Línea WD
Una estrategia de ciberseguridad es un plan de alto nivel sobre cómo su organización protegerá sus activos durante los próximos tres a cinco años. Obviamente, debido a que la tecnología y las amenazas cibernéticas pueden cambiar de manera impredecible, es casi seguro que tendrá que actualizar su estrategia antes de tres años a partir de ahora. Una estrategia de ciberseguridad no está destinada a ser perfecta; es una conjetura fuertemente educada sobre lo que debe hacer. Su estrategia debe evolucionar a medida que evoluciona su organización y el mundo que lo rodea.
El resultado previsto de desarrollar e implementar una estrategia de ciberseguridad es que sus activos estén mejor protegidos. Por lo general, esto implica un cambio de un enfoque de seguridad reactivo a uno proactivo, en el que se concentra más en prevenir ciberataques e incidentes que en reaccionar ante ellos después del hecho. Pero las estrategias sólidas de ciberseguridad también prepararán mejor a las organizaciones para responder a los incidentes que ocurran. Al evitar que los incidentes menores se conviertan en mayores, las organizaciones pueden preservar su reputación y reducir el daño a los empleados, clientes, partes interesadas, socios y otros.
¿Cómo construye una estrategia de ciberseguridad para su negocio?
Desarrollar una estrategia de seguridad cibernética para su negocio requiere esfuerzo, pero podría significar la diferencia entre superar a sus competidores y cerrar. Estos son los pasos básicos a seguir para desarrollar una estrategia de seguridad efectiva.
Paso 1. Comprenda su panorama de ciberamenazas
Antes de que pueda comprender su panorama de ciberamenazas, debe examinar los tipos de ciberataques a los que se enfrenta su organización en la actualidad. ¿Qué tipos de ciberamenazas afectan actualmente a su organización con mayor frecuencia y gravedad: malware, phishing, amenazas internas u otros? ¿Sus competidores han tenido incidentes importantes recientemente y, de ser así, qué tipos de amenazas los causaron?
A continuación, póngase al día con las tendencias previstas de amenazas cibernéticas que afectarían a su organización. Por ejemplo, muchos investigadores de seguridad creen que el ransomware se convertirá en una amenaza aún mayor a medida que prosperen los negocios de ransomware. También existe una creciente preocupación por las vulnerabilidades de la cadena de suministro causadas, por ejemplo, por la compra de componentes comprometidos y su uso dentro de su organización o su incorporación a los productos que vende a los consumidores. Comprender qué amenazas de seguridad cibernética enfrentará en el futuro y la gravedad probable de cada una de ellas es clave para construir una estrategia de seguridad cibernética efectiva.
Paso 2. Evalúe su madurez en ciberseguridad
Una vez que sepa a lo que se enfrenta, debe realizar una evaluación honesta de la madurez de la ciberseguridad de su organización. Seleccione un marco de seguridad cibernética, como el marco de seguridad cibernética del NIST. Úselo primero para evaluar la madurez de su organización en docenas de categorías y subcategorías diferentes, desde políticas y gobierno hasta tecnologías de seguridad y capacidades de recuperación de incidentes. Esta evaluación debe incluir todas sus tecnologías, desde TI tradicional hasta tecnología operativa, IoT y sistemas ciberfísicos.
Luego, use el mismo marco de ciberseguridad para determinar dónde debería estar su organización en los próximos tres a cinco años en términos de madurez para cada una de esas categorías y subcategorías. Si los ataques de denegación de servicio distribuidos serán una amenaza importante, por ejemplo, es posible que desee que las capacidades de seguridad de su red sean particularmente maduras. Si el ransomware será su mayor problema de seguridad, puede ser clave asegurarse de que sus capacidades de respaldo y recuperación sean altamente maduras. Si las políticas de trabajo remoto impulsadas por el COVID-19 se vuelven permanentes en su empresa, es necesario fortalecer las herramientas temporales desplegadas durante la pandemia. Los niveles de madurez a los que se dirige son sus nuevos objetivos estratégicos.
Paso 3. Determine cómo mejorar su programa de ciberseguridad
Ahora que ha establecido una línea de base y ha determinado dónde quiere estar, necesita descubrir las herramientas de ciberseguridad y las capacidades de ciberseguridad que lo ayudarán a llegar a su destino. En este paso, determina cómo mejorar su programa de ciberseguridad para lograr los objetivos estratégicos que ha definido. Cada mejora consumirá recursos: dinero, tiempo del personal, etc. Deberá pensar en diferentes opciones para lograr los objetivos y las ventajas y desventajas de cada opción. Puede ser que decidas subcontratar algunas o todas tus tareas de seguridad.
Cuando haya seleccionado un conjunto de opciones, querrá presentarlas a la alta dirección de su organización para su revisión, comentarios y, con suerte, apoyo. Cambiar el programa de seguridad cibernética puede afectar la forma en que se hacen negocios, y los ejecutivos deben comprenderlo y aceptarlo como algo necesario para proteger suficientemente a la empresa de las amenazas cibernéticas. La alta gerencia también puede estar al tanto de otros planes para los próximos años que podrían aprovechar sus esfuerzos.
Paso 4. Documenta tu estrategia de ciberseguridad
Una vez que tenga la aprobación de la gerencia, debe asegurarse de que su estrategia de seguridad cibernética esté completamente documentada. Esto incluye redactar o actualizar evaluaciones de riesgos, planes de ciberseguridad, políticas, lineamientos, procedimientos y cualquier otra cosa que necesite para definir lo que se requiere o recomienda para lograr los objetivos estratégicos. Dejar en claro cuáles son las responsabilidades de cada persona es clave.
Asegúrese de que, mientras escribe y actualiza estos documentos, obtiene una participación activa y comentarios de las personas que realizarán el trabajo asociado. También debe tomarse el tiempo para explicarles por qué se están realizando estos cambios y cuán importantes son para que, con suerte, las personas los acepten y los apoyen más.
Y no olvide que su estrategia de seguridad cibernética también requiere actualizar sus esfuerzos de capacitación y concientización sobre seguridad cibernética. Todos en la organización tienen un papel que desempeñar para mitigar los problemas de seguridad y mejorar el programa de ciberseguridad de su empresa. A medida que cambia su perfil de riesgo, también debe hacerlo su cultura de ciberseguridad.
Conclusión
Desarrollar e implementar una estrategia de seguridad cibernética es un proceso continuo y presentará muchos desafíos. Es sumamente importante que supervise y reevalúe periódicamente la madurez de la seguridad cibernética de su organización para medir el progreso que está logrando, o no logrando, hacia sus objetivos. Cuanto antes identifique un área que se está quedando atrás, antes podrá abordarla y ponerse al día. La medición del progreso debe incluir auditorías internas y externas, pruebas y ejercicios que simulen lo que sucedería en diferentes circunstancias, como un incidente importante de ransomware.
Finalmente, prepárese para repensar su estrategia de ciberseguridad si surge una nueva amenaza importante. La agilidad en la seguridad es cada vez más importante. No tenga miedo de actualizar su estrategia a medida que cambien las amenazas cibernéticas y las tecnologías de seguridad y que su organización adquiera nuevos tipos de activos que necesiten protección.