Crear una estrategia de ciberseguridad en la empresa nos puede ayudar a ahorrar mucho dinero, protegiendo nuestros servicios, infraestructura y/o la información crítica de la organización, al disminuir la probabilidad de ser víctimas de un ciberataque y reducir el impacto que puede tener un incidente cuando llegue a materializarse.

La estrategia de ciberseguridad, como lo he comentado en otros artículos, debe enfocarse 100% en el negocio, apegándose a los objetivos y la visión de la empresa en un corto, mediano y largo plazo.

La prioridad de nuestra estrategia debe ser mantener la operación y negocio funcionales para evitar pérdidas de cualquier tipo.

En internet, podrás encontrar muchos artículos que hablan de generar la estrategia mediante alguna normativa o marco existente, lo que funciona bastante bien, sin embargo, la realidad es que no todas las organizaciones pueden aplicarlo debido al costo económico, tiempo, esfuerzo y personal requerido.

 

¿Cómo crear una estrategia de Ciberseguridad?

La estrategia depende mucho del tipo de organización y los objetivos que se tengan establecidos, ya que con base en ello, podemos adecuarnos a lo que se está buscando y lo que es beneficioso para la empresa.

Si quieres apegarte a una normativa o marco y seguirla paso a paso, también puedes hacerlo, solo toma en cuenta que debes de adaptarla a la empresa conforme a la forma de operar, ya que si no lo haces, te generarás mucho trabajo innecesario.

Lo más importante para poder realizar tu estrategia es que conozcas muy bien a la organización, tanto interna como externamente para reconocer los peligros a los que se enfrenta.

Algunos puntos que te recomiendo tomes en cuenta para crear tu estrategia son los siguientes:

➧Presupuesto

Asignar un presupuesto para la ciberseguridad en la empresa.

➧Compromiso

Todo el personal de la empresa debe estar comprometido con la seguridad, comenzando desde los dueños y hasta el personal de menor categoría. Sin ese compromiso, fallará cualquier estrategia.

➧Identifica la información y activos críticos

Debes basarte en el conocimiento de la forma en que opera el negocio, probablemente exista un proceso de operación donde se indiquen todos los pasos que necesita la empresa para funcionar de forma correcta, por lo que podría ayudarte a llevar a cabo este punto más rápidamente. Para este punto, es muy importante contar con el inventario de activos.

➧Identifica el Impacto y las amenazas

Una vez que sepas lo que es crítico en la empresa, identifica el impacto que podría tener en la operación si algún activo llega a sufrir una falla o ciberataque. Probablemente identifiques que algunos tienen mayor criticidad que otros. Con esto ahora debes investigar sobre la mayoría de las amenazas que existen para cada activo.

➧Identifica y aplica controles

Ya que cuentas con un listado de activos críticos y sus amenazas, ahora puedes buscar los controles que ayuden a disminuir la probabilidad y el impacto que podría ocasionar un incidente de seguridad o ciberataque, en este punto, pueden entrar las políticas, procedimientos, capacitación al personal, software, hardware, etc.  Comienza con la aplicación de controles a los activos más críticos de la empresa.

➧Plan de continuidad del negocio (BCP)

Debes tener presente que siempre existirá la posibilidad de que se presente algún incidente que afecte la operación del negocio, por lo que contar con un BCP ayudará a estar preparado.

La ciberseguridad es un tema cada vez más importante para las empresas. Una estrategia de ciberseguridad integral puede ayudar al negocio a proteger sus activos más valiosos y a mitigar el riesgo de sufrir algún ciberataque.