6 tips para crear tu Estrategia de Ciberseguridad

Generar una estrategia de Ciberseguridad nos puede ayudar a ahorrar mucho dinero y proteger nuestros servicios y/o información crítica de la mejor forma, disminuyendo el impacto que podría tener el sufrir de algún incidente provocado por un ciberdelincuente.

La estrategia debe ser enfocada al cien porciento en el negocio, buscando lograr los objetivos y la visión del mismo en un corto, mediano y largo plazo. 

Como lo hemos mencionado en otros artículos, la prioridad debe ser siempre el mantener la operación y negocio funcionales para evitar pérdidas económicas en la organización.

Ahora bien, podrás encontrar muchos artículos por internet donde te hablen de apegarte a una normativa o marco, y que, es cierto que funcionan bastante bien, pero también es verdad que no todas las organizaciones pueden aplicarlo debido al dinero, tiempo, esfuerzo y personal que se requiere, lo que se puede traducir como inversión.

¿Cómo desarrollar una estrategia de ciberseguridad que sea adecuada con el negocio?

La estrategia depende del tipo de organización y los objetivos que tenga establecidos, ya que con base en estos puntos podremos adecuarnos a lo que se está buscando y que beneficia a la empresa. 

Ya sea que quieras basarte en alguna normativa o en algún marco o apegarte al cien porciento a éstos, debes de pensar en lo que busca la empresa. 

Lo más importante, es conocer el funcionamiento de la organización, tanto interna como externamente para conocer los peligros a los que se enfrenta en materia de ciberseguridad.

Para poder comenzar a generar una estrategia de ciberseguridad te comparto los siguientes 6 tips:

✔ Compromiso

Todo el personal de la organización debe estar comprometido con la seguridad de la empresa, comenzando desde los dueños y hasta el personal de menor categoría. Sin el compromiso, fallará la estrategia.

✔ Identifica la información y activos críticos de la empresa

Debes basarte en el conocimiento de la forma de operar del negocio, probablemente exista un proceso de operación donde se indiquen todos los pasos que necesita la empresa para funcionar, por lo que podría ayudarte a llevar a cabo este punto más rápidamente.

✔ Identifica el impacto que podría tener la falla de esos activos y/o información

Una vez que sepas lo que es crítico para la empresa, identifica el impacto que podría tener a la operación si alguno de ellos falla o sufre de algún ataque. Probablemente aquí identifiques que algunos son más críticos que otros.

✔ Identifica las amenazas que existen para los activos críticos

Ahora que tienes identificado todo lo crítico, debes investigar sobre la mayoría de las amenazas que existen para cada activo. Recuerda que todo esto debe encontrarse documentado.

✔ Identifica y aplica los controles para las amenazas

Ya que cuentas con un listado de activos críticos y amenazas, ahora puedes buscar controles que ayuden a disminuir la probabilidad y el impacto que podría tener un ataque, en este punto pueden entrar las políticas, procedimientos, capacitación, software, hardware, etc. 

Puedes empezar con la aplicación de controles a los activos más críticos de la empresa, ese debe ser el foco en primera instancia.

✔ Plan de Continuidad del Negocio (BCP)

Debes de tener presente que siempre existe la posibilidad de que seas víctima de un ciberdelincuente, por lo que contar con un plan que te diga la forma de mantener la operación funcionando ayudará a estar preparado. 

Este plan debes de ponerlo a prueba cada cierto tiempo para que sepas que funciona correctamente y si es necesario, actualizarlo.

Recuerda que estos puntos no son la ley, pero nos han funcionado para mejorar protección en las organizaciones contra incidentes de seguridad y ayudarles a reducir costos. 

Si tu quieres apegarte a una normativa y seguirla paso a paso, también puedes hacerlo, solo toma en cuenta que tomará más tiempo en verse reflejados los esfuerzos, recuerda el dicho de "No quieras comerte el pastel de una sola mordida".