.png){kind=logo}
Mayo 2021
Cuando han ocurrido eventos de Ciberataques que han afectado a bancos y que han tenido una repercusión mediática, gerentes de empresas solicitan servicios de ciberseguridad y de ethical hacking; como la gran solución al problema, para luego de pasado el susto, volver a sus tareas rutinarias, y se postergan los proyectos de Ciberseguridad, lo que refleja la falta de conciencia en la protección de la información. Cabe señalar, que la Ciberseguridad es parte de Seguridad de la Información, que a su vez es un pilar estratégico de la Gestión de Riesgo Operacional.
Para abordar en forma eficiente la gestión de riesgos de Ciberseguridad, se requiere Gobernanza y una combinación de múltiples estrategias, siendo fundamental la alineación a la Misión y líneas de negocio de la compañía, por lo cual antes de abordar los proyectos que permitirían mitigar los riesgos de ciberataques, es importante desarrollar un Plan Estratégico que sea aprobado y luego liderado por la alta dirección.
Para dar inicio a lo antes mencionado, existe desde hace muchos años el Framework NIST, acrónimo de Instituto Nacional de Estándares y Tecnología dependiente del Departamento de Comercio de EE.UU. El Marco de Ciberseguridad, ayuda a los negocios de todo tamaño a comprender mejor sus riesgos de ciberseguridad, administrar y reducir sus riesgos, y proteger sus redes y datos.
¿Porqué es recomendable usar NIST?. Primero por ser un estándar de nivel mundial, y porque la gestión de Ciberseguridad parte desde la alta dirección y debe ser analizado de acuerdo al giro y procesos de negocio de la organización, para luego involucrar a las gerencias internas y stakeholders. Por otra parte, las funciones de NIST: Identificar, Proteger, Detectar, Responder y Recuperar, junto a sus Niveles y perfiles, permiten diagnosticar el estado actual, mediante un Perfil Actual y generar un Perfil Objetivo, para tener una brecha que permita hacer un Plan de Acción, con un adecuado presupuesto de inversión y gasto, acorde a las reales necesidades de Ciberseguridad de la empresa.