Columnas de opinión, Noticias

Controles técnicos: Analizando y gestionando los riesgos de la ciberseguridad

diciembre 22, 2022
Actualmente, empresas de todos los rubros e instituciones públicas requieren conocer la forma en que están protegidos sus activos de información, y sobre todo cómo cumplir con un marco que permita proteger los datos y sus plataformas.  Columna de opinión por Rodrigo Jiménez, especialista en ciberseguridad NIVEL4. Una visión acertada en este tema contempla la […]

Actualmente, empresas de todos los rubros e instituciones públicas requieren conocer la forma en que están protegidos sus activos de información, y sobre todo cómo cumplir con un marco que permita proteger los datos y sus plataformas. 

Columna de opinión por Rodrigo Jiménez, especialista en ciberseguridad NIVEL4.

Una visión acertada en este tema contempla la tríada CID,  la cual tiene como objetivo garantizar la integridad, confidencialidad y disponibilidad de la información. Estos pilares son esenciales, y en base a esto nació la ISO 27001:2013, que cuenta con 114 controles y que tienen como finalidad proteger diversas áreas de la organización. 

Pero la ISO no es estática, y este año se lanzó la ISO 27001:2022, la cual se actualizó y cuenta con 93 controles organizados en 4 grupos. En esta versión tenemos 11 nuevos controles, 24 que se han fusionado y un total de 58 que han sido revisados. En tanto, 35 controles se mantienen sin cambios. Y si bien todo esto es muy relevante, existe un punto crítico que abordar y que no siempre se lleva a cabo: contar con el apoyo del gerente general o el director además de un presupuesto adecuado. 

¿Es suficiente con la ISO? La respuesta es no. Es fundamental la revisión constante de frameworks de ciberseguridad que permitan contar con diversos controles, tales como NIST, controles CIS, entre otros, y por supuesto tener un equipo que los aplique. 

¿Qué ocurre con las Pymes?

En las empresas de pequeño y mediano tamaño, muchas veces no existe la necesidad u obligación de complir con un framework específico de ciberseguridad, sin embargo, eso no quiere decir que estén exentas de ser víctimas de un ciberataque. Es por esto que es importante implementar paulatinamente diversos marcos y controles de calidad que permitan proteger los activos. 

Un marco útil son los CIS Controls, que ofrecen una amplia gama de controles relacionados con inventarios, protección de datos y sistemas informáticos, control de activos empresariales, gestión de vulnerabilidades, defensa anti-malware, monitoreo, entre otros. En base a eso, es posible ir aumentando nuestro marco de seguridad e integrarle normativas a medida que crezca la organización. 

Políticas y gestión de incidentes

Se debe destacar que, a la gestión de la Seguridad de la Información (ISO 27001) se le debe sumar la implementación de un SGSI (Sistema de Gestión de Seguridad de la información), que permita generar un comité de seguridad de la información para poder evidenciar los riesgos reales de ciberseguridad, incidentes, riesgos tecnológicos, entre otros. 

Un piso mínimo de Seguridad de la Información debería contar con:

1. Una Política General, que norme al Comité de Seguridad de la información, al Comité de gestión de incidentes y a los responsables del SGSI (CISO y la alta dirección).

2.   Una política de gestión de incidentes que norme el reporte de estos por parte de usuarios, de a conocer los tipos y cómo notificarlos. 

3. Políticas de teletrabajo y concientización que encaminen a los colaboradores a tener una inducción de seguridad, entregar conocimiento sobre normativas, así como establecer las bases para realizar trabajo remoto de forma segura, por ejemplo utilizando un túnel VPN.

4. Por último, contar con una Política de gestión de riesgos tecnológicos sirve para revisar semanalmente con el equipo TI, los riesgos que puedan existir y de que forma mitigar los riesgos tecnológicos. Una buena herramienta, es utilizar Planner.

Si bien esto es una mirada rápida sobre cómo podemos gestionar la ciberseguridad en nuestra organización, nos entrega ciertos lineamientos para avanzar y establecer marcos para reducir nuestros riesgos y nivel de susceptibilidad a un ataque cibernético.

Controlesopinión

Comparte este Artículo

Artículos relacionados