Ciberseguridad para impulsar los objetivos estratégicos de negocio

Las organizaciones se definen por objetivos definidos en su plan estratégico,donde se traza una hoja de ruta que se establece para el cumplimiento de las metas corporativas en un determinado periodo.

Estos objetivos o metas de la empresa, generalmente están orientados a la creación de valor, como lo expresa el framework de gobierno y gestión COBIT, desde la realización de beneficios, la optimización de los recursos y la optimización del riesgo.

Entendiendo que las implementaciones de nuevas tecnologías y el papel que cumplen las infraestructuras tecnológicas suponen una mejora de la eficiencia y eficacia a la hora de entregar un producto o servicio, también las organizaciones están adquiriendo nuevos riesgos que las exponen a afectar el logro de dichos objetivos, ya que esto puede afectar la disponibilidad, integridad y confidencialidad de la información.

Por ejemplo, entre los riesgos a los que se exponen las organizaciones se encuentran los riesgos de cumplimiento, ya sea por omisiones ante entes de control o por responsabilidades asumidas en contrataciones con clientes que afectan la información en su confidencialidad e integridad. Esto incluye, la materialización de cualquier ciberataque que puede derivar en un impacto negativo para los acuerdos de nivel de servicio, afectando a la organización en el deterioro de su imagen corporativa, pero también en sus finanzas.

Todos estos riesgos, tienen su origen en una gran cantidad de técnicas que pueden ser utilizadas por los atacantes externos para afectar el correcto funcionamiento de los servicios de la organización; por ejemplo, casos se presentan cuando personal interno de la organización en actos de inconformidad puede “sabotear” las operaciones del negocio, o abrir la puerta para que otros ataques se materialicen producto de negligencia o incumplimiento de las políticas establecidas 

El gobierno corporativo tiene dos maneras de afrontar este tipo de situaciones generadoras de riesgo; una reactiva y otra proactiva:

1. Postura reactiva

Esta postura puede funcionar bien cuando se cuenta con procesos y prácticas sólidos de continuidad de negocio, que garantizarán la recuperación o puesta en marcha de las operaciones en unos tiempos donde no hay mayores impactos a las finanzas y a la imagen corporativa; eso sí, es importante manejar estas estrategias reactivas con mucha responsabilidad y teniendo claros los planes de recuperación, pero también acompañándolo de acciones preventivas que contribuyan a la mitigación del riesgo

2. Postura proactiva

Esta es una postura más dinámica que permite que la organización mitigue los riesgos de una forma preventiva, aplicando controles orientados a evitar que se materialicen las amenazas existentes sobre los activos de información y priorizando aquellos que son críticos para el negocio, esto gracias a que el análisis de riesgo periódico ha alertado de aquellos asuntos que requieren la implementación de controles prioritarios.

Por todo lo anterior expuesto, es importante que las organizaciones que hospedan su información de forma digital en sus diferentes activos de información cuenten con un área de TI que esté compuesta por profesionales con competencias en ciberseguridad; pero que también se tenga en cuenta que “La Estrategia de Ciberseguridad y las metas de TI deben estar alineadas a los objetivos estratégicos del negocio”, para esto se debe considerar que los proyectos de adquisición, nuevos desarrollos, elaboración de políticas, escaneos y análisis de la infraestructura por parte del área de TI, la tercerización de servicios, entre otros; tengan en cuenta la mitigación de los riesgos que afectarían el cumplimiento de los objetivos corporativos.

A continuación, se presentan aspectos que sugieren adoptarse estratégicamente en las organizaciones para contribuir a que los incidentes pueda afectar sus operaciones de negocio

Los líderes de la organización deben ser conscientes del papel que juega el aseguramiento de sus infraestructuras para el cumplimiento de los objetivos corporativos, para eso la alta dirección no solo debe acompañar desde lo presupuestal, sino también desde la promoción de una cultura de seguridad en la organización y en la aprobación de las políticas de seguridad que deben cumplir todas las partes interesadas de la organización.

La organización debe velar para que en el equipo de TI se cuente con personas que tengan las competencias técnicas y de gestión en temas de ciberseguridad. Lo anterior para poder actuar y responder conforme a las necesidades que el negocio demande en los asuntos de ciberseguridad.

Construir un esquema adecuado de seguridad con herramientas como IDS, IPS, Firewalls,  Antivirus, SIEM, entre otras. Todas estas herramientas deben estar plenamente actualizadas y configuradas de acuerdo a las líneas base para su correcto funcionamiento.

Realizar un inventario de activos de información que sean considerados críticos para el funcionamiento del negocio y realizar sobre ellos la identificación de las amenazas con los impactos que tendría su materialización ante la presencia de vulnerabilidades. Luego de identificar el nivel de criticidad de los riesgos sobre cada activo entonces se debe proceder a proponer, implementar y validar controles para lograr niveles aceptables de riesgo para la organización.

Este ejercicio busca medir el cumplimiento de todas las acciones implementadas para mitigar el riesgo de los activos de la información, con el fin de identificar qué tan eficientes y eficaces son dichas medidas. Estas auditorías deben quedar programadas en un cronograma y deberían realizarse al menos dos en un periodo de un año.

En SEGINFO, estamos convencidos de que unos adecuados procesos de ciberseguridad, contribuyen a impulsar los objetivos estratégicos de negocio

Por eso ponemos a disposición de las organizaciones nuestras capacidades para acompañar el establecimiento de procesos de gobierno y gestión de TI, con un énfasis en el análisis del riesgo de seguridad de la información, la implementación de sistemas de gestión basados ISO 27001 y la generación de planes de continuidad de negocio para la organización a partir de la ISO 22301.

Compartir