Gobernanza en ciberseguridad, un comienzo

La gestión eficiente de riesgos de ciberseguridad requiere gobernanza y una combinación de múltiples recursos en un Plan Estratégico.

Por: César Pallavicini | CEO de Pallavicini Consultores

 

Cuando ocurren ciberataques que afectan a la banca y a otros sectores claves de la economía – con la evidente connotación pública – gerentes de empresas solicitan servicios de Ethical Hacking como una solución de ciberseguridad al problema, creyendo que lo abordan de forma correcta. 

Pasado el susto, sin embargo, vuelven a sus tareas rutinarias, postergando los proyectos de ciberseguridad, lo cual refleja la falta de conciencia en la protección de la información y un desconocimiento – o falta de creencia – de que los ciberatacantes son países u organizaciones criminales con: 

• Estructura jerárquica
• Estrategias 
• Y con presupuestos definidos 

Para abordar en forma eficiente la gestión de riesgos de ciberseguridad se requiere gobernanza y una combinación de múltiples estrategias. 

En este sentido es  fundamental tanto la alineación a la misión como a las líneas de negocio de la compañía. 

Antes de asumir los proyectos que permitirían mitigar los riesgos de ciberataques es clave desarrollar un plan estratégico que sea aprobado y luego liderado por la alta dirección de la organización.

Gobernanza, Alfa y Omega 

Para comenzar es útil recordar que desde hace un buen tiempo existe el Framework NIST, acrónimo de Instituto Nacional de Estándares y Tecnología dependiente del Departamento de Comercio de Estados Unidos. 

Se trata de un marco de ciberseguridad que ayuda a los negocios de todo tamaño a comprender mejor sus riesgos de ciberseguridad, administrarlos y reducirlos, junto a la protección de redes y datos. 

Si se pregunta por qué es recomendable usar NIST, lo correcto es darle el carácter de estándar a nivel mundial para proteger la infraestructura crítica de la nación y porque la gestión de ciberseguridad parte desde la alta dirección, debiendo ser analizada de acuerdo al giro y procesos de negocios de la organización. 

Luego, se involucra a las gerencias internas y stakeholders. 

Las funciones del NIST como son: 

• Identificar
• Proteger
• Detectar
• Responder 
• Y Recuperar junto a sus niveles y perfiles…

… permiten diagnosticar el estado actual mediante un perfil y generando un perfil objetivo. 

Todo ello posibilita diseñar un plan de acción con un adecuado presupuesto de inversión y gasto acorde a las reales necesidades de ciberseguridad de la empresa. 

Estándares = Gobernanza 

De forma adicional, el marco NIST se relaciona con estándares, directrices y prácticas de las normas ISO 27032, ISO 27002 y Cobit, proporcionando una taxonomía común y un mecanismo para que las organizaciones describan su postura actual de ciberseguridad, así como también su objetivo deseado, e identifiquen y priorizen oportunidades de mejora dentro del contexto de un proceso tan continuo como repetible. 

Todo al tiempo que se evalúa el progreso hacia el objetivo deseado y se comunica entre las partes interesadas – internas y externas –  respecto al riesgo de seguridad cibernética.

NIST complementa, no reemplaza el proceso de gestión de riesgos y el programa de ciberseguridad de una empresa. 

La organización puede utilizar sus procesos actuales mientras aprovecha este marco para: 

• Identificar oportunidades
• Fortalecer 
• Y comunicar la gestión del riesgo de ciberseguridad

Asunto éste que debe encontrarse en línea con las prácticas de la industria, así como enfatizar aquello que aplica a todo tipo y tamaño de empresa. 

La ciberseguridad es parte de la Gestión de Seguridad de la información que, a su vez, es un pilar estratégico de la Gestión de Riesgo Operacional.