La Ciberseguridad como Estrategia de Negocio

El Reporte Global de Amenazas 2022 del Foro Económico Mundial indica que los Ciberataques y las vulnerabilidades digitales, son uno de los riesgos globales más importantes y que lejos de disminuir, han crecido en los últimos años. El trabajo remoto, en particular el home office derivado de la pandemia, ha incrementado dramáticamente el número de ataques de Phishing y de Ransomware.

Actualmente la industria 4.0, el Internet de las cosas (IoT), la digitalización y los esfuerzos de las organizaciones para afrontar iniciativas de transformación digital, han generado una necesidad de proteger la confidencialidad de la información, de salvaguardar los datos sensibles de las personas y sobre todo, de mantener la integridad y la disponibilidad para buscar operaciones confiables y continuas. El concepto de las empresas RTE (Real Time Enterprises) ya no solamente interesa a las organizaciones de carácter financiero, hoy en día, industrias como el entretenimiento, el sector salud, el farmacéutico, las cadenas de retail, servicios de logística, energía, ventas en línea, algunos servicios de gobierno, etc., son organizaciones que requieren operar 24 horas al día, los 365 días del año (7x24x365).

Para todas estas organizaciones la ciberseguridad se ha convertido en un tema de mantener las operaciones continuas o afrontar las consecuencias de interrumpir las cadenas de producción en la entrega de sus productos y/o servicios. Hoy las empresas, al igual que las instituciones del sector público, dependen de sus sistemas de información, de su tecnología y de los procesos y personas que las operan. Una falla o incidente en cualquiera de estos elementos puede generar una afectación que llegue a tal grado de dañar seriamente la viabilidad y operación.

Es muy simple, ya no podemos ver a la Ciberseguridad como un tema técnico, operativo o de carácter poco estratégico para las organizaciones. La seguridad de la información y la ciberseguridad especialmente, se han convertido en uno de los temas más relevantes a considerar dentro de la planeación estratégica. Una falla en el diseño, la implementación o la operación de controles o medidas de mitigación para disminuir este tipo de riesgos puede resultar en un incidente de magnitudes serias para sus operaciones.

La ciberseguridad es por todo ello, un pilar importante en la definición de la estrategia de las organizaciones. En la medida que se utilicen marcos de referencia, normas o estándares internacionales las organizaciones tendrán una mejor posición para adecuar estas prácticas dentro de su quehacer diario y con ello gobernar eficientemente las tecnologías de la información y los temas de ciberseguridad.

Una estrategia bien fundamentada debe considerar, entre otros aspectos, los riesgos de negocio a los que se encuentran expuestos. La Ciberseguridad es un riesgo de negocio que debe prever la posición de la organización con respecto a temas como:

1. Políticas y estructura de seguridad
2. Clasificación y etiquetado de la información
3. Controles de acceso
4. Uso de dispositivos móviles
5. Acceso de los colaboradores a redes sociales dentro de la organización
6. Seguridad en las operaciones y las comunicaciones
7. Continuidad de Negocio y Recuperación de Desastres
8. Cumplimiento legal y regulatorio
9. Amenazas emergentes

Al respecto se encuentran disponibles estándares como la norma internacional ISO 27001:2013 (Sistemas de Gestión de Seguridad de la Información), la ISO 27032:2012 (Guías de Ciberseguridad), la ISO 27017:2018 (Controles de Seguridad en la Nube) y actualmente se trabaja en la familia de normas ISO 27100 que serán varias normas dedicadas exclusivamente al tema de la Ciberseguridad.

Existe también el marco de referencia desarrollado en el año 2014 por el NIST (National Institute of Standards and Technology) en los Estados Unidos, conocido como NIST Cybersecurity Framework orientado a la protección de infraestructuras críticas y ampliamente empleado por muchas organizaciones a nivel internacional. Por otro lado, la Asociación de Control y Auditoría de Sistemas de Información (ISACA por sus siglas en inglés), una de las organizaciones mundiales más reconocidas en temas de Ciberseguridad y Gobierno de TI, desarrolló una serie de documentos conocidos como CSX para definir lineamientos y guías en la materia. Es decir, que en el mercado tenemos distintos marcos de referencia y estándares que podemos emplear.

Independientemente de la norma de referencia o del estándar que se decida implementar, las organizaciones deben “adecuar” estas normas a su operación actual, iniciando con un análisis de brechas que les permita conocer su estado inicial “as is” y a partir de ahí poder desarrollar y madurar una estrategia corporativa que integre a la ciberseguridad como un elemento primordial estableciendo un estado deseado “to be” al cual llegar.
En Pink Elephant podemos ayudarle a establecer un mapa de ruta que considere a la Ciberseguridad como parte integral de la estrategia de la organización. Algunas de las etapas a considerar pueden ser las mostradas a continuación:

Por los impactos que puede tener dentro de la organización la ciberseguridad debe tener una visión holística que contemple las distintas áreas o unidades de negocio y que no deje de lado la visión corporativa, los objetivos y la misión de la empresa. Es importante que al diseñar una estrategia con estos elementos en mente se pregunte ciertos temas como los siguientes:

1. ¿Conozco en todo momento dónde está la información y los datos de mí empresa?
2. ¿Tengo los controles implementados para mitigar los riesgos y amenazas actuales?
3. ¿Tenemos identificados los activos de mayor valor para la organización?
4. ¿Qué pasaría si sufro un ataque y dejo de dar servicios 1 hr, 1 día, 1 semana?
5. ¿Contamos con un esquema de alta disponibilidad o de continuidad de negocio (BCM)?
6. ¿Cuál sería el impacto financiero, legal, de imagen o reputacional si sufro un ciberataque?

El futuro ya está aquí y las amenazas emergentes que han surgido a partir de las nuevas tecnologías y el crecimiento desmedido de las redes sociales nos obligan a prepararnos y establecer una estrategia corporativa que atienda este tipo de eventos.

Cambiar antes de tener que cambiar podría ser muy costoso y peligroso; habrá que prepararnos para responder en el menor tiempo posible y no afectar la viabilidad de la organización.

Consulte con los Expertos, le podemos ayudar a diseñar un plan adecuado a su organización.