Desarrollo de Planes Estratégicos de Ciberseguridad: Misión, Visión y Metas

Rodrigo Ricardo Publicado el 1 julio, 2024 7 minutos y 34 segundos de lectura
¿Quieres explorar más? 📂 Explorar Categorías 🔥 Tendencias 🎓 Cursos

Descripción general del plan de ciberseguridad

El proceso de planificación estratégica de ciberseguridad realmente no debería desviarse del de cualquier otra línea de negocios de la organización. Debe reflejar y complementar el plan estratégico de la organización como un todo, porque la práctica de ciberseguridad es realmente una parte de la práctica de gestión de riesgos de la organización. Los pasos de planificación incluyen la elaboración de una declaración de misión, una declaración de visión y un conjunto de objetivos estratégicos.

Misión

Primero, el programa de seguridad cibernética necesita identificar y articular su declaración de misión. La declaración de misión es básicamente por qué existe la organización o unidad de negocio. Es básicamente la respuesta a la pregunta «¿por qué estamos aquí?» Hay dos versiones principales de la declaración de la misión de un programa cibernético que normalmente encontraremos: reducción de riesgos y prevención de pérdidas.

1. Misión de Reducción de Riesgos

La primera forma es más sencilla y se centra en la reducción del riesgo. Un ejemplo sería: «La misión del programa cibernético es reducir los riesgos para los activos digitales de ACME Corporation». sección, como en los objetivos o en los documentos operativos.

2. Misión de prevención de pérdidas

La otra variante sería más específica sobre la naturaleza de las amenazas: «La misión del programa cibernético es prevenir ataques y pérdida de datos en ACME». La ventaja de la primera es que es menos probable que necesite ajustes con los cambios. paisaje cibernético. También coincide con la dirección del campo en el sentido de que la disciplina se está convirtiendo cada vez más en un ejercicio de gestión de riesgos tanto como tecnológico. Este último y su especificidad tiene la ventaja de ser mejor para una organización impulsada por métricas. La mitigación de ataques, el tiempo de actividad de la red y la prevención de pérdida de datos son cosas que podrían mencionarse en la declaración de la misión y vincularse a las métricas de rendimiento que la gerencia ejecutiva usaría para medir el éxito del programa.

Visión

La elaboración de la visión viene a continuación. Si la declaración de la misión expresa por qué existe la organización o la unidad de negocios, entonces la declaración de la visión le dice al lector cómo es una situación ideal. La declaración de la visión debe inspirar al equipo a lograr su conjunto idealizado de resultados.

Tema relacionado:
Informática Forense: Qué es, función, tipos e historia

Un ejemplo simple que podría reflejar el ejemplo de la primera misión podría ser: «Tener una práctica de seguridad cibernética continua y madura que reduzca continuamente la exposición al riesgo cibernético de ACME». Una versión más detallada podría decir: «Desarrollar un programa de seguridad cibernética que apoye todas las áreas del negocio de ACME y mitiga de manera eficiente todos los intentos de ciberataque o pérdida de datos”.

Metas estratégicas

Las metas se convierten en elementos más específicos del plan. Una buena manera de comenzar es incluir la tríada de la CIA:

  1. Confidencialidad
  2. Integridad
  3. Disponibilidad

Esta construcción tripartita se ha convertido en la definición estándar de lo que estamos protegiendo como profesionales de la ciberseguridad. Dos objetivos adicionales ayudan a completar estos:

  1. Formación y sensibilización
  2. Respuesta al incidente

Veamos esa tríada de la CIA con un poco más de detalle.

La confidencialidad significa que nos aseguramos de que solo aquellos en la organización que necesitan acceder a nuestros datos para realizar sus funciones laborales accedan a nuestros datos. Aquí también es donde se podrían incorporar ciertos principios, como el principio de privilegio mínimo , que establece que un usuario solo debe tener los permisos en el sistema necesarios para realizar el trabajo y nada más. La confidencialidad también podría medirse en términos de incidentes de incumplimiento. Hacer las cosas de esta manera también es clarificador para aquellos a nivel de equipo.

Tema relacionado:
Índice de Desarrollo Humano (IDH): Qué es, Características y Ejemplos

Integridad significa que los datos están en un estado inmaculado. Significa que se puede confiar en que los datos son precisos y completos. Y, finalmente, la disponibilidad significa que los datos son accesibles de manera apropiada para aquellos que los necesitan para el desempeño de su función laboral. Donde estos también ayudan es que pueden vincularse con métricas si el programa opera con criterios medibles. La disponibilidad podría basarse en el tiempo de actividad de la red o de la aplicación. La seguridad en el día a día puede volverse táctica y desenfocada y un buen conjunto de objetivos con las métricas deseadas mantendrán al equipo enfocado en los elementos específicos en los que pueden esperar responsabilidad.

En términos de capacitación y concientización, la estrategia debe incorporar un elemento para el eslabón más débil en cualquier entorno de seguridad de la información: los usuarios. La naturaleza y la frecuencia de la capacitación podrían articularse aquí. Esta área también podría tener un objetivo adjunto. Un ejemplo podría ser reducir la cantidad de incidentes creados por ataques de phishing o mantener la cantidad por debajo de un umbral objetivo. Un enfoque muy efectivo aquí es hacer que el equipo de seguridad implemente una campaña interna de phishing y luego mida y rastree la tasa de aciertos por departamento. Esta metodología mantiene un número constante de oportunidades al mismo tiempo que incorpora a los gerentes de las unidades de negocio a la rendición de cuentas.

Ahora veamos la respuesta a incidentes. Mientras que en el ámbito idealizado de la declaración de la visión en la que el programa está maduro y la implementación de las defensas del equipo funciona según lo planeado, inevitablemente habrá incidentes. Tener un plan para gestionar esos incidentes es fundamental. Aquellos que estudian las consecuencias de los incidentes cibernéticos dicen que, de manera muy consistente, no es la gravedad del incidente lo que determina el alcance del daño, sino que está más relacionado con el grado de preparación para manejar el incidente. Debe anotarse la frecuencia de los ejercicios, la gobernanza y la composición del equipo de respuesta a incidentes.

Objetivos de ejemplo

Aquí hay una muestra de cómo podría ser un conjunto de objetivos:

  • Todos los sistemas cumplen plenamente con el principio de mínimo privilegio
  • Los eventos de seguridad reciben el procesamiento de admisión inicial en una hora y la resolución completa en cuatro horas
  • El programa recibe un informe de cumplimiento del 100% en la auditoría de HIPAA (o PCI o cualquier cumplimiento al que se refiera la organización)
  • Los usuarios reciben capacitación de concientización anual dos veces al año y tienen menos del 20 % de respuesta en una campaña interna de phishing

Por supuesto, todo esto está en la línea de pensamiento «hazlo medible». Por lo tanto, estos pueden necesitar ajustes según la cultura corporativa.

Tema relacionado:
¿Cómo Afectan los Padres Tóxicos al Desarrollo Emocional?

Resumen de la lección

Muy bien, tomemos un momento o dos para revisar. Si bien no son exhaustivos, estos elementos harán que una estrategia de seguridad cibernética tenga un gran comienzo. Nos fijamos en la declaración de la misión , que es básicamente por qué existe la organización o unidad de negocio. La declaración de la visión le dice al lector cómo es un estado de cosas ideal y las metas se convierten en elementos más específicos del plan.

También aprendimos que estos objetivos involucran algo conocido como la tríada de la CIA, que se compone de tres componentes. Primero fue la confidencialidad , lo que significa que nos aseguramos de que solo aquellos en la organización que necesitan acceder a nuestros datos para realizar sus funciones laborales accedan a nuestros datos, y eso también implica la incorporación de principios, como el principio de privilegio mínimo , que establece una el usuario solo debe tener los permisos en el sistema necesarios para realizar el trabajo y nada más. El siguiente fue integridad , lo que significa que los datos están en un estado inmaculado. Y, finalmente, hubo disponibilidad ., lo que significa que los datos son accesibles de manera apropiada para aquellos que los necesitan para el desempeño de su función laboral. Finalmente aprendimos cómo estos principios se complementan con el programa de capacitación y concientización y los programas de respuesta a incidentes para completar un buen documento.

Twittear
Compartir
Pin
Compartir

Explora más sobre este tema

Selecciona un tema y sigue aprendiendo...

ciberseguridaddesarrolloestrategicosmetasmisionplanesvision
Rodrigo Ricardo
Rodrigo Ricardo Editor y fundador

Artículos relacionados

Grooming en Derecho Penal: definición, características y ejemplos
Informática Forense: Qué es, función, tipos e historia
Índice de Desarrollo Humano (IDH): Qué es, Características y Ejemplos
¿Cómo Afectan los Padres Tóxicos al Desarrollo Emocional?
Desarrollo del Sistema Nervioso Central: Desde el Tubo Neural hasta la Corteza Cerebral
¿Qué es un Handshake? Protocolo de Enlace en Redes y Criptografía