En este segundo artículo de nuestra serie dedicada a las medidas de prevención contra el ransomware (aquí, el primero). Te resumimos lo esencial sobre cómo estructurar tu seguridad siguiendo estándares reconocidos y aplicando medidas adaptadas a tu organización para reducir drásticamente el riesgo ante esta amenaza creciente.
Política de seguridad basada en ISO 27001:2022
El primer paso para blindar a tu pyme. No se trata de un documento burocrático, sino de una guía práctica que marca el rumbo de la ciberseguridad y el SGSI en la organización. Seguir la norma ISO 27001:2022 garantiza un enfoque probado y reconocido internacionalmente.
Esta política debe definir claramente los objetivos y el alcance: qué se protege, cómo y con qué recursos. Además, necesita el respaldo de la dirección, sin el cual no pasa de papel mojado. Con una política bien diseñada tienes unos cimientos sólidos frente al ransomware.
Roles y responsabilidades mínimos
Una política sirve de poco si no está respaldada por personas con funciones claras. En una pyme basta con tres perfiles básicos:
- la dirección (lidera y apoya);
- el responsable de seguridad (coordina medidas y responde a incidentes); y
- los empleados/usuarios (cumplen las normas y avisan de anomalías).
Definir estos roles evita malentendidos y asegura que cada incidente tenga un responsable designado. También entran en juego los proveedores, que deben alinearse con las exigencias de la empresa. Así se logra que la seguridad sea un engranaje bien engrasado.
Normas básicas: accesos, cifrado, backups, proveedores
Las normas prácticas son el corazón de la seguridad. Algunas imprescindibles:
- limitar accesos según permisos, asegurar los dispositivos con contraseñas fuertes y bloquear automáticamente las pantallas;
- cifrar discos y datos sensibles;
- establecer políticas de copias de seguridad con estrategias solventes (como la 3-2-1); y
- controlar de cerca a proveedores y colaboradores.
Este conjunto de medidas protege la información en todos sus frentes: quién accede, cómo se guarda, cómo se recupera y quién más la maneja. Aunque puedan parecer detalles operativos, son precisamente estas rutinas las que marcan la diferencia cuando se produce un ataque…
Difusión y revisión continua
La política de seguridad de tu pyme no se diseña para quedarse guardada en un cajón. Debe comunicarse de forma clara y accesible a todos los empleados, con sesiones presenciales, guías prácticas o canales internos de información.
Además, la seguridad es un proceso vivo: requiere revisiones periódicas para adaptarse a las nuevas amenazas, detectar posibles lagunas, adecuarse a tu forma de trabajar. Una política de ciberseguridad dinámica y compartida asegura que la pyme evolucione, al menos, al mismo ritmo que los ciberdelincuentes.
¿Ya tienes políticas claras y efectivas para proteger tu pyme?
En CISO GUARDIAN te ayudamos a diseñar tu ciberseguridad para defenderte del ransomware y otras amenazas.
