Estrategia de ciberseguridad: panorama actual e implementación en la empresa

Estrategia de ciberseguridad: panorama actual e implementación en la empresa

Tras la transformación digital el peso de la ciberseguridad en las organizaciones ha aumentado exponencialmente. Es un mundo en constante evolución y del que cada vez las empresas son más conscientes de su importancia dentro de la organización. 

Guillermo Rodríguez, director del área de Cyber Risk Culture de PwC España y director del máster en Seguridad Informática y Gestión del Riesgo Tecnológico, ha sido el encargado de presentar el webinar «Estrategia de ciberseguridad: panorama actual e implementación en la empresa».

Euncet Business School y PwC España, firma líder de auditoría y consultoría dentro de las consideradas Big Four, se han aliado para crear un máster online que capacite a los estudiantes para dar respuesta a los riesgos y ciberamenazas que afectan a las organizaciones de todo el mundo. El programa está formado por 13 cursos de especialización basados en una metodología 100% práctica.

En esta sesión informativa, Guillermo Rodríguez reflexiona sobre la importancia del plan estratégico en ciberseguridad y cómo implementarlo en una empresa, como anticipo de los contenidos que se pondrán a disposición de los alumnos del máster.

Situación de la seguridad informática en la actualidad y ciberseguridad en las compañías.

La ciberseguridad en las compañías

Antes de hablar del plan estratégico en ciberseguridad es importante contextualizar la situación de la seguridad informática en la actualidad. 

El informe de riesgos del Foro Económico Mundial (WEF), destaca desde hace años la importancia de considerar los ciberriesgos dentro de las organizaciones, e identifica varios de estos riesgos en el top 10 de los más importantes en la actualidad

Según estadísticas proporcionadas por Varonis:

  •  El coste promedio de una violación de datos es de 3.92 millones de dólares.
  • Se prevé que el gasto mundial en seguridad cibernética alcanzará en 2022 los 133.700 millones de dólares.
  • Los hackers atacan cada 39 segundos, una media de 2.244 veces al día. 
  • El 62 % de las empresas sufrieron ataques de pishing y de ingeniería social en 2019. 
  • El 68 % de los líderes empresariales sienten que los riesgos de seguridad cibernética están aumentando

Se ha pasado del desconocimiento absoluto sobre la ciberseguridad a recibir noticias diariamente sobre estos riesgos tecnológicos. Este hecho ha ayudado a posicionar la ciberseguridad como una de las principales áreas de desarrollo dentro de los negocios.

Desde el año 2018 se cree que la ciberdelincuencia mueve más dinero en el mundo que el narcotráfico. Sus ataques cada vez son más sofisticados, por lo que las empresas requieren de trabajadores expertos para hacerles frente. 

En el informe publicado por PwC se estima que en 2021 habrá 3,5 millones de puestos de trabajo en ciberseguridad sin cubrir en todo el mundo, mientras que en el informe realizado por ISC² se dice que en Europa estamos cerca de los 350.000 puestos de trabajo de demanda que no se puede cubrir con la oferta actual.

Estos datos no hacen más que confirmar la demanda creciente que hay de especialistas en ciberseguridad, y evidencia que dichos especialistas están entre los perfiles profesionales más interesantes para las compañías a día a hoy.

La importancia de la estrategia empresarial para aprovechar las oportunidades y hacer frente a las amenazas.

La importancia de la estrategia

La improvisación es uno de los grandes enemigos para cualquier empresa. Y es que, la estrategia empresarial nos ayuda a aprovechar las oportunidades, hacer frente a las amenazas, reforzar las fortalezas y minimizar las debilidades o los riesgos.  Para ello, se necesita desarrollar una correcta estrategia con un conocimiento amplio de la empresa, tanto interno como externo. Es importante contar con una visión objetiva y realista de la compañía. 

En el ámbito de la ciberseguridad sucede lo mismo. La estrategia en ciberseguridad permite aprovechar y focalizar los recursos disponibles en las áreas de mayor riesgo para que sean más rentables. 

Conocer la parte estratégica y de gobierno es esencial para desarrollar cualquier plan director de ciberseguridad. Eso sí, no hay que dejar de lado el conocimiento más técnico de la ciberseguridad para poder generar un plan completo y realista. 

El objetivo de todas las organizaciones debería ser la reducción de sus ciberriesgos lo máximo posible o, al menos, hasta un umbral asumible por el negocio. No existe el riesgo cero, con lo que, aunque las compañías adopten todo tipo de controles o medidas de seguridad preventivos,  deben existir planes de detección, respuesta y recuperación para minimizar el impacto en caso de incidente. 

El plan estratégico de ciberseguridad, ayuda a reducir los riesgos entorno a la ciberseguridad de una empresa

El plan estratégico de ciberseguridad

El plan estratégico (o director) de ciberseguridad es un proyecto que propone una serie de medidas que ayudan a reducir los riesgos en torno a la ciberseguridad de una empresa. Debe contener los aspectos técnicos, legales y organizativos que se deben llevar a cabo para reducir los riesgos provocados por las amenazas que afectan a una compañía hasta un nivel aceptable. 

Un plan estratégico de ciberseguridad tiene que ayudar a establecer la estrategia que se tiene que implementar incluyendo las medidas técnicas, legales y organizativas adecuadas. 

Entre los principales componentes de un plan estratégico de ciberseguridad se encuentran: el gobierno de la ciberseguridad y el plan de ciberseguridad.

Elementos que componen el plan estratégico de ciberseguridad

El plan estratégico de ciberseguridad se compone de dos ámbitos:

  • Gobierno de la ciberseguridad. Es el consejo de seguridad nacional que nos ayuda a estructurar un departamento de ciberseguridad y a establecer el gobierno, los roles, las funciones y los procedimientos que van a aplicar en dicho departamento de seguridad.
  • Plan de ciberseguridad. Ayuda a identificar las medidas, a priorizarlas y a implantar de una manera homogénea y con criterio todas esas medidas dentro de la organización.
Fases del Plan Director de Seguridad

Fases del Plan Director de Seguridad

1. As Is

Permite conocer la situación actual de la ciberseguridad dentro de la organización. Se deberán determinar el nivel de los riesgos que tiene la organización, y con ello las amenazas a las cuales está expuesta.

2. To Be

En esta fase se establece el nivel objetivo de protección que desea la organización.  Dicho nivel objetivo se valora en capacidades de protección o en reducción del nivel de riesgo.

3. Medidas de seguridad

Identificar cuáles son las medidas ayudará a la organización a pasar del estado actual al estado objetivo.

4. Plan Estratégico de ciberseguridad

Una vez detectadas las medidas de seguridad se tienen que clasificar , priorizar y establecer una estrategia de ciberseguridad nacional. En ese punto se tienen que identificar los costes, prioridades y dependencias de las medidas

5. Aprobación

La Alta Dirección será la encargada de aprobar el Plan Estratégico de Ciberseguridad. 

La aprobación de este es vital para el establecimiento del presupuesto o de la inversión que la compañía está dispuesta a emplear.

6. Ejecución y seguimiento

En esta última fase, se hace un seguimiento para asegurar que se cumple lo establecido en el plan estratégico y se alcanzan los objetivos marcados al inicio. 

Principales estándares y normativas utilizadas a nivel mundial para elaborar un plan estratégico de seguridad

Estándares más comunes para elaborar el plan estratégico de seguridad

Existen muchos estándares y normativas, aunque las más utilizadas a nivel mundial son:

NISTC CSF

Estándar americano que establece cinco dominios a tener en cuenta por las organizaciones a la hora de establecer el plan estratégico: 

  • Identificar. Realizar un análisis de riesgos para gestionar los activos. Hay que saber cuáles son los procesos y la información relevante para la empresa.
  • Proteger. Tomar todas las medidas necesarias para proteger: control de acceso, concienciación y entrenamiento, seguridad de los datos, mantenimiento y tecnologías de protección.
  • Detectar. Descubrir anomalías y eventos monitorizando de forma continua la seguridad y activando procesos de detección. 
  • Respuesta. Hay que saber responder ante los ataques lo antes posible y de la mejor manera para mitigar los efectos y recuperar los sistemas y activos que hayan sido atacados. 
  • Recuperación. Una vez se ha dado respuesta se deben crear planes de recuperación para establecer mejoras para el futuro. 

ISO/IEC 27001

El estándar ISO/IEC 27001 es un estándar certificable que se basa en el ciclo del PDCA (Plan-Do-Check-Act). Las fases del ciclo en las que se basa este estándar son: 

  • Planifica (Plan). Identifica los activos, entiende los procesos y el negocio, y realiza un análisis de riesgos según el estado actual en ciberseguridad de la compañía. 
  • Haz (Do). Identifica los controles e implanta las medidas de seguridad según los riesgos identificados.
  • Verifica (Check). Verificar que los controles que están implantados se están ejecutando correctamente. Para ello será necesario medir, auditar y verificar.
  • Actúa. Todos los sistemas son mejorables. Se debe detectar los problemas, las debilidades y las mejoras, a fin de establecer las iniciativas que corrijan dichas desviaciones.

ISO/IEC 27002

El estándar ISO/IEC 27002 permite identificar los dominios y diferentes controles que ayudan a mitigar los riesgos y garantizar la seguridad. Estos son algunos de los dominios y controles: 

5 – Políticas de seguridad de la información

6 – Organización de la seguridad de la información

7 – Seguridad relativa a los recursos humanos

8 – Gestión de activos

9 – Control de acceso

10 – Criptografía

11 – Seguridad física y del entorno

12 – Seguridad de las operaciones

13 – Seguridad de las comunicaciones

14 – Adquisición, desarrollo y mantenimiento de sistemas de información

15 – Relación con proveedores

16 – Gestión de incidentes de seguridad de la información

17 – Gestión de la continuidad del negocio

18 – Cumplimiento

El gobierno de la ciberseguridad va a condicionar el funcionamiento del departamento.

Gobierno de la ciberseguridad

El gobierno de la ciberseguridad es un área muy importante que va a condicionar el funcionamiento del departamento. Se debe de definir la estructura de dicho departamento, y se debe de establecer las dependencias organizativas en el organigrama de la compañía. 

Las estructuras dependientes del CIO más comunes son:

Organigrama de las estructuras dependientes más comunes del CIO

Este tipo de organización suele darse en empresas pequeñas. Poco a poco esta estructura ha ido evolucionando y se le ha ido dando más peso la figura del CISO. En el siguiente organigrama, el responsable de seguridad depende directamente del CIO, equiparándose con el resto de responsables de las áreas de IT. Este organigrama, que todavía es común encontrarlo en muchas organizaciones, liga profundamente la función de la ciberseguridad con el mundo IT de la compañía.

Evolución de la estructura del organigrama que da lugar al CISO

Estas estructuras pueden reportar inconvenientes ya que depende completamente del CIO.  La dependencia directa con el CIO suele generar problemas de gobierno y operativas en el área de ciberseguridad. 

En los últimos años la tendencia ha sido la de migrar hacia tipos de organizaciones basadas en estructuras independientes del área de IT o del CIO:

Migración hacia tipos de organizaciones basadas en estructuras independientes
Migración hacia tipos de organizaciones basadas en estructuras independientes

“El impacto de los ciberataques cada es mayor, y se evidencia en las dificultades que tienen las compañías para continuar con las operaciones después de que se produzcan” Guillermo Rodríguez

Principales roles, funciones y procesos que permitirán gobernar y gestionar la función de ciberseguridad de la compañía.

Roles, funciones y procesos del área de ciberseguridad

Una vez establecido el área de ciberseguridad se debe definir los roles, funciones y procesos que permitirán gobernar y gestionar la función de ciberseguridad en la compañía. El tamaño de las organizaciones será uno de los factores que condicione la definición de roles y funciones.

La definición de los roles que existirán en el área de ciberseguridad, junto con las responsabilidades que tendrá cada uno de ellos, es importante para evitar lagunas en el gobierno o la protección de la compañía. Para cada uno de los roles, se tendrán que definir las funciones que permitirán a dicho rol, asumir las responsabilidades establecidas.

Por último, es importantísimo definir correctamente los procesos de operación del departamento de ciberseguridad, estableciendo la forma de relación con otras áreas de la compañía, así como los procesos internos que serán utilizados en las operaciones de dicha área.

El plan Estratégico de Ciberseguridad contempla las medidas e iniciativas que ayudarán a proteger la compañía.

Plan de ciberseguridad

El Plan Estratégico de Ciberseguridad, además de establecer el gobierno de la ciberseguridad, debe definir el Plan de Seguridad. Dicho Plan de Seguridad contempla las medidas e iniciativas que ayudarán a proteger la compañía.

Las fases para la generación de un plan de ciberseguridad son las siguientes:

AS IS

Esta primera fase requiere del entendimiento de los procesos y del negocio en general. Hay que identificar las cuentas significativas que generan ingresos y valor dentro de la organización, así como los activos críticos, importantes y necesarios que lo soportan. Es necesario detectar los procesos que se tienen que reforzar por ser más susceptibles a posibles ataques.

Importancia de realizar un análisis de riesgos en la generación de un Plan de Ciberseguridad.

Como pieza fundamental en la generación de un Plan de Ciberseguridad se debe de realizar un análisis de riesgos con la finalidad de identificar cuáles son los activos de información y cuáles son sus amenazas y vulnerabilidades. El análisis de riesgos tiene unos elementos a considerar. 

Los activos, las amenazas que afectan a los activos y se materializan mediante vulnerabilidades, la probabilidad de materialización y el impacto que genera la amenaza una vez materializada.

Con todos estos valores se puede calcular el riesgo intrínseco que tiene la organización. A partir de ese momento, se podrán identificar los controles que permitirán reducir dicho riesgo hasta que quede un riesgo residual asumible por la Alta Dirección. 

Resultado del análisis de riesgo activo-amenaza que determinará la prioridad a reducir

El resultado del análisis de riesgo determinará qué riesgos de cada dupla activo-amenaza es más prioritario reducir. 

Matriz de Riesgo que permitirá la identificación y análisis del estado de seguridad de la compañía

En paralelo, y para identificar las vulnerabilidades se analizará el estado de seguridad de la compañía. Este análisis se puede realizar mediante análisis técnicos de vulnerabilidades, obtención de métricas, observación y demás tareas que puedan ayudarnos a establecer el nivel de seguridad actual. 

Comparativa del sector para obtener información en la toma de decisión.

TO BE

Con la situación actual de seguridad conocida, estamos en disposición de establecer el nivel objetivo de protección que queremos.

Para establecer el nivel objetivo tenemos que tener en cuenta muchos factores, ya que el nivel de recursos y esfuerzo es limitado. En esta segunda fase recomendamos realizar una comparativa del sector para obtener información útil en la toma de decisión. Esto no limita que se obtengan otras fuentes de información que ayuden a decidir dicho nivel.

Una vez establecido el nivel objetivo, habrá que establecer la forma en la que se va a ir consiguiendo los resultados a lo largo del tiempo. De esta forma, es recomendable ponerse objetivos parciales a corto, medio y largo plazo.

Medidas e iniciativas con prioridad en base al beneficio, para la Generación del Plan de Ciberseguridad.

Generación del Plan de Ciberseguridad

Una vez establecido el nivel objetivo se identificarán los controles, medidas de seguridad e iniciativas que nos permitan pasar de un nivel a otro. Dichas medidas o iniciativas tendrán una prioridad en base al beneficio que aportan según la reducción de riesgo que provocan, el coste, la complejidad de implantación o mantenimiento, y por supuesto su dependencia respecto al resto de iniciativas o medidas de seguridad. 

Todas estas medidas, así como la proyección desde el estado actual al objetivo nos permite generar el Plan de Ciberseguridad, que será presentado a la Dirección de la compañía para su aprobación.

Principales conclusiones y beneficios del plan estratégico de ciberseguridad

Conclusiones y beneficios del plan estratégico de ciberseguridad

  1. La estrategia nos permite focalizar los esfuerzos donde realmente es necesario dentro de la organización.
  2. Permite aunar esfuerzos entendiendo los objetivos de las medidas de seguridad que implementamos. 
  3. El análisis de riesgos nos permite identificar las amenazas y priorizarlas según su riesgo. Es la pieza central de la estrategia. 
  4. No se puede establecer una estrategia sin entender el negocio y sus procesos.

Si te ha parecido interesante el webinar y crees que la ciberseguridad es tu campo no te puedes perder el máster online máster en Seguridad Informática y Gestión del Riesgo Tecnológico, avalado por PwC España. ¡Conviértete en un experto en seguridad informática!

Si necesitas información sobre el tema, te recomiendo visualizar este Webinar sobre la estrategia de ciberseguridad.