La gestión eficiente de riesgos de ciberseguridad requiere gobernanza y una combinación de múltiples recursos en un Plan Estratégico.
Por: César Pallavicini | CEO de Pallavicini Consultores
Cuando ocurren ciberataques que afectan a la banca y a otros sectores claves de la economía – con la evidente connotación pública – gerentes de empresas solicitan servicios de Ethical Hacking como una solución de ciberseguridad al problema, creyendo que lo abordan de forma correcta.
Pasado el susto, sin embargo, vuelven a sus tareas rutinarias, postergando los proyectos de ciberseguridad, lo cual refleja la falta de conciencia en la protección de la información y un desconocimiento – o falta de creencia – de que los ciberatacantes son países u organizaciones criminales con:
- Estructura jerárquica
- Estrategias
- Y con presupuestos definidos
Para abordar en forma eficiente la gestión de riesgos de ciberseguridad se requiere gobernanza y una combinación de múltiples estrategias.
En este sentido es fundamental tanto la alineación a la misión como a las líneas de negocio de la compañía.
Antes de asumir los proyectos que permitirían mitigar los riesgos de ciberataques es clave desarrollar un plan estratégico que sea aprobado y luego liderado por la alta dirección de la organización.
Gobernanza, Alfa y Omega
Para comenzar es útil recordar que desde hace un buen tiempo existe el Framework NIST, acrónimo de Instituto Nacional de Estándares y Tecnología dependiente del Departamento de Comercio de Estados Unidos.
Se trata de un marco de ciberseguridad que ayuda a los negocios de todo tamaño a comprender mejor sus riesgos de ciberseguridad, administrarlos y reducirlos, junto a la protección de redes y datos.
Si se pregunta por qué es recomendable usar NIST, lo correcto es darle el carácter de estándar a nivel mundial para proteger la infraestructura crítica de la nación y porque la gestión de ciberseguridad parte desde la alta dirección, debiendo ser analizada de acuerdo al giro y procesos de negocios de la organización.
Luego, se involucra a las gerencias internas y stakeholders.
Las funciones del NIST como son:
- Identificar
- Proteger
- Detectar
- Responder
- Y Recuperar junto a sus niveles y perfiles…
… permiten diagnosticar el estado actual mediante un perfil y generando un perfil objetivo.
Todo ello posibilita diseñar un plan de acción con un adecuado presupuesto de inversión y gasto acorde a las reales necesidades de ciberseguridad de la empresa.
Estándares = Gobernanza
De forma adicional, el marco NIST se relaciona con estándares, directrices y prácticas de las normas ISO 27032, ISO 27002 y Cobit, proporcionando una taxonomía común y un mecanismo para que las organizaciones describan su postura actual de ciberseguridad, así como también su objetivo deseado, e identifiquen y priorizen oportunidades de mejora dentro del contexto de un proceso tan continuo como repetible.
Todo al tiempo que se evalúa el progreso hacia el objetivo deseado y se comunica entre las partes interesadas – internas y externas – respecto al riesgo de seguridad cibernética.
NIST complementa, no reemplaza el proceso de gestión de riesgos y el programa de ciberseguridad de una empresa.
La organización puede utilizar sus procesos actuales mientras aprovecha este marco para:
- Identificar oportunidades
- Fortalecer
- Y comunicar la gestión del riesgo de ciberseguridad
Asunto éste que debe encontrarse en línea con las prácticas de la industria, así como enfatizar aquello que aplica a todo tipo y tamaño de empresa.
La ciberseguridad es parte de la Gestión de Seguridad de la información que, a su vez, es un pilar estratégico de la Gestión de Riesgo Operacional.