altonivel
Regresar a la edición
Pantalla completa Compartir
Guardar
Accesibilidad Tamaño de texto
A- A+
Animaciones
Iniciar sesión
Reportaje

Guía de ciberseguridad: prácticas de los expertos

La ciberseguridad implica una combinación de mejores prácticas y técnicas defensivas de ciberseguridad. Esta guía, dictada por seis expertos, te ayudará a proteger tus datos y los de tus clientes, pero recuerda que la ciberseguridad es un proceso continuo.

Por: Claudia Cerezo Swipe

Continua en la historia

Swipe Desliza a la izquierda para continuar

| Pablo Cubela, director de TI en Bupa México

  • No visitar sitios web ilegítimos ni dar clic a enlaces sospechosos. Tampoco abrir, descargar o instalar archivos de dudosa procedencia, para evitar ser víctimas del malware o del phishing. Como cada vez es más difícil distinguir entre correos electrónicos reales o falsos, es importante leer con atención la dirección del remitente y compararla con las direcciones oficiales, así como identificar errores tipográficos. Ante cualquier duda, reportarla de inmediato con el equipo de Tecnologías de la Información (TI) y eliminarlo de la bandeja de entrada.
  • Usar contraseñas fuertes es indispensable. Siempre hay que combinar números, letras mayúsculas, minúsculas y símbolos, y no repetirlos. Tampoco se deben usar contraseñas similares a las de otras cuentas.
  • Evitar compartir datos personales, sobre todo en redes sociales y en cualquier página web que no sea confiable. Lo recomendable es solo compartir información cuando sea absolutamente indispensable.
  • Desactivar la tecnología Bluetooth y los puertos USB, porque pueden servir de entrada a software malicioso y como medio para fugas de información.
  • No utilizar puntos de acceso Wi-Fi públicos.
  • Realizar pruebas de penetración y cerrar de inmediato las brechas o vulnerabilidades identificadas por el equipo de seguridad.
  • Implementar herramientas que ayuden a prevenir la fuga de información, identificar rápidamente la presencia de intrusos en la red corporativa, segmentar la red, verificar los accesos, y revisar la configuración y actualización de todos los sistemas constantemente.

| José Juan Marroquín, gerente de Ciberseguridad & Redes Administradas en Alestra

  • Realizar inversiones acordes al presupuesto de la empresa para cuidarse de las amenazas informáticas.
  • Construir una estrategia de ciberseguridad de mano de socios tecnológicos y consultores que ayuden en el desarrollo de planes y programas para fortalecer al negocio.
  • Concientizar a los colaboradores sobre el valor de la información que manejan. Esta práctica debe ir desde el director general hasta la persona con menor responsabilidad. Toda la organización debe contar con una guía en la que se destaquen los puntos importantes a cuidar cuando se utilice información a través de los distintos equipos, incluidos los móviles.
  • Instrumentar controles de hardware y software debidamente licenciado, actualizar los sistemas operativos de todos los dispositivos empresariales (las actualizaciones corrigen agujeros de seguridad), implementar antivirus de siguiente generación en todos los equipos personales y empresariales conectados a la red de la compañía, y sistemas de doble factor de autenticación (la doble identificación puede ser la contraseña habitual más un código de seguridad que se le envía al usuario mediante otro medio para así confirmar que realmente es el propietario de la cuenta) y contar con un constante respaldo o copias de seguridad de la información en entornos físicos o virtuales.
  • Implementar plataformas de seguridad de nueva generación, como un EDR (Endpoint Detection and Response) con inteligencia artificial y machine learning, para aprender de las nuevas amenazas y, de esta forma, contener ataques. También puede considerarse un sistema NDR (Network Detection and Response), el cual proporciona una visión completa de la posible superficie de ataque y las interacciones entre todos los dispositivos de la red.

| Juan Carlos Zevallos, Cybersecurity Manager en IBM México

  • Sensibilizar a los usuarios; esa es la primera línea de defensa. De acuerdo con el Índice de Inteligencia de Amenazas de IBM X-Force 2022, más del 90% de los ciberataques son posibles, en mayor o menor medida, por errores humanos. Es importante trabajar en la falta de precaución de los colaboradores, la cual conlleva a acciones como la configuración inadecuada de gestión de identidades y accesos en entornos de nube, o a la fuga y pérdida involuntaria de datos.
  • Redefinir la base sobre la que se construyen las alianzas. Para innovar mientras las empresas se mantienen seguras, los líderes deben verificar que los estándares de seguridad se extiendan desde sus programas internos hasta sus relaciones con proveedores y terceros. Asegurar la cadena de suministro requiere que los equipos de seguridad implementen los procedimientos adecuados en la gestión de riesgos de cada nuevo socio y tengan buena visibilidad de lo que sucede con los datos cuando se accede a ellos.
  • Desconfiar. Al operar con la idea de que un entorno tecnológico ya está expuesto y que un adversario ha aprovechado esa exposición para comprometer una red, la empresa está más preparada para examinar sus relaciones de confianza. Si se trabaja con la gestión del riesgo en mente, esas relaciones de confianza podrán limitarse en diversos grados, ya sea con usuarios, clientes o aplicaciones internas y de terceros.
  • Optar por nubes especializadas. Las industrias altamente reguladas, como servicios financieros, enfrentan una presión cada vez mayor para transformarse digitalmente, mientras atienden los desafíos regulatorios, de cumplimiento y seguridad. Ante este panorama, los bancos, neobancos y fintechs podrían apoyarse en nubes y plataformas especializadas, con controles de seguridad específicos de la industria incorporados, para soportar la innovación y la funcionalidad con estrictos protocolos de cumplimiento.
  • Implementar capacidades de seguridad mejoradas dentro de la organización y través de sus ecosistemas, antes de que las organizaciones sigan ampliando sus operaciones en la nube. Esto requiere la colaboración de los participantes de la industria y proveedores de la nube. Además, los modelos aumentados de IA cuando hay datos compartidos entre instituciones, refuerzan el sistema inmunológico de la industria, revelando patrones criminales antes que sean virales en ecosistemas extendidos.
  • Automatizar la respuesta a incidentes, para externalizar a las máquinas tareas que podrían llevarle horas a un analista o equipo humano, y para identificar mecanismos que mejoren los flujos de trabajo.
  • Instrumentar soluciones de detección y respuesta ampliada (XDR), para optimizar la detección, investigación, respuesta y búsqueda de amenazas en tiempo real. Cuando se combinan varias soluciones diferentes en una solución de detección y respuesta ampliada, las organizaciones tienen una ventaja significativa al momento de identificar y erradicar a los atacantes de una red antes de que puedan llegar a la fase final.

| Roman Baudrit, vicepresidente de ventas para Latinoamérica del área de Protección de Datos en Thales

  • Identificar cuáles son los datos más críticos para el negocio y dónde están almacenados. Si no se sabe dónde se encuentra la información que en caso de ser sustraída o secuestrada generaría daño a la empresa, entonces la estrategia de seguridad no tiene bases firmes. Revisar los procesos de negocio para poder seguir el rastro de los datos es lo que debe definir las prioridades de protección. Es recomendable utilizar herramientas de descubrimiento de datos para saber cuánta información se debe proteger, dónde se encuentra, quién la utiliza y cuál es la mejor manera de protegerla. La información es el instrumento de cambio en el mercado negro.  Es lo que se compra y vende. Por ello, la estrategia de ciberseguridad tiene que estar centrada en los datos.
  • Cifrar los datos. Si tú no cifras tus datos, alguien lo hará: un tercero cifrará los datos de tu empresa para coaccionarte y hacer que pagues por recuperar la llave que te permita tener acceso a tu información de nuevo… Eso si tienes suerte. Las consecuencias de no pagar el rescate es que tus datos serán destruidos, vendidos o expuestos. Lamentablemente, aun si pagas la recompensa, no tienes la certeza de que no te pedirán más dinero o de que, en efecto, te devolverán la información en su estado original. ¿No habría sido más fácil que tú hubieras cifrado tus datos antes de que los atacantes lo hicieran? Desde hace muchos años existe tecnología para el cifrado de datos, pero, a pesar de ello, cada vez más los atacantes están usando el cifrado en nuestra contra, porque las empresas en Latinoamérica se resisten a seguir esta práctica. ¿Será que seguimos creyendo que nunca nos va a pasar nada hasta que nos pasa? Recuerda: la información cifrada es información protegida.
  • Implementar un modelo de confianza Zero Trust (confianza cero). En una estrategia Zero Trust, las personas deben justificar sus derechos de acceso a los activos digitales de la empresa. De la misma forma en que existen áreas restringidas en las fábricas y oficinas, así debe haber restricciones en las plataformas tecnológicas. Limitar el acceso, pedir doble factor de autenticación (de la misma forma que en la entrada de los edificios se nos pide un código de acceso y un gafete) para que los usuarios ingresen a los sistemas y proteger la información para que los daños sean mínimos en caso de que algún usuario ponga en riesgo los sistemas, eso es Zero Trust.

| Sol González, investigadora de seguridad informática en ESET

  • Instrumentar mejores prácticas de seguridad en la nube, para mitigar los riesgos, pues con el uso de software como servicio (SaaS) los datos se ponen en manos de un proveedor externo y fuera del control de TI. Estas son algunas de las mejores prácticas de seguridad en la nube:
  • Clasificar los datos corporativos que fluyen a través de la nube y establecer los controles adecuados.
  • Comprender el modelo de responsabilidad compartida, en el cual las organizaciones comparten la responsabilidad de la seguridad con sus proveedores de servicios en la nube.
  • Usar cifrado sólido para los datos que residen en la nube, tanto en reposo (almacenados) como en tránsito (cuando recorren la red).
  • Establecer contraseñas seguras mediante un administrador de contraseñas.
  • Robustecer los inicios de sesión mediante el doble factor de autenticación para todas las cuentas. De esta manera, no se dependerá de una sola contraseña, sino que se necesitará otro código de acceso que puede recibirse en el smartphone, por ejemplo.
  • Restringir el acceso a cuentas confidenciales a través de una política que tenga en cuenta el principio del menor privilegio; es decir, otorgar los permisos necesarios y suficientes a un usuario para desempeñar sus actividades por un tiempo limitado y con el mínimo de derechos necesarios para sus tareas.
  • Utilizar un agente de seguridad de acceso a la nube para coordinar la autenticación y el cifrado. Estos agentes son soluciones de software o hardware encargados de proteger los datos y la identidad, y prevenir amenazas en la nube.
  • Configurar las cuentas SaaS correctamente, de acuerdo con los posibles riesgos (configuración de seguridad y privacidad).
  • Usar una herramienta de gestión de la postura de seguridad en la nube (CSPM) para verificar, de forma automática y continua, las configuraciones erróneas que pueden provocar filtraciones de datos.
  • Aplicar parches, basados en el riesgo, en todos los servidores y software en la nube.

| Erik Moreno, director de Ciberseguridad en Minsait

  • Establecer una estrategia de ciberseguridad basada en riesgos y su impacto en el negocio y no en componentes tecnológicos. Muchas empresas desarrollan estrategias de protección basándose en las tecnologías o fabricantes de moda, sin definir cuáles son los activos críticos de información que deben proteger. Una vez identificados estos activos, los riesgos deben cuantificarse y valorizarse. Recuerda que la tecnología no es la directriz de la estrategia de ciberseguridad, sino un habilitador.
  • Diseñar estrategias de seguridad de fronteras abiertas, que contemplen a clientes, proveedores, aplicaciones interconectadas, enlaces de comunicaciones, etcétera. Hoy, las amenazas ya no están enfocadas en atacar el núcleo de la organización de manera directa, sino a través de sus proveedores de servicio. Los delincuentes están aprovechando la falta de madurez, controles de seguridad y cumplimiento normativo de los pequeños proveedores de servicio, para vulnerarlos y a través de ellos llegar a las organizaciones.
  • Considerar que las nuevas tecnologías (IA, ambientes de nube, virtualización de sistemas, etcétera) conllevan nuevos riesgos, y que la información de los clientes es uno de los activos más valiosos de cualquier organización.
  • Contemplar las áreas operativas en la estrategia de seguridad, sobre todo en empresas industriales (manufactura, energía, alimentación, armadoras, etcétera), porque mucha de la información que proviene de las fábricas es crítica para la toma de decisiones de negocio. Al juntar el mundo de tecnología operativa con el mundo de tecnologías de la información se abre un nuevo panorama de riesgos.

Recuerda que la ciberseguridad no es un lujo; es una prioridad. Las empresas deben dedicar tiempo y recursos a proteger sus computadoras, servidores, redes y software, y deben mantenerse al día con la tecnología emergente. Manejar los datos con cuidado hace que tu negocio sea más confiable y transparente, y que tus clientes sean más leales. AN

También en esta edición

Opinión Un mundo incierto 3 min.
Opinión ¿Cómo debe ser el director general de la empresa actual?  3 min.
Opinión El currículo basado en habilidades 3 min.
Opinión Sector maderero, incendiado por la inseguridad 3 min.
Opinión Talento: el activo más valioso del mundo 3 min.
Opinión Hiperpersonalización y omnicanalidad para generar valor en la era del prosumidor Las empresas deben considerar las tecnologías exponenciales como aportadoras de valor y no perder de vista los beneficios de la hiperpersonalización: fidelidad y engagement, efectividad en la oferta y captación de nuevos clientes, entre otros. 3 min.
Reportaje Ideeo 4.0: La visión en los negocios es fundamental La transformación digital y la omnicanalidad de los últimos años han provocado una disminución de la creatividad publicitaria en medios impresos, pues algunas marcas han preferido invertir y pautar en medios digitales. Sin embargo, Gráficas Corona, a cargo de Juan Estrada, supo aprovechar las áreas de oportunidad para potenciar y buscar nuevas alternativas a los medios impresos. 9 min.
Reportaje Ciberseguridad, un tema de comportamiento humano La seguridad cibernética no es sólo un problema tecnológico, también lo es del comportamiento humano, ya que no existe un sistema que impida que un colaborador ejecute una acción de alto riesgo. 4 min.
Reportaje Agricultura abierta: cómo el código abierto puede afectar la producción de alimentos Las soluciones de código abierto, más simples y de bajo costo, tienen el potencial de convertir a cualquiera en un agricultor del futuro. 4 min.
En Portada Canacintra: México es un país suborganizado El nuevo presidente nacional de Canacintra, reconoce que México no es una economía subdesarrollada, sino suborganizada, que exige el trabajo de iniciativas conjuntas entre empresarios y gobierno para desarrollar el gran potencial industrial del país en los próximos 30 años. 8 min.
Reportaje 20 consideraciones para que México sea potencia turística A juicio de los editores de Alto Nivel, la industria del turismo se ha dejado en segundo plano, siendo que por su la ubicación geográfica privilegiada y la calidez de los mexicanos debiera ser la actividad económica más importante del país.A continuación, compartimos algunas consideraciones que, de llevarse a cabo, podrían ayudar a convertir a México en una verdadera potencia mundial. 11 min.
Reportaje Inseguridad vs Inflación La espiral inflacionaria que ocupa y preocupa a las principales naciones de mundo parece no tener fin. Las más alentadoras noticias sobre su posible reducción se contemplan para inicios del 2023, cuando algunos flujos de mercancías retomen su comportamiento habitual, previo a la pandemia y la guerra en Ucrania. 5 min.
Placeres Crónicas de Gorka con la brújula del marino en mano En la búsqueda de mi ser, decidí volar con mis propias alas del Tezka en Royal Pedregal y me sumergí en una nueva aventura más. Dejé de ser un robot para sacudirme el estándar. Para la creación propia y comenzar así con un lienzo en blanco. 2 min.
Placeres Audemars Piguet sintoniza tus sentidos Esta importante marca suiza de alta relojería introdujo al mercado, de manera reciente, cinco nuevas Referencias Royal Oak Offshore, que bien merecen detener un poco el tiempo para apreciarlas con exactitud. 4 min.
Placeres Un clásico de la relojería El Vacheron Constantin Patrimonio Automático está inspirado en modelos de la manufactura de la década de los 50. Perfección circular, búsqueda de lo esencial y pureza estilística. Una belleza clásica por todos los ángulos que se observe. Por Luis Peyrelongue 2 min.

Compartir

Iniciar sesión

Si no estás registrado Regístrate aquí