Ser propietario de un pequeño negocio representa muchos desafíos, incluyendo el manejo seguro de la tecnología. En este sentido, cada riesgo puede tener un efecto significativo en su capacidad para permanecer en el negocio. Y a la vez, organizaciones más grandes son las que a menudo cuentan con los recursos para proteger su negocio. Sin embargo, el Instituto Nacional de Estándares y Tecnología (NIST, por sus siglas en inglés) pretende cambiar eso con el lanzamiento de su "Rincón de Seguridad Cibernética para Pequeñas Empresas".
¿Cómo es proteger una empresa más pequeña diferente?
A grandes rasgos, las técnicas necesarias para proteger a una pequeña empresa no son tan diferentes a las que se necesita para proteger a una organización muy grande. Las mayores diferencias se reducen a la complejidad, la experiencia y la capacidad de recuperación.
Una red pequeña necesariamente será mucho menos compleja, lo que significa que puede ser más fácil de proteger. Pero si no se cuenta con la experiencia para saber si se ha protegido adecuadamente sus datos y dispositivos, esa simplicidad es en gran medida irrelevante. Y si bien el costo de un incidente de seguridad puede ser menor debido a un pequeño número de registros o máquinas afectadas, si representa un gran porcentaje de una pequeña cantidad de ganancias, puede ser muy difícil para la empresa recuperarse.
Los consejos para evaluar y proteger la seguridad de una empresa contra los riesgos existentes en el campo de la ciberseguridad a menudo pueden parecer abrumadores para aquellos que no son expertos en informática. Pero ahora, la novedad es que hay un recurso específico dirigido a las empresas más pequeñas, el cual utiliza un lenguaje más accesible. Este recurso ayuda a las empresas más pequeñas a comprender sus riesgos específicos, así como las medidas utilizadas para mitigarlos.
Recursos del NIST para pequeñas empresas
Para ilustrar la variedad de recursos que están ofreciendo, hagamos un recorrido rápido por el "Rincón de Seguridad Cibernética para Pequeñas Empresas del NIST". La primera sección es Información básica sobre ciberseguridad, que es un excelente lugar para comenzar.
Fundamentos en ciberseguridad
Esta sección está compuesta por tres subsecciones: “Riesgos de ciberseguridad”, “Para administradores” y “Glosario”. La página de Riesgos de Ciberseguridad tiene dos grupos de artículos. El primer grupo se llama "Riesgos y amenazas" y cubre una amplia variedad de inquietudes comunes. Está bien equilibrado, ya que es de utilidad tanto para comprender las distintas amenazas, así como también para aprender a identificarlas. El segundo grupo se llama "Gestión de riesgos" y analiza específicamente los mitos de la gestión de riesgos y proporciona estadísticas que destacan la importancia de gestionar el riesgo tecnológico.
La sección "Para gerentes" cubre la seguridad desde una perspectiva de gestión. Esto incluye discusiones a nivel de la Junta Directiva sobre seguridad y riesgos, temas de discusión para directores ejecutivos que consideran la postura de seguridad de la compañía, cómo mejorar la cultura de seguridad en todos los niveles de la organización y cómo contratar nuevo personal de seguridad.
El Glosario es justo lo que cualquiera esperaría. Abarca varias docenas de términos que describen conceptos de seguridad que se utilizan en todo el sitio.
La sección "Conceptos básicos sobre la seguridad cibernética" es un buen lugar para comenzar para aquellos que son muy nuevos en el tema de la seguridad y puede ser una buena revisión para las personas que están más familiarizadas. Es probable que el documento de mitos sea particularmente útil para aquellos que están llegando con ciertos preconceptos de seguridad.
Guías de planificación
Esta sección tiene el tipo de contenido por el que el NIST se ha hecho famoso, así como artículos adicionales que cubren estos recursos en un lenguaje más claro y menos técnico.
La “Hoja de ruta de los recursos de ciberseguridad” es un buen lugar para comenzar a navegar por esta sección. Es una infografía que lo ayudara a determinar cómo comenzar o a dónde debe ir si está avanzando en su viaje hacia la protección de su entorno. Cada nivel le indicará los recursos específicos que serán más útiles.
Respondiendo a un incidente cibernético
Esta es la sección a la que deberá ir si ha sido víctima de un evento de seguridad y necesita saber qué hacer a continuación. La guía de violación de datos incluye una plantilla de muestra para una notificación de respuesta de violación. La misma será de ayuda para que pueda asegurarse de haber cubierto las bases necesarias de la manera más eficiente y profesional posible; incluso en una situación muy estresante.
Formación
Esta sección fue creada con la Manufacturing Extension Partnershio (MEP) del NIST y está dirigida principalmente a pequeños fabricantes. Esto incluye más detalles sobre el Manual NIST 800-171 para ayudar a quienes suministran productos para el Departamento de Defensa.
Directorio de colaboradores
Esta sección es una lista de recursos y otras organizaciones gubernamentales que ayudan a mejorar la ciberseguridad. Me gustaría destacar particularmente la “Guía de Gestión de la Fuerza Laboral” elaborada por la Iniciativa Nacional para la Educación en Ciberseguridad (NICE, por sus siglas en inglés) , que puede ser particularmente útil si está en el punto de querer contratar personal para ayudarlo a mejorar su capacidad de seguridad.
Preguntas más frecuentes
La sección de preguntas frecuentes responde a las preguntas más frecuentes sobre el sitio NIST Small Business Cybersecurity, como, por ejemplo, por qué las pequeñas y medianas empresas deben preocuparse por la seguridad.
Blog
Una vez que se haya puesto al día con los conceptos básicos, es posible que desee volver a visitar el sitio de manera regular para ver cuáles son los temas de interés más recientes. La sección de Blog se actualiza periódicamente con las cosas que NIST está haciendo, así como los eventos actuales de interés.
Espero que los esfuerzos de NIST solo sean el comienzo de una tendencia importante hacia la educación de los propietarios de pequeñas empresas sobre temas de seguridad. Hay una tremenda necesidad que debe satisfacerse, especialmente en cuanto a hacer que el cumplimiento de las normas sea comprensible para los simples mortales. Si tienes una pequeña empresa, ¿consideras que este nivel de información es útil? Si es así, ¿por qué? O si no, ¿qué te gustaría ver hecho de manera diferente?