¿Cómo hacer una estrategia de ciberseguridad?



Crear una estrategia de ciberseguridad en la empresa nos puede ayudar a ahorrar mucho dinero, protegiendo nuestros servicios, infraestructura y/o la información critica de la empresa al disminuir la probabilidad de ser atacados y el impacto cuando un incidente o ataque sea materializado.

La estrategia de ciberseguridad, como lo he comentado en otros artículos, debe de enfocarse 100% en el negocio, apegándose a los objetivos y la visión de la empresa en un corto, mediano y largo plazo. 

La prioridad de nuestra estrategia debe ser mantener la operación y negocio funcionales para evitar pérdidas de cualquier tipo.

En internet, podrás encontrar muchos artículos que hablan de generar la estrategia mediante alguna normativa o marco existente, lo que funciona bastante bien, sin embargo, la realidad es que no todas las organizaciones pueden aplicarlo debido al costo económico, tiempo, esfuerzo y personal requerido.

¿Cómo desarrollar mi estrategia de ciberseguridad?

La estrategia depende mucho del tipo de organización y los objetivos que se tengan establecidos, ya que con base en ello, podemos adecuarnos a lo que se está buscando y lo que es beneficioso para la empresa. 

Si quieres apegarte a una normativa o marco y seguirla paso a paso también puedes hacerlo, solo toma en cuenta que debes de adaptarla a la empresa, conforme a su forma de operar, ya que si no lo haces, te generarás mucho trabajo innecesario.

Lo más importante para poder realizar tu estrategia es que conozcas a la organización muy bien, tanto interna como externamente para reconocer los peligros a los que se enfrenta. 

Algunos puntos que te recomiendo tomes en cuenta para crear tu estrategia son los siguientes, recuerda que no es una ley ni son los únicos, pero son los que a nosotros en EASYSEC nos ha funcionado.


1 Compromiso

Todo el personal de la empresa debe estar comprometido con la seguridad, comenzando desde los dueños y hasta el personal de menor categoría. Sin ese compromiso, fallará cualquier estrategia.

2 Identifica la información y activos críticos

Debes basarte en el conocimiento de la forma de operar del negocio, probablemente exista un proceso de operación donde se indiquen todos los pasos que necesita la empresa para funcionar de forma correcta, por lo que podría ayudarte a llevar a cabo este punto más rápidamente.

Por otra parte, no podemos proteger lo que no sabemos que existe, así que tener un inventario actualizado de nuestros activos es indispensable.

3 Identifica el impacto

Una vez que sepas lo que es crítico en la empresa, identifica el impacto que podría tener a la operación si algún activo llega a sufrir una falla o un ciberataque. Probablemente identifiques que algunos activos son más críticos que otros.

4 Identifica las amenazas

Ahora que tienes identificado todo lo crítico, debes investigar sobre la mayoría de las amenazas que existen para cada activo.

5 Identifica y aplica controles

Ya que cuentas con un listado de activos críticos y sus amenazas, ahora puedes buscar los controles que ayuden a disminuir la probabilidad y el impacto que podría ocasionar un incidente de seguridad o ciberataque, en este punto, pueden entrar las políticas, procedimientos, capacitación, software, hardware, etc.

Comienza con la aplicación de controles a los activos más críticos de la organización.

6 Plan de continuidad del negocio (BCP)

Debes tener presente que siempre existirá la posibilidad de que se presente algún incidente que afecte la operación del negocio, por lo que contar con un BCP les ayudará a estar preparados.



Publicar un comentario

0 Comentarios