En cualquier organización la protección de la información es y será siempre un desafío. Por tanto, conocer algunos principios que nos ayuden a detectar y detener a tiempo un ataque cibernético es primordial. Jamil Farshchi, Chief information security officer de Equifax, cuenta cómo hacer para que la información sustraída sea inutilizable para el hacker.
1. Volver a los fundamentos de seguridad, lo cual significa hacer lo básico que debemos hacer en seguridad y hacerlo bien, no perfecto pero si bien.
2. Mantener un programa de protecciónde datos que involucre, inventario de la información, devaluación de la data, encriptación y cifrado de las fuentes de datos, toquenización de la información sensible así como control sobre los privilegios de acceso a ella.
3. Gestionarlas vulnerabilidades en los aplicativos y plataformas de manera apropiada da sus frutos, por lo que no debe descuidarse este aspecto en la empresa, conescaneos programados y constantes para asegurar que el programa provee evidencia a la organización de la mitigación de los riesgos.
4. Revisarperiódica y continuamente los sistemas de control de acceso, manejo de contraseñas y almacenamiento de las mismas para controlar y minimizar el riesgo.
5. Contar con un programa fuerte de Cyber-seguridad, pues será siempre un buen aliado, enfocado en la prevención, detección y respuesta a incidentes.
6. Tener un programade manejo de crisis con ejercicios periódicos y programados que involucre a los líderes de la organización.
7. Entender que un programade cultura de la seguridad robusto siempre tendrá beneficios y reducirá el riesgo de manera significativa a la vez que crea un ambiente de confianza en la organización; cursos y capacitaciones a los empleados según el área para adecuarlo a las necesidades de cada departamento promueven la cultura y respeto por mantener segura la empresa.
8. Prever un programa apropiado de gestión y manejo del riesgo de seguridad que mantenga el control sobre losactivos físicos y lógicos asignándoles el riesgo apropiado según lo defina la organización y su apetito, así como un fuerte programa de auditorías internas y externas que permita llevarle el pulso a la gestión de riesgos.
9. Medir la madurez del programa de seguridad de manera apropiada y periódica. Mi recomendación es que lo haga un ente externo para que su transparencia y autonomíapermita avanzar al siguiente nivel en la madurez que se quiere alcanzar; siempre habrá algo que mejorar.
10. Gestionar el talento con un presupuesto apropiado para que la organización se asegure que cuenta con el mejor talento paraatender las necesidades en un mundo tecnológico que cambia rápido y al que hay que adaptarse de manera continua.