César Pallavicini Z., CEO de Pallavicini Consultores.
Cuando han ocurrido eventos de ciberataques que han afectado a bancos y que han tenido una repercusión mediática, gerentes de empresas solicitan servicios de ciberseguridad y de ethical hacking; como la gran solución al problema, para luego de pasado el susto, volver a sus tareas rutinarias, postergando los proyectos de ciberseguridad, lo que refleja la falta de conciencia en la protección de la información y un desconocimiento o falta de creencia de que los ciberatacantes son países u organizaciones criminales con estructura jerárquica, estrategias y presupuestos.
Para abordar en forma eficiente la gestión de riesgos de ciberseguridad, se requiere gobernanza y una combinación de múltiples estrategias, siendo fundamental la alineación a la misión y líneas de negocio de la compañía, por lo cual antes de abordar los proyectos que permitirían mitigar los riesgos de ciberataques, es importante desarrollar un plan estratégico que sea aprobado y luego liderado por la alta dirección.
Para dar inicio a lo antes mencionado, existe desde hace muchos años el Framework NIST, acrónimo de Instituto Nacional de Estándares y Tecnología dependiente del Departamento de Comercio de EEUU. El Marco de Ciberseguridad, ayuda a los negocios de todo tamaño a comprender mejor sus riesgos de ciberseguridad, administrar y reducir sus riesgos, y proteger sus redes y datos.
¿Porqué es recomendable usar NIST?
Primero por ser un estándar de nivel mundial, y porque la gestión de ciberseguridad parte desde la alta dirección y debe ser analizado de acuerdo al giro y procesos de negocio de la organización, para luego involucrar a las gerencias internas y stakeholders. Por otra parte, las funciones de NIST: Identificar, Proteger, Detectar, Responder y Recuperar, junto a sus niveles y perfiles, permiten diagnosticar el estado actual, mediante un perfil actual y generar un perfil objetivo, para tener una brecha que permita hacer un plan de acción, con un adecuado presupuesto de inversión y gasto, acorde a las reales necesidades de Ciberseguridad de la empresa.
El Marco NIST se relaciona con estándares, directrices y prácticas, por mencionar algunas: ISO 27032, ISO 27002, Cobit; proporcionando una taxonomía común y un mecanismo para que las organizaciones realicen lo siguiente:
? Describir su postura actual de ciberseguridad.
? Describir su objetivo deseado para la ciberseguridad.
? Identificar y priorizar oportunidades de mejora dentro del contexto de un proceso continuo y repetible.
? Evaluar el progreso hacia el objetivo deseado.
? Comunicarse entre las partes interesadas internas y externas sobre el riesgo de seguridad cibernética.
Finalmente, NIST complementa, y no reemplaza, el proceso de gestión de riesgos y el programa de ciberseguridad de una empresa. La organización puede utilizar sus procesos actuales y aprovechar el marco para identificar oportunidades para fortalecer y comunicar la gestión del riesgo de ciberseguridad, y al mismo tiempo se alinea con las prácticas de la industria, enfatizando que aplica a todo tipo de empresa y de cualquier tamaño. Sobre todo si consideramos que la ciberseguridad es parte de la gestión seguridad de la información, que a su vez es un pilar estratégico de la gestión de riesgo operacional.
