¿CÓMO REALIZAR UNA BUENA ESTRATEGIA DE CIBERSEGURIDAD?

Son muchos los factores y premisas que una organización debe considerar para definir su estrategia de ciberseguridad. En un entorno tecnológico cambiante, las compañías deben identificar y proteger sus activos estratégicos a través de sistemas de seguridad específicos que garanticen la continuidad del negocio.

Sobre ello, ISACA ha dado a conocer como debe realizarse una correcta estrategia de ciberseguridad, pues la protección en sistemas, redes, aplicaciones y datos es tan importante para una organización como incrementar el número de clientes, aumentar la facturación o lanzar nuevos productos.

Víctor Parrado, CISO, GlobalSuite Solutions indica que: “El simple hecho que una organización se plantee esta pregunta ya es un síntoma de madurez, pero también de la importancia que la cúpula directiva de una empresa le da a la ciberseguridad”.

Como en toda estrategia, la implicancia de la dirección de la empresa en la ciberseguridad es una pieza clave, de ahí la importancia del rol del CISO, que se encuentra integrado en los altos niveles de la compañía para conocer de primera mano los objetivos estratégicos del negocio y protegerlos de forma adecuada. La estrategia de ciberseguridad depende de esos objetivos estratégicos, pero también de los recursos y capacidades que la organización posea, así como de factores internos y externos que llamaremos contexto. A la hora de llevar la estrategia a la capa operativa de una organización, adaptarnos a nuestra realidad es fundamental para tener éxito.

Un buen punto de partida para la definición de la estrategia es responder la siguiente pregunta: ¿qué es crítico para la organización? ¿Cuáles son los activos de los que no podemos prescindir?

Tal y como afirma Víctor Parrado, “sería un error ponernos directamente a implantar controles sin saber antes qué nos podría pasar y qué tenemos. Con este ejercicio podemos identificar las fortalezas y debilidades en materia de ciberseguridad, así como cuáles son las carencias y qué hay que hacer para actuar sobre ellas. Nos ofrecerá también una visión general de las diferentes capas y cómo debemos proteger nuestros datos más valiosos”.

Cuando se define una estrategia hay que tener en cuenta que nuestra realidad cambia de forma constante cuando hablamos de ciberseguridad, así que la que definamos para nuestra empresa ha de ser lo suficientemente flexible para adaptarse a los requisitos del mercado y a las nuevas tecnologías a lo largo del tiempo.

Por otro lado, una estrategia de este tipo implica la adquisición de conocimientos por parte del equipo, la gestión de programas necesarios y la constante actualización a la hora de implementar todos estos controles. Esto genera un nivel de complejidad que, en muchas ocasiones, no puede asumir una organización por sí misma.

Por eso, muchas empresas cuentan con apoyo externo que les ayude ante ciberincidentes, monitoricen su infraestructura en busca de anomalías o, en definitiva, proporcionen soluciones de ciberseguridad de un modo especializado. Estaríamos hablando de servicios de SOC gestionado, CERTs, seguros de ciberriesgos, etc. Con ello en mente, para definir una estrategia, habría que tener en cuenta los siguientes puntos:

  • Decisiones basadas en datos e información: El primer paso para definir una estrategia es conocer nuestra organización, qué es importante y cuáles son nuestras fortalezas y debilidades.
  • La estrategia de ciberseguridad debe ser apoyada por la alta dirección: Y viceversa, la ciberseguridad debe apoyar y adaptarse a los objetivos de negocio.
  • Implantar un marco de gestión de la ciberseguridad nos permitirá gestionar mejor los procesos: Ya sea ISO 27001, 27110, ENS, marco NIST. Es una buena estrategia escoger un estándar que defina y relacione los distintos procesos.
  • La estrategia es consecuencia de tu contexto: Para definir una estrategia debes conocer tu realidad. Los recursos siempre son limitados.
  • Responsabilidades y roles de seguridad definidos: Es fundamental determinar quién se ocupa de qué para definir los diferentes procesos a implementar con el objetivo de llevar a cabo una buena gestión de la ciberseguridad.

*Fuente: Revista Byte

Comments are closed.

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies