Únete a la Comunidad de Directivos de Tecnología, Ciberseguridad e Innovación Byte TI

Encontrarás un espacio diseñado para líderes como tú.

ciberseguridad

Así debe realizarse una correcta estrategia de ciberseguridad

Son muchos los factores y premisas que una organización debe considerar para definir su estrategia de ciberseguridad. En un entorno tecnológico cambiante, las compañías deben identificar y proteger sus activos estratégicos a través de sistemas de seguridad específicos, que garanticen la continuidad del negocio.

Sobre ello, ISACA ha dado a conocer como debe realizarse una correcta estrategia de ciberseguridad, pues la protección en sistemas, redes, aplicaciones y datos es, hoy en día, tan importante para una organización como incrementar el número de clientes, aumentar la facturación o lanzar nuevos productos.

“El simple hecho de que una organización se plantee esta pregunta ya es un síntoma de madurez, pero también de la importancia que la cúpula directiva de una empresa le da a la ciberseguridad”, explica Víctor Parrado, CISO, GlobalSuite Solutions.

Concienciación en la empresa

Como en toda estrategia, la implicación de la dirección de la empresa en la ciberseguridad es una pieza clave, y de ahí la importancia del rol del CISO, que se encuentra integrado en los altos niveles de la compañía para conocer de primera mano los objetivos estratégicos del negocio y protegerlos de forma adecuada.

La estrategia de ciberseguridad depende de esos objetivos estratégicos, pero también de los recursos y capacidades que la organización posea, así como de factores internos y externos que llamaremos contexto. A la hora de llevar la estrategia a la capa de operativa de una organización, adaptarnos a nuestra realidad es fundamental para tener éxito.

Un buen punto de partida para la definición de la estrategia de seguridad es responder la siguiente pregunta: ¿qué es crítico para la organización? ¿Cuáles son los activos de los que no podemos prescindir?

Cuestiones esenciales que no hay que fiar, en todo caso, a una sola visión: de ahí que sea importante realizar dicha pregunta a varios líderes o áreas dentro de la compañía, pues es bastante común que un proceso de negocio importante dependa de un activo que únicamente conoce un área.

Tal y como afirma Víctor Parrado, “sería un error ponernos directamente a implantar controles sin saber antes qué nos podría pasar y qué tenemos. Con este ejercicio podemos identificar las fortalezas y debilidades en materia de ciberseguridad, así como cuáles son las carencias y qué hay que hacer para actuar sobre ellas. Nos ofrecerá también una visión general de las diferentes capas y cómo debemos proteger nuestros datos más valiosos”.

Estrategia de Ciberseguridad

En este punto, estaríamos conformando una estrategia conocida como defensa en profundidad. Originaria del mundo militar, su objetivo es el de ralentizar el avance del enemigo a través de distintos métodos y controles (capas), en lugar de confiar en un método de protección. Así el atacante necesita más tiempo y conocimientos para comprometer la seguridad de los activos críticos, lo que permite al defensor elaborar una respuesta más eficaz.

Tal y como asegura Parrado, “en este caso, no hay que pensar únicamente en medidas técnicas y programas de ciberseguridad. Es igual de importante saber cómo interactúa el usuario con los sistemas de la organización. Esta capa de gestión contiene todas las políticas, normativas y procedimientos, además de permitir disponer de los principios básicos sobre los que articular el resto de salvaguardas más técnicas. La complejidad de la infraestructura de las organizaciones hace necesario implantar un marco de gestión que permita llevar de forma correcta todos los procesos implantados, desde reportes a dirección de los datos relevantes, a evaluación y gestión de los riesgos y del cumplimiento”.

Así debe realizarse una correcta estrategia de ciberseguridad

Pero eso no es todo. Cuando se define una estrategia hay que tener en cuenta que nuestra realidad cambia de forma constante cuando hablamos de ciberseguridad, así que la que definamos para nuestra empresa ha de ser lo suficientemente flexible para adaptarse a los requisitos del mercado y a las nuevas tecnologías a lo largo del tiempo.

Parrado muestra un ejemplo de esta situación: “En el momento de la irrupción de la pandemia, la mayoría de empresas disponían de una estrategia basada en la autenticación centralizada en los sistemas corporativos para la protección de aquellos usuarios que se encontraban fuera de la red corporativa. Este modelo explotó en el momento en el que todos los empleados tuvieron que empezar a trabajar desde casa, por lo que las organizaciones se vieron obligadas a proporcionar acceso a nuevos dispositivos, en algunos casos sin ser corporativos, así como a un número ingente de conexiones incompatibles con las licencias que tenían, etc. Es decir, de un día para otro, la estrategia de protección de los dispositivos de usuarios tuvo que cambiar. Este es un simple ejemplo de cómo la estrategia de ciberseguridad debe estar en constante evolución”.

Implementando la estrategia correcta

Una estrategia de ciberseguridad implica la adquisición de conocimientos por parte del equipo, la gestión de programas necesarios y la constante actualización a la hora de implementar todos estos controles.Esto implica un nivel de complejidad que, en muchas ocasiones, no puede asumir una organización por sí misma.

Por eso, muchas empresas cuentan con apoyo externo que les ayude ante ciberincidentes, monitoricen su infraestructura en busca de anomalías o, en definitiva, proporcionen soluciones de ciberseguridad de un modo especializado. Estaríamos hablando de servicios de SoC gestionado, CERTs, seguros de ciberriesgos, etc. Con ello en mente, para definir una estrategia, habría que tener en cuenta los siguientes puntos:

  • Decisiones basadas en datos e información. El primer paso para definir una estrategia es conocer nuestra organización, qué es importante y cuáles son nuestras fortalezas y debilidades.
  • La estrategia de ciberseguridad debe ser apoyada por la alta dirección. Y viceversa, la ciberseguridad debe apoyar y adaptarse a los objetivos de negocio.
  • Implantar un marco de gestión de la ciberseguridad nos permitirá gestionar mejor los procesos. Ya sea ISO 27001, 27110, ENS, marco NIST… Es una buena estrategia escoger un estándar que defina y relacione los distintos procesos.
  • La estrategia es consecuencia de tu contexto. Para definir una estrategia debes conocer tu realidad. Los recursos siempre son limitados.
  • Responsabilidades y roles de seguridad definidos. Es fundamental determinar quién se ocupa de qué para definir los diferentes procesos a implementar con el objetivo de llevar a cabo una buena gestión de la ciberseguridad.

Deja un comentario

Scroll al inicio