Buenas prácticas para la estrategia de seguridad de la información

Adopta buenas prácticas para crear y mejorar tu programa de seguridad con una planificación estratégica eficaz.

Posiciona la ciberseguridad como un facilitador clave del negocio

CISO: descarga tu ejemplar ahora y obtén consejos para convertirte en un comunicador ejecutivo más eficaz.

Al hacer clic en el botón "Continuar", aceptas los Términos de uso y la Política de privacidad de Gartner.

Información de contacto

Todos los campos son obligatorios.

Información sobre la empresa/organización

Todos los campos son obligatorios.

Optional

Cambia el relato de la ciberseguridad y aléjalo del enfoque defensivo

Para conseguir capital estratégico, necesitas resolver un problema estratégico. En el contexto de la ciberseguridad, esto implica dejar de entenderla como una defensa táctica ante las amenazas y convertirla en una facilitadora para conseguir resultados empresariales clave. En esta investigación encontrarás información para:

  • Hablar sobre los efectos de las actividades cibernéticas en términos de resultados de las amenazas.
  • Describir las capacidades empresariales críticas, los posibles efectos de las actividades cibernéticas y cómo asignar tus recursos para reducirlos.
  • Priorizar y financiar las inversiones.

Para garantizar la eficacia de la ciberseguridad, diseña un programa completo y defendible

Muchos equipos de seguridad de la información (SI) adquieren tecnología sin haber definido las responsabilidades o los objetivos. Para obtener mejores resultados, diseña un programa completo de seguridad de la información que aborde los riesgos del negocio digital.

La estrategia de seguridad de la información es uno de los elementos de un programa defendible

Para que la ciberseguridad, también llamada seguridad de la información, sea efectiva es necesario contar con un programa de seguridad completo y defendible que garantice un equilibrio adecuado entre la protección y el desarrollo de las operaciones empresariales. Este programa incluye cinco elementos clave:

  1. Carta de seguridad de la información de la empresa: el mandato ejecutivo

    Se trata de un documento breve, redactado en un lenguaje sencillo, que define claramente la responsabilidad del propietario en la protección de los recursos de información. Además, otorga al CISO el mandato de establecer y mantener el programa de seguridad.

    Esta carta debe ser leída, comprendida, aprobada, respaldada de manera visible y reafirmada anualmente por el CEO y la junta directiva de la organización.

  2. Condiciones de referencia: el modelo de referencia

    Un elemento clave de todo programa defendible es la capacidad de demostrar que la organización trabaja acorde a las prácticas y estándares aceptados. Con respecto al programa de seguridad, esto supone emplear uno o más modelos de referencia taxonómicos basados en los estándares aceptados del sector (por ejemplo, el Marco de Ciberseguridad [CSF] del NIST, la norma ISO/IEC 27001/2 o los Controles CIS [anteriormente conocidos como Controles de Seguridad Críticos]) para fundamentar las decisiones estratégicas y tácticas.

  3. Estructuras de gobernanza: responsabilidad

    Muchas regulaciones exigen que las organizaciones cuenten con un CISO independiente de los propietarios de los recursos de información y de control. En algunas situaciones, un CISO virtual puede ser una solución aceptable. Idealmente y para evitar posibles conflictos de intereses, las responsabilidades del CISO no deben depender directamente del CIO.

    En cuanto a la toma de decisiones, un comité directivo de seguridad empresarial puede ser un foro eficaz para analizar los retos de seguridad, las políticas propuestas y los planes de inversión. Este foro debe incluir representación de las unidades de negocio propietarias de la información (TI, área legal, RR. HH. y privacidad). También deben definirse los marcos y procesos para informar a la alta dirección.

  4. Estrategia: visión, misión y hoja de ruta

    Para conseguir apoyo empresarial para el programa de seguridad, es fundamental tener una visión clara que explique sus elementos y objetivos, y cómo estos se relacionan con los objetivos de la empresa. La visión debe alinearse con las prácticas y estándares probados, además de basarse en evaluaciones del estado actual de la organización y en análisis comparativos con otras empresas en cuanto a nivel de gasto, número de empleados, madurez del programa o niveles de cumplimiento con respecto a los estándares generalmente aceptados. Consulta las pestañas de visión, estado actual y priorización para obtener más detalles.

  1. Procesos de seguridad: ejecución

    El programa de seguridad debe estar diseñado para anticiparse y reaccionar a cambios frecuentes e inesperados en los ámbitos de negocio, tecnología y operaciones. También debe fomentar la mejora continua en la eficacia y eficiencia de los controles de seguridad.

    Para mejorar continuamente y, al mismo tiempo, reaccionar a los cambios, el programa de seguridad de la información debe acordar un conjunto de principios que orienten la implementación y las operaciones de seguridad en el día a día, como, por ejemplo:

    • Tomar decisiones de control basadas en riesgos específicos y tener apetito de riesgo, en lugar de basarse en el cumplimiento de requisitos predefinidos.

    • Apoyar los resultados empresariales en lugar de proteger únicamente la infraestructura.

    • Tener siempre en cuenta el factor humano al diseñar y gestionar los controles de seguridad.

La estrategia de seguridad de la información define la visión y el camino para alcanzarla

La estrategia de seguridad de la información presenta la dirección del programa de ciberseguridad a medio y largo plazo. Describe cómo la función de seguridad apoyará y posibilitará la estrategia corporativa y la evolución digital. También ayuda a la función de seguridad a administrar su presupuesto y a documentar el razonamiento detrás de las decisiones estratégicas y la asignación de recursos.

Los responsables de ciberseguridad suelen estar tan centrados en los retos tácticos que no dedican tiempo a participar en una planificación estratégica eficaz. Sin embargo, la estrategia es un elemento clave de un programa de seguridad de la información eficaz. Los elementos básicos son similares a los de cualquier otro proceso de planificación estratégica e incorporan buenas prácticas específicas en materia de seguridad para:

  • Articular la visión estratégica y los factores empresariales.

  • Definir el estado actual de la seguridad de la información en la organización mediante evaluaciones de madurez, vulnerabilidades y riesgos, así como resultados de auditorías y pruebas de penetración, para ofrecer distintas perspectivas.

  • Proporcionar una hoja de ruta priorizada que conecte claramente los proyectos y acciones correctivas con las deficiencias, riesgos o vulnerabilidades identificados en las evaluaciones, así como con los factores empresariales, tecnológicos y ambientales relevantes.

Una vez que los responsables de seguridad hayan documentado la estrategia, incluyendo las políticas y los estándares de práctica, deberán compartirla con los responsables de empresa para que estos la sigan.

Por último, el comité directivo de seguridad empresarial debe revisar, debatir y aprobar la política de seguridad de forma colaborativa antes de documentarla, difundirla y comunicarla formalmente a toda la organización a través del programa de concienciación sobre seguridad, las sesiones anuales de formación y la certificación.

Define una visión estratégica o un estado deseado para el programa de seguridad

Como se ha mencionado, la visión, la misión y la hoja de ruta de seguridad de la información explican los objetivos del programa y sus elementos en términos adecuados para que los ejecutivos empresariales puedan comprenderlos y respaldarlos. La visión estratégica articula el estado deseado que la estrategia de seguridad de la información pretende alcanzar durante el periodo de planificación.

Como se ha mencionado anteriormente, la mayoría de las organizaciones basarán su visión en estándares internacionales, como el Marco de Ciberseguridad (CSF) del Instituto Nacional de Estándares y Tecnología (NIST) o la norma ISO 27001. Sin embargo, no debes limitarte a los elementos estándar. Incorpora factores empresariales, tecnológicos y ambientales relevantes y específicos para tu organización con el fin de alinear la visión con las metas y los objetivos de la empresa. Algunos ejemplos de factores son:

Factores empresariales:

  • Programas de recorte de costes
  • Diversificación de productos
  • Expansión geográfica
  • Fusiones y adquisiciones o desinversiones

Factores tecnológicos:

  • Estrategia de digitalización
  • Consolidación de centros de datos
  • Adopción de la nube

Factores ambientales:

  • Recesiones y desaceleraciones económicas o condiciones de crecimiento
  • Inestabilidad sociopolítica
  • Tensiones geopolíticas, incluidas las guerras comerciales
  • Cambios normativos inminentes

Incluye como parte de la visión los objetivos específicos de seguridad de la información que quieres lograr durante el periodo de planificación. Estos objetivos deben incluir:

  • Un nivel de madurez general para el programa y niveles de madurez objetivo para procesos y funciones específicos.

  • Un nivel aceptado de exposición al riesgo dentro de un apetito de riesgo acordado y establecido por la dirección ejecutiva (incluido el apetito de riesgo definido en la documentación de la visión).

  • Nuevas capacidades y arquitecturas para hacer frente a amenazas emergentes o tecnologías disruptivas.

  • Apoyo a la estrategia de crecimiento empresarial, por ejemplo, un marco de seguridad de la información para integrar las organizaciones adquiridas en el programa de seguridad corporativo.

Estos objetivos deben comentarse y acordarse con las partes interesadas clave, normalmente al inicio del proceso de planificación estratégica y durante la aprobación de la hoja de ruta propuesta para la ejecución de la estrategia. Trabaja con el comité directivo de seguridad de la empresa en este paso.

También puedes incluir un conjunto de principios rectores como parte de la visión de la estrategia de ciberseguridad para ofrecer orientación durante el proceso de planificación. Algunos ejemplos de estos principios son:

  • La responsabilidad de proteger la información y los recursos de información es de los propietarios de dicha información. En el caso de información y recursos compartidos, el CIO actúa como propietario delegado.

  • El apetito de riesgo de la empresa guía todas las decisiones de seguridad, y todos los controles de seguridad serán proporcionales al riesgo correspondiente.

  • Deben desarrollarse políticas, estándares, directrices y procedimientos de seguridad de la información para comunicar los requisitos de seguridad y guiar la selección e implementación de los controles de seguridad.

Evalúa el estado actual del programa de seguridad de la información e identifica las carencias en cuanto a capacidad

Una vez que hayas definido la visión del programa de seguridad de la información, evalúa el estado actual del programa e identifica las carencias que deben solventarse para poder hacer realidad esa visión.

Emplea una combinación de distintos tipos de evaluación para conocer el estado actual. Estos son algunos ejemplos:

  • Evaluaciones de vulnerabilidades y pruebas de penetración para evaluar la infraestructura técnica.

  • Evaluaciones de riesgos para ajustar la inversión en controles que se correspondan con los riesgos reales.

  • Resultados de auditorías recientes.

  • Evaluaciones de la eficacia de los controles para determinar la madurez de su implementación, en comparación con los de otras organizaciones del sector y en la línea de los estándares habituales.

Resume los resultados de las evaluaciones en un documento de estado actual y adjúntalo a los materiales de planificación estratégica.

Analiza las carencias

Compara el estado actual con la declaración de la visión, los objetivos y los factores clave para identificar las carencias entre el estado actual y el deseado. Ciertas carencias indicarán claramente la necesidad de adoptar medidas concretas, por ejemplo, desarrollar políticas de ciberseguridad específicas para la computación en la nube pública. La respuesta adecuada no siempre es evidente cuando se trata de carencias con múltiples factores y dependencias, por ejemplo, cómo mejorar la madurez del equipo de gobernanza de seguridad desde el nivel 2,5 hasta el nivel 3,5 en un periodo de dos años.

Prioriza los proyectos y comparte la estrategia con los directores ejecutivos para lograr más aceptación

El resultado del análisis de carencias generará una lista de posibles acciones, proyectos y políticas de ciberseguridad a implementar. Sin embargo, pocas organizaciones cuentan con los recursos necesarios para llevar a cabo todas las actividades identificadas. Define las prioridades basándote en los siguientes criterios:

  • El potencial de reducción de riesgos de un proyecto o una actividad determinados.
  • Los recursos necesarios, como habilidades, personal y sistemas.
  • El coste financiero.
  • El tiempo de obtención de valor.

Prioriza una combinación de proyectos con tiempos de obtención de valor largos y cortos en el periodo de planificación. De esta manera, el programa de seguridad podrá demostrar progresos significativos trimestralmente y, por tanto, será más fácil que el programa siga contando con el apoyo de la alta dirección a largo plazo.

Asegúrate de vincular los proyectos y las actividades con la realidad del estado actual, los objetivos y los factores descritos en la declaración de la visión. Esto permite conectar claramente los objetivos con las acciones propuestas, además de fomentar una comunicación eficaz con la alta dirección durante la fase de aprobación.

Esta comunicación suele incluir un informe escrito y una presentación para los ejecutivos, donde se describen el estado actual y el deseado, y se explica cómo las prioridades ayudarán a cerrar la brecha entre ambos. La presentación debe centrarse en cómo los proyectos contribuirán a generar valor empresarial. Indica, explícitamente, cómo se alinea la estrategia de seguridad de la información con la estrategia empresarial en los materiales de comunicación para la alta dirección.

Incluso después de obtener la aprobación de la estrategia, es esencial establecer una cadencia trimestral para informar y comunicar los avances y los retos. Sé claro sobre:

  • Los beneficios esperados, tanto los que se han conseguido total o parcialmente como los que aún no se han conseguido.
  • Los beneficios e inconvenientes inesperados que hayan surgido.
  • Los proyectos inacabados.
  • Los desencadenantes de respuestas o retos de seguridad que puedan requerir ajustes en la estrategia o las políticas de ciberseguridad.

Establece revisiones trimestrales y talleres de planificación de escenarios hipotéticos para identificar qué factores, si los hay, han cambiado y requieren ajustes en la estrategia actual. Este proceso de revisión también debe identificar cualquier indicador adelantado de tendencias clave o acontecimientos externos significativos que requieran cambios importantes en la estrategia y la hoja de ruta de seguridad.

Disfruta de las conferencias de Gestión de riesgos y seguridad de TI

Súmate a otros profesionales del sector en la presentación de la información más reciente en las conferencias de Gartner.

Mejora el rendimiento en tus principales prioridades estratégicas.