A medida que el tiempo avanza, el universo tecnológico se transforma cada vez con mayor rapidez y queda claro que las nuevas generaciones van marcando los retos de operación dentro de las organizaciones.
Ya no solo debemos preocuparnos por la gestión y conocimiento del negocio. Ahora debemos considerar todo lo que implique su ejecución, así como todo aquello que interactúe y se involucre con ello, tanto los proveedores como los consumidores, ya sea particulares u organizacionales, ya que todo forma parte del ciberespacio. Con lo anterior quiero decir no dejar cabo suelto y en este texto lo llamaré “El Todo” ya que todo forma parte directamente o indirectamente en el éxito o fracaso de nuestros negocios.
Me gustaría remarcar que las tecnologías hoy en día se han convertido en una de las principales herramientas de valor para las organizaciones, incluso en el día a día de nuestra vida, ya que todos formamos parte del ciberespacio e interactuamos con él y por ende es uno de los mayores desafíos de control. Por lo que es prudente que las organizaciones adopten o definan nuevas normas, que rijan y consideren un plan de actuación ante cualquier incidencia que pueda presentar un riesgo para la organización, que permita la adaptación al entorno particular y general para mejorar y garantizar el adecuado y seguro procesamiento de los datos.
Según una encuesta realizada en 2015 por ISACA, el 46% de los encuestados esperaban enfrentar un ciberataque en el 2015. En esta encuesta, el 86% declaró que había una escasez mundial de personal calificado y un 38% se sintió preparado para defenderse de ataques sofisticados, el incremento de los ataques cibernéticos es inminente.
De acuerdo con Kaspersky en América Latina crecieron en un 59% en el 2016, 2017 para 2018 siguen en aumento en un 18%, para 2019 en 67%, con este ritmo la tasa de incremento se mueve a una gran velocidad, además ahora los ciberataques están costando a las empresas muchos miles de millones de dólares, el impacto económico también crece en proporción a los ataques.
Mientras que nos enfrentemos a costos de seguridad de la información cada día más elevados, hay mucho por hacer. Las empresas tienen que invertir más en ciberseguridad para minimizar el costo de los incidentes que puedan ocurrir y por tal razón es necesario implementar estrategias y pasos de recuperación con el fin de tener una empresa con una buena gestión del riesgo. Si deseas implementar tu estrategia de seguridad, te podemos ayudar.
Es bien sabido que toda Gestión de Riesgo se encuentra estrechamente relacionada con el cumplimiento y el gobierno de la información, por lo que me gustaría tomar como referencia la frase que cita la norma ISO27032 donde indica que "El ciberespacio no pertenece a nadie y todos pueden participar y tener interés en él".
Importancia de la norma ISO27032
Esta norma define el ciberespacio como un entorno complejo que resulta de la interacción de personas, software y servicios en Internet mediante dispositivos tecnológicos y redes conectadas a él y que no existe en ninguna forma física.
La adopción de esta norma puede representar un buen reto para las organizaciones proveedoras o consumidoras del ciberespacio, ya que cuentan con vastas consideraciones de control, sin ser un requisito estricto en cuanto al compromiso de gestión, recordando que no es una norma certificable pero si es una guía de orientación de buenas prácticas en el entorno de la ciberseguridad, ya que contempla la importancia de los dominios de la ciberseguridad (Seguridad de la Información, Seguridad de aplicaciones, Seguridad de la Red, Seguridad en Internet y la CIIP-Seguridad de Infraestructura crítica) proporcionando Tecnologías, Técnicas y Directrices de seguridad que abordan como primera área de enfoque la problemática de las brechas entre los dominios y la falta de comunicación entre las organizaciones y los proveedores del ciberespacio, y como segunda área la colaboración que refiere al intercambio eficiente y efectivo de información entre las partes interesadas (consumidores y proveedores).
El contexto de seguridad general refiere a la protección de los activos de las amenazas, me parece interesante remarcar que la norma ISO27032 busca contemplar como activo, a cualquier cosa que tenga valor para un individuo u organización, ya sea virtual o físico y no solamente la información, SH, HW, servicios, personas, habilidades y experiencias, si no también incluye a bienes intangibles tales como la reputación o imagen, ya que a menudo los activos sólo son considerados de manera simplista como información o recursos.
La norma ISO27032 proporciona orientación técnica para abordar los riesgos comunes de la ciberseguridad que incluyen:
- Ataques de Ingeniería Social
- Hacking
- SW Malicioso “Malware”
- Spywares y otros SW no deseado
Proporciona controles para abordar los riesgos incluidos: preparación ante ataques (malware, delincuencia, organizaciones delictivas), detección, seguimiento, respuesta y preparación, la concientización representa retos de seguridad ya que implica educar para un gran cambio de conciencia y cultura en la organización y para ser franco a nadie le gusta modificar las prácticas ya establecidas.
Un ejemplo de ello es la de en lugar del uso de su vieja y querida contraseña “1234”, de repente, se encuentran con que tiene que ser cambiada cada 90 días y además de 8 caracteres, de los cuales al menos uno debe ser un número y un carácter especial y entre este ejemplo existen muchos más, que hasta no hacer un buen trabajo de concientización dentro de la organización seguirán representando un riesgo y malestar de operación.
Protegernos y aplicar la seguridad general del Ciberespacio aún es un objetivo muy ambicioso, sin embargo debemos pretender alcanzar un nivel de maduración constante. Con lo anterior seguramente nos preguntaremos cómo hemos mejorado ayer vs hoy, creo que todo puede ser medible con la reducción o aumento del número de incidencias, por lo que es bien importante identificar las herramientas técnicas y normativas que se adapten a las metas y objetivos de su organización.
La gestión de la Ciberseguridad debe considerar mantener una estrategia alineada a políticas y controles que te permitan mantener una cultura de ciberseguridad y un entorno más confiable, las normas existentes no solo están para volver más complejo el proceso, están para proveer una guía de referencia que permite una maduración y escalabilidad sustentable en un ambiente complejo que puede transformarse en cualquier momento.
Es por todo esto que debemos considerar apegarnos a las normas ya escritas, para crear las estrategias a los procesos de ciberseguridad para nuestro negocio.
¿Quieres conocer más sobre Ciberseguridad?
Descarga este Caso de Uso y mira los resultados.
