Definir y comunicar el Régimen de Riesgo de Información del Consejo de Administración de una sociedad mercantil es una estrategia general de seguridad cibernética de una organización.

El National Cyber Security Centre de UK, el homólogo de INCIBE Instituto Nacional de Ciberseguridad en España y de l’Agència de Ciberseguretat de Catalunya, recomienda revisar este régimen, junto con las nueve áreas de seguridad asociadas que se describe a continuación, con el fin de proteger su negocio contra la mayoría de los ciberataques.

1. Configurar el Riesgo. Régimen de gestión

Evaluar los riesgos para la información y los sistemas de la organización con el mismo interés que se tiene para los riesgos legales, reglamentarios, financieros u operativos. Para lograr esto, incorporar un Régimen de Gestión de Riesgos en toda la organización, con el apoyo del Consejo de Administración y los altos directivos

Poner el riesgo cibernético como prioritario para el Consejo de Administración

Elaborar políticas de apoyo a la gestión de riesgos

Determinar el apetito de riesgo de la compañía

2. Seguridad de la red

Proteger las redes de ataques. Defender el perímetro de la red, filtrar el acceso no autorizado y el contenido malintencionado. Supervisar y probar los controles de seguridad.

3. Educación y sensibilización del usuario

Elaborar políticas de seguridad para usuarios que cubran el uso aceptable y seguro de los sistemas. Incluir en la capacitación del personal. Mantener el conocimiento de los riesgos cibernéticos.

4. Prevención de malware

Producir políticas relevantes y establecer defensas antimalware en toda la

Organización.

5. Controles de medios extraíbles

Producir una directiva para controlar todo el acceso a medios extraíbles. Limitar los tipos de medios y su uso. Analizar todos los medios en busca de malware antes de importarlos al sistema corporativo

6. Configuración segura

Aplicar parches de seguridad y cerciorarse de que se mantiene la configuración segura de todos los sistemas. Crear un inventario del sistema y definir una compilación de línea base para todos los dispositivos

7. Administración de privilegios de usuario

Establecer procesos de gestión eficaces y limitar el número de cuentas con privilegios. Limitar los privilegios de usuario y supervisar la actividad del usuario. Controlar el acceso a la actividad y a los registros de auditoría.

8. Gestión de incidentes

Establecer una respuesta a incidentes y capacidad de recuperación ante desastres. Probar los planes de administración de incidentes. Proporcionar capacitación especializada. Denunciar incidentes criminales a las fuerzas del orden.

9. Monitoreo

Establecer una estrategia de supervisión y producir políticas de apoyo. Supervisar continuamente todos los sistemas y redes. Analizar los registros en busca de actividad inusual que pueda indicar un ciberataque.

10. Trabajo en el hogar y en el móvil

Desarrollar una política de trabajo móvil y capacitar al personal para que se adhiera a ella. Aplicar la línea base segura y compile a todos los dispositivos. Proteja los datos tanto en tránsito como en reposo.

Para obtener más información, vaya a www.ncsc.gov.uk @ncsc