1. Política y normativa: elaboraremos una política acerca de cómo nuestra empresa va a abordar la ciberseguridad, a partir de ella se elaboraran las normas y procedimientos a cumplir. Además, se desarrollarán los proyectos adecuados para garantizar nuestra política de seguridad.
  2. Control de acceso: debemos de inventariar la información de la empresa y dar los permisos de usuario imprescindibles para los usuarios que realmente la necesiten
  3. Copias de seguridad: tenemos que garantizar la disponibilidad de la información mediante la programación de copias de seguridad eligiendo además distinto tipo de soportes.
  4. Protección antimalware: debido a la gran cantidad de software malicioso que existe hoy en día, no solo tenemos que tener software antimalware en cada uno de los dispositivos de la organización, tenemos que implantar otras medidas, como el diseño de la red o la configuración de distintos permisos de usuario en cada dispositivo.
  5. Actualizaciones: debemos asegurarnos de que todo nuestro software esta convenientemente actualizado, pondremos especial atención a los elementos más críticos como los sistemas operativos, los antivirus o los CMS.
  6. Seguridad de la red: debido al gran numero de amenazas que nos encontramos en Internet debemos restringir y controlar el acceso externo a nuestra red corporativa. Pondremos especial atención en el uso de dispositivos extraíbles como memorias USB o discos duros externos. También es conveniente cambiar el puerto de escucha que tienen el escritorio remoto en caso de que la empresa tenga acceso remoto a un servidor.
  7. Información en tránsito: tenemos que tener especial cuidado sobre la perdida de información sensible por ejemplo en dispositivos USB, uso de sistemas de conexión no seguros, etc.
  8. Gestión de soportes: además de realizar copias de seguridad, para garantizar la correcta disponibilidad de nuestra información debemos estudiar y elegir los tipos de soporte de almacenamiento más adecuados (discos duros, cintas magnéticas, redes SAN-NAS, etc.), considerando para ello aspectos tales como la capacidad, la tasa de transferencia, etc. de cada uno de ellos
  9. Registro de actividad: es conveniente recabar los detalles relevantes (cuando, cómo, por qué, por quién, etc.) sobre los eventos más trascendentes en nuestros sistemas de información (arranque de sistemas, inicios y accesos a aplicaciones, acceso, modificación o borrado de información sensible, etc.), nos permitirá prever y estudiar situaciones anómalas que impliquen riesgo para nuestra información
  10. Continuidad de negocio: es absolutamente imprescindible definir y probar un conjunto de acciones para recuperar cuanto antes la actividad de la empresa ante un incidente de seguridad.

Fuente: https://incibe.es/protege-tu-empresa/blog/decalogo-ciberseguridad-empresas-guia-aproximacion-el-empresario