Es posible que haya escuchado hablar del Marco de Ciberseguridad del NIST, ¿pero qué es exactamente?
¿Y es aplicable para usted?
NIST es el acrónimo de Instituto Nacional de Estándares y Tecnología (National Institute of Standards and Technology, en inglés) dependiente del Departamento de Comercio de
EE. UU. El Marco de Ciberseguridad del NIST ayuda a los negocios de todo tamaño a comprender mejor sus riesgos de ciberseguridad, administrar y reducir sus riesgos, y proteger sus redes y datos. Este Marco es voluntario. Le brinda a su negocio una reseña de las mejores prácticas para ayudarlo a decidir dónde tiene que concentrar su tiempo y su dinero en cuestiones de protección de ciberseguridad.
Usted puede implementar el Marco de Ciberseguridad del NIST en su negocio en estas cinco áreas: identificación protección, detección, respuesta y recuperación.
1. Identificación
Haga una lista de todos los equipos, programas software y datos que use, incluyendo computadoras portátiles, teléfonos inteligentes, tablets y dispositivos utilizados en puntos de venta.
Elabore y comparta una política de ciberseguridad de la compañía que cubra los siguientes puntos:
Funciones y responsabilidades de los empleados, proveedores y todo aquel que tenga acceso a datos delicados.
Pasos a seguir para protegerse contra un ataque y limitar el daño si se produce un ataque.
2. Protección
- Controle quiénes acceden a su red y usan sus computadoras y otros dispositivos.
- Use programas de seguridad para proteger los datos.
- Codifique los datos delicados, tanto cuando estén almacenados o en tránsito.
- Haga copias de seguridad de los datos con regularidad.
- Actualice los programas de seguridad con regularidad, en lo posible, automatice estas actualizaciones.
- Implemente políticas formales para la eliminación segura de archivos electrónicos y dispositivos en desuso.
- Capacite sobre ciberseguridad a todas las personas que usen sus computadoras, dispositivos y redes. Usted puede ayudar a los empleados a comprender su riesgo personal además de la función crucial que cumplen en el lugar de trabajo.
3. Detección
Monitoree sus computadoras para controlar si detecta acceso de personal no autorizado a sus computadoras, dispositivos (soportes de almacenamiento de datos de tipo USB) y software.
Revise su red para controlar si detecta usuarios o conexiones no autorizados.
Investigue cualquier actividad inusual en su red o por parte de su personal.
4. Respuesta
Implemente un plan para:
- Notificar a los clientes, empleados y otros cuyos datos pudieran estar en riesgo.
- Mantener en funcionamiento las operaciones del negocio.
- Reportar el ataque a los encargados del cumplimiento de la ley y otras autoridades.
- Investigar y contener un ataque.
- Actualizar su política y plan de ciberseguridad con las lecciones aprendidas.
- Prepararse para eventos inadvertidos (como emergencias climáticas) que puedan poner en riesgo los datos.
Ponga a prueba su plan con regularidad.
5. Recuperación
Después de un ataque:
Repare y restaure los equipos y las partes de su red que resultaron afectados.
Mantenga informados a sus empleados y clientes de sus actividades de respuesta y recuperación.
Para más información sobre el Marco de Ciberseguridad del NIST y los recursos para los pequeños negocios, visite nist.gov/CyberFramework y nist.gov/programs-projects/small-business-corner-sbc.