Equilibra la prevención con la respuesta y la recuperación para establecer una postura de ciberseguridad más sostenible y efectiva.
- ¿Eres cliente de Gartner? Log in para obtener resultados de búsqueda personalizados
Estrategia de ciberseguridad: adopta la resiliencia y la tolerancia a fallos
Planifica una estrategia de ciberseguridad que satisfaga tanto las necesidades de los empleados como las de la tecnología.
Los profesionales de la ciberseguridad se encuentran atrapados en el modo “supervivencia” y, según declaran los responsables de esta área, el 62∘% han experimentado agotamiento en el último año. La causa principal: la mentalidad de tolerancia cero.
Cambia tu estrategia de ciberseguridad hacia un enfoque de ciberseguridad aumentada, equilibrando la prevención con la respuesta y la recuperación a fin de adoptar una postura más sostenible. Descarga esta investigación y obtén orientación sobre:
Cómo crear un sistema tolerante a fallos.
Cómo gestionar la cartera de tecnología de la ciberseguridad.
Cómo desarrollar una plantilla ciberresistente.
Buenas prácticas para la estrategia de ciberseguridad
Implementa un proceso de desarrollo de la estrategia de ciberseguridad que mantenga una conexión clara entre los objetivos empresariales y del departamento de seguridad, así como los proyectos y acciones específicos.
Elementos básicos de la estrategia de ciberseguridad
Visión para la ciberseguridad
Evaluaciones de ciberseguridad
Aceptación del plan de ciberseguridad
La estrategia de ciberseguridad define la visión y el camino para alcanzarla
Los responsables de ciberseguridad suelen estar tan centrados en los retos tácticos que no dedican tiempo a participar en una planificación estratégica eficaz. Esto es un error.
Una estrategia concreta de ciberseguridad presenta la dirección del programa a medio y largo plazo. Describe cómo el área de seguridad respaldará y posibilitará la estrategia corporativa y la evolución digital. También ayuda al departamento a administrar su presupuesto y documenta el razonamiento detrás de las decisiones estratégicas y la asignación de recursos.
Los elementos básicos de una estrategia de ciberseguridad son similares a los de los procesos de planificación estratégica. Es necesario:
Articular la visión estratégica y los factores empresariales.
Definir el estado actual de la ciberseguridad en la organización mediante evaluaciones de madurez, vulnerabilidades, riesgos, resultados de auditorías y pruebas de penetración.
Proporcionar una hoja de ruta priorizada que conecte claramente los proyectos y acciones correctivas con las deficiencias, riesgos o vulnerabilidades identificados en las evaluaciones, así como con los factores empresariales, tecnológicos y ambientales relevantes.
Con una visión, un estado actual y una hoja de ruta documentados, los responsables de ciberseguridad pueden comunicarse con mayor claridad con la alta dirección. Un comité directivo de seguridad empresarial también debe revisar, debatir y aprobar la política de seguridad de forma colaborativa antes de documentarla, difundirla y comunicarla formalmente a toda la organización.
Define una visión basada en factores empresariales, tecnológicos y ambientales
Uno de los elementos más importantes de una estrategia de ciberseguridad es la visión, que explica los objetivos del programa de ciberseguridad en términos que los ejecutivos puedan comprender y apoyar. La visión estratégica articula el estado deseado que la estrategia de ciberseguridad pretende alcanzar durante el periodo de planificación.
La mayoría de las organizaciones basarán su visión en estándares internacionales, como el Marco de Ciberseguridad (CSF) del Instituto Nacional de Estándares y Tecnología (NIST) o la norma ISO 27001.
Sin embargo, no te limites a los elementos estándar. Incorpora factores empresariales, tecnológicos y ambientales relevantes y específicos para tu organización. Algunos ejemplos de factores son:
Factores empresariales:
Programas de reducción de costes
Diversificación de productos
Expansión geográfica
Fusiones y adquisiciones o desinversiones
Factores tecnológicos:
Estrategia de digitalización
Consolidación de centros de datos
Adopción de la nube
Factores ambientales:
Recesiones y desaceleraciones económicas o condiciones de crecimiento
Inestabilidad sociopolítica
Tensiones geopolíticas, incluidas las guerras comerciales
Cambios normativos inminentes
Incluye como parte de la visión los objetivos específicos de ciberseguridad que quieres lograr durante el periodo de planificación. Estos objetivos deben incluir:
Un nivel de madurez general para el programa y niveles de madurez objetivo para procesos y funciones específicos.
Un nivel aceptado de exposición al riesgo dentro de un apetito de riesgo acordado y establecido por la alta dirección (incluido el apetito de riesgo definido en la documentación de la visión).
Nuevas capacidades y arquitecturas para hacer frente a amenazas emergentes o tecnologías disruptivas.
Apoyo a la estrategia de crecimiento empresarial, por ejemplo, un marco de ciberseguridad para integrar las organizaciones adquiridas en el programa de seguridad corporativo.
Estos objetivos deben comentarse y acordarse con las partes interesadas clave, normalmente al inicio del proceso de planificación de la estrategia de ciberseguridad y cuando los responsables aprueben la hoja de ruta propuesta de iniciativas prioritarias. Trabaja con el comité directivo de seguridad de la organización en este paso.
También puedes incluir un conjunto de principios rectores como parte de la visión de la estrategia de ciberseguridad para ofrecer orientación durante el proceso de planificación. Algunos ejemplos de estos principios son:
Los propietarios de la información son responsables de proteger la información y los recursos relacionados. En el caso de información y recursos compartidos, el CIO actúa como propietario delegado.
El apetito de riesgo de la empresa guía todas las decisiones de seguridad, y todos los controles de seguridad serán proporcionales al riesgo correspondiente.
El programa de ciberseguridad documentará las políticas, estándares, directrices y procedimientos que comunican los requisitos de seguridad y guían la selección e implementación de los controles de seguridad.
Evalúa el estado actual de la ciberseguridad y prioriza las carencias que deben cubrirse
Una vez definida la visión de la estrategia de ciberseguridad, hay que identificar la brecha entre la visión y la realidad.
Emplea distintos tipos de evaluación para conocer el estado actual. Compara los resultados con la declaración de la visión como parte de un análisis de carencias. Cada carencia representa una posible medida o iniciativa que puedes emprender para lograr la visión.
Pocas organizaciones cuentan con los recursos necesarios para cerrar todas las brechas identificadas en un solo período de planificación. Define las prioridades en función del nivel de riesgo, los recursos necesarios y el tiempo para la obtención de valor de cada acción. Incluye proyectos con tiempos de obtención de valor largos y cortos en el periodo de planificación. Estas prioridades, organizadas según los plazos necesarios para su ejecución, pasarán a formar parte de la hoja de ruta de la estrategia de ciberseguridad.
Consigue la aceptación de la alta dirección sobre la visión y las prioridades
Una vez establecidas la visión y las prioridades, los responsables de ciberseguridad deben comunicar la estrategia a las partes interesadas del equipo directivo para lograr su aceptación.
Esta comunicación suele incluir un informe escrito y una presentación para los directivos, donde se describen el estado actual y el deseado, y se explica cómo las prioridades ayudarán a cerrar la brecha entre ambos. La presentación debe centrarse en cómo contribuirán los proyectos a generar valor empresarial. Es importante destacar explícitamente cómo se alinea la estrategia de ciberseguridad con la estrategia empresarial.
Incluso después de obtener la aprobación de la estrategia, es esencial establecer una cadencia trimestral para informar y comunicar los avances y los retos. Sé claro sobre:
Los beneficios esperados, tanto los que se han conseguido total o parcialmente como los que aún no se han conseguido.
Los beneficios e inconvenientes inesperados que hayan surgido.
Los proyectos inacabados.
Los desencadenantes de respuestas o retos de seguridad que puedan requerir ajustes en la estrategia o las políticas de ciberseguridad.
Establece revisiones trimestrales y talleres de planificación de escenarios hipotéticos para identificar qué factores, en su caso, han cambiado y requieren ajustes en la estrategia actual. Este proceso de revisión también debe identificar cualquier indicador adelantado de tendencias claves o acontecimientos externos significativos que requieran cambios importantes en la estrategia y la hoja de ruta de seguridad.
Disfruta de las conferencias de Gestión de riesgos y seguridad de TI
Súmate a otros profesionales del sector en la presentación de la información más reciente en las conferencias de Gartner.
Preguntas frecuentes sobre la estrategia de ciberseguridad
¿Qué es una estrategia de ciberseguridad?
Una estrategia de ciberseguridad es un plan integral diseñado para proteger los sistemas de información, los datos y las redes de una organización contra las ciberamenazas. Se alinea con los objetivos generales de la empresa y garantiza que esta pueda gestionar y mitigar los riesgos asociados a los ciberataques.
¿Cómo puedo desarrollar una estrategia de ciberseguridad?
La planificación de la estrategia de ciberseguridad debe mantener una conexión clara entre los factores y objetivos empresariales, las carencias y los proyectos y acciones específicos. En el proceso de planificación estratégica debes:
Tener en cuenta el contexto empresarial, que incluye los factores empresariales, tecnológicos y ambientales.
Definir la visión estratégica y los principios rectores.
Evaluar el riesgo actual y el estado de la seguridad.
Analizar las carencias.
Priorizar las acciones propuestas.
Obtener la aprobación del equipo ejecutivo y el presupuesto.
¿Cuáles son las implicaciones de una estrategia de ciberseguridad en la inteligencia sobre amenazas?
Una estrategia de ciberseguridad sólida tiene un impacto significativo en la inteligencia sobre amenazas, ya que mejora la capacidad de una organización para detectar, analizar y responder con eficacia a las ciberamenazas.