Guías para implementar un programa de ciberseguridad efectivo

Con el objetivo de reducir los riesgos sobre la violación de información y protegerlo a usted y a sus clientes, la Comisión de Mercados y Valores de Estados Unidos de Norteamérica (SEC), dispuso nuevos lineamientos en abril de 2015 a fin de ayudar a las compañías de servicios financieros, fiduciarios y de inversiones a diseñar e implementar un programa de ciberseguridad efectivo.

Escrito por CT Corporation.

Vea la historia original en inglés aquí.

A continuación, se detallan algunas prácticas adecuadas a implementar:

Programe evaluaciones periódicas de sus sistemas tecnológicos

Las compañías deben revisar sus sistemas tecnológicos periódicamente a fin de identificar posibles vulnerabilidades y calcular el impacto de cualquier ruptura que pudiese ocurrir. La evaluación debe abarcar la ubicación, el acceso y los procedimientos de almacenamiento de toda la información que la compañía recopila. Asimismo, debe incluir un análisis de la necesidad real para toda la información recolectada y almacenada.

Junto con la identificación de riesgos, la compañía debe asegurar que cuenta con la seguridad apropiada y los controles correspondientes en orden, los cuales incluyen firewalls y acceso limitado a sistemas externos. La evaluación debe validar que todos los parches de seguridad tecnológica están instalados y funcionando correctamente y que no ocurrieron rupturas o accesos no autorizados desde la evaluación anterior.

Desarrolle la prevención, la detección y el plan de respuesta

Todas las compañías de servicios financieros y fiduciarios deben contar con una estrategia a fin de asegurar de que existen medios para identificar posibles violaciones a la seguridad. Ello puede incluir la revisión periódica de archivos o la creación de alertas para intentos repetidos de acceso de usuarios no autorizados o direcciones IP. Las técnicas para fortalecer las redes (medios para reducir la vulnerabilidad en sistemas de computación) deben incorporarse a los controles de acceso. Esto debería reducir los riesgos de una ruptura y, además, limitar el daño que la misma pueda ocasionar.

Las compañías deben considerar la implementación de una autenticación de usuario más firme (tal como una autenticación de dos pasos utilizando contraseñas o validaciones de credenciales físicas o biométricas); el aislamiento de sistemas o redes para limitar los accesos; la instalación de restricciones respecto del uso de medios de almacenamiento extraíbles; el uso de un acceso gradual a la información; y la adhesión a una codificación segura respecto de la información sensible. 

Establezca políticas y procedimientos por escrito

Toda compañía de servicios financieros, fiduciarios o de consultoría en inversión utiliza la tecnología como parte integral del negocio diario. Es importante contar con una serie de políticas y procedimientos escritos a fin de controlar el mantenimiento y el uso de las TI y de los sistemas tecnológicos.

Las políticas deberían no solo abarcar los procedimientos operativos normales sino también los procedimientos para identificar y manejar las violaciones a la seguridad o los intentos o amenazas de accesos no autorizados.

El equipo de TI debe estar capacitado y debe contar con una certificación de sus conocimientos sobre los procedimientos. Los centros de seguridad de la información más modernos operan mediante el uso de políticas estándar tales como la ISO 27001 o SAE 16. Comenzar por alguna de ellas ayudará a reducir el tiempo necesario para desarrollar su propio manual de procedimiento y asegurarse de no omitir ningún área vulnerable, reduciendo el riesgo total.

En relación al equipo de TI, los usuarios también deben regirse por políticas que los informen respecto de la creación de contraseñas fuertes, la frecuencia con la cual deben actualizarse y del uso de dispositivos personales o software en la red.

Una vez que cuente con los procedimientos adecuados, debe realizar revisiones periódicas a fin de asegurarse de que su equipo adhiere a los estándares corporativos. Esta revisión es parte de su evaluación periódica y puede brindarle tranquilidad de que hizo todo lo posible para proteger su información.

La necesidad de la ciberseguridad es un hecho de la vida pero no tiene que resultar una carga. Al crear estándares simples y comprensibles, al adherir a las prácticas adecuadas para la administración de su red y al capacitar a su equipo para que estén atentos a cualquier signo de violación de seguridad, usted habrá hecho todo lo posible para proteger información delicada y para mitigar el riesgo ante cualquier ruptura. 

Contacte a nuestros expertos en las Américas, Europa, Medio Oriente y África o en Asia-Pacífico.