beebright - stock.adobe.com

Evaluar Conozca los pros y contras de las tecnologías, productos y proyectos que está considerando.

Auditoría de seguridad, primer paso para establecer una estrategia robusta

Auditar y capacitar son dos elementos básicos para asegurar que su estrategia de ciberseguridad es adecuada para su organización, y se aplica en todos los niveles de la misma, dice la consultora everis.

El primer paso para entender la situación de ciberseguridad en una organización, y así poder desarrollar, extender o mejorar una estrategia sobre este tema, es realizar una auditoría. Y el mayor obstáculo para consolidarla es lograr una fuerte concientización de los empleados, que permita cambiar costumbres cotidianas por una cultura sólida que los convierta del eslabón más débil en el primer nivel de protección.

Así lo explicó Claudia Ramírez, líder de cibersecuridad en la consultora everis México, quien, en entrevista vía correo electrónico con SearchDataCenter en Español, habló sobre la importancia de la capacitación para concientizar a las personas, las amenazas como servicio que ahora enfrentan las empresas y la importancia de incluir la gestión de riesgos en la estrategia de ciberseguridad.

Como experta en consultoría de ciberseguridad, ¿cuáles son los pasos que sigue para hacer una auditoría de seguridad en una empresa? ¿Difiere esto según las características de la organización?

Claudia Ramírez.

Claudia Ramírez: Las auditorías de seguridad tienen una serie de etapas que examinan diferentes partes. Cada etapa cuenta con una checklist asociada que le ayudará a realizar una primera evaluación para identificar el nivel de adherencia de controles. Las preguntas y las checklist no son cerradas, y dependen del enfoque en la auditoría y las características de la empresa y la industria.

Las fases básicas [de una auditoría de seguridad] son: planificación (riesgos, requisitos legales, objetivos seguridad, metas, etc.), implantación (recursos, responsabilidad, competencias, comunicación, control operacional, etc.), verificación (seguimiento, medición, cumplimiento legal, auditoría interna), y revisión por la alta dirección.

Según su experiencia, ¿cuáles son los principales retos que enfrentan las organizaciones en México en materia de ciberseguridad?

Claudia Ramírez: Las empresas requieren desarrollar nuevas y seguras estrategias comerciales que permitan el máximo retorno de sus inversiones en una economía digital. El uso seguro de tecnologías emergentes como la nube, IoT, blockchain, big data, RPA, inteligencia artifical y aprendizaje automático es una palanca eficiente, eficaz y flexible –en resumen, “resiliente”– donde se inserta, como un desafío o reto, la concientización en la alta dirección sobre la importancia de implementar una estrategia de ciberseguridad, no solo de diseñarla. [Igualmente,] generar concientización y participación de los usuarios finales, los cuales deben ser nuestro primer punto de contención en esta nueva normalidad dotada de muchas oportunidades, pero también de un incremento de riesgos de ciberseguridad con diversos vectores de ataque.

El tema de la capacitación en ciberseguridad es un esfuerzo continuo que necesitan hacer las organizaciones. ¿Cuáles considera que son los principales obstáculos que hay que superar en esta área?

Claudia Ramírez: Más del 79 % de problemas de ciberseguridad y/o seguridad involucra a personas (usuarios, colaboradores, proveedores, etc.). Esto refleja la carencia de capacitación y procesos claramente definidos. Sin embargo, es relevante tomar en consideración que la concientización implica lograr que las personas cambien su comportamiento, lo que significa que el mayor obstáculo de las empresas –y que les resulta difícil lograr– es que sus empleados cambien sus hábitos para mejorar la seguridad, ya que implica cambiar sus patrones regulares de comportamiento. 

¿Cómo puede enfrentar la ciberseguridad temas como las amenazas “como servicio” que hoy están disponibles para cualquiera?

Claudia Ramírez: El mundo de la ciberseguridad se ha vuelto muchísimo más complejo. Los hackers cada vez están más y mejor preparados, tanto en conocimientos como en tecnología, utilizando IA, aprendizaje automático, etc., con el objetivo de desarrollar phishing, cryptojacking y sofisticados ataques de ransomware que están a la orden del día. Sin embargo, ahora han desarrollado formalmente servicios como un producto potencial para clientes como: malware como servicio, botnets como servicio, RaaS o ransomware como servicio, que se convierten en un lucrativo modelo de negocio. Sin embargo, al ser ilegales no pueden comercializarse en los mismos mercados en donde se vende hardware, software y ahí es donde se vuelve relevante la figura del marco ilegal de la “dark web”, que debe verse como una red adicional que debe ser monitoreada por medio de un servicio de inteligencia contra amenazas, que aporta un valor preventivo sobre ciberdelitos y proporciona a las organizaciones la inteligencia necesaria para protegerse contra ataques cibernéticos incluso en sus redes domésticas extendidas.

¿En qué parte de la estrategia de ciberseguridad se inserta la gestión de riesgos? ¿Hasta qué punto involucra a las áreas de negocio?

Claudia Ramírez: El riesgo de ciberseguridad es solamente uno de los factores dentro de la situación de riesgo general en la estrategia de gestión de riesgos de una organización. El riesgo de ciberseguridad, como cualquier otro riesgo, no se puede eliminar completamente, pero sí se puede gestionar a través de procesos informados de toma de decisiones. El objetivo de un programa de ciberseguridad es reducir la probabilidad y efecto de un ciberevento en las operaciones de una organización, instalación o individuo. Un proceso equilibrado e informado de toma de decisiones que incluya la gestión de riesgos cibernéticos conducirá a un efecto positivo en el beneficio financiero de todo el negocio. Por tanto, es necesario involucrar a las diversas áreas de negocio para tener un entendimiento holístico.

Generalmente se habla de una madurez de las empresas con relación a la conciencia y cultura que tengan de ciberseguridad, y a la estrategia que elaboren en consecuencia. ¿Qué se requiere para ser una organización madura con respecto a la ciberseguridad? ¿Hay organizaciones en México y América Latina que hayan llegado a ese punto? 

Claudia Ramírez: Tener bien definidos los controles de ciberseguridad, así como sus políticas, procesos y procedimientos operativos, que normalmente van de la mano con la implementación de un SGSI. Es decir, la correcta implementación operativa y normativa basada en buenas prácticas y estándares. Sin duda, existen en la actualidad empresas que realmente se han tomado en serio, desde hace años, la concientización y desarrollo de la cultura [de ciberseguridad], ya que son conscientes que implica un cambio de hábitos que no se modifican en el corto plazo.

Investigue más sobre Gestión de la seguridad de la información

Close