Una de las preguntas más comunes que suelo escuchar es ¿Cómo mejoro mi estrategia de seguridad? O ¿La estrategia que tengo es adecuada para alcanzar mis objetivos de negocio?

Como personas necesitamos un sentido de orientación para básicamente todo, ya sea para darle un sentido a nuestra vida o ir a algún lugar, para eso solemos contestar algunas preguntas:

• ¿En dónde estoy?
• ¿Hacia dónde voy?
• ¿Cómo llego ahí?
• En algunos casos ¿Cómo me mantengo aquí?

No nos vamos a poner filosóficos… Por ahora.

Sin embargo ¿Qué tiene esto que ver con la ciberseguridad? Pues aplica exactamente igual.

¿En dónde estoy?

El ¿Dónde estoy? no se refiere a una ubicación o referencia geográfica, sino al nivel de protección en ciberseguridad que se encuentra tu organización que te permitirá proteger, responder o recuperarte de ataques e incidentes cibernéticos.

Estos niveles de protección se refieren a los controles implementados actuales contra los faltantes para alcanzar un nivel de seguridad optimo, para esto se toma como referencia marcos como NIST, ISO/IEC 27001, entre otros. Para conocer el nivel de protección actual de tu organización puedes realizar un diagnóstico o en su defecto un GAP o análisis de Brecha, y no nos referimos a brecha por una filtración de datos, sino que es una brecha o faltante de lo que necesitamos implementar para alcanzar ese nivel óptimo de protección.

¿A qué se refiere con nivel de protección?

Se refiere a qué tan robusta se encuentra la ciberseguridad en tu organización, para determinar estos niveles se toman en cuenta múltiples factores, entre estos se encuentran:

• Si la organización debe estar alineada a un estándar, normativa o regulación.
• Si un control está implementado o no.
• Si la organización cuenta con una estructura de seguridad.
• Si la organización da seguimiento a esas medidas, como monitoreo o mejora.
• Si la organización cuenta con la documentación de los controles
• Si la organización ha generados políticas y procedimientos de seguridad
• Si la organización cuenta con planes de concienciación

Realmente son sólo algunos puntos más relevantes o que pueden hacer que una estrategia de seguridad falle.

De forma particular, preferimos simplificar las cosas creando agrupaciones de estos puntos para nuestros clientes, definiendo sólo cuatro niveles de protección, esto sí, tomando en cuenta distintas normativas y marcos de referencia como lo son, NIST, COSO ERM, ISO 27005, 27002, SOX, PCI entre otras que implementamos, los niveles de protección que definimos son:

• Tratamiento de riesgos.
• Protección de información.
• Gestión documental.
• Gestión de estratégica

¿Hacia dónde voy?

Dependiendo de un posible diagnóstico, te puedo comentar que estarás en alguno de los siguientes niveles de protección:

Nivel: Tratamiento de riesgos

En este nivel se busca realizar un tratamiento de los riesgos, esto es fundamental para atender las necesidades inmediatas en ciberseguridad relacionadas a las amenazas que tiene tu organización, implementar controles, definir presupuesto, generar planes de respuesta y continuidad de negocio, forense, entre otros. Si te encuentras en este nivel de madurez, hay un largo camino por recorrer.

¿Cómo llego aquí?

Para llegar aquí hace falta tener un nivel de seguridad inicial que juega más a la ambigüedad que a la protección, esto es debido a que se cuenta con seguridad, tenemos controles, políticas, entre algunas otras cosas, pero no se tiene documentación de ello, no hay quien les dé seguimiento, las amenazas no están definidas, no hay una administración adecuada a los controles, los controles se implementaron para evitar “no tener nada”,  básicamente para proteger algo, pero no sabemos exactamente de qué nos protege o qué protegemos.

¿Cómo llego al siguiente nivel?

Algunas de las actividades que tendrás que realizar para avanzar al siguiente nivel son:

• Hacer una Identificación de los activos críticos para la operación del negocio.
• Realizar una definición de amenazas que se busca evitar que se materialicen en la organización.
• Realizar una definición de criterios de riesgo, para no generar ambigüedades al momento de su clasificación.
• Realizar una definición de criterios de tratamiento de riesgo, para saber cuándo y bajo qué criterios estos serán tratados de maneras distintas.
• Realizar un análisis de riesgo que te permita conocer el panorama de riesgos y así priorizar la implementación de controles a través de un plan de tratamiento de riesgos.
• Comenzar a realizar las actividades definidas en el tratamiento de riesgos.

Nivel: Protección de información

¿Has escuchado la frase “No se construyen casas sobre la arena? Básicamente refiere a que, si no hay una buena cimentación la casa, de forma eventual comenzará a hundirse y se verá afectada, con la seguridad y ciberseguridad pasa lo mismo, por ello en este punto se crea la estructura de seguridad que tendrá la organización.

¿Cómo llego aquí?

Para este punto es necesario contar con una estructura de seguridad que permita tener una correcta gestión de los riesgos, sin nada del punto anterior, lo que hagas a partir de este punto será justamente construido sobre arena.

¿Cómo llego al siguiente nivel?

Algunas de las actividades que tendrás que realizar para avanzar al siguiente nivel son:

• Hacer una Identificación de los activos críticos para la operación del negocio.
• Definición y asignación de roles y funciones en ciberseguridad
• Actividades de gobernanza en seguridad y ciberseguridad
• Generación de las estructuras de los planes de respuesta a incidentes y continuidad de negocio
• Generación de la estructura en ciberseguridad

No construyas tu estrategia sobre arena. Si no luego escucharás “Eso que se implementó nos está causando muchos problemas, ¡quítalo!”

Nivel: Gestión documental

Los puntos críticos han sido cubiertos y tu organización tiene una estructura más sólida, es momento de documentar nuestro progreso y comenzar a alinear nuestra estrategia a los marcos normativos o de referencia que mejor se adapte a la organización y encaminar nuestro progreso a estas.

¿Cómo llego aquí?

Estando en este nivel, ya puedes despreocuparte un poco por haber implementado controles y estar gestionando la estructura de seguridad de la organización, bastaría sólo el comenzar a documentar, aunque no es una tarea fácil hacer los dos puntos anteriores, suele llevar tiempo y bastante esfuerzo, este nivel toca hacer un par de puntos más.

¿Cómo llego al siguiente nivel?

Algunas de las actividades para llegar al siguiente nivel se encuentran:

• Encaminar los objetivos de negocio a Cumplimiento regulatorio o normativo.
• Generar las políticas y procedimientos de seguridad.
• Actualizar las políticas y procedimientos de seguridad para adaptarlos a amenazas futuras.
• Generar, asignar y comunicar los roles, funciones y responsabilidades dentro de la organización

Nivel: Gestión de ciberseguridad

Estamos casi en la cúspide, pero no podemos confiarnos, ha llegado el momento de realizar una gestión casi automatizada de la seguridad y además de gestionar mejoras en la seguridad para identificar si los controles, la documentación e inclusive las metodologías implementadas, han o van a sufrir cambios que requieran actualizarse con la finalidad de cumplir los objetivos de seguridad de la organización.

Recuerda que la seguridad no se trata de adquirir e implementar un producto o servicio, se trata de un proceso dinámico y cambiante que necesita adaptarse a las situaciones y amenazas actuales y futuras.

Entre algunas de las actividades para mantener el nivel de seguridad que hemos conseguido son:

• Contar con un procedimiento de auditoría Interna y/o externa respecto a los procesos y sistemas de seguridad para identificar áreas de mejora.
• Probar la eficiencia de las medidas de seguridad implementadas de forma regular.
• Contar con un procedimiento para tratar las no conformidades en seguridad.
• Contar con un inventario de posibles incidentes internos o externos que puedan ocurrir.
• Clasificar por criticidad los posibles incidentes que puedan ocurrir
• Definir un equipo de respuesta a incidentes.
• Contar con un plan para cada proceso crítico y mitigar riesgos identificados.
• Contar con un proceso para mejorar al plan de continuidad de negocios para garantizar la resiliencia y la continuidad de los procesos críticos en caso de un incidente de seguridad de la información.

¡Importante!

La seguridad no es una tarea de una sola persona, no es sólo del área de Ti o del personal de soporte, no se alcanza un nivel de seguridad optimo con implementar un control de Antimalware, firewall o copias de seguridad, es una estrategia que se crea y cambia con el tiempo, sino has actualizado tu estrategia, esta quedará obsoleta ante las nuevas amenazas cambiantes.

Estos niveles de protección no son excluyentes. Una estrategia de seguridad efectiva debe incluir una combinación de medidas de protección en diferentes niveles para brindar una protección completa y equilibrada contra las amenazas cibernéticas.

Si quieres conocer el nivel de seguridad en el que se encuentra tu organización, agenda una sesión gratuita ¡Nosotros te ayudamos a generar tu hoja de ruta en seguridad para prevenir efectos negativos en tu organización!