Planificación de procesos recurrentes, pilar fundamental en la gobernanza de la ciberseguridad
Una planificación estructurada nos proporciona una base sólida para evitar que los miembros de una organización actúen de manera independiente, contradictoria o improvisada. De esta manera, una planificación adecuada nos permitirá establecer una dirección clara y estratégica. Es recomendable establecer una periodicidad con el soporte de herramientas de gestión y seguimiento, teniendo en cuenta los siguientes elementos:
- Prioridades y fechas
- Acciones que realizar y su alcance
- Roles y responsabilidades
- Estado
Por otra parte, los procesos recurrentes son aquellas actividades que se ejecutan de forma periódica y sistemática, constituyendo un pilar esencial en la gestión de la ciberseguridad en las organizaciones.
A diferencia de las acciones puntuales o reactivas, los procesos recurrentes aseguran que las medidas implementadas no se debiliten con el tiempo ni queden obsoletas frente a las nuevas amenazas. Algunos ejemplos de procesos recurrentes esenciales son:
1. Actualización de sistemas y parches de seguridad.
Corrige vulnerabilidades conocidas y mantiene los sistemas protegidos frente a amenazas.
2. Revisión periódica de cuentas y accesos privilegiadas.
Garantiza que solo el personal autorizado tenga acceso a información y sistemas críticos.
3. Copias de seguridad y pruebas de restauración.
Garantiza la recuperación de datos y la continuidad operativa ante incidentes.
4. Monitoreo y análisis de logs.
Permite detectar comportamientos anómalos, accesos indebidos o intentos de intrusión.
5. Evaluaciones de vulnerabilidades y pruebas de penetración periódicas.
Ayudan a identificar debilidades antes que los atacantes.
6. Formación y campañas de concienciación.
Fomentan la cultura de seguridad intentando reducir riesgos del factor humano.
7. Revisión y actualización de políticas, normativas y procedimientos.
Mantienen la estructura de la organización y se alinean con regulaciones vigentes y buenas prácticas actuales.
8. Auditorias de seguridad.
Verifican el cumplimiento de estándares de seguridad.
9. Simulacros de respuesta ante incidentes.
Evalúan la preparación y coordinación organizacional ante ciberataques o incidentes.
10. Revisión de proveedores y terceros
Aseguran que los proveedores cumplan con los requisitos de seguridad establecidos.
11. Revisión de configuraciones
Mantienen las configuraciones seguras en los diferentes activos
La frecuencia de las acciones puede variar según los recursos de la organización y el nivel de riesgo identificado.
Adicionalmente, es importante identificar los errores de estos procesos, documentando detalladamente los problemas, la causa raíz y las medidas para resolverlos. Con la evaluación de dichos resultados, se pueden extraer un conjunto de lecciones aprendidas para que, en el siguiente ciclo anual, se pueda reajustar el sistema de gestión, siempre teniendo en cuenta la mejora continua en la organización.
Los riesgos de no diseñar una planificación estructurada, identificando sus posibles errores, pueden ser significativos comprometiendo la resiliencia organizacional. Algunos posibles riesgos son:
1. Operativo
Desorganización en las tareas de seguridad, sin responsables, frecuencias y prioridades que dan fallo en la ejecución de controles, duplicidad de esfuerzos, omisión de tareas criticas y pérdida de eficiencia operativa.
2. Exposición a amenazas
Las actualizaciones y evaluaciones de vulnerabilidades se realizan de forma reactiva e incrementan las vulnerabilidades explotables, ciberataques, infecciones por malware o ransomware.
3. Pérdida de datos
La falta de procedimientos definidos para copias de seguridad y restauración compromete la disponibilidad de la información perdiendo datos e interrumpiendo la operativa.
4. Incumplimiento normativo
No establecer mecanismos de control y seguimiento de cumplimiento legal o de estándares (ISO 27001, NIST, ENS, GDPR, etc.) tiene consecuencias como sanciones regulatorias, multas, pérdida de certificaciones y deterioro de la reputación institucional.
5. Financiero
Los incidentes de seguridad no previstos generan gastos no presupuestados y pérdidas por recuperación.
6. Reputacional
Un ataque o incidente mal gestionado por falta de organización puede generar pérdida de confianza, dañando la imagen corporativa.
7. Humano
Sin formación y concienciación del personal, hay mayor probabilidad de errores humanos.
8. Estratégico
Los objetivos del negocio no alineados con la seguridad pueden llevar a una priorización inadecuada de recursos y falta de visión a largo plazo.
9. Ineficacia en la respuesta ante incidentes
Si no existen protocolos ni procedimientos definidos para responder a ataques o brechas pueden llevar a retrasos en la contención, errores de comunicación y mayor impacto del incidente.
10. Falta de mejora
Si no se mide ni evalúa el desempeño en seguridad, no hay progreso en el índice de madurez y mejora continua en la gestión de la ciberseguridad.
Como conclusión, una planificación con una buena comunicación favorece la consolidación de un flujo de trabajo coherente y colaborativo entre los diferentes equipos (IT, seguridad, operaciones, comunicaciones, dirección…), reduciendo posibles errores que puedan impactar negativamente en el negocio. De lo contrario, no solo incrementa la probabilidad de sufrir incidentes, sino que también amplifica su impacto cuando estos ocurren. Sin una visión ordenada, la organización opera en modo reactivo, perdiendo control sobre sus riesgos, recursos y capacidad de respuesta.
Sin planificación la gobernanza de la ciberseguridad deja de ser gestión y se convierte en improvisación.
Adrián González Ortiz
Govertis, parte de Telefónica Tech
