¿Cómo crear una estrategia de ciberseguridad?

 

Crear una estrategia de ciberseguridad en la empresa nos puede ayudar a ahorrar mucho dinero, protegiendo nuestros servicios, infraestructura y la información crítica de la empresa,disminuyendo la probabilidad de ser atacados y el impacto cuando un incidente o ataque llegue a suceder.

La estrategia debe realizarse enfocándose en el negocio, apegándose a los objetivos y visión de la empresa en un corto, mediano y largo plazo. La prioridad de nuestra estrategia debe ser mantener la operación y negocio funcionales para evitar pérdidas de cualquier tipo.

En la web, podrás encontrar muchos artículos que hablan sobre generar una estrategia mediante alguna normativa o marco existente, lo que funciona bastante bien, sin embargo, la realidad es que no todas las organizaciones pueden aplicarlo debido al costo económico, de tiempo, esfuerzo y personal que se requieren.

¿Cómo desarrollar una Estrategia de Ciberseguridad?

La estrategia depende principalmente del tipo de organización y los objetivos que se tengan establecidos, ya que con ello, podemos adecuarla a lo que se busca y lo que es más beneficioso para la empresa. Si deseas apegarte a alguna normativa o marco y seguirlo paso a paso, puedes hacerlo, solo toma en cuenta que debes de adaptarlo a la empresa, basándote en su forma de operar, ya que si no lo haces, te generarás mucho trabajo innecesario.

Lo más importante para poder realizar tu estrategia es que conozcas a la organización muy bien, tanto interna como externamente para reconocer los peligros a los que se enfrenta.

Algunos puntos que te recomiendo tomar en cuenta para crear una estrategia son los siguientes:

➥ Compromiso

Todo el personal de la empresa debe estar comprometido con la seguridad, comenzando desde los directivos y hasta el personal de menor categoría. Sin ese compromiso, fallará cualquier estrategia.

➥ Identifica la información y activos críticos

Debes basarte en el conocimiento de la forma de operar del negocio, probablemente exista un proceso de operación donde se indiquen todos los pasos que necesita la empresa para funcionar de forma correcta, por lo que podría ayudarte a llevar a cabo este punto rápidamente.

 

No puedes proteger lo que no sabes que existe, así que tener el inventario de tus activos es indispensable.

➥ Identifica el impacto

Una vez que sepas lo que es crítico en la empresa, identifica el impacto que podría tener a la operación si algún activo llega a sufrir alguna falla o un ciberataque.  Probablemente identifiques que algunos son más críticos que otros.

➥ Identifica las amenazas

Ahora que tienes todo lo crítico, debes investigar sobre la mayoría de las amenazas que existen para cada activo.

➥ Identifica y aplica controles

Ya que cuentas con un listado de activos críticos y sus amenazas, ahora puedes buscar los controles que ayuden a disminuir la probabilidad y el impacto que podría ocasionar un incidente de seguridad, en este punto, pueden entrar las políticas, procedimientos, capacitación, software, hardware, etc.

Comienza con la aplicación de controles a los activos más críticos de la organización.

➥ Plan de continuidad de negocio (BCP)

Debes tener presente que siempre existirá la posibilidad de que se presente algún incidente que afecte la operación, por lo que contar con un BCP les ayudará a estar preparados.

➥ Mejora continua

Por último, el hecho de mantener actualizados los controles, políticas, procedimientos, inventario, etc. así como en un óptimo funcionamiento, nos asegurará que nuestra seguridad se encuentra en un proceso de maduración y que vamos por buen camino. 

Pueden existir más puntos de los que puedes apoyarte para crear tu estrategia de ciberseguridad, por lo que puedes agregar alguno adicional, la idea es que comiences a trabajar e implementar tu estrategia.