Qué entiendo y qué necesito cuando hablamos de ciberseguridad

Opiniones

Que la nube sea segura depende de nuestras decisiones. La Ciberseguridad trasciende el área de TI, los usos y comportamientos dependen del factor humano y de la gestión y operación de cada área.

El Plan Estratégico (Director) de Ciberseguridad, establece las acciones que requiere la organización para tener una protección razonable ante las amenazas de Ciberseguridad. Es el instrumento que permite concebir a la Ciberseguridad como parte de la estrategia de toda la organización. Este Plan nos debe permitir alcanzar un conjunto de procesos que permitan que la información esté disponible cuando sea requerida, sólo sea accesible por las personas autorizadas y no haya sido manipulada ni alterada por procesos indebidos.

Su complejidad depende del tamaño de la organización, estructura, su cultura, industria y regulaciones a la que esté sometida. Su alcance se puede abordar de distintas maneras: toda la empresa, un área, un proceso o conjunto de los mismos; o un sistema o conjunto. Es un marco donde se definen las acciones de mejora en las tres dimensiones estratégicas de la organización: personas, procesos y tecnología. A partir del diagnóstico de la situación inicial se establecen planes (corto, mediano y largo plazo) con el catálogo de proyectos y la identificación de las métricas para el seguimiento y control de los objetivos fijados en cada proyecto.

El segundo es el Marco Normativo (políticas, procedimientos, estándares, guías) que define y establece las reglas, acciones y decisiones que se deben cumplir desde el punto de vista operativo.

Sin embargo, esto no alcanza, dicho marco se debe sustentar en que exista una visión y decisión corporativa de lo que significa la ciberseguridad para la organización. El instrumento que lo articula es la Política General de Ciberseguridad (PGC). Representa la declaración de intenciones de la organización respecto a los principios y objetivos de la Ciberseguridad. Debe estar comprendida, avalada y aprobada por la máxima autoridad.

No estamos hablando de una simple firma, ya que materializa la decisión de que la Ciberseguridad forma parte de la estrategia de la organización, y está impulsada por su máxima autoridad. Es la piedra angular que da la perspectiva corporativa más allá del área de IT y articula a todos los actores en pos de la gestión y gobierno de los factores de riesgo. Establece los capítulos del Marco Normativo, sus objetivos y alcances, determina roles y responsabilidades dentro de la organización, y establece los procesos de revisiones y aprobaciones.

En definitiva, que la nube sea segura depende de nuestras decisiones. La Ciberseguridad trasciende el área de TI, los usos y comportamientos dependen del factor humano y de la gestión y operación de cada área.

Es fundamental tener definido y documentado lo que “entendemos y necesitamos” en términos de Ciberseguridad: la Política General, Plan Estratégico y Marco Normativo son los instrumentos que permiten tomar las medidas tendientes a proteger el negocio guiando las iniciativas, acciones y comportamientos en toda la organización. Con esto por delante podemos analizar y comprender en detalle lo que ofrece el proveedor en la nube y determinar si hay un gap a cubrir.

No descuidemos temas de compliance, certificaciones y desde dónde prestan servicios los proveedores.

La Ciberseguridad es una responsabilidad conjunta con el proveedor, sin embargo, al final del día, la organización es la responsable legal.

Muchas veces el día a día, o no haber abordado estos temas desde el inicio, no permite tener la cobertura que se requiere para proteger al negocio. Con apoyo externo se puede lograr avances importantes en ciclos de 2/3 meses.

(*) Director en Ciberseguridad – Auren IT

Dejá tu comentario