Ser líder de seguridad TI en la actualidad requiere no solo de experiencia técnica, también demanda la capacidad de influir y hacer cambiar la cultura del negocio; para ello deberá conseguir apoyo de la directiva, presupuesto, participación de su equipo y demás colaboradores.

En este resumen del kit de herramientas esenciales de ciberseguridad del CISA, le detallamos las acciones esenciales que se requieren, para construir una cultura de ciberseguridad.

1. Aborda lo cibernético como un riesgo comercial.

Para cambiar la visión acerca de la importancia de la ciberseguridad, debes comprender el riesgo qué significa para las operaciones y los daños ocasionados al negocio, si la información es violada, la data crítica es vulnerada o si los activos no están debidamente protegidos, la clave está en plantear los riesgos de ciberseguridad como riesgos comerciales.

Apoyar el plan de ciberseguridad basados en que al mitigar riesgo cibernético, se pueden potenciar los procesos de negocio, y como resultado la empresa crece, es por ello, que un líder a cargo de la seguridad TI debe estimar y mostrar el valor de la seguridad, y la pérdida financiera al exponer el negocio al riesgo cibernético, con la idea de concientizar y tener el apoyo necesario de parte de la directiva y de toda la organización para optimizar la protección y mitigar el riesgo.

2. Determinar qué parte de las operaciones dependen de TI.

Identifica los activos críticos y los impactos asociados a las operaciones si llegase a ocurrir un incidente e investiga lo necesario para comprender cómo la planificación de la seguridad TI afecta las operaciones, con esta información se puede determinar factores tales como: cuánto y cómo depende la organización de la tecnología de la información para realizar negociaciones, tiempo de restauración de las operaciones normales en caso de un incidente y así planificar como solventar contingencias.

Ten presente que se pueden presentar muchas barreras, como el patrón de pensamiento “eso jamás ocurriría en esta empresa”, es por ello por lo que debes tener un plan de respuestas para varios escenarios que pudieran presentarse. También considera que en muchos casos debemos apegarnos a la normativa por tener relaciones con empresas públicas o privadas cuyos servicios sean públicos.

3. Evaluar minuciosamente la inversión en ciberseguridad.

Se recomienda siempre invertir en la mejora continua de las capacidades de ciberseguridad del negocio, capacitación del equipo y en la concientización de todos los colaboradores.

Debes comenzar con una evaluación integral de los riesgos de seguridad IT que presenta actualmente la empresa para detectar riesgos, la finalidad de este informe es concientizar a la directiva acerca de los riesgos, modificar su postura ante la seguridad y conseguir los recursos necesarios que permitan implementar las soluciones de seguridad más convenientes según el tipo de negocio.

Para ser más precisos en la evaluación, está la tarea de identificar las fuentes de datos más valiosas para el negocio, dónde se almacenan y vulnerabilidades asociadas; del mismo modo debemos determinar el valor de los diferentes tipos de datos que son generados y almacenados en toda la organización. Otro factor clave, es la evaluación de la tecnología existente, cómo es su funcionamiento en la red y respaldos; verificando si cumplen con las mejores prácticas de seguridad.

4. Crear una red de contactos o participe en comunidades de seguridad cibernéticas.

A través de personas confiables podemos crear nuestra propia comunidad o participar en aquellas donde se tenga acceso a información sobre amenazas a la seguridad cibernética.

5. Promover y liderar el desarrollo de políticas de ciberseguridad.

Como líder en el área de seguridad debemos realizar una revisión de todas políticas de ciberseguridad que están implementadas en la organización, con el fin de identificar debilidades o brechas y a través de una hoja de ruta ilustrar cuáles deben ser actualizadas o creadas, incluyendo prioridades y asegurándonos que se entienda el riesgo al no ser aplicadas.

Las políticas deben definir lo que tenemos que evitar (comportamientos y malas prácticas que pueden llegar a poner en riego los sistemas y la información) y lo que tenemos que hacer siempre para garantizar la protección y seguridad. Mayormente un plan de riesgos incluye: políticas de privacidad, retención y protección de datos, así como un plan de respuesta a incidentes.

Después de priorizar es el momento de asignar tareas, estableciendo objetivos de plazos de mejora realistas. Si no cuentas con un equipo, puedes apoyarte con un partner como Valio para brindarte las herramientas y el talento necesario para llevar a cabo el plan.

Para finalizar, recomendamos utilizar las evaluaciones de riesgo, esto será de gran ayuda para identificar y priorizar la asignación de todos los recursos y el talento necesario que se deberá invertir para alcanzar los objetivos del plan de ciberseguridad.

#cibersecurity#ciberseguridad#innovacióntecnológica#desarrollodesoftware#projectleader#desarrollodebasededatos#talentoti#nuevastecnologías#transformacióndigital#proyectoIT#innovaciones#tecnolog

adelainformación#outsourcingti#staffingti#huntingti#tecnology#ciso