3 Claves para la evaluación de riesgos de seguridad: Dispositivos, datos y personas

Defender su organización de ataques cibernéticos puede ser desalentador. En el caso de las pequeñas y medianas empresas, el problema se ve agravado por la escasez de recursos y financiación. La evaluación y valoración de su riesgo frente a una violación de seguridad a menudo puede relegarse a un segundo plano a la hora de reaccionar cuando se produce.

Hay tres macrocategorías que debe examinar, y un puñado de preguntas principales en cada categoría. ¡Incluso una simple evaluación de riesgos es mejor que ninguna!

Dispositivos

Los endpoints (PC, tablets, smartphones...), los servidores y el hardware de red siempre corren el riesgo de sufrir ataques. Tanto si se trata de un sistema sin parches, como de una vulnerabilidad de la aplicación que se aprovecha o de una configuración incorrecta en el cortafuegos, los dispositivos son la principal vía para obtener los datos y la propiedad intelectual de sus clientes. Cuando esté listo para evaluar su nivel de riesgo en esta categoría, haga las siguientes preguntas:

• ¿Dispone de un proceso automatizado para parchear todos sus endpoints, servidores y hardware de red?
• ¿Está suscrito a actualizaciones de seguridad críticas para todas las aplicaciones críticas de su empresa? La mayoría de los proveedores ofrecen un sistema de notificación que le ayudará a aprovechar estos servicios.
• ¿Dispone de un proceso para proteger los dispositivos de los empleados que trabajan a distancia o que viajan mucho? Si usted tiene incluso un número modesto de estos tipos de trabajadores, es importante tener un proceso, una política o un sistema en marcha.
• ¿Alguno de sus equipos de red está cerca del final de su vida útil o necesita una actualización?
• ¿Su organización utiliza una o más aplicaciones en la nube? Si es así, busque una solución de seguridad basada en la nube para ayudar a bloquear sitios web y ubicaciones erróneas conocidas en Internet.

Datos

Los datos han adquirido más valor con el paso del tiempo y son el principal activo que buscan los ciberdelincuentes. Ya sea que intenten retener los datos para pedir rescate, robar datos de identidad de clientes o empleados, o extraer los secretos de la empresa, esta es la principal mercancía que los malos quieren. Cuando se trata de proteger sus datos, pregúntese lo siguiente:

• ¿Utiliza herramientas y/o procesos estrictos de control de acceso de usuarios para limitar el acceso a sus datos más confidenciales al menor número de personas posible?
• ¿Su sistema CRM está bien bloqueado? Considere la posibilidad de implementar SSO entre su CRM y su sistema de Active Directory para que los usuarios sólo puedan iniciar sesión si son empleados. Este sistema en particular tiene datos vitales.
• ¿Tiene una estrategia para recuperar los datos de clientes y empleados si/cuando son robados, rescatados o si tiene un fallo masivo de hardware?
• ¿Puede proteger los datos confidenciales de la empresa de un empleado que se encuentra en la carretera y que está iniciando sesión en una red de huéspedes de un hotel, aeropuerto o cafetería?
• ¿Permite el acceso de servicios o proveedores de terceros a datos críticos? ¿Qué protecciones existen para el control de acceso de terceros?

Personas

He guardado lo peor para el final. La gente es el alma de tu negocio, pero es humana. Se puede engañar a los seres humanos para que hagan clic en un enlace incorrecto, caigan en una estafa de phishing o den acceso a los datos de la empresa a través de una mala higiene de seguridad personal. Las personas son, a menudo, el punto de fracaso cuando se trata de una violación de seguridad, y por lo general es la falta de conocimiento o un activo no técnico lo que causa dicha infracción. Las personas también son el vector de ataque número uno que los ciberdelincuentes utilizan cuando intentan extraer datos de su empresa. Pregúntese lo siguiente:

• ¿Permite a los usuarios eludir las actualizaciones de antivirus, parches de seguridad críticos o actualizaciones del sistema operativo, porque se quejan de tener que reiniciar demasiado?
• ¿Ofrecen algún material de formación para ayudar a sus usuarios a comprender cómo detectar ataques de ingeniería social, phishing u otros ataques centrados en las personas?
• ¿Dispone de sistemas adecuados para enrutar a los remitentes conocidos de dominios de correo electrónico dañinos a las carpetas de correo no deseado de los usuarios y marcar esos mensajes de correo electrónico como spam?
• ¿Sus empleados no técnicos tienen el mismo nivel de acceso a sus sistemas que sus empleados con conocimientos informáticos?
• ¿Permite a los trabajadores acceder a cualquier sitio web que deseen mientras están en la oficina?
• ¿Tiene todas sus aplicaciones críticas para la empresa conectadas a los inicios de sesión de red de los usuarios? Si la respuesta es no, ¿tiene un proceso o política para eliminar el acceso a sistemas que no sean SSO cuando un empleado abandona la empresa?

En conclusión....

Avast Business tiene una serie de recursos que pueden ayudar en este frente. Eche un vistazo a nuestra infografía, algunos indicios de que se dirige a una violación de datos y a nuestra academia de amenazas en línea, y siéntase libre de pasar cualquiera de estos datos a los miembros de su organización, no es necesario registrarse para ninguno de estos activos.

Por último, si estas preguntas suscitan dudas, debería realizar una evaluación más detallada, y Avast Business puede ayudarle. Le ayudaremos a evaluar su riesgo, coste y rendimiento, y le asesoraremos sobre cómo reforzar su estrategia de defensa cibernética.