Por Mónica Maganto,
Especialista en Ciberseguridad
La Ciberseguridad, hoy en día, es una de las principales palancas de transformación de cualquier compañía. Garantizar y anticiparse para proteger los sistemas de información que soportan los procesos del negocio es uno de los grandes retos que toda compañía quiere cubrir.
Los mecanismos para obtener la transformación en el modelo de ciberseguridad ya no sólo son reactivos, actualmente se requieren de mecanismos más analíticos y proactivos. Es necesario no solo centrarse en la tecnología, los líderes de seguridad de las organizaciones necesitan trabajar con los equipos de negocio para fortalecer e incrementar la resiliencia de la organización.
Algunas de las preguntas más frecuentes de los líderes de seguridad son:
ü ¿Cómo está la salud de la seguridad de mis TI?
ü ¿Estoy totalmente cubierto frente a ataques de ciberseguridad?
ü ¿Cuánto estoy de expuesto a sufrir un ataque de ciberseguridad?
ü ¿Qué acciones debería realizar para poder dormir tranquilo?
Para dar respuesta a todas estas preguntas y afrontar este gran reto, en primer lugar, es imprescindible abordar la estrategia a través del Gobierno, Riesgo y Cumplimiento (GRC) cubierto por la Oficina de Seguridad (OS).
Una vez definida esta estrategia, es indispensable alinearla con la protección, prevención y detección de los activos de la organización con los servicios de la Oficina Técnica de Seguridad (OTS) + SOC.
Veamos gráficamente estos dos conceptos que desglosaremos en más detalle a continuación.
¿Cuál es la función de la Oficina de Seguridad (OS)?
La misión de la Oficina de Seguridad (OS) es definir la estrategia de ciberseguridad que ayudará a conseguir un modelo acorde al estado del arte de la seguridad mediante gobierno, riesgo y cumplimiento.
Dicha estrategia está soportada por los frameworks de controles que dan cumplimiento, normativo o legal, basándose en la implementación de medidas organizativas y técnicas. Éstas facilitarán la hoja de ruta a seguir para conseguir evolucionar el nivel de madurez de Ciberseguridad.
En esta fase estableceremos los roles, responsabilidades, políticas y normas para la orquestación del sistema de gestión de la seguridad de la información de la compañía para su mejora continua. Un punto relevante es poder presentar a través de un cuadro de mando de Ciberseguridad el avance del modelo de Ciberseguridad de la compañía. De este modo, permitiremos a los líderes de seguridad escalar y transmitir la transformación de la ciberseguridad en la compañía.
¿Qué servicios ofrece la Oficina Técnica de Seguridad (OTS) + Security Operation Center (SOC)?
Por su parte, la Oficina Técnica de Seguridad (OTS) ofrece los servicios necesarios para asegurar la Seguridad de la IT.
La salud de la seguridad de la TI es cada vez un factor más relevante. Disponer de una foto de la situación a través de auditorías de seguridad, análisis de vulnerabilidades y un análisis de riesgos, ayudará a establecer las acciones que son necesarias acometer en el corto plazo para evitar que se materialicen los riesgos que son más críticos para la compañía y su negocio.
La ciberseguridad desde el diseño debe ser un servicio obligatorio para garantizar que toda solución de TI es robusta y segura, y contribuye al buen estado de la salud de la TI en materia de Ciberseguridad.
Disponer en tiempo real de lo sucedido en materia de ciberseguridad de la infraestructura de la compañía y disponer de los equipos expertos que aseguren la pronta resolución, recuperación y respuesta, ante un incidente crítico a través de la función de un CyberSOC, es una componente que dará tranquilidad y confianza a los líderes de seguridad y les ayudará a dormir tranquilos.
No todas las empresas tienen la infraestructura ni el personal especializado necesario para establecer un departamento de ciberseguridad, por lo que suele ser muy habitual externalizar este servicio a empresas con alto conocimiento en la materia.
En ABAST podemos ayudarte a definir la estrategia de ciberseguridad que tu empresa necesita teniendo en cuenta los procesos de negocio y los activos TI de tu organización, para dibujar conjuntamente la hoja de ruta que te permita tener todos tus activos e información a salvo.
