Blog B-SECURE

La gestión de la ciberseguridad no es solo un asunto técnico

por Lesly Grajales - Gerente de Estrategia Gobierno, Riesgo y Cumplimiento, el 24-feb-2020 14:42:27

gestión de ciberseguridadEn la medida en que las empresas se esfuerzan por aprovechar la tecnología para potencializar su negocio, enfrentan grandes retos para mantener segura su información. El universo cambiante de amenazas, la adopción de nuevas tecnologías y regulaciones hacen aún más compleja esta tarea, obligando a definir estrategias de ciberseguridad que estén en constante evolución y sobre todo que se adapten a la cultura y requerimientos del negocio.

Cada vez más, las organizaciones luchan por desarrollar estrategias apalancadas en prácticas de gobierno y gestión de riesgos que les permitan estar preparadas para afrontar los retos antes mencionados, sin embargo, en ocasiones no se obtienen los resultados esperados, lo cual se refleja en situaciones como:

  • Aislamiento de la gestión de ciberseguridad lo que impide su integración a la cultura y estructura organizacional.
  • Creencia de que la ciberseguridad es complicada y costosa lo que dificulta que la alta dirección participe en su gestión.
  • Prácticas que impiden la gestión integral de los riesgos y desarrollo de actividades por silos.
  • Impedimento para traspasar las barreras de discusiones técnicas y elevar la conversación a un asunto de negocio.


Pensando en construir cultura de ciberseguridad

En nuestra obligación como responsables de ciberseguridad debemos desarrollar una cultura entorno a la ciberseguridad, pasar de actividades netamente reactivas a una estrategia que conlleve un ciclo de mejora continua apalancada en una gestión de riesgos, que se integre a la estructura de la organización.  

El objetivo, entonces, será adoptar los cambios que le permitan al negocio aprovechar de mejor manera las oportunidades con niveles de riesgo aceptables, los cuales deben haber sido conocidos y discutidos por la dirección.

Algunos aspectos claves que se recomiendan contemplar para permear en los procesos organizacionales y desarrollar cultura son:

  • Entender qué le duele al negocio: siempre hablamos de alinear la gestión con los objetivos de negocio, sin embargo, llevarlo a la práctica es uno de los principales dolores de cabeza, para ello debemos entender el contexto organizacional, identificar que información es tratada, donde esta almacenada, entender los flujos de la misma, identificar los actores y sobre todo comprender su nivel de criticidad y sensibilidad.

  • Identificar los objetivos de la gestión de ciberseguridad: su definición ayudará a comprender hasta donde se desea llegar y como la gestión de ciberseguridad aporta a los objetivos estratégicos de la organización.

  • Definir roles y responsabilidades: determinar los roles y lo que se espera de ellos es clave para que las personas que participan reconozcan su papel dentro de la gestión.

  • Vincular las áreas de negocio: propiciar espacios de participación como comités donde se discutan iniciativas, riesgos y estrategias es crucial para que se entienda como la ciberseguridad debe involucrarse en las decisiones de negocio.

  • Comunicar a la dirección: el desarrollo de cultura de ciberseguridad debe venir desde la dirección, si ellos desconocen las amenazas y cuales son sus impactos difícilmente apoyarán las iniciativas, restándoles importancia y entendiendo la ciberseguridad como un gasto más.

  • Definir procesos y políticas: la clave de su comprensión y aceptación es la participación en la formulación y mantenimiento por parte de los usuarios.

  • Desarrollar actividades de sensibilización y formación: Identificar los tipos de audiencia y educarlos sobre el papel que desempeñan en la estrategia, cómo agregan valor a la organización y prepararlos para enfrentar los riesgos a los cuales están expuestos debe ser una labor constante.

La estrategia de ciberseguridad debe desarrollarse como un proceso sistémico que involucra gobierno y cultura. Además de tener como objetivo involucrarse en cada nivel organizacional y de cambiar la percepción que se tiene de la ciberseguridad como compleja y costosa, para verla como un aliado habilitador de negocio que propicia confianza para clientes, proveedores y aliados, al garantizar que la información sensible y crítica sea precisa, confiable y se mantenga confidencial en la organización a través del tiempo.

 

 

 

 

Suscríbase al boletín y reciba en su correo nuestras entradas de blog, información de interés de la industria, consejos de seguridad, invitaciones a eventos y diferentes herramientas.

Entradas recientes

Entradas por tema

Ver todos

Archivo

Ver todos

CONTACTO

Portal de Servicio

Trabaje con nosotros

PQR

 

 

LOGO 27001  LOGO SGS 16

Logo First

 

Suscríbase al Boletín

RECURSOS

Blog

NOSOTROS

¿Quiénes somos?

Socios de negocio

Sistemas de Gestión

Política de Datos Personales

Síganos en nuestras redes sociales

B-SECURE © 2022. Todos los derechos reservados. B-SECURE es una marca de Softweb Asesores S.A.S.