La forma más eficaz de alejar las amenazas de los hackers es un concepto de seguridad informática maduro y, sobre todo, proactivo. Para ello, primero hay que determinar el estado de la seguridad informática y fijar objetivos claros.
Muchas empresas no están seguras de los ataques de hackers contra los que deben protegerse y de si sus medidas de seguridad informática son suficientes para mantener los procesos empresariales en curso. Además, existen incertidumbres a la hora de evaluar su estado de seguridad informática y aplicar las medidas adecuadas para mejorar el nivel de protección.
Para ello, es imprescindible identificar un estado real y otro objetivo, que luego especifique con precisión la necesidad de actividades y el correspondiente presupuesto para inversiones en seguridad. Para obtener más claridad, es necesario definir primero un nivel de seguridad requerido como estado de seguridad objetivo. Así se puede poner en perspectiva el nivel actual de protección, es decir, el estado real, y hacer transparentes las lagunas en la seguridad informática.
Crear un marco de proceso de evaluación
Un programa de seguridad informática fiable requiere un marco de proceso continuo para evaluar las respectivas medidas de ciberseguridad. Esto permite a las empresas identificar periódicamente los riesgos y desafíos para poder adaptar y tomar las medidas adecuadas para alcanzar los objetivos fijados.
Como cada empresa se encuentra en un estado de seguridad diferente, el primer paso es evaluar las diferentes etapas de desarrollo de los niveles de seguridad y derivar de ellas posibles medidas. Además, las empresas de comparación adecuadas del sector respectivo deberían servir de referencia como criterio adicional.
1er nivel: principiante
Las empresas de este nivel no tienen directrices de seguridad formales ni un gobierno de seguridad que funcione. Aunque la mayoría de las organizaciones obtienen una puntuación superior a este nivel de arranque, todavía hay organizaciones que se encuentran en este nivel de seguridad.
Puntuar a este nivel es inaceptable para cualquier organización que posea, gestione y tenga obligaciones con los accionistas, inversores, reguladores o contribuyentes por los activos de TI. Para la hoja de ruta de la seguridad como punto de partida, se recomiendan los programas de choque para crear un fuerte puesto de CISO o similar, establecer comités de gobernanza de la seguridad y aumentar el personal para los puestos de infraestructura de seguridad.
Segunda etapa: avanzada
Una empresa típica en esta etapa de desarrollo ya tiene un programa de seguridad, algunos procesos de seguridad y elementos de infraestructura que están funcionando eficazmente en el desarrollo. Sin embargo, estas empresas suelen tener puntos débiles en áreas básicas como la segmentación de la red o la zonificación. Como resultado, obtienen una puntuación relativamente baja en la gestión general de la identidad y el acceso (IAM).
En esta etapa, también es raro encontrar un alto nivel de responsabilidad y automatización en los procesos de seguridad o tecnologías avanzadas para la gestión de la vulnerabilidad, las actividades de prevención de la pérdida de datos (DLP) o la gestión de la información y los eventos de seguridad (SIEM).
Para la hoja de ruta de la seguridad en esta etapa, también se deben cerrar las mayores brechas identificadas. Para ello, es aconsejable proceder en diferentes pasos, proporcionando primero los aspectos básicos y luego proporcionando completamente las funciones avanzadas. Por esta razón, la implementación de sofisticadas funciones de DLP y SIEM o la provisión integral de la Gestión de Acceso Privilegiado (PAM), por lo general, sólo debería tener lugar una vez que la introducción de las funciones básicas de TI, como la gestión de tickets de servicio, la gestión de activos y la IAM, hayan demostrado su eficacia.
3ª etapa: Madurez
Las empresas que se encuentran en la etapa de madurez ya han implementado un conjunto completo de procesos de seguridad, políticas y controles técnicos documentados. Sin embargo, suelen seguir confiando demasiado en los esfuerzos individuales. Todavía hay que mejorar procesos como la gestión del cambio, la auditoría y la seguridad de la cadena de suministro. Además, las empresas deben ser aún más proactivas para aumentar el conocimiento y la conciencia de la seguridad en los roles individuales, así como perfeccionar la supervisión de la seguridad, el análisis y los controles de gestión de acceso privilegiado.
Para la hoja de ruta de la seguridad en este nivel, la atención se centra en la auditoría, la gestión del cambio, la mejora de la supervisión de la seguridad y los kits de herramientas para mejorar la protección en términos de verificación y responsabilidad. Con una infraestructura básica de procesos y tecnología, la gestión de riesgos, la gestión de vulnerabilidades, el SIEM y el PAM pueden ponerse en marcha.
Las empresas con "madurez" deberían centrarse aún más en los siguientes conjuntos de herramientas: Los Indicadores Clave de Rendimiento (KPI) y los Indicadores Clave de Riesgo (KRI) que se introdujeron en la fase inicial o de desarrollo deben ser ahora revisados y ampliados. Esto se debe a que los conjuntos de herramientas optimizados también mejoran la responsabilidad en términos de riesgo o perspectiva financiera.
4ª etapa: madurez administrada
Las empresas que se encuentran en esta etapa de desarrollo ya cuentan con medidas integrales de control de personas, procesos y tecnología. Sin embargo, siguen dependiendo de procesos manuales y se enfrentan a nuevos retos para mantener el programa de seguridad ante los constantes cambios en el panorama de las amenazas, la normativa, la tecnología y el negocio.
Por tanto, las hojas de ruta de seguridad a este nivel deben centrarse en aumentar el nivel de automatización de la infraestructura y los procesos que harán que el programa de seguridad sea más rentable o escalable. Por ejemplo, funciones complejas como la gestión de vulnerabilidades o la supervisión de la seguridad podrían orquestarse cada vez más en entornos de nube pública/privada híbridos.
5º nivel: Madurez optimizada
En este nivel, los programas de seguridad implantados ya están muy equipados. Sin embargo, estas empresas suelen estar también muy saturadas y suelen tener un pensamiento de seguridad engañoso. Tienden a ignorar el hecho de que el mantenimiento de muchos, si no la mayoría, de los programas de seguridad optimizados requiere un análisis continuo de los riesgos, el negocio, la tecnología y las finanzas ante los constantes cambios.
La hoja de ruta de la seguridad para una organización de 5º nivel se centra en la sostenibilidad y la adaptabilidad a través del trabajo continuo en las interfaces de procesos y tecnología a prueba de futuro. El objetivo es establecer una organización que apoye la optimización continua del programa de seguridad.