Estrategia de ciberseguridad

Comisión Cybersec | #Ciberseguridad #Estrategia #SeguridadInformática

Una estrategia de ciberseguridad no tiene que ser perfecta, pero sí debe ser proactiva, efectiva, apoyada activamente y evolutiva. A continuación, se detallan cuatro pasos necesarios para lograrlo.

Una estrategia de ciberseguridad es un plan de alto nivel sobre cómo su organización protegerá sus activos durante los próximos tres a cinco años. Dado que tanto la tecnología como las amenazas cibernéticas pueden cambiar de manera impredecible, es probable que deba actualizar su estrategia antes de que pasen tres años. No se espera que una estrategia de ciberseguridad sea perfecta; es una suposición bien fundamentada sobre lo que se debe hacer. Su estrategia debe evolucionar a medida que lo hacen su organización y el mundo que la rodea.

El objetivo principal de desarrollar e implementar una estrategia de ciberseguridad es asegurar mejor sus activos críticos. Esto generalmente implica un cambio de enfoque, de uno reactivo a uno proactivo, donde se enfoca más en prevenir ciberataques e incidentes que en reaccionar a ellos una vez ocurridos. Sin embargo, una estrategia de ciberseguridad robusta también preparará mejor a su organización para responder a aquellos incidentes que efectivamente ocurran. Al prevenir que incidentes menores se conviertan en mayores, su organización puede preservar su reputación y reducir el daño a la misma, a sus empleados, clientes, socios y otros.

¿Cómo construir una estrategia de ciberseguridad para su negocio?

Construir una estrategia de ciberseguridad para su negocio requiere esfuerzo, pero puede ser la diferencia entre superar a sus competidores o salir del mercado en los próximos años. Aquí están los pasos básicos para desarrollar su estrategia:

Paso 1. Comprenda su panorama de ciberamenazas

Antes de comprender su panorama de ciberamenazas, necesita examinar los tipos de ataques que enfrenta su organización actualmente. ¿Cuáles son los tipos de ciberataques que más frecuentemente y severamente afectan a su organización: malware, phishing (suplantación de identidad), amenazas internas u otros? ¿Sus competidores han registrado incidentes mayores recientemente, y si es así, qué tipos de amenazas los causaron?

Luego, anticípese a las tendencias previstas de ciberataques que podrían afectar a su empresa. Por ejemplo, muchos investigadores de ciberseguridad consideran que el ransomware (un malware que toma la información como rehén a cambio de un pago) se convertirá en una amenaza aún mayor a medida que ese negocio florezca. También hay una preocupación creciente respecto a las amenazas a las cadenas de suministro, como la compra de componentes alterados para usarlos dentro de su compañía o incorporarlos en productos finales para los consumidores. Comprender qué amenazas enfrentará en el futuro y la probable severidad de cada una es crucial para construir una estrategia de ciberseguridad efectiva.

Paso 2. Evalúe la madurez de su ciberseguridad

Una vez que sepa a qué se enfrenta, necesita hacer una evaluación honesta de la madurez de su empresa en términos de ciberseguridad. Seleccione un marco de trabajo de ciberseguridad, como el NIST Cybersecurity Framework. Úselo para evaluar cuán madura es su organización en diversas categorías y subcategorías, desde políticas y gobernanza hasta tecnologías de seguridad y capacidades de recuperación tras incidentes. Esta evaluación debe incluir todas sus tecnologías, desde tecnologías de la información (TI) tradicionales hasta tecnología operacional, internet de las cosas (IoT) y sistemas ciber-físicos.

Luego, utilice el mismo marco de trabajo para determinar dónde debería estar su organización en los próximos tres a cinco años en términos de madurez para cada una de esas categorías y subcategorías. Por ejemplo, si los ataques distribuidos de denegación de servicio serán una amenaza mayor, entonces querrá que las capacidades de seguridad de su infraestructura sean particularmente maduras. Si el ransomware se convertirá en su mayor problema de seguridad, asegurarse de que sus capacidades de respaldo y recuperación sean extremadamente elevadas podría ser clave. Si las políticas de trabajo remoto ocasionadas por el Covid-19 se vuelven permanentes, las herramientas temporales desplegadas durante la pandemia deberán ser fortalecidas. Los niveles de madurez a los que apunte serán sus nuevos objetivos estratégicos.

Paso 3. Determine cómo mejorar su programa de ciberseguridad

Ahora que sabe dónde está y dónde quiere estar, necesita identificar las herramientas de ciberseguridad y las mejores prácticas que le ayudarán a alcanzar sus objetivos estratégicos. Cada mejora consumirá recursos –dinero, tiempo del equipo, etc. Necesitará considerar diferentes opciones para alcanzar los objetivos y los pros y contras de cada una. Podría decidir contratar a terceros para delegar algunas o todas sus tareas de seguridad.

Una vez seleccionado un conjunto de opciones, deberá presentarlas a la alta gerencia de su organización para su revisión, retroalimentación y, en el mejor de los casos, apoyo. Modificar el sistema de ciberseguridad podría afectar la manera en que se lleva a cabo el negocio, y los ejecutivos necesitan comprender y aceptar esto como necesario para proteger adecuadamente a la empresa contra ciberamenazas. La alta gerencia también debería estar al tanto de otros planes futuros que sus esfuerzos podrían aprovechar.

Paso 4. Documente su estrategia de ciberseguridad

Una vez que cuente con el apoyo gerencial, necesita asegurarse de que su estrategia de ciberseguridad esté plenamente documentada. Esto incluye escribir o actualizar evaluaciones de riesgo, planes de ciberseguridad, políticas, guías, procedimientos y cualquier otra cosa necesaria para definir lo requerido o recomendado para alcanzar los objetivos estratégicos. Es crucial dejar claras las responsabilidades de cada persona.

Al redactar y actualizar estos documentos, asegúrese de recibir participación y retroalimentación activas de quienes llevarán a cabo el trabajo asociado. También debe explicarles por qué se están realizando los cambios y cuán importantes son, para que, idealmente, los acepten y apoyen más.

No olvide que su estrategia de ciberseguridad también necesita actualizar su concienciación en ciberseguridad y los entrenamientos. Todos en la compañía tienen un papel en la mitigación de problemas de seguridad y en la mejora del programa de ciberseguridad. A medida que su perfil de riesgo cambie, también debe hacerlo su cultura de ciberseguridad.

Conclusión

Desarrollar e implementar una estrategia de ciberseguridad es un proceso continuo que presentará muchos retos. Es crucial que monitoree y reevalúe periódicamente la madurez en ciberseguridad de su organización para medir el progreso hacia sus objetivos. Cuanto antes identifique un área rezagada, más pronto podrá corregir el problema. La medición del progreso debe incluir auditorías internas y externas, pruebas y ejercicios que simulen diferentes escenarios, como un incidente mayor de ransomware.

Finalmente, esté preparado para reconsiderar su estrategia de ciberseguridad si surge una nueva amenaza importante. La agilidad en seguridad es cada vez más importante. No tema actualizar su estrategia según cambien las ciberamenazas y tecnologías de seguridad, y su organización adquiera nuevos tipos de activos que necesiten ser protegidos.