Oxary Magazine
$10 – $15 / Week

[Opinión] Gobernanza en ciberseguridad y la importancia de un plan estratégico

Por: César Pallavicini. CEO de Pallavicini Consultores


Cuando ocurren ciberataques que afectan a la banca y a otros sectores claves de la economía, con la evidente connotación pública, gerentes de empresas solicitan servicios de Ethical Hacking como una solución de ciberseguridad al problema, creyendo que lo abordan de forma correcta.  Pasado el susto, sin embargo, vuelven a sus tareas rutinarias, postergando los proyectos de ciberseguridad, lo que refleja la falta de conciencia en la protección de la información y un desconocimiento -o falta de creencia- de que los ciberatacantes son países u organizaciones criminales con estructura jerárquica, estrategias y con presupuestos definidos.

Para abordar en forma eficiente la gestión de riesgos de ciberseguridad se requiere gobernanza y una combinación de múltiples estrategias, siendo fundamentales la alineación a la misión y líneas de negocio de la compañía. Antes de asumir los proyectos que permitirían mitigar los riesgos de ciberataques es clave desarrollar un plan estratégico que sea aprobado y luego liderado por la alta dirección de la organización.

Para comenzar es útil recordar que desde hace un buen tiempo existe el Framework NIST, acrónimo de Instituto Nacional de Estándares y Tecnología dependiente del Departamento de Comercio de Estados Unidos. Se trata de un marco de ciberseguridad que ayuda a los negocios de todo tamaño a comprender mejor sus riesgos de ciberseguridad, administrarlos y reducirlos, junto a la protección de redes y datos.

Si se pregunta por qué es recomendable usar NIST, lo correcto es darle el carácter de estándar a nivel mundial para proteger la infraestructura crítica de la nación y porque la gestión de ciberseguridad parte desde la alta dirección, debiendo ser analizada de acuerdo al giro y procesos de negocios de la organización. Luego se involucra a las gerencias internas y stakeholders.

Las funciones del NIST, como son identificar, proteger, detectar, responder y recuperar, junto a sus niveles y perfiles, permiten diagnosticar el estado actual, mediante un perfil y generando un perfil objetivo. Ello posibilita diseñar un plan de acción, con un adecuado presupuesto de inversión y gasto acorde a las reales necesidades de ciberseguridad de la empresa.

De forma adicional, el marco NIST se relaciona con estándares, directrices y prácticas de las normas ISO 27032, ISO 27002 y Cobit, proporcionando una taxonomía común y un mecanismo para que las organizaciones describan su postura actual de ciberseguridad y también su objetivo deseado, así como para identificar y priorizar oportunidades de mejora dentro del contexto de un proceso continuo y repetible. Todo, al tiempo que se evalúa el progreso hacia el objetivo deseado y se comunica entre las partes interesadas, internas y externas, respecto del riesgo de seguridad cibernética.

NIST complementa y no reemplaza el proceso de gestión de riesgos y el programa de ciberseguridad de una empresa. La organización puede utilizar sus procesos actuales y aprovechar este marco para identificar oportunidades, fortalecer y comunicar la gestión del riesgo de ciberseguridad, asunto que debe estar en línea con las prácticas de la industria, enfatizando que aplica a todo tipo de empresa y de cualquier tamaño. La ciberseguridad es parte de la gestión seguridad de la información que, a su vez, es un pilar estratégico de la gestión de riesgo operacional.


El contenido expresado en esta columna de opinión es de exclusiva responsabilidad de su autor y no representa necesariamente la visión ni línea editorial de Poder y Liderazgo.


 

Print Friendly, PDF & Email
Vero eos et accusamus et iusto odio dignissimos ducimus qui blanditiis praesentium voluptatum deleniti atque corrupti quos dolores et quas molestias excepturi sint occaecati cupiditate non provident
Lexie Ayers
Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat. Duis aute irure dolor in reprehenderit in voluptate velit esse cillum dolore eu fugiat nulla pariatur.

The most complete solution for web publishing

Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat. Duis aute irure dolor in reprehenderit in voluptate velit esse cillum dolore eu fugiat nulla pariatur.
Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat. Duis aute irure dolor in reprehenderit in voluptate velit esse cillum dolore eu fugiat nulla pariatur. Excepteur sint occaecat cupidatat non proident, sunt in culpa qui officia deserunt mollit anim id est laborum.
Related Posts
Category
Lorem ipsum dolor sit amet, consectetur adipiscing elit eiusmod tempor ncididunt ut labore et dolore magna
Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore