Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Ciberseguridad en la
Empresa
1
Estrategia de Ciberseguridad en la Empresa
2
Índice
®
INSTITUTO EUROPEO DE POSGRADO
Nota Técnica preparada por el Instituto Europeo de Posgrado. Este contenido es propiedad del Instituto Europeo de Posgrado.
Su difusión, reproducción o uso total o parcial para cualquier otro propósito queda prohibida. Todos los derechos reservados.
Estrategia de Ciberseguridad en la Empresa
3
Objetivos
Poder planificar una estrategia a alto nivel y después delegar la implementación a
especialistas, para establecer la ciberseguridad en mi empresa.
1 Estrategia de Ciberseguridad
®
INSTITUTO EUROPEO DE POSGRADO
Nota Técnica preparada por el Instituto Europeo de Posgrado. Este contenido es propiedad del Instituto Europeo de Posgrado.
Su difusión, reproducción o uso total o parcial para cualquier otro propósito queda prohibida. Todos los derechos reservados.
Estrategia de Ciberseguridad en la Empresa
4
El primer punto de la estrategia debe ser revisar y comprender a qué niveles de seguridad,
control de acceso, auditoría de acceso y controles externos, está nuestra empresa obligada
a implementar, mantener, vigilar, probar y auditar, respecto a los datos que esta maneja.
®
INSTITUTO EUROPEO DE POSGRADO
Nota Técnica preparada por el Instituto Europeo de Posgrado. Este contenido es propiedad del Instituto Europeo de Posgrado.
Su difusión, reproducción o uso total o parcial para cualquier otro propósito queda prohibida. Todos los derechos reservados.
Estrategia de Ciberseguridad en la Empresa
5
Tanto los posibles datos de carácter personal, como otro tipo de datos. Sistemas,
comunicaciones, almacenamientos temporales, etc.
Cada vez más países, incluido la Comunidad Europea, tienen leyes estrictas al respecto.
Debemos tener claro cuáles son nuestras obligaciones como empresa para cumplir esta
legislación, y coste-riesgo de no cumplirla.
Fases de planificación estrategia de Además de las legislaciones generales respecto a seguridad y privacidad, debemos
ciberseguridad: igualmente prestar atención a legislaciones particulares y específicas de nuestro sector, al
poder existir legislación particular para él. Por ejemplo, las instituciones financieras, de salud
Estudio de la legislación vigente
Elaboración de lista de riesgos y
o gubernamentales, tienen unas normas de seguridad y privacidad específicas en muchos
sus métodos de mitigación países, mucho más estrictas que las de aplicación general.
Definición de caso de negocio por
En este punto, cuando hablamos de legislación que nos son aplicables como empresa,
cada riesgo detectado
Búsqueda de apoyo en la Alta debemos hacerla extensible a nuestros proveedores y partners, pues somos garantes y
Dirección para Caso de Negocio responsables ante la ley de las infraestructuras y sistemas que usamos, sean propiedad
Establecimiento de objetivos y nuestra o no. Por tanto, nuestra estrategia, políticas y normativas de seguridad deben incluir
medición
cómo revisamos que estas aplican y cumplen a nuestros socios tecnológicos.
Planificación de proyectos;
implementación Cuando tengamos toda la lista de requisitos legales que debemos cumplir, pasaremos al
Re-evaluación y actualización
siguiente punto para elaborar nuestra estrategia de ciberseguridad.
Deberemos elaborar una lista de los riesgos y amenazas de ciberseguridad que tiene nuestra
organización, junto con las necesidades a cumplir por imperativo legal o normativo.
Para cada uno de ellos, establecer el coste estimado de la implementación de las medidas
necesarias para evitarlo, minimizarlo o subsanarlo en el tiempo máximo que consideremos
límite de subsistencia o límite permisible para cada caso.
®
INSTITUTO EUROPEO DE POSGRADO
Nota Técnica preparada por el Instituto Europeo de Posgrado. Este contenido es propiedad del Instituto Europeo de Posgrado.
Su difusión, reproducción o uso total o parcial para cualquier otro propósito queda prohibida. Todos los derechos reservados.
Estrategia de Ciberseguridad en la Empresa
6
Supongamos que el coste estimado de tener nuestros sistemas parados durante 48 horas
fuera de 5 millones de euros, calculándolo no solo por las “ventas” que dejamos de poder
hacer en ese periodo, sino incluyendo el coste de volver a levantar los sistemas, el coste de
personal o servicios externos contratados para tal fin, el coste del impacto mediático, etc.
Este Caso de Negocio lo haremos para cada una de las obligaciones legales y normativas, y
para cada riesgo de ciber-seguridad que se detecte. Tan exhaustivo como podamos.
Hemos elaborado en el punto anterior unos Casos de Negocio que nos ayudan a cuantificar
el coste-riesgo, y el coste de remediación.
Teniendo en cuenta que el tener los sistemas de ciber-seguridad adecuados suponen una
ventaja competitiva, y son fácilmente convertibles en herramientas comerciales –usarlos
®
INSTITUTO EUROPEO DE POSGRADO
Nota Técnica preparada por el Instituto Europeo de Posgrado. Este contenido es propiedad del Instituto Europeo de Posgrado.
Su difusión, reproducción o uso total o parcial para cualquier otro propósito queda prohibida. Todos los derechos reservados.
Estrategia de Ciberseguridad en la Empresa
7
Y no podemos mejorar aquello que no medimos. Así que debemos buscar las variables
necesarias para cuantificar el nivel de ciber-seguridad que nos ofrecen los sistemas que se
implementen. Puede ser el número de sistemas críticos cubiertos, el número de horas que
transcurren entre un incidente y la recuperación, los eventos de seguridad con impacto que
tienen lugar en la actualidad, etc.
Por ejemplo, supongamos que los ordenadores de su empresa se ven infectados por virus
en un número de 10/ordenadores/año. Podemos evaluar el impacto económico de cada
infección: reparación del sistema, tiempo del empleado sin poder trabajar, tiempo
empleado en repararlo, otros costes derivados, etc.
Tenemos por tanto 2 variables: número de eventos de seguridad, y coste de cada evento de
seguridad.
Y podemos establecer un objetivo para el año como “reducir a un 50% las infecciones por
virus en los equipos”, que tendrá un impacto positivo en la organización transformable
directamente en Euros, una vez descontado el coste del proyecto o mejoras que se deben
poner en práctica para conseguirlo: cambio de antivirus, sistemas de control de acceso al
antivirus para evitar que el usuario lo bloquee o pause, sistemas de control que verifiquen la
versión del antivirus en cada ordenador, etc.…
Llegados a este punto, ya deberíamos tener una lista de los proyectos a implementar y que
beneficios y objetivos nos van a ayudar a alcanzar cada uno.
A partir de ahora, los trataremos como cualquier otro plan de proyectos de Negocio, puesto
que hemos conseguido tener un Caso de Negocio para cada uno, un ROI, y unos objetivos a
alcanzar con cada uno.
®
INSTITUTO EUROPEO DE POSGRADO
Nota Técnica preparada por el Instituto Europeo de Posgrado. Este contenido es propiedad del Instituto Europeo de Posgrado.
Su difusión, reproducción o uso total o parcial para cualquier otro propósito queda prohibida. Todos los derechos reservados.
Estrategia de Ciberseguridad en la Empresa
8
Los proyectos de ciberseguridad en muchos de los casos, y casi siempre en los grandes
proyectos, involucra a perfiles muy diversos y de alta especialización: comunicaciones, bases
de datos, sistemas redundantes, sistemas de monitorización, etc. y deberemos contar con
un experto en cada área (SME) como pare del equipo.
Igualmente, debe nombrarse un gestor por cada uno de los proyectos del plan y buscarse
un patrocinador o promotor en Negocio que sea quien intervenga en la alta dirección cuando
el proyecto se estanque o se encuentre con alguna dificultad “superior”.
Las amenazas y riesgos de ciberseguridad, son sin duda los que más cambian, evolucionan y
crecen. Nuestras políticas, sistemas de defensa, procedimientos y formación deben estar
sometidos a controles constantes, incansablemente. Deben estar adaptándose
continuamente, con dedicación completa por parte de especialistas, a estar enterados de
nuevas amenazas, estudiar su impacto en nuestra organización, montar sistemas de
evaluación, control y seguimiento del cumplimiento de normas y políticas.
No podemos actuar a golpe de “aparición en los medios”, porque con total seguridad, de
hacerlo así, más pronto que tarde seremos víctimas de algún ataque, brecha o contingencia,
sin haber estados preparados, alertados y formados al respecto con la suficiente antelación.
®
INSTITUTO EUROPEO DE POSGRADO
Nota Técnica preparada por el Instituto Europeo de Posgrado. Este contenido es propiedad del Instituto Europeo de Posgrado.
Su difusión, reproducción o uso total o parcial para cualquier otro propósito queda prohibida. Todos los derechos reservados.
Estrategia de Ciberseguridad en la Empresa
9
2 Conclusiones
Debe formar parte del Plan de Gestión de Riesgos. Debe influir y verse influída por el
Plan de Continuidad de Negocio.
Las fases para establecer y planificar una estrategia de Ciberseguridad son: estudio
de la legislación vigente; elaboración de lista de riesgos, métodos de mitigación;
definición de caso de negocio por cada riesgo detectado; búsqueda de apoyo en la
Alta Dirección para Caso de Negocio; establecimiento de objetivos y medición;
planificación de proyectos; implementación; y re-evaluación y actualización.
3 Bibliografía Esencial
4 Bibliografía Recomendada
®
INSTITUTO EUROPEO DE POSGRADO
Nota Técnica preparada por el Instituto Europeo de Posgrado. Este contenido es propiedad del Instituto Europeo de Posgrado.
Su difusión, reproducción o uso total o parcial para cualquier otro propósito queda prohibida. Todos los derechos reservados.
Estrategia de Ciberseguridad en la Empresa
10
ISBN: 978-84-9781-622-9
Insider Threats as the Main Security Threat in 2017.
Marcel Gogan.
The state of security. Tripwire.
https://www.tripwire.com/state-of-security/security-data-protection/insider-
threats-main-security-threat-2017/
®
INSTITUTO EUROPEO DE POSGRADO
Nota Técnica preparada por el Instituto Europeo de Posgrado. Este contenido es propiedad del Instituto Europeo de Posgrado.
Su difusión, reproducción o uso total o parcial para cualquier otro propósito queda prohibida. Todos los derechos reservados.