El privilegio mínimo
Para hacer bien su trabajo, los seres humanos necesitan estar formados y entrenados, pero no necesita acceder a toda la información de la empresa. Esta práctica pone en peligro la información de la empresa de forma directa ya que, a mayor número de personas con acceso a los activos, mayor superficie de ataque. Este principio consiste en dar solo la información relevante y útil para que un usuario haga su trabajo, evitar dar acceso a cualquier información inútil que pueda abrumar al usuario y causar un problema en la seguridad de los datos de la empresa.
Cerrado por defecto
Esta norma está estrechamente ligada a la anterior. Consiste en cerrar todos los accesos por defecto y abrirlos solo cuando sea necesario. Se basa entonces en determinar lo que se necesita para abrir y así hacer un análisis de riesgo de forma que la empresa abre “sus puertas” a sabiendas.
Segregación de deberes
La ética y deontología debe ser clara en la seguridad de las empresas. Ayuda a reducir los conflictos de intereses. Es el pilar de la seguridad de una compañía: todo el mundo debe saber qué hacer en caso de verse atacados y a quién se ha de acudir / quien ha de tomar las decisiones en ese supuesto.
Defensa en profundidad
Este principio hace hincapié en la necesidad de colocar varias capas o niveles de seguridad de acuerdo con los riesgos asociados con los activos de la compañía.
De esta manera el acceso a los bienes más sensibles requiere cruzar varios filtros de seguridad, mientras que los bienes “públicos” pueden ser gratuitos, por tanto, el acceso a los datos clave de la compañía es más difícil ya que requiere superar otras capas de seguridad sin ser visto.
Lo diversificado y lo coherente
Es muy peligroso depender de un solo cliente o proveedor para asegurar su supervivencia, ya que el descontento de este último puede causar mucho daño. Uno no debe atar su defensa completa a un solo producto.
Facilita el trabajo a un ciberatacante interesado en tomar el control de la empresa. Este principio va estrechamente ligado al anterior, cuantas más capas y más diversa sea la forma de secularizar los sistemas, más difícil será acceder a los activos de la empresa. Es necesario diversificar las defensas de manera coherente.
Seguridad con sistemas simples y unitarios
Todo lo que es complejo está perjudicando al negocio y por lo tanto a la seguridad de la empresa.Un mecanismo simple es puro, claro y quizás fácilmente seguro. El negocio de hoy es cada vez más complejo, al igual que los servicios públicos. Es necesario evitar la complejidad lo máximo posible para poder asegurar cada servicio correctamente.
Transparencia con un sistema abierto
La experiencia muestra que la seguridad es a menudo caótica. Cuando uno se basa en normas y estándares conocidos como ISO 2700x, OWASP, SOX, RGPD, etc., y tiene unos límites establecidos para cada rango o estamento en al empresa, la seguridad es más sencilla y el acceso de una cibercriminal a los sistemas más complejo.
¿El eslabón más débil?
Si de algo se habla en ciberseguridad es de cómo proteger los activos de una empresa de su eslabón más débil: el empleado. Pero, ¿son los empleados realmente el eslabón más débil? si la respuesta es afirmativa, es la empresa la que debe sentirse culpable.Los mayores errores que se comenten en ciber seguridad se basan en el desconocimiento o la falta de atención.
Si se forma adecuadamente a los empleados sobre qué hacer o qué no hacer en una determinada situación, no serán el eslabón más débil sino, el más fuerte ya que podrán dar la alarma en caso de ver algún comportamiento anómalo en sus dispositivos.
Auditoria regular
¿Cómo asegurar que las medidas de defensa sean efectivas y eficientes? Encontrando las fallas antes de que los malvados las conozcan y las aprovechen. ¿Cómo podemos hacer esto? Sencillo: realizando estudio periódicos con los que podamos ser conscientes de los posibles peligros a los que se enfrentan los activos de nuestra compañía y cómo debemos protegerlos.
Estrategia clara
Los ciberataques se han convertido ya en la principal amenaza para la supervivencia de las empresas y es por eso que, para evitar entrar a formar parte de la lista de empresas que han cesado su actividad a causa de un ciberataque, es vital contar con una estrategia clara a llevar a cabo ante un ataque de este tipo.
Comentarios
Publicar un comentario