• 52 722 2462370
  • ruben.guzman@rberny.com
  • Toluca, Estado de México
Ciberseguridad
La Ciberseguridad 2018

La Ciberseguridad 2018

Este tema ya no puede seguir siendo un problema solamente de TI, por supuesto que es un problema de gestión del riesgo que incumbe a toda la empresa, considerando que el valor preciado de los datos para una serie de actores vinculados con las amenazas exige que el riesgo cibernético se gestione a todos los niveles de la empresa, hasta la sala de la dirección o consejo de la empresa, el debate de TI  comienza con nuestra estrategia de seguridad de la información, esta debe estar basada en tres pilares: una arquitectura en la que podamos confiar, capacitación y concientización de los funcionarios en el tema de seguridad y agilidad para satisfacer las necesidades del negocio.

Las amenazas cibernéticas pertenecen a una de dos categorías: amenazas tradicionales, como el malware y sus variantes o las Amenazas Persistentes Avanzadas (APT) sumamente sofisticadas, de esta manera es necesario desarrollar y mantener fuertes defensas de seguridad, usando una combinación de tecnología, herramientas y procesos, para defenderse contra la mayoría de los ataques, crucial es que instalemos en tiempo  parches en los servicios web, bloquear a usuarios después de múltiples intentos fallidos de inicio de sesión, filtramos adjuntos de correo electrónico, inspeccionar documentos que entran y salen de la nube, actualizamos constantemente el software antivirus y centralizarlo en una consola de administración para verificar las estadísticas de la red y visualizar los equipos que puedan estar vulnerables o que están siendo objeto de un ataque.

Definitivamente el factor humano, es la mayor preocupación a falta de concientización sobre la ciberseguridad, consideremos que aproximadamente el 90% de todas las fugas de datos son ocasionadas por personas físicas, a través de actividades tanto intencionadas como involuntarias, es ocasiones los atacantes ingresan a la red de la organización mediante ataques de phishing selectivo y campañas de ingeniería social que descubren las contraseñas de los usuarios.

Incorporar conocimiento y diligencia sobre la ciberseguridad en nuestra cultura sigue siendo un elemento fundacional de cualquier estrategia de ciberseguridad, y la clave es hacer que la concientización en seguridad sea importante para las personas, los ejecutivos y funcionarios aprenden de manera diferente y requiere enfoques distintos para interesarse y comprender el valor de la seguridad, me he encontrado un alejamiento y apatía para conocer en términos de tecnología lo que puede ser perjudicial para el negocio, por lo que como líder de TI considero reforzar las campañas de concientización de seguridad a las que podemos estar expuestos proporcionando formas creativas y concretas de interesar continuamente a los dirigentes del negocio.

Establecer talleres de capacitación, reforzado con boletines mensuales internos, entrevistas a ejecutivos, revisar los riesgos, amenazas y vulnerabilidades, hay que esforzarnos por que sea sencilla y ajustada al perfil laboral, haremos algo  un paso más allá informando a nuestros funcionarios sobre cómo aplicar estos aprendizajes a su vida personal, junto con las recomendaciones, los artículos, y los blogs que se pueden compartir con familiares y amigos del empleado o ejecutivo, en realidad a cualquier público, podemos realizarlo también en casa, con los amigos de mis hijos, vecinos, etc., lo importante es ayudar a prevenir lo que humanamente sea posible y a protegernos para no caer presa de las amenazas; agregando una capa de protección al enfoque de seguridad multi-nivel.

Como profesional de seguridad en la información, también participo en reuniones para hablar de manera clara con nuestros socios, con ellos expongo el valor de la seguridad, fundamentando que puede pasar, si hay que realizar alguna inversión o ampliar las policías, sin que con ello quedemos inoperantes, respondo a preguntas como:

  • ¿Qué protege el control de seguridad?
  • ¿Por qué importa?
  • ¿Cuál es el rol del usuario final?
  • ¿Qué impacto tiene en la empresa?
  • ¿Cuál es el papel de los socios en la toma de decisiones de la ciberseguridad?
  • ¿Con que regularidad se estará tratando el tema?

Es imperativo comunicar cómo los controles de seguridad incorporados protegerán a los usuarios, los datos, y la propiedad intelectual de la compañía, es mi responsabilidad aprender cómo varían los perfiles de riesgo en las unidades de negocios y organizaciones de servicios, formar una asociación con cada unidad de negocios para desarrollar el equilibrio apropiado de controles de riesgo y de seguridad.

Es así donde el marco de administración de seguridad de la información estructurada se vuelve crítico, sin embargo, permite alinear la seguridad de la información estratégica con la estrategia empresarial, un enfoque de administración de riesgo normalizado, aplicación consistente del conocimiento de seguridad e inversiones apropiadas en seguridad de la información para soportar las prioridades organizacionales y no dejar de ser competitivos en el mercado.

Saludos

Firma2020Rberny
Etiquetas:

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

EnglishFrançaisDeutschEspañol
A %d blogueros les gusta esto: