Teoría: Ciberseguridad y ciberresiliencia

Un elemento crucial de la ciberseguridad y la ciberresiliencia es la educación del personal de una empresa (o el propio) y su formación en competencias digitales. Los empleados que reciben una formación adecuada sobre cómo evitar ser víctimas de ciberataques y saben qué denunciar pueden mejorar los sistemas de seguridad de una PYME turística y reducir el riesgo de ciberamenazas, como el acceso no autorizado a los cibersistemas de la empresa.

Fuente: Digital Skills & Training (recurso en inglés, puedes usar el traductor de tu navegador para acceder a los contenidos en español)

El WTTC identifica 7 buenas prácticas que pueden adoptarse en las pequeñas y medianas empresas para mejorar aún más la ciberresiliencia en sus operaciones:

1. Integrar la gestión del riesgo cibernético en la gestión del riesgo organizativo

Los ciberriesgos deben priorizarse y gestionarse junto con otros riesgos empresariales y operativos. Las empresas deben revisar y actualizar periódicamente sus procesos de gestión de riesgos y asignar un presupuesto acorde con el nivel de riesgo y las medidas de mitigación necesarias. Se necesitan empleados (o autónomos/as) cualificados para crear e informar sobre las políticas de ciberriesgos, aplicar las mejores prácticas y gestionar los riesgos de forma proactiva y continua.

2. Educar y formar a todo el personal

La formación es crucial para introducir nuevo personal y educar al personal actual para garantizar el uso eficaz de los sistemas y procesos digitales y la seguridad. Aunque no todos los empleados requieren el mismo nivel de formación, es importante que el personal (si lo hubiere) tenga una comprensión fundamental de los principios de ciberseguridad. Esto reduce la probabilidad de que se produzcan ciberataques por parte de personas con información privilegiada.

https://www.freepik.com/premium-vector/training-icon-vector-training-education-icon-blackboard

3. Ampliar la protección contra riesgos más allá del lugar de trabajo físico

Con el paso al trabajo remoto e híbrido, los controles cibernéticos deben aplicarse de forma más amplia. Es crucial considerar cómo los modelos de trabajo híbridos podrían afectar a la seguridad y aumentar las vulnerabilidades, incluida la seguridad Wi-Fi doméstica, la ciber higiene de los empleados en sus propios dispositivos, etc.

4. Aplicar un enfoque de confianza cero a la ciberseguridad

El enfoque de confianza cero se aleja de los métodos anteriores que se basaban en niveles más altos de confianza dentro de la organización. Así pues, este marco de actuación se basa en la verificación explícita de las solicitudes de acceso, en el acceso con menos privilegios y en la suposición de una violación o compromiso. Esto permite una mayor flexibilidad en el acceso al tiempo que limita la exposición a los sistemas centrales.

Fuente: Apply Zero Trust information security framework to ICS/OT environment

Para saber más sobre este enfoque de Confianza Cero, te recomendamos echar un vistazo a los siguientes materiales:

●     ¿Qué es el modelo Zero Trust en ciberseguridad?

●     ¿Qué es Zero Trust? | IBM

¿Qué es la confianza cero?

5. Utilizar evaluaciones continuas de las amenazas

Esto incluye mejorar la resistencia frente a las ciberamenazas estableciendo relaciones con expertos en la materia, utilizando análisis para perfeccionar las medidas de protección, realizando pruebas de penetración para identificar vulnerabilidades, segmentando los sistemas para limitar el impacto de las brechas y priorizando la protección de los sistemas.

6. Ser transparente

Es fundamental comunicar las medidas de seguridad aplicadas y los motivos de la recopilación de datos, su uso y los periodos de almacenamiento. Las PYMEs turísticas deben recopilar sólo la menor cantidad de datos personales e información de pago necesaria y ofrecer los mayores niveles de protección para fomentar la confianza de sus clientes y grupos de interés. Debe destacarse el cumplimiento de la legislación y las normas (por ejemplo, GDPR). Si se produce una violación, se debe notificar inmediatamente a las partes afectadas y a los organismos reguladores, y se deben tomar medidas para mitigar el impacto de la violación.

7. Implantar una norma organizativa

Los responsables de las empresas deben cumplir la legislación de las regiones en las que operan sus organizaciones. La misión de la UE de fomentar un enfoque normalizado de la ciberseguridad y la resiliencia y la protección de datos ha llevado al desarrollo de:

●       La Ley de Ciber Resiliencia de la UE pretende establecer normas comunes de ciberseguridad para los productos digitales y los servicios asociados que se comercializan en el mercado de la UE.

●       La Ley de Ciberseguridad de la UE refuerza la ENISA y establece un marco de certificación de ciberseguridad para productos y servicios.

●       La evolución del panorama cibernético hace necesaria una legislación cibernética específica para mejorar la protección civil; aquí es donde entra en juego el Reglamento General de Protección de Datos (GDPR) de la UE. La prioridad actual de ENISA es fomentar las medidas de protección de datos para mostrar cómo las tecnologías de ciberseguridad pueden apoyar el cumplimiento de los principios de protección de datos del GDPR (véanse los pasos relativos a la respuesta a la violación de datos en la sección 10.3).

●       Como parte del Año Europeo de las Capacidades 2023, la Comisión adoptó una Comunicación sobre una Academia de Capacidades de Ciberseguridad el 18 de abril de 2023.

Estas normativas e iniciativas políticas deben ser tenidas en cuenta por las PYMEs turísticas a la hora de desarrollar e implantar una norma de organización, que también debería contar con la información de expertos en ciberseguridad, privacidad y legislación.

La ENISA ha elaborado una guía de ciberseguridad para PYMEs que destaca 12 pasos en los que las PYMEs pueden asegurar sus negocios. Estos pasos son los siguientes:

1.    Desarrollar una buena cultura de ciberseguridad;

2.    Proporcionar la formación adecuada;

3.    Garantizar una gestión eficaz de terceros;

4.    Desarrollar un plan de respuesta a incidentes;

5.    Asegurar el acceso a los sistemas;

6.    Asegurar los dispositivos;

7.    Asegurar la red;

8.    Mejorar la seguridad física;

9.    Asegurar las copias de seguridad;

10. Utilizar la nube;

11. Proteger los sitios en línea;

12. Buscar y compartir información.

Fuente: ENISA introduces the European Cybersecurity Skills Framework - ECSO(recurso en inglés, puedes usar el traductor de tu navegador para acceder a los contenidos en español)