Un sistema de ciberseguridad de calidad

Miguel Ángel Rodríguez Martínez

Un sistema de ciberseguridad incorpora infraestructura, hardware, software, políticas, estrategias, procesos, protocolos, prácticas y personas especializadas que, interactúan de manera integral e integrada para proteger activos de valor como la infraestructura crítica, las redes informáticas y de comunicaciones, el hardware, el software, la información, los datos personales, la privacidad de las personas, la reputación de las instituciones, empresas y organizaciones, así como el funcionamiento continuo de los servicios esenciales. Como se puede apreciar es un concepto estructural y complejo.

Lo primero que se requiere para disponer de un sistema de ciberseguridad de calidad, es un diagnóstico integral que permita conocer 2 elementos: 1) Las vulnerabilidades propias que están motivadas por la falta de una infraestructura y organización adecuada, por la carencia de políticas, estrategias, procesos, protocolos y prácticas efectivas; por los errores, fallas y omisiones en la aplicación de las medidas de ciberseguridad, 2) Los eventos peligrosos que constituyen amenazas al sistema de ciberseguridad y que se manifiestan mediante el robo o manipulación de información, de identidad de personas, de códigos y contraseñas bancarias, a través de la transferencia de recursos financieros, destrucción de archivos, ataques a cadenas de suministro e infraestructura crítica, manipulación de redes y daños de a los componentes del sistema.

Paralelamente, se deberá elaborar el análisis de los riesgos. Con esta actividad se puede conocer su nivel, probabilidad de ocurrencia e impacto que puede tener en los activos de valor de la institución, empresa u organización.

Estas acciones resultan indispensables para que se pueda diseñar un sistema de ciberseguridad eficiente, eficaz, efectivo y de calidad, que además, sea adecuado a las necesidades particulares de la propia institución, empresa u organización.

Estas actividades no se podrían llevar a cabo, si no se dispone del compromiso de la dirección. Fundamental para generar las políticas institucionales y orientar las estrategias de gobierno en el campo de la ciberseguridad.

También es necesario contar con una infraestructura que integre el hardware y software adecuados a las propias capacidades y funciones de la institución, empresa u organización. Una infraestructura con capacidades superiores o limitadas no es adecuada, ya que en lugar de que sea funcional puede ser perjudicial, puede retrasar los procesos de operación y afectar el intercambio de información. Por ende, compromete la protección de los activos de valor.

También se requiere que la organización destinada a gestionar la ciberseguridad, tenga la capacidad para generar y aplicar procesos, protocolos y prácticas en sus vertientes técnica y administrativa.

Recordemos que los procesos de gestión deben facilitar la planificación, organización, dirección, ejecución y control de las fases, tareas y actividades. Deben 1) Permitir el conocimiento de los activos de valor que se deben proteger, 2) Gestionar los riesgos identificados, 3) Monitorear los eventos peligrosos que se pueden manifestar, 4) Diseñar y aplicar medidas preventivas y de respuesta inmediata, 5) Impulsar la formación, capacitación y especialización de los recursos humanos en ciberseguridad, 6) Promover la cultura de prevención del riesgo, 7) Generar prácticas de evaluación, revisión y de mejora continua.

Otro elemento es la segmentación de redes, ya que además de mejorar su rendimiento y gestión. facilita el control del tráfico de datos y mejora los niveles de protección y seguridad.

Por último, resulta fundamental en el sistema de ciberseguridad, la cobertura física o perimetral de las áreas en las que están instalados sus componentes. Esta cobertura debe centrarse en el control de accesos, debe complementarse con sistemas de videovigilancia integrales, con guardias de seguridad que tengan un perfil de confianza aceptable, con una infraestructura física robusta para el control de servidores y con sistemas de alarma y comunicación que permitan la pronta respuesta en los campos físico y virtual, pero sobre todo que contengan los efectos de las amenazas y protejan los activos de valor.

Diseñar un sistema de ciberseguridad de calidad resulta difícil pero no imposible para una institución, empresa u organización. Pueden disponer de un sistema robusto, siempre y cuando lo diseñen a través de una serie de tareas escalonadas, con objetivos y metas claras, concretas y realizables. Lo que se plantea en esta columna es únicamente una alternativa y les puede ayudar a mejorar su sistema de ciberseguridad y a proteger sus activos de valor.

Hagamos de la seguridad, una disciplina, una norma de conducta y un principio de observancia.

miguel@marmgsc.com