Ciberseguridad: Mejorar la ciber-resiliencia no es solo un reto tecnológico

La transformación digital ha aumentado la capacidad de las organizaciones en términos de productividad, aportando a las empresas muchos beneficios e innovación, pero también una mayor dependencia de nuestros sistemas de información, lo cual se traduce en un aumento considerable del riesgo a sufrir ciberataques y violaciones de seguridad.

El ritmo al que sigue evolucionando la tecnología, unido a la conectividad prácticamente total con otras organizaciones, proveedores y consumidores finales, amplía la superficie de ataque y hace más vulnerables a nuestros activos. La respuesta a este desafío pasa en gran medida por potenciar y gestionar la resiliencia cibernética adecuadamente, yendo más allá de la visión convencional que se tiene de la seguridad informática como una cuestión meramente tecnológica.

Si queremos proteger de forma efectiva nuestras organizaciones de amenazas como la violación de datos o el ataque a infraestructuras críticas, hay otras vertientes de la seguridad cibernética que se deben vigilar para cubrir no solo la parte tecnológica, sino también la parte física, organizativa y legal.

En este sentido, hay mucho recorrido de mejora, ya que en la actualidad existe cierta desconexión entre la estrategia de seguridad de las empresas y su traducción en medidas de seguridad concretas, controles tecnológicos, concienciación, cultura de la propia organización e integración con los principales procesos de negocio.

El enfoque 360°

Es evidente que ya no se trata sólo de defender el perímetro de nuestra organización, sino de un problema mucho mayor y más complejo, con retos tanto tecnológicos como de gestión. Para proteger a la empresa de forma adecuada y garantizar una adecuada respuesta a incidentes, la ciberseguridad debe ser vista por la Dirección y los empleados como un asunto relevante para el negocio, garantizando su involucración activa y la disponiendo de recursos suficientes para el desarrollo de un programa de ciberseguridad con enfoque 360º.

La ciberseguridad supone en la actualidad un riesgo empresarial estratégico que va mucho más allá de la tecnología y los departamentos de informática

Las organizaciones con capacidad para adoptar un enfoque integral de seguridad están mejor preparadas para prevenir, mitigar y remediar de forma rápida los ataques cibernéticos e incidentes de ciberseguridad. Es en este apartado donde entra en valor el gobierno de la seguridad, la gestión del riesgo y el cumplimiento normativo/legal.

Definitivamente, hay que pensar en la ciberseguridad con un alcance más amplio; en este sentido es de gran ayuda la implementación de estándares y seguimiento de buenas prácticas, así como la adecuación y cumplimiento de la regulación de aplicación (nacional/internacional, sectorial, etc.).

Adoptar un sistema de gestión de la seguridad de la información (SGSI) basado en la norma ISO 27001, cumplir con el Esquema Nacional de Seguridad (ENS) o el Reglamento General de Protección de Datos (RGPD), nos permitirá identificar y valorar nuestros activos, conocer mejor los riesgos a los que está expuesta nuestra información y aplicar controles adecuados a todos los niveles para preservar su confidencialidad, integridad y disponibilidad. De esta forma, conoceremos el impacto que tendría un incidente de seguridad para la organización y estaremos mejor preparados para garantizar la continuidad y el normal desarrollo del negocio.

En definitiva, la ciberseguridad es un factor clave para la continuidad de negocio y supone además un valor estratégico que va mucho más allá de la tecnología y los departamentos de informática de cualquier empresa. Una estrategia de seguridad sólida debe alinearse con la visión empresarial y los objetivos del negocio. Si se implementa de manera efectiva, puede mejorar la experiencia del cliente, las operaciones, el cumplimiento normativo, la reputación de la marca, la confianza de los socios y mucho más, lo que garantiza el retorno de la inversión.