El aspecto táctico de la Ciberseguridad y la alta dirección

Publicado por BinauxAdm en 08/08/2024

El aspecto táctico de la Ciberseguridad y la alta dirección

La propia palabra ciberseguridad ya puede evocar de entrada, un enorme componente tecnológico que termina ahuyentando a la alta dirección de las empresas del sector de la hostelería. Si bien es cierto que mucho porcentaje de las acciones para garantizar la ciberseguridad tienen una base eminentemente técnica, no es menos cierto que todo comienza con un plan.

Recuerdo cuando el mundo de la informática a nivel usuario comenzó su esplendor, nos recomendaban el uso de aplicaciones profesionales para usos domésticos, como el Photoshop o Autocad. Hasta que un día nos dimos cuenta de que antes de diseñar, debemos trazar las ideas en una hoja de papel con un simple lápiz. Y quizá no era necesario invertir el dineral que costaba Photoshop para conseguir los resultados perseguidos. Pero nos daba prestigio tener Photoshop, ¿verdad?

Si aplicamos este ejemplo a la ciberseguridad, nos encontramos con una herramienta imprescindible para dar con la tecla en nuestras necesidades de ciberseguridad, y sobre todo en las de inversión tecnológica. Esto es un Plan Director de Seguridad, definido por el Instituto Nacional de Ciberseguridad como “la definición y priorización de un conjunto de proyectos en materia de seguridad de la información con el objetivo de reducir los riesgos a los que está expuesta la organización hasta unos niveles aceptables, a partir de un análisis de la situación inicial”.

Lo primero es conocer el estado actual de la empresa, en términos de ciberseguridad, a partir de un análisis diferencial sobre alguna norma reconocida internacionalmente, como ISO 27001, NIS2, PCI DSS o incluso el Esquema Nacional de Seguridad. El apoyo de la dirección es clave para definir el alcance del análisis y apoyar a los integrantes del proyecto del plan director. Es imprescindible que afloren todas las vulnerabilidades y problemas de la empresa para poder dar soluciones certeras. Ejemplos de ello pueden ser la falta de procedimientos operativos, control de proveedores, seguridad física de la empresa, no disponer de un plan de continuidad del negocio, etc. A nivel tecnológico, necesitaremos más herramientas para analizar la situación como test de intrusión sobre las defensas del perímetro, o analizar el nivel de entrenamiento de los trabajadores con pruebas reales de suplantación de identidad.

Para completar el análisis diferencial debemos realizar un análisis de los riesgos los que se encuentra expuesta la empresa, centrándonos en los riesgos de seguridad de la información, e incluyendo todos los activos de información críticos. El análisis de riesgos puede ser efectuado igualmente con una metodología reconocida como ISO 27005, ISO 31000 o Magerit. Como podemos comprender, esta fase debería ser realizada por personal con experiencia, ya que los errores en su realización pueden terminar en resultados distorsionados o inexactos.

El plan terminará con diversos proyectos con el fin de alcanzar los niveles de seguridad requeridos por la empresa. Los elementos de los proyectos se componen de la iniciativa, su descripción, los costes y el tiempo previsto para su implantación. Por ejemplo, una iniciativa sería “Regulación de los servicios TIC prestado por terceros”, es decir, “Revisar y homogeneizar los contratos establecidos con los proveedores TIC externos a fin de garantizar que estos son adecuados a las necesidades de la organización. Para aquellos que sean críticos, establecer acuerdos de nivel de servicio”. Los costes pueden estar asociados a horas de consultoría y el plazo dependerá del número de proveedores, departamentos y tamaño de la empresa, etc.

Los proyectos que componen el plan director de seguridad son la verdadera estrategia y táctica en ciberseguridad, donde la dirección debe estar perfectamente informada, y decidirá la inversión a corto y medio plazo de forma razonada en ciberseguridad. ¿Termina aquí esta fase táctica? La respuesta es no, ya que la dirección deberá realizar un seguimiento del estado de implantación de los proyectos y, lo más importante, de la efectividad de las acciones realizadas.

Xavier Ferretjans

Director de BinauraMonlex

Cookie	Duración	Descripción
_ga	2 años	Cookie analítica de Google que calcula los visitantes, sesiones, datos de campañas, y mantiene el registro de uso de la web. La información que almacena es anónima y utiliza números aleatorios para identificar a los visitantes de forma única.
_gid	1 dia	Almacena información sobre cómo usan la web sus visitantes, con el objetivo de crear informes y analíticas. Almacenan de forma anónima el número de visitantes, de dónde vienen y las páginas visitadas.
_hjFirstSeen	Sesión	Está cookie de Hotjar está configurada para identificar la primera sesión de un nuevo usuario. Almacena un valor verdadero / falso, que indica si esta fue la primera vez que se vio a este usuario. Lo utilizan los filtros de grabación para identificar nuevas sesiones de usuario.

Cookie	Duración	Descripción
cookielawinfo-checbox-analytics	11 months	Esta cookie es establecida por el plugin GDPR Cookie Consent. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies de la categoría "Analytics".
cookielawinfo-checbox-functional	11 months	La cookie se establece por el consentimiento de cookies GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checbox-others	11 months	Esta cookie es establecida por el plugin GDPR Cookie Consent. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies de la categoría "Otros".
cookielawinfo-checkbox-necessary	11 months	Esta cookie es establecida por el plugin GDPR Cookie Consent. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-performance	11 months	Esta cookie es establecida por el plugin GDPR Cookie Consent. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies de la categoría "Rendimiento".
viewed_cookie_policy	11 months	La cookie es establecida por el plugin GDPR Cookie Consent y se utiliza para almacenar si el usuario ha consentido o no el uso de cookies. No almacena ningún dato personal.

Cookie	Duración	Descripción
_gat_UA-191876745-1	1 minuto	Cookie de Google Analytics utilizada para controlar el número de peticiones, en caso de webs con alto tráfico.
_hjAbsoluteSessionInProgress	30 minutos	Esta cookie se utiliza para detectar la primera sesión de vista de página de un usuario. Este es un indicador de Verdadero / Falso establecido por la cookie.
_hjid	1 año	Cookie de Hotjar que se establece cuando el cliente llega por primera vez a una página con el script Hotjar. Se utiliza para conservar la ID de usuario de Hotjar, única para ese sitio en el navegador. Esto asegura que el comportamiento en visitas posteriores al mismo sitio se atribuirá al mismo ID de usuario.
_hjIncludedInPageviewSample	2 minutos	Esta cookie está configurada para que Hotjar sepa si ese visitante está incluido en el muestreo de datos definido por el límite de visitas a la página de su sitio.

Artículos Relacionados

Todo lo que Necesitas Saber sobre el Esquema Nacional de Seguridad (ENS)

Aumentan los Incidentes de Ciberseguridad en 2023: La Importancia de la Preparación

Refuerzo de la Seguridad Informática Empresarial