A medida que los riesgos de la digitalización evolucionan y las amenazas a la ciberseguridad crecen, solo hay una manera de que los responsables en materia de seguridad y gestión del riesgo protejan eficazmente a la organización: instituir un programa de seguridad sostenible y continuo. Sin embargo, con demasiada frecuencia, las empresas dan prioridad a marcar las casillas de cumplimiento en lugar de establecer controles eficaces basados en el riesgo.
- ¿Eres cliente de Gartner? Log in para obtener resultados de búsqueda personalizados
Desarrolla un programa de ciberseguridad defendible en 3 pasos
18 de septiembre de 2020
Autora: Samantha Grasso
Hay que encontrar el equilibrio entre la protección y la necesidad de administrar la empresa para poder desarrollar un programa de seguridad defendible.
“Es más probable que los ejecutivos secunden una visión cuando los componentes y los objetivos son pertinentes y se exponen en términos no técnicos”
¿El resultado? Los programas no son defendibles a nivel empresarial, lo que genera desconfianza y dificulta la obtención del apoyo y la inversión adecuados.
“Los directores de empresa siguen considerando la seguridad como un factor limitante del negocio debido a la falta de un programa de seguridad defendible que se vincule a los resultados comerciales”, afirma Tom Scholtz, analista vicepresidente de Gartner.
Para conseguir un programa de gestión de la seguridad de la información defendible, los directores de seguridad y gestión del riesgo deben hacer partícipe a la empresa a la hora de establecer la gobernanza y desarrollar la capacidad de evaluar e interpretar el riesgo de forma eficaz.
Establece la rendición de cuentas con una Carta Estatutaria de Seguridad
Un aspecto clave de la capacidad de defensa es contar con la documentación y los procesos adecuados que permitan tomar decisiones de control basadas en los riesgos.
Crea una Carta estatutaria de seguridad empresarial para sentar las bases de tu programa de seguridad. Se trata de un documento breve y de lenguaje sencillo que establece claramente la rendición de cuentas del propietario en lo que respecta a la protección de los recursos de información y recoge un mandato para que el director de seguridad de la información (o su equivalente) establezca y mantenga el programa de seguridad.
Los directores ejecutivos deben leer, comprender, respaldar visiblemente y consultar anualmente la carta estatutaria, garantizando la aprobación de las funciones, el alcance y las responsabilidades.
Por otro lado, establece un comité directivo de seguridad de la información para garantizar que el equipo de seguridad no tome las decisiones por su cuenta. Incluye una representación directa y con capacidad de toma de decisiones en todas las unidades de negocio y sectores.
Al crear un lugar donde los altos responsables de empresa puedan aprobar y respaldar de forma continuada los programas de seguridad, otros responsables también podrán ver los riesgos no solo para su propia unidad de negocio, sino para toda la empresa.
Fija una visión clara para los programas de seguridad
El apoyo empresarial al programa de seguridad depende de si se transmite una visión clara que refleje el contexto empresarial único de la empresa. ¿Se han producido recientemente recortes de costes? ¿En qué punto se encuentra la organización en su camino hacia la transformación digital? ¿Qué requisitos normativos han cambiado?
Es más probable que los ejecutivos secunden una visión cuando los componentes y los objetivos son pertinentes y se exponen en términos no técnicos. La visión debe reflejar las necesidades empresariales en materia de seguridad a medio y largo plazo.
Más información: Cómo pueden prepararse los responsables de seguridad y gestión del riesgo ante la reducción de los presupuestos
Establece una hoja de ruta priorizada que vincule claramente los proyectos y las medidas correctivas con los riesgos, las vulnerabilidades y los impulsores empresariales, tecnológicos y medioambientales pertinentes.
Demuestra una rápida capacidad de respuesta ante las amenazas cambiantes
La seguridad es un objetivo en movimiento, y los ejecutivos se ven presionados para demostrar que la empresa puede hacer frente a las amenazas en constante cambio. Al orientar los programas hacia la anticipación y la reacción a los cambios frecuentes e inesperados, los directores de seguridad y gestión del riesgo ilustran su capacidad para proteger a la organización, independientemente de lo que ocurra en el entorno empresarial.
Desarrolla un conjunto de principios previamente acordados con los socios comerciales para guiar una implementación ágil de la planificación de la seguridad y las operaciones en el día a día. Algunos ejemplos de estos principios son:
Apoyar los resultados comerciales en lugar de proteger únicamente la infraestructura
Tener en cuenta el elemento humano al diseñar y gestionar los controles de seguridad
Llevar a cabo evaluaciones regulares/periódicas de la vulnerabilidad del entorno de la empresa
El establecimiento de estos principios puede ayudarte a mejorar de forma continuada la eficacia y la eficiencia de los controles de seguridad y a reaccionar ante los cambios. “Los directores de empresa siguen considerando la seguridad como un factor limitante del negocio debido a la falta de un programa de seguridad defendible que se vincule a los resultados comerciales”, afirma Tom Scholtz, analista vicepresidente de Gartner.
Para conseguir un programa de gestión de la seguridad de la información defendible, los directores de seguridad y gestión del riesgo deben hacer partícipe a la empresa a la hora de establecer la gobernanza y desarrollar la capacidad de evaluar e interpretar el riesgo de forma eficaz.
Establece la rendición de cuentas con una Carta Estatutaria de Seguridad
Un aspecto clave de la capacidad de defensa es contar con la documentación y los procesos adecuados que permitan tomar decisiones de control basadas en los riesgos.
Crea una Carta estatutaria de seguridad empresarial para sentar las bases de tu programa de seguridad. Se trata de un documento breve y de lenguaje sencillo que establece claramente la rendición de cuentas del propietario en lo que respecta a la protección de los recursos de información y recoge un mandato para que el director de seguridad de la información (o su equivalente) establezca y mantenga el programa de seguridad.
Los directores ejecutivos deben leer, comprender, respaldar visiblemente y consultar anualmente la carta estatutaria, garantizando la aprobación de las funciones, el alcance y las responsabilidades.
Por otro lado, establece un comité directivo de seguridad de la información para garantizar que el equipo de seguridad no tome las decisiones por su cuenta. Incluye una representación directa y con capacidad de toma de decisiones en todas las unidades de negocio y sectores.
Al crear un lugar donde los altos responsables de empresa puedan aprobar y respaldar de forma continuada los programas de seguridad, otros responsables también podrán ver los riesgos no solo para su propia unidad de negocio, sino para toda la empresa.
Fija una visión clara para los programas de seguridad
El apoyo empresarial al programa de seguridad depende de si se transmite una visión clara que refleje el contexto empresarial único de la empresa. ¿Se han producido recientemente recortes de costes? ¿En qué punto se encuentra la organización en su camino hacia la transformación digital? ¿Qué requisitos normativos han cambiado?
Es más probable que los ejecutivos secunden una visión cuando los componentes y los objetivos son pertinentes y se exponen en términos no técnicos. La visión debe reflejar las necesidades empresariales en materia de seguridad a medio y largo plazo.
Establece una hoja de ruta priorizada que vincule claramente los proyectos y las medidas correctivas con los riesgos, las vulnerabilidades y los impulsores empresariales, tecnológicos y medioambientales pertinentes.
Demuestra una rápida capacidad de respuesta ante las amenazas cambiantes
La seguridad es un objetivo en movimiento, y los ejecutivos se ven presionados para demostrar que la empresa puede hacer frente a las amenazas en constante cambio. Al orientar los programas hacia la anticipación y la reacción a los cambios frecuentes e inesperados, los directores de seguridad y gestión del riesgo ilustran su capacidad para proteger a la organización, independientemente de lo que ocurra en el entorno empresarial.
Desarrolla un conjunto de principios previamente acordados con los socios comerciales para guiar una implementación ágil de la planificación de la seguridad y las operaciones en el día a día. Algunos ejemplos de estos principios son:
Apoyar los resultados comerciales en lugar de proteger únicamente la infraestructura
Tener en cuenta el elemento humano al diseñar y gestionar los controles de seguridad
Llevar a cabo evaluaciones regulares/periódicas de la vulnerabilidad del entorno de la empresa
El establecimiento de estos principios puede ayudarte a mejorar de forma continuada la eficacia y la eficiencia de los controles de seguridad y a reaccionar ante los cambios.
