Por Craig Moss Otro mito hecho añicos. Resulta que los proveedores de servicios en la nube no son inmunes a las vulneraciones cibernéticas. Un artículo reciente en el Wall Street Journal, Ghosts in the Clouds: Inside China’s Major Corporate Hack, relata la historia acerca de los piratas informáticos que acceden a las redes de las grandes corporaciones a través de sus proveedores de servicios en la nube. Pero no exageremos. Los proveedores de servicios en la nube dedican numerosos recursos en cada fase de la ciberseguridad (prevención, detección y respuesta) y van a desempeñar un papel importante en prácticamente todos los negocios. Nuestro trabajo en el Cyber Readiness Institute (CRI) es dar sentido a esta vulneración para las pequeñas y medianas empresas (pymes), analizar sus implicaciones y ofrecer orientación sobre lo que puede hacer. Estos son los grandes puntos clave para los propietarios y directores de las pymes:
- La ciberseguridad es una responsabilidad común para su empresa y el proveedor de servicios en la nube; no puede subcontratar por completo su ciberseguridad.
- Es posible que su empresa no sea el objetivo de los piratas informáticos, sino una puerta de entrada al objetivo deseado.
- El comportamiento humano es una parte fundamental de la preparación cibernética básica, por lo que formar a sus empleados en aspectos básicos como el phishing y la actualización de software resulta esencial.
Si es escéptico, estas citas del artículo de WSJ deberían ilustrar este punto.
- «Los piratas informáticos en ocasiones enviaban correos electrónicos de phishing a administradores con acceso de alto nivel para irrumpir en la nube. En otras ocasiones se infiltraban a través de los sistemas de los contratistas, según los investigadores».
- «Para complicar aún más el asunto, los piratas informáticos habían tenido acceso al equipo de respuesta ante incidentes cibernéticos de la empresa…»
¿Qué puede hacer en su empresa? Aquí dejamos algunos consejos:
- Entienda con claridad su responsabilidad y la de su proveedor de servicios en la nube para proteger sus datos y sistemas.
- Proporcione políticas claras y sencillas para que los empleados las cumplan en relación con los cuatro problemas principales de preparación cibernética:
- Contraseñas
- Phishing
- Actualizaciones de software
- Medios extraíbles (por ejemplo, USB)
- Céntrese en el comportamiento humano de su empresa: designe a un responsable cibernético para que asuma la responsabilidad de su preparación cibernética
Para obtener recursos gratuitos y más información, contacte conmigo a través de (cmoss@cyberreadinessinstitute.org) o visite www.cyberreadinessinstitute.org. Logre estar preparado para la cibernética. Tenga una posición cibernética fuerte. Craig Moss es el director de desarrollo de contenido y herramientas del CRI
