Decálogo en ciberseguridad

22 septiembre 2023

Temps de lectura 3 minuts

¿Cuál es el grado de madurez del tercer sector en materia de ciberseguridad? ¿Las entidades pueden ser objeto de ataques maliciosos? ¿Cómo podemos diseñar una buena estrategia para protegernos? Javier Sierra, experto en ciberseguridad de Telefónica, repasó estos y otros aspectos y compartió un decálogo en ciberseguridad y una serie de recomendaciones básicas en la masterclass que ofreció en el Congrés de Transformació Digital del Tercer Sector Social de Catalunya

Para Sierra las entidades pueden ser posibles objetivos para los atacantes y es imprescindible que cuenten con una estrategia preventiva y vayan fortaleciéndola para saber cómo gestionar los riesgos de forma adecuada. Los principales incidentes a que se exponen tienen que ver con la suplantación de identidad, las brechas de datos y la disponibilidad de activos a través de ataques de ransomware, malware o phishing. Además, así como las organizaciones utilizan la IA para mejorar su ciberseguridad, los atacantes también se ayudan de ella para ser más efectivos.

Javier Sierra


REPTES:

  • Falta de visibilidad.
  • Sobrecarga de vulnerabilidad.
  • Dificultad para evaluar el riesgo.

DECÁLOGO EN CIBERSEGURIDAD:

  • Política y normativa: las entidades tienen que analizar su estado de seguridad y definir las políticas y normativas que les pueden permitir llegar al estado deseado. Por eso es imprescindible contar con un Plan Director de Seguridad, un mapa que te permite conocer tu situación actual, tu estado de madurez, analizar los riesgos y definir priorizar los proyectos a realizar.
  • Control de acceso: controlar el acceso a los recursos de información de la empresa es la primera manera de protegerlos.
  • Copias de seguridad: son la salvaguardia básica para proteger la información de la empresa. Los atacantes intentan dirigirse a las copias de seguridad. Para protegerse, se tiene que seguir la regla del 3-2-1-1-0: siempre tiene que haber al menos 3 copias de los datos importantes, en al menos 3 tipos de apoyos diferentes, con al menos una copia fuera de las instalaciones y otra sin conexión.
  • Protección antimalware: la seguridad antimalware tiene que aplicarse a la totalidad de los equipos corporativos para poder proteger nuestra información.
  • Actualitzaciones
  • Seguridad de la red: el nivel de seguridad de la red corporativa es otro de los puntos clave para mantener nuestra empresa dentro de unos parámetros aceptables de ciberseguridad.
  • Información en tránsito: la movilidad nos aporta grandes ventajas, pero hay que ser consciente de todos los riesgos que comporta y como gestionarla. La información es uno de nuestros valores fundamentales y el robo de datos puede afectar mucho a la organización.
  • Gestión de soportes: los soportes extraíbles o los recursos gratuitos constituyen una de las principales amenazas de fuga de información e infección por malware para las entidades.
  • Registro de actividad: las entidades tienen que estar preparadas para prevenir, protegerse y reaccionar ante incidentes de seguridad que puedan afectarlas y que podrían impactar en sus negocios y registrar la información en un lugar centralizado.
  • Continuidad de negocio: cada organización establece las medidas necesarias proporcionales a sus necesidades para garantizar su continuidad.

RECOMENDACIONES BÁSICAS:

  • Utilizar medidas y controles de seguridad para proteger la información.
  • Cifrar la información confidencial.
  • Realizar regularmente copias de seguridad.
  • Mantener todo el software actualizado hasta la última versión.
  • Usar credenciales de acceso robustas y únicas para cada servicio.
  • Habilitar el doble factor de autenticación siempre que sea posible.

Puedes recuperar la clase de Javier Sierra y el streaming completo del Congrés de Transformació Digital del Tercer Sector Social de Catalunya aquí.