¿Cómo enfocar la Ciberseguridad en el negocio?

 

Es común escuchar la frase "enfocar la seguridad al negocio", de hecho, si me lees de hace tiempo o has escuchado en nuestro Podcast, sabes que es algo que comento constantemente.

¿En qué consiste enfocar la seguridad al negocio?

Si bien, podemos basarnos en los pilares de la seguridad, no siempre queda claro la forma de aplicarlos en una organización.

Es verdad que la empresa cuenta con mucha información, equipos, servidores, etc. pero te has preguntado, ¿Qué pasaría si...? 

➥¿Qué pasaría si tu tienda en línea sufriera un ataque? - ¿Cuánto dinero perdería la empresa?
➥¿Qué pasaría si un servidor de archivos se daña? - ¿Cuánto dinero perdería la empresa?
➥¿Qué pasa si la base de datos del reloj checador se daña? - ¿Cuánto dinero perdería la empresa?

¿Te das cuenta de que no todos los activos tienen la misma criticidad?

Las preguntas realizadas anteriormente son un ejemplo para un servicio de comercio electrónico, un servidor de archivos y una base de datos del reloj checador, en este caso, el activo más importante es el de e-commerce, pues si se infecta con malware, si recibe un ataque DoS o es comprometido por un atacante dejándolo inoperable, la empresa pierde dinero, por lo tanto, deberíamos de preocuparnos por su seguridad.

¿Cómo aplicar la Ciberseguridad para proteger el negocio?

Bien, ya sabemos que el servidor e-commerce en el ejemplo es lo más importante, ahora sigamos con las preguntas:

➥¿Si la página se encuentra abajo la empresa pierde dinero? 

¡Claro!, entonces tendríamos que cubrir el pilar de la Disponibilidad ya que es crítica.
➥¿Si se modifican los datos del servicio la empresa pierde dinero? 

¡Por supuesto!, imagina que las personas depositan dinero a otra cuenta o los precios no son correctos, entonces también deberías de cubrir la Integridad.
➥¿Si la información de las cuentas y pagos se filtra, la empresa perderá dinero?

Claramente sí, la reputación de la empresa se va por los suelos, por lo que deberías también de cubrir la Confidencialidad.

Esto no sucedería con el servidor de archivos, probablemente no nos importe mucho la disponibilidad, pero sí la integridad y confidencialidad de la información que resguarda.

Para el caso de la base de datos del reloj checador, realmente no tendría mucha relevancia, ya que podría ser reemplazado temporalmente por registros manuales, y la afectación sería mínima mientras se restablece.

Tomando en cuenta esos puntos, claramente, deberíamos de pensar en proteger a la brevedad el servicio de e-commerce de nuestro ejemplo, es ahí donde se debería invertir el mayor porcentaje del presupuesto definido, ya que si eso falla, el negocio será el más afectado.

¡Ojo! No significa que no debas proteger lo demás y lo debas dejar así, siempre deben de existir controles de seguridad. Tener claro cuál es la criticidad de cada uno de nuestros activos nos da la oportunidad de definir por dónde comenzar a aplicar esos controles y buscar las mejores opciones para cada uno.

Espero que con este ejemplo, quede un poco más claro a qué nos referimos con la tan sonada frase "Enfocarse en el negocio" y puedas generar una estrategia de ciberseguridad que logre cumplir con los objetivos de la organización, su misión y visión.

Enfocarte en el negocio, solo es comprender los engranajes clave que la empresa requiere para funcionar y protegerlos dependiendo su requerimiento, ya sea la Confidencialidad, la Integridad y/o la Disponibilidad, sólo quien conoce bien la operación del negocio podrá decirte dónde aplicar los ajustes.