Los bancos y su regulación
19 de abril de 2024Por: Daniel Castro
Antes de hablar acerca de cómo implementar un modelo de gobierno y gestión de ciberseguridad, es importante mencionar que su verdadero concepto y alcance va mucho más allá de la protección de la tecnología. Así que, si aún no lo has hecho, te invito a leer mi artículo anterior titulado integrando la gestión de la ciberseguridad a la gestión empresarial de riesgos .
De acuerdo con la más reciente publicación de la Asociación de Auditores y Control de Sistemas de Información (ISACA) en el 2020, como parte de la guía de estudio para la certificación internacional de profesionales en fundamentos de ciberseguridad ; define a la ciberseguridad como “la gestión realizada para proteger la información que se procesa, almacena y transmite mediante el uso de activos digitales; de aquellas amenazas que atentan contra los sistemas de información interconectados al ciber espacio”.
Quisiera apoyarme en esta definición académica, para extraer de ella una serie de conceptos y actividades que toda organización debe comprender para garantizar el éxito en la creación de una adecuada estrategia de gobierno y la gestión de la ciberseguridad.
Una de las primeras actividades radica en conocer detalladamente toda aquella la información que utiliza la organización para poder operar, cuál es su valor, así como los niveles de relevancia, criticidad y dependencia de esta para el logro de sus objetivos propuestos.
Para ello, los directivos deben contar con una clara comprensión sobre dicha información, considerando todos aquellos requerimientos de índole legal, regulatorios o normativos aplicables. El propósito es comprender el riesgo inherente que involucra el uso de sistemas de información interconectados al ciberespacio y cómo esto puede afectarnos.
Esta comprensión inicial nos permite crear un punto de partida para desplegar a nivel directivo, una serie de políticas y estrategias enfocadas en garantizar la protección de toda aquella información que supone un mayor valor, relevancia y criticidad para la organización, con el propósito de mantener los riesgos dentro de los niveles de “apetito” y tolerancias aceptables para alcanzar sus objetivos propuestos.
Todo esto crea bases sólidas para soportar el peso de una adecuada estructura de gobierno de la ciberseguridad, considerando la existencia una serie de principios éticos y de comportamiento que motivarán posteriormente vivir una cultura de gestión enfocada en la protección de todo aquello que forme parte de una única visión estratégica, evitando así la aparición de criterios individuales, meramente técnicos o particulares que puedan desvirtuar dicha visión.
A partir de este momento, los directivos deben garantizar la existencia de estructuras administrativas requeridas para gestionar la ciberseguridad a niveles tácticos y operativos. Para ello, deben establecerse roles y responsabilidades claras que propicien una adecuada interacción entre las diferentes partes interesadas dentro y fuera de la organización de acuerdo con el planteamiento de principios establecidos por el modelo de las tres líneas .
Acá se vuelve relevante declarar cuáles son todos aquellos procesos y servicios esenciales que soportan la operación, permitiéndonos identificar elementos tecnológicos, humanos y materiales claves para garantizar la continuidad y sostenibilidad de la organización en el tiempo, aún ante el surgimiento de posibles eventos o la materialización de incidentes de ciberseguridad.
Es crucial conocer todos esos activos digitales utilizados para procesar, almacenar y transmitir la información más relevante de la organización en cada uno de esos procesos y servicios determinados como esenciales o críticos.
Seguidamente, debemos analizar y comprender el panorama de ciberseguridad en función de la naturaleza del negocio y mercado donde opera, procurando obtener una consciencia situacional en cuanto a las tendencias mundiales en materia de ciberseguridad, que atentan contra nuestros activos digitales.
Esto nos permitirá comprender ¿cuáles son los tipos de ataque más frecuentes?, ¿qué vectores de entrada o salida utilizan?, ¿cuáles son las los principales actores que los ejecutan?, ¿con qué recursos cuentan?, ¿qué, intereses, habilidades y capacidades poseen?, ¿cuáles vulnerabilidades están explotando con mayor frecuencia?, ¿cuáles herramientas de explotación poseen actualmente?, ¿qué tipos de objetivo han estado atacando?, ¿qué indicadores de compromiso que se han logrado identificar y documentar?, entre otros elementos tácticos importantes para evaluar nuestro panorama de ciberamenazas a las que potencialmente se enfrenta nuestra organización .
Producto de lo anterior, la organización se encontrará mucho más preparada para diseñar una estrategia operativa de ciberseguridad, considerando los elementos necesarios para trabajar aquellos escenarios de riesgo que realmente puedan llegar a materializarse, evitando el desperdicio en la asignación de recursos.
Todo esto genera el dimensionamiento de escenarios de riesgo mucho más concretos, permitiéndonos calcular el impacto negativo que estos puedan llegar a generar en el estado de pérdidas y ganancias, la propiedad intelectual, el cumplimiento legal o regulatorio, así como a la imagen o confianza que la organización proyecta en el mercado.
Adicionalmente, vamos a poder calcular de forma más efectiva la probabilidad de ocurrencia para cada uno de estos escenarios, basándonos en aspectos internos como las vulnerabilidades existentes en nuestros procesos, conocimientos y capacidades de los colaboradores que los ejecutan, así como en los activos tecnológicos que procesan, almacenan y distribuyen la información más relevante de la organización y en factores externos producto de nuestro análisis del panorama de ciberamenazas.
Es así como la organización logra enfocar estratégicamente sus inversiones y recursos para controlar los riesgos de ciberseguridad alineados con los objetivos organizacionales, obteniendo el mayor retorno de cada centavo invertido, medido y monitoreado a través de procesos que registran los niveles organizacionales de contribución y su efectividad en el tiempo.
Esto permitirá incorporar poco a poco a la ciberseguridad dentro de la cultura organizacional, apoyándose en programas de capacitación y concientización sólidos y permanentes que la fomenten este modelo a todo nivel en la organización, eliminando la creencia popular que esta es responsabilidad de las áreas de tecnologías de información, para convertirlo en un enfoque práctico de gobierno y gestión que involucra la participación de toda la organización y demás partes interesadas.
¿Tienes alguna consulta sobre ciberseguridad que desees comprender de forma sencilla? Sígueme o escríbeme a mi cuenta de LinkedIn o Twitter y las estaré abordando en futuras entregas.
1 https://www.linkedin.com/pulse/integrando-la-gestión-de-ciberseguridad-empresarial-riesgos-rivera/, https://www.crhoy.com/opinion/el-lector-opina/integrando-la-gestion-de-ciberseguridad-a-la-gestion-empresarial-de-riesgos/
2 https://store.isaca.org/s/store#/store/browse/detail/a2S4w000004KohiEAC
3 https://www2.deloitte.com/content/dam/Deloitte/mx/Documents/risk/2018/3.Apetito-al-Riesgo.pdf
4 https://na.theiia.org/translations/PublicDocuments/Three-Lines-Model-Updated-Spanish.pdf
6 https://www.incibe.es/protege-tu-empresa/kit-concienciacion, http://www.oas.org/es/sms/cicte/docs/20200925-ESP-White-Paper-Educacion-en-Ciberseguridad.pdf, https://www.cisa.gov/sites/default/files/publications/Spanish%20-%20Cybersecurity%20Awareness%20Month%202021%20Partner%20Toolkit.pdf, https://twitter.com/oea_cyber/status/651845118840975360