Como realizar una estrategia de seguridad correcta
Las organizaciones necesitan considerar muchos factores y premisas para determinar su estrategia de seguridad cibernética. En un entorno tecnológico en constante cambio, las empresas necesitan identificar y proteger sus activos estratégicos a través de sistemas de seguridad dedicados que aseguren la continuidad del negocio.
Concienciación en la empresa
Como en toda estrategia, la implicación de la dirección de la empresa en la ciberseguridad es un factor clave, por lo que el papel del CISO es importante ya que se integra con los niveles superiores de la empresa para conocer de primera mano los objetivos estratégicos de la empresa y protegerlos adecuadamente.
La estrategia de ciberseguridad depende de estos objetivos estratégicos, pero también de los recursos y capacidades de la organización, así como de factores internos y externos que llamamos contexto. Al aplicar la estrategia a las capas operativas de una organización, adaptarse a nuestra realidad es fundamental para el éxito.
Un buen punto de partida para la definición de la estrategia de seguridad es responder la siguiente pregunta: ¿qué es crítico para la organización? ¿Cuáles son los activos de los que no podemos prescindir?
Estrategia de Ciberseguridad
En este punto desarrollaremos una estrategia llamada defensa en profundidad. Originario del mundo militar, su objetivo es frenar el avance del enemigo mediante el uso de una variedad de técnicas y controles (capas) en lugar de depender de un único método defensivo. Como resultado, los atacantes necesitan más tiempo y conocimiento para comprometer la seguridad de los activos críticos, lo que permite a los defensores desarrollar respuestas más efectivas.
Pero eso no es todo. A la hora de definir tu estrategia, recuerda que en materia de ciberseguridad nuestra realidad está en constante cambio, por lo que la estrategia que definamos para nuestra empresa debe ser lo suficientemente flexible para adaptarse en el tiempo a las demandas del mercado y las nuevas tecnologías.
Implementando la estrategia correcta
Una estrategia de ciberseguridad significa que el equipo adquiere los conocimientos, gestiona los procedimientos necesarios y se actualiza constantemente mediante la implementación de todos estos controles. Esto significa que, en muchos casos, la propia organización no puede permitirse el nivel de complejidad.
Por esta razón, muchas empresas confían en el soporte externo para ayudarlas a responder a incidentes cibernéticos, monitorear su infraestructura en busca de infracciones o, en resumen, brindar soluciones especializadas de seguridad cibernética. Con esto en mente, los siguientes puntos deben ser considerados al definir una estrategia:
- Decisiones basadas en datos e información. El primer paso para definir una estrategia es conocer nuestra organización, qué es importante y cuáles son nuestras fortalezas y debilidades.
- La estrategia de ciberseguridad debe ser apoyada por la alta dirección. Y viceversa, la ciberseguridad debe apoyar y adaptarse a los objetivos de negocio.
- Implantar un marco de gestión de la ciberseguridad nos permitirá gestionar mejor los procesos. Ya sea ISO 27001, 27110, ENS, marco NIST… Es una buena estrategia escoger un estándar que defina y relacione los distintos procesos.
- La estrategia es consecuencia de tu contexto. Para definir una estrategia debes conocer tu realidad. Los recursos siempre son limitados.
- Responsabilidades y roles de seguridad definidos. Es fundamental determinar quién se ocupa de qué para definir los diferentes procesos a implementar con el objetivo de llevar a cabo una buena gestión de la ciberseguridad.
