Las organizaciones que consideran la información un activo valioso porque agiliza los procesos de negocio, inspira la toma de decisiones estratégicas y mejora la relación con proveedores, socios y clientes, se caracterizan por abordar su gestión desde una perspectiva holística.
Ello hace consciente al departamento de TI de que su misión consiste en velar por la integridad, constante actualización y accesibilidad de cada dato útil, sin que ello suponga un debilitamiento de la ciberseguridad empresarial o comprometa el derecho a la confidencialidad y salvaguarda de los datos, ambos reconocidos por la legislación a los socios y clientes cuya información se maneja diariamente.
Seguridad y accesibilidad: un equilibrio difícil en ecosistemas abiertos
La clave para cumplir con los objetivos enumerados, y conseguir con ello gestionar la información de modo eficiente durante todo su ciclo de vida dentro de la organización, está en encontrar el equilibrio que permita extraer de ella un valor añadido para el negocio y, al tiempo, minimice los riesgos de seguridad, garantizando además el cumplimiento de la normativa vigente. No es una tarea fácil y el CISO (director de ciberseguridad) es quien se encarga de ella.
Gran parte de las dificultades que enfrenta cuando desempeña sus funciones se derivan del aumento exponencial de la cantidad de datos, estructurados y no estructurados, que las organizaciones pueden recabar; así como del uso que se hace en la organización de los recursos disponibles en la nube para almacenarlos, gestionarlos y ofrecer productos y servicios nuevos a los clientes. El crecimiento de cloud computing, que ha traído multitud de ventajas para el negocio, tiene como contrapartida haber diluido el contorno de los ecosistemas corporativos hasta hacer muy complejo el desarrollo de una estrategia de seguridad unificada.
Premisas para diseñar una estrategia de seguridad sólida y flexible
Como decíamos, el CISO es quien ha de dar cuerpo a la estrategia de seguridad unificada en la organización partiendo de un contexto disperso, para lo que ha de mantener una comunicación constante con el director del departamento de TI. Ambos han de tener en cuenta que, en la fase del proceso de transformación digital que está experimentando la economía actual, subir el nivel de seguridad en armonía con los intereses del negocio requiere conseguir que responda a tres premisas:
- Responder a escenarios en los que se combine el uso de nube pública, privada e híbrida.
- Aplicar metodologías que ayuden a agilizar procesos y adaptarse a lo que cada usuario necesita en cada momento.
- Aplicar capas de seguridad en todas las fases del ciclo de desarrollo de software, plataformas y aplicaciones.
Detectar, analizar, prevenir y comunicar son tareas prioritarias
Teniendo siempre presente las premisas de base que hemos expuesto, el CISO ha de afrontar una serie de tareas prioritarias en su lucha por establecer una estrategia de seguridad de los datos; eficaz, unificada y, al tiempo, productiva para la empresa.
La primera, y más obvia, es mantener a la organización a salvo de ciberamenazas. El primer criterio que se tendrá en cuenta para evaluar el trabajo del CISO es la capacidad que haya mostrado su estrategia para proteger los bienes digitales de la empresa.
Para ello deberá planificar, y llevar a efecto, la implementación de herramientas y metodologías que: reduzcan la vulnerabilidad de la organización, sirvan para identificar posibles incidentes de seguridad y controlar sus efectos negativos, permitan estudiar las metodologías empleadas por los atacantes y agilicen la puesta en marcha de las medidas oportunas para hacerlas inútiles en futuras ocasiones.
La clave a afrontar durante todo el proceso se basa en: Diagnóstico, detección, reacción, análisis y prevención
Para conseguir que una estrategia de seguridad unificada sea efectiva, el CISO ha de establecer también unos protocolos claros que pauten a quién, cuándo y cómo se ha de informar sobre cada incidencia de seguridad que pueda desencadenarse. La celeridad y ponderación de cada aviso estarán relacionados con el nivel de la amenaza y la gravedad de sus posibles consecuencias.
En lo que se refiere a este tipo de reportes en caso de incidencia es importante recordar que incluir el etiquetaje y difusión de todos los intentos de ataque, incluso de aquellos que hayan sido detenidos antes de que causaran daño alguno, es imprescindible. Gracias a ello la comunidad de usuarios podrá conocerlos y prevenirlos eficazmente.
Participar en la comunidad y poner a prueba sistemas y equipo
Mantener al equipo de ciberseguridad y empleados de la empresa al tanto de las nuevas formas de proceder de los ciberdelincuentes es tan importante como disponer del mejor software de seguridad. Mantener esa comunicación y hacerla interesante, e incluso entretenida, es una de las tareas que ayudarán al CISO reforzar la seguridad de los datos que gestiona la organización y conseguir el equilibrio deseado entre fortaleza y accesibilidad.
Para que la comunicación sea fluida es importante que el CISO cuente con el respaldo activo de los miembros de equipo de ciberseguridad. Lo ideal es que éstos formen parte activa de la comunidad dedicada a explorar las fuentes de las que pueden proceder nuevos tipos de ciberataques (internas, externas, próximas, etc.) y compartan sus experiencias y conocimientos para trasladarlos a los empleados y usuarios de la compañía.
Para terminar, no está de más recordar que hallar el equilibrio en materia de ciberseguridad requiere entrenar constantemente, tanto a los equipos como a los sistemas. Someter la estrategia implementada a prueba simulando escenarios de crisis que obliguen a poner en marcha desde los métodos de detección hasta los protocolos de alerta, reporte, y las medidas reactivas siempre es positivo para conseguir buenos resultados.
