu seguridad se vea comprometida. Ten a mano, para ti y tu equipo, a quién llamar para obtener ayuda técnica. Agrega un desglose que explique sus obligaciones legales, que deben venir ya firmadas en el contrato laboral, y estén listos para comunicarse interna y externamente lo más rápido posible.

Te explicamos los pasos a seguir:

1. Preparación

El éxito de casi todas las recomendaciones del Playbook de ciberseguridad que diseñes, depende de que el director del proyecto o CTO cree una cultura de vigilancia de la seguridad que minimice los vínculos débiles. 

Eso significa establecer reglas básicas, claras; que se apliquen de arriba hacia abajo y se impulse su adopción de abajo hacia arriba.

2. Sistema base de protección

La protección es fundamental. Cuando descubres que tiene un problema de seguridad, ya es demasiado tarde. Construir las defensas más sólidas que contemplen la reducción de tiempo y dinero, es clave para reducir el riesgo. 

La seguridad de Internet y de los datos funciona mejor en capas: no existe una única tecnología o producto a prueba de balas. 

Algunas medidas básicas utilizadas en combinación pueden hacer que la arquitectura digital de un proyecto sea más difícil de violar, y más resistente si se ve comprometida.

3. Ser persistente con la implementación y adopción del cambio

Los proyectos de desarrollo ahora se enfrentan a adversarios con niveles cada vez mayores de recursos y experiencia; incluso la cultura más vigilante y la infraestructura más resistente pueden no evitar una brecha de seguridad. 

La campaña de ciberseguridad debe desarrollar un plan con anticipación para hacer frente a una violación de seguridad, si se produce. Todo debe quedar detallado paso a paso y la manera de ser persistente es practicar, con simulacros que comprueben el entendimiento de las tareas, responsabilidades y tiempos de respuesta.

4. Gestión del proyecto y acompañamiento

Es importante que la ciberseguridad esté estrechamente integrada en el trabajo de recursos humanos y TI, ya que la incorporación correcta del personal, el aprovisionamiento de hardware y el control de permisos serán fundamentales para tu manual de seguridad. 

Independientemente del modelo de soporte que tengas, la ciberseguridad debe comenzar desde el primer día. 

Lo que sigue es una lista de verificación de las siete principales medidas que son absolutamente vitales.

1. Medir costos
2. Estudiar y analizar el entorno (puedes usar la matriz más acorde a tu marco de trabajo)
3. Definir la gestión de peligros
4. Presentar un plan de acción para administración de los recursos
5. Integrar al personal y los intereses del área de comunicaciones, operaciones, TI y legal, durante las primeras reuniones de desarrollo
6. Presentar el plan y llevar a cabo una campaña de capacitación
7. Monitorear y auditar periódicamente. 

Conclusión

En los ambientes y dinámicas actuales, la ciberseguridad es responsabilidad de todos. El error humano siempre ha sido la causa principal de los ataques cibernéticos, y depende del candidato y de los líderes de campaña incorporar la conciencia de seguridad en la cultura de la organización.

Los CTO deben asumir la responsabilidad de su estrategia de seguridad cibernética, pero la mayoría delegará el desarrollo y la supervisión en un subdirector o director de operaciones o proyectos, por lo que es importante contar con proveedores que blinden todo el sistema de información.