Definir i comunicar el Règim de Risc d'Informació de el Consell d'Administració d'una societat mercantil és una estratègia general de seguretat cibernètica d'una organització.

El National Cyber Security Centre de UK, homòleg de INCIBE Instituto Nacional de Ciberseguridad en España i de l’Agència de Ciberseguretat de Catalunya, recomana revisar aquest règim, juntament amb les nou àrees de seguretat associades que es descriu a continuació, per tal de protegir el negoci contra la majoria dels ciberatacs.

1. Configurar el Risc. Règim de gestió

Avaluar els riscos per a la informació i els sistemes de l'organització amb el mateix interès que es té per als riscos legals, reglamentaris, financers o operatius. Per aconseguir això, incorporar un règim de Gestió de Riscos en tota l'organització, amb el suport del Consell d'Administració i els alts directius.

• Posar el risc cibernètic com a prioritari per al Consell d'Administració
• Elaborar polítiques de suport a la gestió de riscos
• Determinar les ganes de risc de la companyia

2. Seguretat de la xarxa

Protegir les xarxes d'atacs. Defensar el perímetre de la xarxa, filtrar l'accés no autoritzat i el contingut malintencionat. Supervisar i provar els controls de seguretat.

3. Educació i sensibilització de l’usuari

Elaborar polítiques de seguretat per a usuaris que cobreixin l'ús acceptable i segur dels sistemes. Incloure en la capacitació de personal. Mantenir el coneixement dels riscos cibernètics.

4. Prevenció de malware

Produir polítiques rellevants i establir defenses antimalware en tota la Organització.

5. Controls de mitjans extraïbles

Produir una directiva per controlar tot l'accés a mitjans extraïbles. Limitar els tipus de mitjans i el seu ús. Analitzar tots els mitjans a la recerca de malware abans de importar-los a el sistema corporatiu

6. Configuració segura

Aplicar pegats de seguretat i assegurar-se que es manté la configuració segura de tots els sistemes. Crear un inventari de sistema i definir un recull de línia base per a tots els dispositius.

7. Administració de privilegis d’usuari

Establir processos de gestió eficaços i limitar el nombre de comptes amb privilegis. Limitar els privilegis d'usuari i supervisar l'activitat de l'usuari. Controlar l'accés a l'activitat i als registres d'auditoria.

8. Gestió d’incidents

Establir una resposta a incidents i capacitat de recuperació davant desastres. Provar els plans d'administració d'incidents. Proporcionar capacitació especialitzada. Denunciar incidents criminals a les forces de l'ordre.

9. Monitorització

Establir una estratègia de supervisió i produir polítiques de suport. Supervisar contínuament tots els sistemes i xarxes. Analitzar els registres a la recerca d'activitat inusual que pugui indicar un ciberatac.

10. Treball a la llar i al mòbil

Desenvolupar una política de treball mòbil i capacitar el personal perquè s'adhereixi a ella. Aplicar la línia base segura i compili a tots els dispositius. Protegiu les dades tant en trànsit com en repòs.

Per obtenir més informació, vagi a www.ncsc.gov.uk  @ncsc