Dado que la ciberseguridad cambia constantemente, los MSP deben asegurarse de que sus clientes se adapten a las amenazas emergentes.
Debido a que los clientes están ocupados con sus negocios, es importante que los MSP proporcionen los recursos que los clientes necesitan para protegerse. Existen muchas estrategias diferentes para hacer esto, desde proporcionar contenido educativo hasta realizar capacitación en persona. El mejor enfoque es combinar algunas o todas estas tácticas.
Dicho esto, aquí hay seis mejores prácticas para mantener a los clientes informados sobre la evolución de los riesgos de ciberseguridad.
Realice auditorías de seguridad periódicas
Es bien sabido que la mayoría de las empresas piensan que están mucho más protegidas contra las ciberamenazas de lo que realmente están. En realidad, solo el 5% de las carpetas de las empresas están protegidas en promedio, según un estudio de la firma de seguridad Varonis.
La mejor forma de concienciar a los clientes de sus vulnerabilidades es mostrándolas a través de auditorías de seguridad periódicas. Las auditorías no solo destacan la importancia de la ciberseguridad, sino que también revelan nuevos riesgos que han surgido desde la última auditoría del cliente.
Cualquier auditoría exhaustiva debe verificar lo siguiente:
- contraseñas inseguras;
- listas de control de acceso (ACL) excesivamente permisivas en carpetas;
- ACL inconsistentes en carpetas;
- falta de auditoría de actividad de archivos;
- software de seguridad obsoleto; y
- software no compatible instalado en los sistemas.
Como mínimo, los MSP deben realizar una auditoría de ciberseguridad para sus clientes una vez cada dos años. Es posible que se necesiten auditorías adicionales a medida que surjan nuevas amenazas. Las empresas que almacenan datos confidenciales de los clientes requieren auditorías más frecuentes. Dependiendo de los datos, se recomiendan auditorías mensuales o incluso semanales.
Actualice a los clientes a través de boletines y redes sociales.
Los boletines informativos enviados por correo electrónico brindan una manera fácil de informar a los clientes sobre nuevas amenazas. Los MSP pueden utilizar boletines informativos para hablar sobre noticias de ciberseguridad, sus empresas y la industria en su conjunto. Al enviar boletines informativos con regularidad, los MSP también pueden tener en cuenta la ciberseguridad para los clientes.
Al utilizar boletines informativos, la clave es aportar valor. Si los MSP envían boletines con demasiada frecuencia, o simplemente usan boletines para promocionar sus servicios, la gente se cancelará rápidamente. Sin embargo, si los boletines contienen información importante que es útil para los negocios de los clientes, es probable que los lean.
Hay muchas opiniones sobre la frecuencia con la que se deben enviar los boletines, pero una vez al mes es una buena cadencia.
Otra opción para comunicar actualizaciones de seguridad es utilizar las redes sociales. Las publicaciones periódicas que ofrecen información útil harán que los clientes regresen. Además, ayudarán a los MSP a aumentar su número de seguidores en las redes sociales.
Estos son algunos temas potenciales que los MSP pueden cubrir en sus boletines y publicaciones en las redes sociales:
- recordatorios sobre las mejores prácticas de ciberseguridad;
- actualizaciones sobre nuevas estafas de phishing y malware;
- anuncios sobre formación y seminarios en ciberseguridad;
- enlaces a artículos y recursos útiles; y
- descripciones generales de lo que está haciendo el MSP para proteger a los clientes.
Publica publicaciones de blog
Los boletines informativos enviados por correo electrónico son una herramienta útil, pero no se prestan a contenido extenso. Algunos temas requieren una explicación más detallada, y aquí es donde entran los blogs.
Al igual que los boletines, los blogs son una forma de actualizar a los clientes sobre las noticias de la industria, los riesgos potenciales y las estrategias de ciberseguridad. Sin embargo, los blogs pueden ser mucho más profundos, creando un gran recurso para que los clientes marquen y consulten con regularidad.
Los blogs también permiten a los MSP establecerse como autoridades de ciberseguridad y generar confianza con los clientes. Al demostrar experiencia, los MSP pueden atraer nuevos clientes e influir en los clientes existentes para que presten atención a los consejos.
Las publicaciones de blog son extremadamente efectivas cuando se usan junto con boletines informativos enviados por correo electrónico. Los MSP pueden obtener una vista previa de las publicaciones de su blog en boletines informativos, con enlaces a la publicación completa para que los clientes puedan hacer clic en más información.
Realice seminarios, eventos y webinars
Como líderes en ciberseguridad en sus comunidades, es importante que los MSP retribuyan. Una forma de hacerlo es realizar seminarios y eventos locales.
Los seminarios y eventos brindan a los clientes la oportunidad de aprender lo que está sucediendo en la industria de la ciberseguridad, recibir la información más actualizada y hacer preguntas urgentes. Los eventos no tienen por qué ser grandes o costosos. Simplemente alquilando una habitación e invitando a clientes y empresas a una presentación informativa, los MSP pueden proporcionar un valor inmenso.
De hecho, los eventos ni siquiera necesitan ser en persona. Los MSP pueden realizar seminarios web a los que los clientes pueden unirse desde cualquier ubicación, lo que podría llegar a un mayor número de personas.
Lo mejor de los eventos es que las empresas no solo aprenderán de los MSP. También aprenderán de sus compañeros. Al establecer contactos con otros profesionales, los clientes pueden descubrir qué hacen las empresas similares para protegerse.
Capacitación en concientización sobre ciberseguridad y simulaciones de phishing
Los seminarios y eventos son una buena introducción al tema, pero no pueden reemplazar la capacitación personalizada. Al igual que las auditorías de seguridad, los MSP deben realizar periódicamente capacitaciones de concienciación sobre seguridad con los clientes para asegurarse de que estén debidamente protegidos y sean conscientes de las posibles amenazas.
Según una encuesta de seguridad cibernética de la Autoridad de Registro de Internet de Canadá, solo el 22% de las empresas realizan capacitaciones periódicas de concienciación sobre seguridad cibernética. Solo el 41% de las empresas tienen formación obligatoria en ciberseguridad para los nuevos empleados. Por lo tanto, es probable que esta sea un área en la que muchos clientes puedan mejorar.
La capacitación debe incluir información sobre lo siguiente:
- seguridad de cumplimiento y operación;
- posibles amenazas y vulnerabilidades;
- seguridad de la aplicación;
- seguridad de datos;
- seguridad del anfitrión;
- control de acceso;
- gestión de identidad; y
- criptografía.
Además de la formación, los MSP deben realizar simulaciones de phishing. Las simulaciones de phishing permiten a las organizaciones identificar sus vulnerabilidades y reforzar la formación proporcionada a su equipo.
Revisar las políticas y los procedimientos de seguridad de los clientes.
Como asesores de ciberseguridad de los clientes, los MSP probablemente participarán en el desarrollo de políticas y procedimientos. Una vez que los clientes cuentan con políticas y procedimientos, es importante que los MSP los revisen con los clientes y sus equipos al menos una vez al año.
Estas revisiones sirven como un repaso para los empleados existentes de los clientes y una introducción para los nuevos miembros del personal. Las revisiones también brindan a los MSP la oportunidad de actualizar y agregar procedimientos que abordan las amenazas emergentes.
Es posible que se requieran revisiones adicionales si un cliente realiza alguna de las siguientes acciones:
- abre una nueva oficina;
- permite a los empleados trabajar desde casa;
- permite a los empleados usar sus propios dispositivos;
- contrata trabajadores remotos; y
- experimenta una brecha de seguridad.
La ciberseguridad no siempre es lo primero en la mente de los clientes, por lo que depende de los MSP asegurarse de que se mantengan bien informados sobre los últimos desarrollos. Al utilizar las estrategias anteriores, los MSP pueden confiar en que sus clientes tienen toda la información necesaria para mantener sus negocios seguros.
Sobre el Autor
Stanley Kaytovich es director de operaciones en Qwerty Concepts, un proveedor de servicios administrados con sede en Piscataway, Nueva Jersey. Kaytovich también es miembro de The ASCII Group, una comunidad de TI de Estados Unidos de MSP, proveedores de soluciones e integradores de sistemas.