Gobierno Corporativo: la Ciberseguridad como un desafío de negocio.
Mantener un nivel aceptable de Ciberseguridad dentro de las organizaciones requiere del compromiso de los órganos de gobierno, quienes deben proporcionar un liderazgo sólido y evaluar constantemente el entorno cibernético en el que se encuentran operando.
El término para describir dicho compromiso es Gobierno Corporativo. En términos generales, el Gobierno Corporativo consiste en el conjunto de responsabilidades y prácticas ejercidas por los órganos de gobierno, con el objetivo de proporcionar una dirección estratégica en las organizaciones que garantice que se alcancen los objetivos establecidos, determinando que los riesgos a los que están expuestos se gestionen adecuadamente, incluyendo los riesgos de ciberseguridad, y verificando que los recursos de la organización se utilicen responsablemente. Por lo tanto, el Gobierno de la Ciberseguridad es un subconjunto del Gobierno Corporativo.
¿En qué consiste el Gobierno de la Ciberseguridad?
El Gobierno de la Ciberseguridad debe alinear los objetivos y estrategias de ciberseguridad con los objetivos y estrategias de negocio, observando el cumplimiento regulatorio; así mismo, debe evaluarse, analizarse e implementarse mediante un enfoque de gestión de riesgos, apoyado por un sistema de control interno.
El Gobierno de la Ciberseguridad incluye todas las responsabilidades y métodos emprendidos por los órganos de gobierno para:
Proporcionar dirección estratégica,
Establecer los objetivos de ciberseguridad,
Medir el progreso hacia esos objetivos,
Verificar que las prácticas de gestión de ciber riesgos son apropiadas,
Validar que los activos tecnológicos y la información de la organización operan y se usan correctamente, y
Garantizar la evaluación y actualización continuas de políticas, estándares, procedimientos y riesgos de ciberseguridad.
Tomando como base el estándar "ISO /IEC 27014:2013 Seguridad de la información, ciberseguridad y protección de la privacidad - Gobierno de la seguridad de la información", se pueden aplicar los siguientes principios de Gobierno de la Ciberseguridad orientados a los órganos de gobierno:
- Establecer la ciberseguridad en toda la organización.
- Adoptar un enfoque basado en ciber riesgos.
- Establecer la dirección de las decisiones de inversión.
- Garantizar la conformidad con los requisitos internos y externos.
- Fomentar una cultura positiva hacia la ciberseguridad dentro de la organización.
- Revisar que el desempeño de la ciberseguridad cumpla con los requisitos de la organización.
Este estándar también promueve cuatro procesos que deben ser adoptados por los órganos de gobierno, los cuales consisten en:
Evaluar. Consiste en revisar el estado actual (as-is) y el proyectado (to-be) hacia los objetivos de ciberseguridad de la organización, determinando si se requieren ajustes para mantenerse alineados con los objetivos estratégicos de la organización.
Dirigir. Es el proceso por medio del cual el Consejo de Administración instruye sobre los objetivos y la estrategia de la organización. Puede incluir cambios en los niveles de aprovisionamiento, asignación de recursos, priorización de actividades, aprobación de políticas, aceptación de riesgos y planes de gestión de riesgos.
Monitorear. Consiste en la revisión y evaluación del desempeño de la ciberseguridad, esto se debe realizar mediante mediciones de rendimiento continuas.
Comunicar. Es la interacción entre el Consejo de Administración y las partes interesadas (stakeholders) en la que se intercambia información sobre los esfuerzos de la organización y las recomendaciones que puedan derivar en cambios.
Es por ello que al desarrollar un programa de Gobierno de la Ciberseguridad, se garantice que este incluya:
Una estrategia de seguridad integral explícitamente vinculada con los objetivos de la organización y de tecnologías de información.
Una estructura organizacional de ciberseguridad eficaz.
Una estrategia de ciberseguridad que comprenda el valor de los activos tecnológicos y de la información que se protege.
Una metodología de gestión de riesgos de ciberseguridad.
Políticas que aborden cada aspecto del control de la ciberseguridad y que atiendan la regulación.
Un conjunto de estándares de ciberseguridad para cada política, para garantizar que los procedimientos y directrices cumplan con las políticas.
Procesos de monitoreo institucional para garantizar el cumplimiento y proporcionar retroalimentación sobre la eficacia y mitigación de los riesgos de ciberseguridad.
Un Gobierno de Ciberseguridad bien implementado puede producir beneficios significativos, incluyendo, la reducción de la incertidumbre de las operaciones de negocio mediante la reducción de los ciber riesgos a niveles definibles y aceptables, la protección contra la responsabilidad civil o legal como resultado de los incumplimientos regulatorios en la materia, la optimización en la asignación de recursos limitados, el aumento en el valor de la organización, solamente por mencionar algunos.
Conclusiones
La Ciberseguridad es un tema clave para las organizaciones, que se ve amplificado por los rápidos avances en metodologías y técnicas de ataque, y el aumento de las regulaciones en la materia. La Ciberseguridad es más que una cuestión técnica, es un desafío de negocio que implica, entre otros aspectos, la gestión de riesgos y la rendición de cuentas.
El no contar con un Gobierno de Ciberseguridad alineado a los objetivos de la organización puede tener muchos impactos adversos, que incluyen pérdidas económicas e impactos reputacionales.
Por: Luis Julián Zamora Ábrego, Coordinador de los programas de Ciberseguridad y Nuevas tendencias en la tecnología aplicada en los negocios de Diplomados IBERO CDMX.