Gajus - stock.adobe.com
Guía para desarrollar una estrategia de ciberseguridad
Una estrategia de ciberseguridad no tiene por qué ser perfecta, pero sí debe ser proactiva, efectiva, activamente apoyada y evolutiva. He aquí los cuatro pasos requeridos para llegar ahí.
Una estrategia de ciberseguridad es un plan de alto nivel para la manera en que su organización asegurará sus activos durante los siguientes tres a cinco años. Obviamente, debido a que tanto la tecnología como las amenazas cibernéticas pueden cambiar impredeciblemente, lo más seguro es que tenga que actualizar su estrategia antes de que pasen tres años. No se supone que una estrategia de ciberseguridad sea perfecta; es una suposición sustancialmente informada de lo que usted debe hacer. Su estrategia debe evolucionar conforme su organización y el mundo a su alrededor lo hagan.
El resultado pretendido de desarrollar e implementar una estrategia de ciberseguridad es que sus activos capitales estén mejor asegurados. Esto generalmente implica un cambio en el enfoque de seguridad de uno reactivo a uno proactivo, en el cual usted esté más concentrado en prevenir ciberataques e incidentes que en reaccionar a ellos una vez han ocurrido. Pero una estrategia de ciberseguridad sólida también preparará mejor a su organización para responder a aquellos incidentes que de hecho ocurran. Al prevenir que incidentes menores se conviertan en unos mayores, su organización puede preservar su reputación y reducir el daño a ella, sus empleados, clientes, socios y otros.
¿Cómo construir una estrategia de ciberseguridad para su negocio?
Construir una estrategia de ciberseguridad para su negocio conlleva esfuerzo, pero podría significar la diferencia entre sobrepasar a sus competidores y salir del mercado en los siguientes años. Aquí están los pasos básicos que puede seguir para desarrollar su estrategia.
Paso 1. Comprenda su panorama de ciberamenazas
Antes de que pueda comprender su panorama de ciberamenazas, necesita examinar los tipos de ataques que su organización enfrenta hoy en día. ¿Cuáles son los tipos de ciberataques que actualmente afectan a su organización más a menudo y más severamente: malware, phishing (suplantación de identidad en la red), amenazas internas o algo diferente? ¿Sus competidores han sufrido o registrado incidentes mayores recientemente, y si lo han hecho, qué tipos de amenazas los causaron?
A continuación, dispóngase a ganarles el paso a las tendencias predichas de ciberataques que podrían afectar a su empresa. Por ejemplo, muchos investigadores de ciberseguridad consideran que el ransomware (un malware que toma la información por rehén a cambio de un pago por rescate) se convertirá en una amenaza inclusive mayor conforme ese negocio florezca. También hay una preocupación creciente respecto a las amenazas a las cadenas de suministro, como el comprar componentes alterados para usarlos dentro de su compañía o incorporarlos en productos de venta final a los consumidores. El comprender qué amenazas enfrentará en el futuro y la probable severidad de cada una de esas amenazas es crucial para edificar una estrategia de ciberseguridad efectiva.
Paso 2. Evalúe la madurez de su ciberseguridad
Una vez que sepa a qué se enfrenta, necesita hacer una evaluación honesta de la madurez en términos de ciberseguridad de su empresa. Seleccione un marco de trabajo de ciberseguridad, como el NIST Cybersecurity Framework. Úselo primero para evaluar cuán madura es su organización en docenas de categorías y subcategorías diferentes, desde políticas y gobernanza a tecnologías de seguridad y capacidades para recuperación tras incidentes. Esta evaluación debe incluir todas sus tecnologías, desde tecnologías de la información (TI) tradicionales hasta tecnología operacional, internet de las cosas (IoT) y sistemas ciber-físicos.
Enseguida, utilice el mismo marco de trabajo de ciberseguridad para determinar en dónde debería estar su organización en los próximos tres a cinco años en términos de madurez para cada una de esas categorías y subcategorías. Si los ataques distribuidos de denegación de servicio serán una amenaza mayor, por ejemplo, entonces usted deberá querer que las capacidades de seguridad de su infraestructura de trabajo sean particularmente maduras. Si el ransomware se convertirá en su más grande asunto de seguridad, el asegurarse de que sus capacidades de respaldo y recuperación sean extremadamente elevadas podría ser clave. Si las políticas de trabajo remoto ocasionadas por el Covid-19 se vuelven permanentes, las herramientas temporales desplegadas durante la pandemia deberán ser fortalecidas. Los niveles de madurez a los que esté apuntando serán sus nuevos objetivos estratégicos.
Paso 3. Determine cómo mejorar su programa de ciberseguridad
Ahora que sabe dónde está y dónde quiere estar, necesita dilucidar cuáles son las herramientas de ciberseguridad y las mejores prácticas que le ayudarán a llegar a su destino. En este paso, usted determinará cómo mejorar su programa de ciberseguridad de tal suerte que pueda alcanzar los objetivos estratégicos que ha definido. Cada mejora consumirá recursos –dinero, tiempo del equipo de trabajo, etc. Necesitará pensar diferentes opciones para conseguir los objetivos y los pros y contras de cada opción. Podría ser que decidiera contratar a terceros para delegarles algunas o todas sus tareas de seguridad.
Cuando haya seleccionado un set de opciones, deberá presentarlas a la alta gerencia de su organización para su revisión, retroalimentación y –en el mejor de los casos– apoyo. Modificar el sistema de ciberseguridad podría afectar la manera en que el negocio es llevado a cabo y los ejecutivos necesitan comprender eso y aceptarlo como algo necesario para poder proteger suficientemente a la empresa contra ciberamenazas. La alta gerencia también debería estar al tanto de otros planes para los años venideros de los cuales sus esfuerzos podrían sacar ventaja.
Paso 4. Documente su estrategia de ciberseguridad
Una vez que cuente con el apoyo gerencial, necesita asegurarse de que su estrategia de ciberseguridad está plenamente documentada. Esto incluye escribir o actualizar evaluaciones de riesgo, planes de ciberseguridad, políticas, guías, procedimientos y cualquier otra cosa que usted necesite para definir lo que es requerido o recomendado para alcanzar los objetivos estratégicos. Poner en claro cuáles son las responsabilidades de cada persona es clave.
Conforme esté escribiendo y actualizando estos documentos, asegúrese de estar recibiendo participación y retroalimentación activas de la gente que estará desempeñando el trabajo asociado. También debe tomarse el tiempo para explicarles por qué los cambios se están llevando a cabo y cuán importantes son, de manera tal que –de nuevo, en el mejor de los casos– la gente los acepte y apoye más.
Y no olvide que su estrategia de ciberseguridad también necesita que actualice su consciencia de ciberseguridad y los entrenamientos. Todos en la compañía tienen un papel que cumplir en la mitigación de los asuntos de seguridad y en la mejoría del programa de ciberseguridad de la empresa. Conforme su perfil de riesgo cambie, también debe hacerlo su cultura de ciberseguridad.
Conclusión
Desarrollar e implementar una estrategia de ciberseguridad es un proceso continuo que presentará muchos retos. Es crucial que usted monitoree y reevalúe periódicamente la madurez en ciberseguridad de su organización para medir el progreso que está logrando –o no– hacia sus objetivos. Entre más pronto identifique un área que se está rezagando, más pronto podrá corregir el problema y ponerla al corriente. La medición del progreso debería incluir auditorías tanto internas como externas, pruebas y ejercicios que simulen lo que ocurriría bajo diferentes circunstancias, como un incidente mayor de información rehén por la que se pida rescate.
Finalmente, esté preparado para repensar su estrategia de ciberseguridad si una nueva amenaza mayor surgiere. La agilidad en seguridad es crecientemente importante. No tema actualizar su estrategia según las ciberamenazas y tecnologías de seguridad cambien y su organización adquiera nuevos tipos de activos que precisen de ser protegidos.