🎯 ¿Por qué es importante enfocar la Ciberseguridad al negocio?

Ciberseguridad en el negocio



La Ciberseguridad es vital para resguardar la operación del negocio, evitar la pérdida de información sensible, propia o de clientes. A esto hay que agregar las pérdidas económicas que conlleva el ser víctima de un ciberataque por lo que una inversión en este rubro dejó hace tiempo de ser un lujo para convertirse en una necesidad.

En este post te daré algunos puntos importantes que se deben tomar en cuenta para lograr aplicar Ciberseguridad en el negocio sin caer en costos excesivos o malas decisiones.

Enfócate en el negocio.

He hablado mucho sobre este punto y ahora quiero explicarlo para que quede más claro. 

La principal función del área de TI o InfoSec en una organización, es proteger la actividad crítica del negocio, ósea, lo que hace que la organización crezca y opere de forma normal, básicamente lo que deja dinero.

Para que quede más claro, expongo el siguiente ejemplo:

Empresa que se dedica a vender por internet (e-commerce).


Lo que le deja dinero a este tipo de organizaciones es la venta en línea de sus productos o servicios. 

Supongamos que tienen un sitio propio; por lo tanto, la estrategia de Ciberseguridad debe estar enfocada en proteger la tienda en línea.

¿Qué debemos proteger? Para poder acotarlo, debemos de pensar en los tres pilares de la seguridad.


Confidencialidad. 

Definición: Se trata de aquello conocido solo por las personas autorizadas.

Conociendo la definición, deberíamos de enfocarnos en proteger la estrategia de la empresa, la información de los productos o servicios que saldrán al mercado, los costos, las aplicaciones que se usan, versiones, información de los clientes, información de las tarjetas de crédito y métodos de pago, etc. 

Se debe hacer una lista de todo lo que conlleva el negocio qué es confidencial y qué no cualquiera deberá tener acceso. 

Una vez obtenida esta información, podremos saber si se requieren controles y de qué tipo, si se requiere adquirir algún producto o si podemos pasarle el riesgo a un tercero al contratar algún servicio específico como el almacenamiento y protección del sitio.

Integridad.

Definición: El contenido permanece inalterado a menos que se modifique por el personal autorizado.

Sabiendo esto, debemos de listar las cosas que deben de mantener su integridad, por ejemplo, los precios, la lista de costos nueva, los cambios de los mismos, los datos bancarios para el pago, los elementos que conforman la tienda en línea, etc. 

Los controles que se pueden aplicar pueden ser un antimalware, un software de Monitoreo de Integridad, controles de acceso, etc. 

Podemos listar algunos otros pero todo depende del requerimiento y todo ello, pensando siempre en lo principal, que es el proceso que deja dinero a la empresa.

Disponibilidad.

Definición: Capacidad de estar siempre disponible cuando se requiera.

Piensa en esto: ¿Cuánto dinero podría perderse si la tienda en línea no se encuentra disponible durante 24 horas? 

Si esto sucediera, el costo económico para la organización sería enorme, por lo que se debe pensar en la forma de mantener su disponibilidad en todo momento. 

¿Cómo lograrlo? Listando las posibles formas en que podría fallar, por ejemplo:

  • Que el servidor se apague de manera inadvertida a causa de una falla de hardware o por un corte de electricidad en el lugar en el que se encuentra
  • No funciona el enlace de método de pago.
  • Algún atacante logró comprometer el sitio web y modificarlo o direccionar el tráfico hacia otra URL.
  • Hubo un terremoto y el servidor que aloja el sitio se dañó. 
  • Se recibieron más solicitudes de las que la tienda soporta provocando su saturación.

Con todo esto, podrás saber cuales son los principales controles que deben aplicarse a la tienda y tener un plan de respaldo por si alguno de ellos llega a fallar o logra ser vulnerado.

La Ciberseguridad es una necesidad como se dijo en un principio, ya que si algún control o proceso falla, puede generar pérdidas enormes a una organización, tanto financieras como de reputación, y es por eso que siempre les recomendamos enfocarse en la actividad principal del negocio, para disminuir el riesgo de resultar víctima de un ataque y en caso de que llegue a suceder, contar con los planes de contingencia y recuperación necesarios para mantener la continuidad del negocio.

Espero que este ejemplo ayude a darse una mejor idea de en qué deberían de estar aplicando Ciberseguridad en sus organizaciones.

Un último consejo...

¡Valida constantemente los controles aplicados!


Publicar un comentario

0 Comentarios