Asesoramiento de BSI sobre aspectos esenciales de ciberseguridad y protección de datos para la vuelta a la oficina

La preparación será primordial para muchas organizaciones, ya que la transición del teletrabajo (WFH por sus siglas en inglés) al trabajo desde la oficina (WFO por sus siglas en inglés) requiere una gestión segura y estudiada a medida que vuelven a utilizar sus instalaciones. Mantener la resiliencia de la información de una empresa es un elemento fundamental de estos planes para garantizar que se gestionen los riesgos de ciberseguridad y que no se violen las normas de privacidad de los datos.

Actualmente, las organizaciones están analizando directrices como la planificación de sistemas unidireccionales, la implantación de horarios de inicio y fin escalonados, el examen de la eficacia de los controles y medidas de seguridad y la adopción de medidas inmediatas para mejorar los que no son eficaces. Desde la perspectiva de la ciberseguridad, esto incluye la reevaluación de los sistemas de redes, la revisión de la actividad de Shadow ITˡ, o el uso del "trae tu propio dispositivo" (BYOD por sus siglas en inglés). Mientras que, para la protección de datos, el enfoque se centrará en los cambios en los puestos de trabajo, los datos sobre la salud de los empleados, las evaluaciones del impacto en la protección de datos (DPIA por sus siglas en inglés) y la transparencia.

Centrada en el apoyo a las empresas de todos los sectores de la industria para planificar su reapertura y desarrollar una metodología sostenible para trabajar en su "nueva normalidad", BSI ha esbozado los siguientes 10 aspectos esenciales de ciberseguridad y protección de datos para su consideración:

  1. Seguridad física - asegúrese de que todos los controles de seguridad física, la identificación de los empleados y los medios físicos están actualizados y son totalmente operativos
  2. Control de acceso - asegúrese de que todas las credenciales como la autenticación multifactor (MFA por sus siglas en inglés) y la expiración y restablecimiento de la contraseña estén actualizadas
  3. Protección de datos y privacidad - solicite el asesoramiento de su Delegado de Protección de Datos o de su Delegado de Privacidad sobre el efecto que pueden tener los cambios realizados a los procesos existentes o a los nuevos procesos en los que se registran y cotejan datos. Realice evaluaciones de impacto en la protección de datos (PIA por sus siglas en inglés) cuando sea pertinente
  4. Gestión de activos - reevalúe las políticas de "trae tu propio dispositivo" (BYOD) y asegúrese de que todos los activos no reconocidos se registren correctamente
  5. Seguridad de la red - el acceso remoto sigue siendo importante durante la vuelta al trabajo, por lo que hay que mantener los servicios de red como las redes privadas virtuales (VPN por sus siglas en inglés) disponibles y seguras
  6. Gestión de vulnerabilidades - la aplicación de parches es un desafío incluso para una organización resiliente en materia de información. Al volver a la oficina, las organizaciones deben evaluar su postura de parcheo, y donde se encuentren deficiencias priorizar el parcheo
  7. Seguridad de las operaciones - las organizaciones deben reevaluar cualquier configuración que hayan hecho durante el período de teletrabajo para asegurarse de que siguen siendo las más eficaces
  8. Continuidad de negocio - ahora es el momento de aprender de las experiencias recientes - el paradigma del teletrabajo - y aplicar los conocimientos adquiridos para mejorar la preparación del plan de continuidad de negocio
  9. Gestión de incidentes - la respuesta a los incidentes representa la última línea de defensa en caso de que se materialice un ataque. Asegúrese de que su organización está lista para prepararse y responder a una brecha de datos
  10. Gobernanza de la seguridad - los registros de riesgos deben ser reevaluados dado el escenario de amenazas y el plano de control recientemente reestructurado

BSI ha elaborado un cuestionario de autoevaluación para las organizaciones que se centran en aspectos de ciberseguridad para la reapertura de la oficina. Se puede acceder al cuestionario aquí. Al completar la encuesta, el destinatario recibirá un informe de BSI en el que se indica su grado de preparación para la reapertura en base a la ciberseguridad y a las repercusiones en la gobernanza de los datos.

Stephen O’Boyle, Jefe Global de Ciberseguridad, Riesgo y Asesoría en BSI explica: "Los últimos meses han puesto a prueba a muchas organizaciones de todas los tipos y tamaños en todo el mundo. Muchas necesitaron adaptarse rápidamente a las restricciones para asegurar la seguridad y el bienestar de sus empleados y clientes, con el teletrabajo activo y los sistemas de IT comprobados y reconfigurados para seguir siendo efectivos".

"Si bien había muchos desafíos, entre ellos el aumento de las amenazas y los riesgos cibernéticos y las preocupaciones relativas a la privacidad de los datos, también brindaba a las organizaciones la oportunidad de personalizar, examinar, actualizar y mejorar sus planes de respuesta y perfeccionar sus planes de continuidad de negocio para prepararse para la reapertura gradual". 

"La atención se centra ahora en la apertura de forma segura y una de las principales prioridades son la ciberseguridad y las necesidades de gobernanza de datos de una organización. Los responsables de ello deben formar parte del proceso de planificación. Esto no solo garantizará que también se adhieran e implanten los protocolos correctos, sino que permitirá que una empresa opere de manera más segura, sostenible, confiable y resiliente, protegiendo a su personal, su información y su reputación".

El equipo de Servicios de Consultoría de BSI proporciona una gama de soluciones para ayudar a las organizaciones a afrontar los retos en materia de ciberseguridad, gestión y privacidad de la información, concienciación sobre la seguridad y cumplimiento. Para más información visite [bsigroup.com/ciber-es]  

-FIN-

 

ˡShadow IT es el uso de soportes de tecnología de la información (por ejemplo, aplicaciones, dispositivos, sistemas, software, servicios) sin la aprobación del departamento de IT.