Cuatro claves para diseñar un plan interno de ciberseguridad
cedisa

Cuatro consejos de un director de Microsoft para diseñar un plan interno de ciberseguridad

Por Gabriel Rico Albarrán | mayo 2, 2023

Más de 300 millones de personas trabajan hoy de forma remota, creando, accediendo, compartiendo y almacenando datos dondequiera que vayan. En este contexto, las filtraciones de datos que surgen de amenazas internas y percances simples pueden costar a las empresas un promedio de US$7.5 millones anuales. Por ello, la ciberseguridad se torna en una necesidad vital para los negocios.

No importa si una violación fue intencional o accidental. Los programas de riesgo interno deben ser parte de la estrategia de seguridad de cada empresa.

Accede a las historias más relevantes de negocios, bienestar y tecnología. Entérate de nuestros rankings y eventos exclusivos. Suscríbete y recibe en tu correo el mejor contenido de Mercado.

Para que estas estrategias tengan éxito, las organizaciones deben liderar el esfuerzo, con sus empleados como socios, y adoptar herramientas avanzadas que detecten y mitiguen los riesgos internos dondequiera que surjan.

Cuatro claves para un plan de ciberseguridad sólido

Estos son algunos consejos que pueden ayudar a administrar el riesgo:

1. Priorizar la confianza y privacidad de los empleados

En los negocios y en la vida, la confianza es la clave para que cualquier relación funcione. Los mejores programas de riesgo interno enfatizan el equilibrio entre la privacidad de los empleados y la seguridad de la empresa.

Desarrollar controles y políticas de privacidad que mantengan, e incluso aumenten, la confianza es fundamental. Además, establecer controles de privacidad que protejan las identidades en el trabajo, incluso durante las investigaciones, permite a las personas saber que usted también las está protegiendo.

Las 9 lecciones que nos dejó el Mercado ‘Tech Talk Summit 2023. Dominicana Inteligente’

Usar políticas de acceso basadas en roles para las herramientas de gestión de riesgos internos también ayuda a garantizar que la persona adecuada esté revisando las alertas de cumplimiento, evitando que la sospecha injustificada se infiltre en la organización.

2. Colaborar entre funciones

Aunque los grupos de tecnología de la información y seguridad liderarán el camino, el riesgo interno es un problema que involucra a toda la empresa. Una amplia participación de todos los empleados y departamentos ayuda a garantizar una mayor aceptación.

Bret Arsenault,

También proporciona perspectivas y recursos adicionales; por ejemplo, el departamento legal puede dar un enfoque importante respecto a las regulaciones emergentes. Además, un comité de riesgos internos o un defensor del pueblo pueden ayudar a iniciar la conversación.

3. Reconocer que los empleados son la primera y última línea de defensa

Lograr que los empleados participen en la capacitación sobre protección de datos y cumplimiento puede ser un desafío, pero es importante que sepan cómo mitigar los riesgos de seguridad y por qué es una prioridad. Las capacitaciones que enfatizan la administración de datos muestran que la organización está extendiendo su confianza a los empleados a medida que sirven al negocio.

Forma a las personas sobre cómo manejar los datos de la organización de manera adecuada y repite ese mensaje regularmente para que siempre esté actualizado.

También ayuda el hacerlo personal. La mayoría de los trabajadores entienden y se involucran de inmediato en cómo proteger sus propios datos financieros y de atención médica.

4. Utilizar herramientas de aprendizaje automático para hacer más con menos

Hoy en día, está surgiendo una nueva generación de herramientas de gestión de riesgos internos con capacidades de seguridad adaptables que pueden detectar actividades de riesgo y mitigar cualquier impacto potencial mientras no interfieren con el trabajo cotidiano y mantienen la privacidad de la información del usuario.

la cibersegruidad es un reto cada vez mayor para las empresas, te damos seis consejos basicos para proteger la tuya

Si bien una actividad como imprimir un archivo confidencial puede no mostrar intención, una secuencia de actividades conectadas, como cambiar el nombre del archivo y luego eliminarlo después de imprimirlo, podría indicar algo más serio.

Estas herramientas pueden utilizar el aprendizaje automático para separar la señal del ruido e identificar acciones sutiles, reduciendo los falsos positivos que pueden atascar a la organización.

Enfoque en personas, procesos y tecnologías

La gestión de los riesgos internos y externos es vital para la seguridad de cualquier organización. Cada uno presenta desafíos, pero lo que hace que la gestión de riesgos internos sea especialmente complicada es la necesidad de equilibrar personas, procesos y tecnologías.

La gestión de riesgos debe ser proactiva y continua, y requiere confianza, transparencia y colaboración.

No todo es OpenAI. Los otros cinco unicornios de IA generativa

De Harvard Business Review, por Bret Arsenault

(Bret Arsenault es el director de seguridad de la información de Microsoft)

Suscríbete a la revista y regístrate a nuestros newsletters para recibir el mejor contenido en tu buzón de entrada.