El mundo de la ciberseguridad es complejo y demandante, dado el enorme abanico de nuevos ataques y técnicas, y la creciente fuerza de estos. Elaborar políticas de ciberseguridad sólidas y consistentes es una necesidad mayor, cada vez, para las empresas y las instituciones.
El impacto de un ataque cualquiera puede ser tremendo. De una sola máquina afectada podemos pasar a miles en cuestión de horas, y esto puede dar lugar a millones de cuentas de usuario comprometidas, por ejemplo.
La responsabilidad en la construcción de una cultura de ciberseguridad en la empresa es de todos, desde los directivos, pasando por el persona del ciberseguridad hasta la última persona que tiene acceso a un dispositivo, servicio o cuenta. A eso llamamos responsabilidad compartida, y es una de las claves fundamentales para mantener la empresa y los datos seguros.
La responsabilidad compartida en materia de ciberseguridad implica que todo el mundo sea responsable de seguir las mejores prácticas de ciberseguridad, como pueden ser apagar los ordenadores portátiles completamente antes de marcharse, cerrar las puertas de las oficinas, mantener buenas contraseñas (y renovarlas periódicamente), y un largo etcétera.
La responsabilidad compartida cuando trabajamos en el Cloud
Uno de los principios clave de la seguridad en la nube es, precisamente, este modelo de responsabilidad compartida. Lo que implica, básicamente, es que hay algunas cosas de las que el cliente (quien accede a los servicios en el Cloud) es siempre responsable. Por ejemplo, los datos, los dispositivos las cuentas y las identidades.
En cambio, hay algunas cosas de las que el proveedor de servicios es siempre responsable: los hosts físicos, las redes y los centros de datos. En un entorno de nube pública, sin embargo, esta responsabilidad que acabamos de mencionar, como mantener los sistemas operativos, establecer los controles de red, la responsabilidad sobre las aplicaciones y la infraestructura de directorios, entre otras cosas, va a variar en función del tipo de servicio.
Un informe reciente patrocinado por ISC2, «2020 Cloud Security Report», revelaba que la configuración errónea de las plataforma de la nube es una de las mayores amenazas a la seguridad a la que se enfrentan los servicios de nube pública. Cometer un error de configuración puede tener consecuencias a largo plazo, por tanto.
Educar a los empleados en las mejores prácticas de ciberseguridad es fundamental para mantener segura la empresa y los datos, de ahí que la concienciación y la preparación del personal sea clave para crear una cultura de ciberseguridad.
Hay que decir que la mayoría de los empleados están dispuestos cumplir con las políticas de seguridad. En muchos casos, sólo necesitan saber cuáles son y los fundamentos que las sustentan.
Por tanto, ofrecer formación en ciberseguridad basada en las mejores prácticas establecidas en las políticas es importante. Comunicar de forma continua y coherente cualquier actualización de las normativas y políticas, y planificar formación en el momento de incorporación de los nuevos empleados son otras buenas prácticas.
Para finalizar, estos son algunos ejemplos de conocimientos en seguridad que merece la pena que conozcan los empleados de cualquier empresa:
- Gestión de contraseñas.
- Conocer cómo funciona el phishing, y ejemplos.
- Cómo hacer una copia de seguridad adecuada de los datos.
- Cómo enviar correctamente información personal y confidencial.
- Conocimiento acerca de los límites de las cuentas, acceso y autenticación para su dispositivo.
- Políticas generales de seguridad y mejores prácticas.
Como vemos, no son, en realidad, conocimientos avanzados, sino una serie de buenas prácticas que permitirán a los trabajadores mantener unas barreras de seguridad mínimas, pero muy efectivas en la lucha contra el cibercrimen.
Deja tu comentario sobre "Qué es la responsabilidad compartida en ciberseguridad y por qué es clave en la empresa"