Buscar
  • Pertec Global

5 pasos para iniciar las implementaciones de ciberseguridad

El año 2020 trajo a nivel mundial cambios en el estilo de vida, reaprendizaje y una aceleración y dependencia a la tecnología, lo cual obligó a que muchas organizaciones modificaran su forma de operar.

Dicho cambio fue tan rápido e inesperado, que incluso los equipos de Tecnologías de Información no se encontraban preparados para hacer frente a tal situación, y en muchos casos, por cuestiones de tiempo, la ciberseguridad se dejó de lado, ya que la prioridad en ese momento era asegurar la continuidad del negocio a como diera lugar.

El tiempo de adaptación a esta nueva forma de trabajar, o como algunos la llaman “nueva realidad”, ha finalizado y al depender directamente de la tecnología, es necesario considerar el inicio de las implementaciones de ciberseguridad en la organización, sin embargo, es común que a las empresas se les dificulte definir cómo empezar. Por ello, daremos a conocer cuáles son algunos de los pasos básicos antes de diseñar una estrategia que permitirá llevar la ciberseguridad a toda la organización:


Paso#1: Legislación

Podría parecer una forma extraña de comenzar un plan para la implementación de ciberseguridad, pero también es la más efectiva.

Si su organización es o representa a una institución financiera, un organismo oficial o una organización de salud, lo más probable es que existan leyes o normas en su país que lo obliguen a implementar medidas de protección de seguridad de la información, por lo cual, como primer paso se recomienda identificar cuáles normas, leyes o buenas prácticas deben implementar para poder operar correctamente en el país o países donde se encuentra su negocio.

En Costa Rica, existe un ente regulador que aplica a toda organización del sector financiero llamado SUGEF, en donde se generó el acuerdo “SUGEF 14-17”, el cual contiene los requerimientos mínimos para la gestión de la tecnología de información que deben acatar las entidades supervisadas y reguladas del sistema financiero costarricense. En el campo de TI, este acuerdo se alinea perfectamente a la implementación de COBIT 5 o bien, COBIT 2019.

Paso #2 Apoyo de las gerencias.

No existe un paso más importante que otro, sin embargo, este tiene la particularidad de ser esencial, porque el apoyo de la alta gerencia en algunas ocasiones es subestimado.

No existe proyecto o iniciativa (de ciberseguridad o de otras áreas) que pueda tener éxito sin el dinero o la mano de obra necesarios para la implementación, y las únicas personas que pueden proporcionar esos recursos pertenecen a la alta gerencia; aún si usted es el presidente de una empresa necesitará el compromiso, o al menos el acuerdo, de otros miembros de su equipo de dirección. Si ellos no apoyan el proyecto, este se puede demorar e incluso frenarse.

Paso #3 Establecer Objetivos

Es importante interpretar la ciberseguridad como un caso de negocio, en el cual se desea invertir determinados recursos y obtener resultados positivos. Normalmente se piensa que sí se logran los resultados planteados inicialmente, será sinónimo de que su inversión valió la pena; caso contrario podría suceder si algo no está bien con su ciberseguridad.

Tomando en cuenta que las cosas se podrían complicar, para lograr una ventaja comercial o el cumplimiento es necesario diseñar y establecer objetivos claros y cuantificables. Por ejemplo, un objetivo no podría ser “queremos tener seguridad", ya que no proporciona ninguna información al no ser claro ni cuantificable; en cambio, “Vincular un 2% de nuevos clientes que se interesan por la ciberseguridad durante los próximos 12 meses" o “disminuir los costos de incidentes de seguridad en un 50% durante los próximos 24 meses” son objetivos correctamente planteados.

Una adecuada identificación de objetivos, le permitirá conocer cuándo la calidad de su ciberseguridad se está deteriorando, ya que la ciberseguridad debe trabajar desde la mejora continua.

Paso#4 Marco de referencia para implementación de Ciberseguridad.

Una vez que se tiene claro lo que se desea conseguir, es necesario definir cómo se ejecutará. La ciberseguridad no es algo que se pueda terminar en una o dos semanas, hay que tomar en cuenta que un proyecto involucrará a muchas personas de su empresa, como a sus proveedores, socios comerciales y clientes, de la misma forma, implicará cambios en los procedimientos y responsabilidades laborales vigentes, en tecnología, en prácticas de recursos humanos, etc. Por ende, las implementaciones de ciberseguridad implican un arduo trabajo.

Lo más adecuado es hacer uso de marcos referenciales que son de acceso público y de alta eficacia. Los más reconocidos son:

ISO 27001

Define cómo implementar y administrar el Sistema de Gestión de Seguridad de la Información.

COBIT

Es un marco de Gobierno y gestión de TI.

Serie NIST SP 800

Serie de más de cien publicaciones sobre seguridad de TI, está orientada, en mayor medida, a temas técnicos de seguridad.

PCI DSS

Se centra en mejorar la seguridad de los datos de tarjetas de pago. Este marco está conformado por especificaciones, herramientas, medidas y demás recursos muy específicos para la seguridad de datos y la protección técnica de los sistemas de pago.

ISO 22301 y BS 25999-2

Se enfoca en el desarrollo del Sistema de Gestión de la Continuidad del Negocio.

Paso#5 Capacitación y concienciación

Es común que muchas organizaciones implementen marcos de referencia y buenas prácticas en temas de ciberseguridad, sin embargo, dejan de lado el trabajo de la capacitación y concienciación a todo el personal de la organización y eso se podría considerar uno de los mayores errores al trabajar en ciberseguridad.

Muchas personas dentro de la organización ven la seguridad, generalmente, como una carga. No es un secreto, que a nadie le gusta cambiar las contraseñas con frecuencia, ya que en ocasiones representa un reto, debido las contraseñas cada vez son más robustas. Y esa misma actitud se presenta con todas las demás reglas de seguridad. Por eso, si no se les explica a los usuarios por qué es necesario, probablemente ellos busquen formas de eludir esas reglas. La forma de abordar este tema es explicándoles los beneficios que tendrá la empresa con estas medidas de protección, las cuales son tarea y responsabilidad de todos.

Estos pasos, a pesar de ser básicos, son los primeros que toda organización debe dar en el campo de la ciberseguridad, en caso de que su organización desee diseñar su propia estrategia de ciberseguridad y no sabe por dónde comenzar, permítanos trabajar en conjunto y hagámoslo realidad.

14 vistas
  • Facebook

Pertec Global Services | All rights reserved | 2020