En un entorno tecnológico cambiante, las compañías deben identificar y proteger sus activos estratégicos a través de sistemas de seguridad específicos, que garanticen la continuidad de servicio y/o negocio.
La ciberseguridad, que según ISACA (Information Systems Audit and Control Association), es un “conjunto de medidas de protección de la información, a través del tratamiento de amenazas que ponen en riesgo la información que es procesada, almacenada y transportada por los sistemas de información que se encuentran interconectados”, se ha convertido en uno de los elementos esenciales en las estrategias de cualquier empresa. En general, son muchos los factores y premisas que una organización debe considerar para definir su estrategia de ciberseguridad, pero, como afirma Víctor Parrado, Chief Information Security Officer (CISO) de GlobalSuite Solutions, “el simple hecho de que una organización se plantee esta pregunta ya es un síntoma de madurez, pero también de la importancia que la cúpula directiva de una empresa le da a la ciberseguridad”.
En otras palabras, la protección en sistemas, redes, aplicaciones y datos es, hoy en día, tan importante para una organización como incrementar el número de clientes, aumentar la facturación o lanzar nuevos productos. Precisamente por ello, la tecnología relacionada con la ciberseguridad no tiene sentido por sí misma, sino que debe dar soporte a los objetivos estratégicos de la organización. Por ejemplo, si quiere abrir una nueva línea de negocio o digitalizar un área mediante la implantación de un nuevo software, la ciberseguridad debe ser el área encargada de protegerla contra ataques que pongan en peligro la seguridad de la información de estos nuevos servicios.
Concienciación en la empresa
Como en toda estrategia, la implicación de la dirección de la empresa en la ciberseguridad es una pieza clave, y de ahí la importancia del rol del CISO, que se encuentra integrado en los altos niveles de la compañía para conocer de primera mano los objetivos estratégicos del negocio y protegerlos de forma adecuada. La estrategia de ciberseguridad depende de esos objetivos estratégicos, pero también de los recursos y capacidades que la organización posea, así como de factores internos y externos que llamaremos contexto. A la hora de llevar la estrategia a la capa de operativa de una organización, adaptarnos a nuestra realidad es fundamental para tener éxito. Un buen punto de partida para la definición de la estrategia de seguridad es responder la siguiente pregunta: ¿qué es crítico para la organización? ¿Cuáles son los activos de los que no podemos prescindir?
Cuestiones esenciales que no hay que fiar, en todo caso, a una sola visión: de ahí que sea importante realizar dicha pregunta a varios líderes o áreas dentro de la compañía, pues es bastante común que un proceso de negocio importante dependa de un activo que únicamente conoce un área. Tal y como afirma Víctor Parrado, “sería un error ponernos directamente a implantar controles sin saber antes qué nos podría pasar y qué tenemos. Con este ejercicio podemos identificar las fortalezas y debilidades en materia de ciberseguridad, así como cuáles son las carencias y qué hay que hacer para actuar sobre ellas. Nos ofrecerá también una visión general de las diferentes capas y cómo debemos proteger nuestros datos más valiosos”.
Estrategia de Ciberseguridad: Defensa en profundidad
En este punto, estaríamos conformando una estrategia conocida como defensa en profundidad. Originaria del mundo militar, su objetivo es el de ralentizar el avance del enemigo a través de distintos métodos y controles (capas), en lugar de confiar en un método de protección. Así el atacante necesita más tiempo y conocimientos para comprometer la seguridad de los activos críticos, lo que permite al defensor elaborar una respuesta más eficaz. Tal y como asegura Parrado, “en este caso, no hay que pensar únicamente en medidas técnicas y programas de ciberseguridad. Es igual de importante saber cómo interactúa el usuario con los sistemas de la organización. Esta capa de gestión contiene todas las políticas, normativas y procedimientos, además de permitir disponer de los principios básicos sobre los que articular el resto de salvaguardas más técnicas. La complejidad de la infraestructura de las organizaciones hace necesario implantar un marco de gestión que permita llevar de forma correcta todos los procesos implantados, desde reportes a dirección de los datos relevantes, a evaluación y gestión de los riesgos y del cumplimiento”.
Pero eso no es todo. Cuando se define una estrategia hay que tener en cuenta que nuestra realidad cambia de forma constante cuando hablamos de ciberseguridad, así que la que definamos para nuestra empresa ha de ser lo suficientemente flexible para adaptarse a los requisitos del mercado y a las nuevas tecnologías a lo largo del tiempo. Parrado muestra un ejemplo de esta situación: “En el momento de la irrupción de la pandemia, la mayoría de empresas disponían de una estrategia basada en la autenticación centralizada en los sistemas corporativos para la protección de aquellos usuarios que se encontraban fuera de la red corporativa. Este modelo explotó en el momento en el que todos los empleados tuvieron que empezar a trabajar desde casa, por lo que las organizaciones se vieron obligadas a proporcionar acceso a nuevos dispositivos, en algunos casos sin ser corporativos, así como a un número ingente de conexiones incompatibles con las licencias que tenían, etc. Es decir, de un día para otro, la estrategia de protección de los dispositivos de usuarios tuvo que cambiar. Este es un simple ejemplo de cómo la estrategia de ciberseguridad debe estar en constante evolución”.
Implementando la estrategia correcta
Una estrategia de ciberseguridad implica la adquisición de conocimientos por parte del equipo, la gestión de programas necesarios y la constante actualización a la hora de implementar todos estos controles.Esto implica un nivel de complejidad que, en muchas ocasiones, no puede asumir una organización por sí misma. Por eso, muchas empresas cuentan con apoyo externo que les ayude ante ciberincidentes, monitoricen su infraestructura en busca de anomalías o, en definitiva, proporcionen soluciones de ciberseguridad de un modo especializado. Estaríamos hablando de servicios de SoC gestionado, CERTs, seguros de ciberriesgos, etc.
Con ello en mente, para definir una estrategia, habría que tener en cuenta los siguientes puntos:
- Decisiones basadas en datos e información. El primer paso para definir una estrategia es conocer nuestra organización, qué es importante y cuáles son nuestras fortalezas y debilidades.
- La estrategia de ciberseguridad debe ser apoyada por la alta dirección. Y viceversa, la ciberseguridad debe apoyar y adaptarse a los objetivos de negocio.
- Implantar un marco de gestión de la ciberseguridad nos permitirá gestionar mejor los procesos. Ya sea ISO 27001, 27110, ENS, marco NIST… Es una buena estrategia escoger un estándar que defina y relacione los distintos procesos.
- La estrategia es consecuencia de tu contexto. Para definir una estrategia debes conocer tu realidad. Los recursos siempre son limitados.
- Responsabilidades y roles de seguridad definidos. Es fundamental determinar quién se ocupa de qué para definir los diferentes procesos a implementar con el objetivo de llevar a cabo una buena gestión de la ciberseguridad.