El modelo organizativo y principios de gobernanza de la seguridad cibernética
Con la intención de lograr una protección efectiva en cualquier organización, contar con un esquema claro que defina roles y responsabilidades es clave para asegurar una gestión integral de su seguridad. Este modelo no solo ayuda a abordar los riesgos y responder a incidentes, sino que también fomenta una cultura de seguridad continua dentro de la organización. A continuación, exploraremos cómo esta estructura organizativa se descompone en sus funciones principales y principios clave para fortalecer la resiliencia cibernética.
El modelo organizativo de la ciberseguridad establece una estructura organizativa clara y definida para garantizar la implementación y monitorización efectiva de la política de seguridad cibernética de una organización. Las funciones y responsabilidades asignadas a cada equipo garantizan que todas las áreas de seguridad cibernética estén cubiertas y que haya una respuesta rápida y efectiva a los incidentes de seguridad.
El modelo organizativo de la ciberseguridad se puede dividir atendiendo a sus funciones en:
1. Gestión de riesgos de ciberseguridad
Esta función es responsable de identificar y evaluar los riesgos de ciberseguridad de la organización, y de desarrollar e implementar medidas para mitigarlos. Esto puede incluir la identificación de vulnerabilidades en sistemas y aplicaciones, la definición de controles de seguridad y la realización de pruebas de penetración.
2. Gestión de incidentes de ciberseguridad
Esta función es responsable de detectar, investigar y responder a incidentes de seguridad en la organización. Esto puede incluir la coordinación de las actividades de respuesta a incidentes, la gestión de la comunicación interna y externa, y la gestión de los registros y la documentación de incidentes.
3. Arquitectura y diseño de seguridad
Esta función es responsable de la arquitectura y diseño de la infraestructura y sistemas de seguridad de la organización. Esto puede incluir la definición de políticas de seguridad, la selección y configuración de tecnologías de seguridad, y la realización de pruebas de seguridad de los sistemas.
4. Educación y concienciación de ciberseguridad
Esta función es responsable de la educación y concienciación de los empleados de la organización sobre ciberseguridad. Esto puede incluir la realización de entrenamientos de seguridad, la divulgación de información sobre amenazas y riesgos de seguridad, y la promoción de programas de formación en seguridad cibernética que fomenten la cultura de seguridad cibernética en la organización.
Las personas, y en especial los profesionales implicados en ciberseguridad, son la base para lograr el éxito de la estrategia de seguridad. Todas las organizaciones tienen que tener presente los aspectos de gobernanza, estructura organizativa, capacitación, experiencia y certificaciones de reconocido prestigio que acredite su personal.
Mediante la estructura identificamos las personas, roles y perfiles, con los correspondientes niveles de autoridad y sus responsabilidades.
Los Principios de Gobernanza de Seguridad Cibernética proporcionan un marco de orientación práctica sobre las mejores prácticas para ayudar a la dirección a supervisar y apoyar la gestión de los riesgos de seguridad cibernética.
Los principios permitirán que los responsables de tomar las decisiones en la organización, sea cual fuere el sector o tamaño, plantearse las cuestiones correctas sobre la gestión, detectar problemas y oportunidades de mejora en la forma en que se gestionan los riesgos de seguridad cibernética, permitirá también promover dentro de la organización una cultura de resiliencia de la seguridad cibernética y poder estar preparados y responder eficazmente ante la materialización de incidentes graves.
Entre los principios de gobernanza de la seguridad cibernética tenemos:
1. Establecer los roles y sus responsabilidades de forma clara y precisa
Componente fundamental para implementar una ciberresiliencia eficaz. La dirección debe tener asignada las responsabilidades en la gestión de la seguridad cibernética, y en cuanto a los comités, sus componentes deben tener la capacidad mínima para poder comprender los términos técnicos referentes a este ámbito. Tanto la estrategia como los riesgos cibernéticos y la revisión periódica de las medidas de control aplicadas deben figurar en el orden del día de los comités de dirección.
2. Desarrollar, implementar y actualizar de forma constante la estrategia de ciberseguridad integral
La identificación de los activos, datos, información y sistemas de información, su ubicación, las medidas de protección aplicadas, y la identificación de quién, cómo, cuándo y porqué tienen acceso (usuarios, procesos, sistemas…), y todo ello perfectamente documentado, es clave en toda organización.
En la estrategia se debe tener presente la criticidad de los activos y los riesgos potenciales asociados, tanto los propios, como los externos correspondientes a la cadena de suministros. Además de realizar una evaluación constante alineada con la evolución de los riesgos y las amenazas tecnológicas, como la IA.
La estrategia debe contemplar disponer de un marco normativo (políticas, normativas, procedimientos, guías, etc.) que defina y establezca como gestionar el ciclo de vida de la información, desde la recopilación o creación, su tratamiento, su conservación, su protección en reposo y en tránsito, hasta su destrucción.
3. Integrar la ciberseguridad en la gestión de riesgos existente
El riesgo cibernético es uno de los riesgos operacionales más importantes en la organización. Su gestión ya ha dejado de ser una cuestión voluntaria de las organizaciones. Son muchas las regulaciones normativas que exigen la obligatoriedad de su realización (RGPD, NIS-NIS2, CER, DORA, etc.).
Es un hecho que es imposible reducir a cero el riesgo en ciberseguridad, pero tenemos muchas referencias que nos orientan y definen diferentes controles o medidas de seguridad que ayudarán a su mitigación (ISO 27001, ISO 27002, ISO 27036, ENS, NIST…).
Así mismo tenemos que tener presente que la gestión de riesgos no es una foto puntual que se realiza y se guarda en un cajón como evidencia del cumplimiento de unos requerimientos legales, la gestión de riesgos implica su evaluación constante, la comprobación de la eficacia de las medidas de seguridad implementadas, el análisis de nuevas amenazas, los avances tecnológicos y las capacidades de respuesta de la organización. No podemos caer en el error de tener confianza en que tenemos aplicados unos controles y son eficaces sin haber realizado su evaluación periódica, o depender de lo que los proveedores (incluidos los de servicios cloud) nos aseguren que implementan, sin tener la posibilidad de realizar auditorías propias sobre sus sistemas.
4. Promover una cultura de ciberresiliencia en la organización
Disponer de unos planes de formación y concienciación periódicos, motivadores (competitivos, con incentivos, y formulas atrayentes de gaming con pruebas de phishing, ejercicios de pentesting, etc.) y relevantes para la seguridad digital es clave en la promoción de una cultura ciberresiliente. Otro punto a tener en cuenta es que la formación y concienciación se debe extender a todos los niveles de la organización, desde la alta dirección hasta el nuevo becario recientemente incorporado. No es un problema que ataña exclusivamente a los niveles de dirección o técnicos.
Al mismo tiempo hay que dar confianza en la comunicación entre las capas operativas y los responsables de seguridad. Un empleado no puede ocultar o evadir notificar un incidente o una potencial amenaza que haya podido observar, por el hecho de temer represalias por parte de la organización (por ejemplo, su despido por comprometer sus credenciales o perder un dispositivo corporativo).
Uno de los medios para aumentar la cultura de ciberresiliencia es la realización de pruebas o simulacros. Un tema clave, pero que cuando se plantea a la alta dirección surgen reticencias a su realización por el temor a dejar en evidencia la capacidad de decisión de sus miembros directivos.
5. Disponer de planes de respuesta ante incidentes de seguridad cibernética
La organización debe estar preparada y planificar de forma proactiva la respuesta ante un incidente cibernético. Disponer de planes de gestión de incidentes, de gestión de crisis, de continuidad de negocio y de recuperación ante desastres es clave para la supervivencia de cualquier organización.
Para ello no vale exclusivamente con disponer documentalmente de estos planes, se deben poner en práctica, realizar simulacros y probar los diferentes escenarios posibles de forma periódica, y una vez realizados, evaluar y analizar su eficacia y eficiencia, aplicar las correcciones que sean requeridas y analizar las oportunidades de mejora.
En todos los planes, hay un punto clave y es la comunicación. Tener un equipo responsable y preparado para dar respuesta a todas las partes interesadas (internas y externas) comunicando de forma clara y transparente todo lo relacionado con los incidentes y la forma en que se está tratando. Esto es clave para mitigar el daño reputacional que pueda dar lugar (por ejemplo, el caso del Hospital Clinic de Barcelona, el SEPE, Orange o Air Europa).
Otro punto fundamental es la documentación de todas las evidencias, acciones y decisiones adoptadas desde que se produce el incidente hasta su resolución y vuelta a la situación de normalidad operativa de la organización, además de su revisión, análisis y sacar ventaja de las lecciones aprendidas.
Un modelo organizativo claro y principios de gobernanza bien definidos, como hemos visto, son esenciales para gestionar eficazmente la seguridad de cualquier organización. Estos enfoques aseguran la cobertura integral de riesgos, la respuesta eficiente a incidentes y, en definitiva, la promoción de una cultura de seguridad continua.
En nuestro siguiente artículo, profundizaremos en los roles específicos y equipos que conforman esta estructura organizativa, analizando cómo cada uno contribuye a la gestión y fortalecimiento de la seguridad.
José Antonio Sánchez Durán, Senior Consultant & Advisor
Govertis, parte de Telefónica Tech
