in

Haz tu programa de ciberseguridad

Implementar un programa de ciberseguridad efectivo debería ser una alta prioridad para toda organización. Pero, dependiendo del tamaño, industria y otros factores, los requisitos de ciberseguridad diferirán muy ampliamente de una organización a la siguiente. ¿Cómo se pasa de necesitar un programa de ciberseguridad a tenerlo? Se requiere un enfoque sistemático.

Éstas son algunas sugerencias que sin duda ayudarán a los interesados a ponerse en marcha:

1. La seguridad de información no es ciberseguridad

Toda compañía o institución habla un idioma diferente cuando se trata de seguridad. Lo que es importante es que dentro de cada organización todos hablen el mismo idioma. Para llegar a un consenso sobre el significado de la ciberseguridad, primero que nada hay que definir qué significa para la empresa.

Contrario a la opinión pública, ya sea de forma inadvertida o no, “seguridad de información” y “ciberseguridad” no son lo mismo. De hecho, si uno da un vistazo más a fondo en ambas disciplinas, queda claro que en realidad existen diferencias importantes entre los dos términos.

Básicamente, seguridad de información es cualquier cosa que implique la seguridad de información o de sistemas de información sin importar su estado (por ejemplo, física = papel; digital = base de datos). La ciberseguridad, en tanto, es cualquier cosa que tenga que ver con la seguridad de información o de sistemas de información en un estado digital (por ejemplo, sistemas financieros).

Con base en este entendimiento, es bastante razonable decir que la ciberseguridad es de hecho un apartado de la seguridad de información. En cuanto a la definición, ciberseguridad significa el cúmulo de elementos de la seguridad de información que están diseñados para salvaguardar activos y sistemas digitales.

2. A preparar el terreno

El siguiente paso es extenderse en la definición estableciendo una base para lo que será el programa en sí. Para hacer esto, no es preciso reinventar la rueda puesto que existen varias estructuras de la industria bien establecidas a la disposición del público en general, como COBIT5, o bien la Estructura de Ciberseguridad del National Institute of Standards and Technology (NIST) que, en opinión de quien esto escribe, ofrece la mejor base para una iniciativa de ciberseguridad.

Conforme uno elabora su estructura, es probable que advierta que muchas funciones, categorías o subcategorías no se pueden trasladar fácilmente a la organización. Desde este punto, es preciso establecer una correlación entre la estructura y los servicios operacionales. Los Estándares de Buena Práctica para la Seguridad de la Información del Information Security Forum (ISF) proveen una referencia excelente de este ejercicio, después del cual cada quien puede determinar qué servicios operacionales se alinean con el ámbito de su definición de ciberseguridad.

Mientras se realiza este ejercicio, es importante reconocer que existen servicios operacionales que se alinean con el programa y que cuentan con el soporte IT y/o de las líneas de negocio tales como Administración de activos, Administración de servicios de directorio o Inventario de software.

3. Agrupación de costos

Cada quien sabe lo que significa la ciberseguridad para su organización; además, es probable que se hayan establecido programas utilizando estructuras/estándares/etcétera reconocidos de la industria y todos los servicios operacionales estén alineado. Entonces, no hay por qué sorprenderse de que, en este punto, la administración ejecutiva le haga a uno la pregunta del millón de dólares: “¿Cuánto gastamos en ciberseguridad?”

¡Eso no es para que el encargado de la seguridad se ponga a sudar! Habiendo representado ya los servicios operacionales que se alinean con la ciberseguridad, uno está en una posición mucho mejor para justificar sus asignaciones de recursos y de presupuesto para operaciones. Sin embargo, desde la perspectiva granular de los servicios operacionales, presentar un desglose de los costos de su programa de ciberseguridad puede resultar abrumador. Es aquí donde entra en juego la estructura para la asignación de los servicios operacionales.

En el más alto nivel del programa de ciberseguridad están los así llamados “objetivos de control”, como las “operaciones de seguridad” o el “manejo de Incidentes”. Dentro de cada uno de los objetivos de control es donde se encuentra un subconjunto de “selecciones de control únicas”, como “capacitación en el conocimiento de la seguridad” o “software de protección contra el malware”. En el nivel más bajo, dentro de cada selección de control es donde se tiene la asignación muchos a muchos de servicios operacionales como “provisión de ID” o “protección de aplicaciones Web”.

Todos los servicios operacionales vienen con un costo total de servicio separado en gastos adicionales (personas) u operacionales (software/hardware). Para obtener el número total de veces que un servicio operacional se asigna a una selección de control, y hay que dividir ese número entre el costo total de los servicios. Mediante el uso de la asignación de objetivos de control, selecciones y servicios, uno está ahora equipado para demostrar el costo total de su programa.

Lo importante es que pasar de “se necesita” un programa de ciberseguridad a “se tiene ” uno requiere una inversión seria de tiempo y recursos. Pero una vez que se llega al final del proceso, uno puede decir: “Esto es lo que gastamos en ciberseguridad; y tenemos los números que lo respaldan”.

Fuente: InformationWeek.com.mx

¿Qué te pareció la publicación?

Proméxico Global Colima

Los líderes de la nube