Claves para conseguir una cultura de ciberseguridad resiliente

Recomendados:  Educación sobre codificación segura Leer  5 consejos clave para pasar fácilmente a DevSecOps Leer

Los expertos de Stormshield han reunido todos los aspectos que una compañía debe tener en cuenta para tener una cultura de la seguridad resiliente, que les permita conocer cuáles son los riesgos y vulnerabilidades a los que se enfrentan y que recoja los puntos trascendentales que debe incluir una estrategia de ciberseguridad para garantizar sus operaciones continuas: identificación, protección, detección, respuesta y recuperación.

Según la firma, convertirse en ciberresiliente no es baladí. En primer lugar, el reconocimiento de la inevitabilidad de una emergencia digital debe ser compartido y aceptado dentro de la empresa. Esta comprensión del entorno es particularmente importante para el Comité Ejecutivo, ya que es su responsabilidad asignar los recursos necesarios para la implementación de la ciberresiliencia.

Además de las acciones básicas (como la realización de copias de seguridad periódicas de los datos y su almacenamiento en entornos desconectados de la red de la empresa), hay otros enfoques posibles que deben considerarse:

-- Comprobar el cumplimiento de la normativa de la organización y reforzar el Plan de Continuidad de Negocio (PCN) con un componente cibernético. No obstante, ese no es un proceso único, los mecanismos de ciberresiliencia deben ser actualizados y examinados regularmente, ya que las amenazas cambian constantemente y la empresa también evoluciona: un nuevo proyecto empresarial puede, por ejemplo, aumentar el riesgo cibernético y, si no se ha identificado como tal, socavar los esfuerzos de ciber-resiliencia.

-- La dimensión humana también es crucial. Además de las opciones tecnológicas centradas en la seguridad por diseño y automatización, la compañía debe poder contar con equipos conscientes y receptivos para evitar que se vean obligados a volver a trabajar con lápiz y papel.

-- Trabajar con los socios adecuados y que estos sean conscientes del desafío digital ayudará a avanzar en esta estrategia. Con la vista puesta en el Reglamento General de Protección de Datos (GDPR), la idea sería formalizar acuerdos contractuales para compartir la responsabilidad de la ciberresiliencia con la cadena de suministro.

-- Por último, es esencial pensar en la comunicación más allá de lo que se requiere legalmente en caso de un ciberataque. No se trata sólo de seguir las últimas informaciones de los expertos (como INCIBE o CCN-CERT en España), sino también de realizar intercambios con sus homólogos. Hablar de estos temas dentro del propio ecosistema, los inversores e incluso los clientes ayuda a crear confianza. Hoy en día, ser una organización bien preparada que invierte en su ciberseguridad y ciberresiliencia es un valor real.

Como explica Borja Pérez, country manager de la compañía para Iberia, “como en cualquier proceso de gestión de crisis, la ciberresiliencia debe implementarse antes de que ocurran los incidentes que se pretende abordar. En consonancia con un entorno digital en el que cada día se intercambian más datos, esta nueva visión se basa en un enfoque general, que implica la sensibilización general, el intercambio de información entre las partes interesadas y la selección de los instrumentos de ciberseguridad adecuados, que son esenciales como primera línea de protección”.

En este último punto, la firma recalca la relevancia de las soluciones tecnológicas, en su caso dos: Stormshield Endpoint Security, que supervisa y audita todos los accesos físicos, lógicos y de red a los terminales, y ajusta automáticamente los usos autorizados en función del contexto, y Stormshield Network Security protege los datos de la empresa y garantiza que las aplicaciones se instalen de forma segura.