Segurilatam 014

62 Segundo cuatrimestre 2020 artículo técnico Ciberseguridad ciones, como el Reglamento General de Protección de Datos (RGPD) en Europa, la Ley de Privacidad del Consumidor de California (CCPA, por sus siglas en in- glés) en EEUU o la Ley General de Pro- tección de Datos Personales en Pose- sión de Sujetos Obligados (LGPDPPSO) en México. Por ello, cada vez es más frecuente que se les exija a las organizaciones me- jorar y adaptar los bienes y servicios que proveen a sus clientes, a través de sus canales digitales, con el objetivo de cumplir con los requerimientos regu- latorios, satisfacer las expectativas de los clientes –protegiendo su informa- ción– y garantizar la seguridad y resi- liencia de la organización frente a los ci- berataques. No hacer nada no es una opción. El primer paso para la protección es en- tender que invertir solamente en he- rramientas de seguridad no evitará un ataque. Pero una sólida educación y conciencia del usuario puede ayudar a detectar oportunamente y lidiar rá- pidamente con un evento de ciberse- guridad en caso de que ocurra alguno. Cuanto más equipadas estén las or- ganizaciones para contener un posible evento de ciberseguridad, menos se ve- rán afectadas, ya sea de forma reputa- cional o financiera. Los controles para prevenir, detectar, contener y generar confianza pueden ser la diferencia en- tre un pequeño impacto y un escán- dalo público con pérdidas financieras significativas. No es extraño ver que muchas or- ganizaciones estén adoptando nuevas tecnologías, reconociendo su impor- tancia y su rol a futuro. Cualquier nego- cio que busque crecimiento, longevidad y una ventaja competitiva está imple- mentando iniciativas de transformación digital en múltiples áreas de negocio para impulsar eficientemente los ingre- sos y las ventas. Pero la clave del éxito es tener un enfoque estratégico. La gestión de los ciberriesgos, la ciberseguridad y la buena gestión de proyectos de cual- quier inversión en transformación digital deben tomarse en cuenta si se quiere al- canzar las metas. mizar sus impactos, reunir las eviden- cias y, una vez resueltos, aprender de los hechos ocurridos para mejorar el proceso, siendo las más reconocidas de la industria: ISO/IEC 27035 (Tecnología de la infor- mación, técnicas de seguridad y ges- tión de incidentes de seguridad de la información). Presenta los concep- tos básicos y las fases de gestión de incidentes y los combina con prin- cipios en un enfoque estructurado para detectar, informar, evaluar y res- ponder a los incidentes y aplicar las lecciones aprendidas. NIST: Guía de manejo de incidentes de seguridad informática SP 800-61 . Esta publicación busca ayudar a las organizaciones a mitigar los ries- gos de los incidentes proporcio- nando directrices prácticas sobre cómo responder a los incidentes de manera eficaz y eficiente. Incluye directrices para establecer un pro- grama eficaz de respuesta a inci- dentes, pero el enfoque principal del documento es detectar, analizar, priorizar y manejar incidentes. Enfoque estratégico La proliferación de incidentes de ciber- seguridad y la demanda por parte de los clientes de mayor privacidad y con- trol sobre su información han llevado a los gobiernos a adoptar nuevas regula- ámbito de la ciberseguridad para pro- teger a la organización, los servicios, la infraestructura y toda información que esté a su cargo o a la que tienen acceso. 3. El desarrollo y ejecución de un pro- ceso eficiente de administración de ciberriesgos. Este es el eje fundamental de toda es- trategia de ciberseguridad, que tiene por objetivo predecir los desafíos que representa para una organización el ci- berespacio, reduciendo la probabilidad de que ocurra un evento no deseado y previniendo su impacto. En términos generales, para el caso de las iniciativas de transformación digital, las actividades que contem- pla son la identificación de las inicia- tivas y los procesos críticos del nego- cio, las tecnologías que los soportan, las amenazas que pudieran actuar en contra, las vulnerabilidades que las exponen y la cuantificación y priori- zación de los riesgos junto a las medi- das para mitigarlos. 4. El desarrollo y la prueba del pro- ceso de gestión de incidentes. A pesar de las medidas que tome una organización es factible que un inci- dente de ciberseguridad ocurra. La gestión eficaz de incidentes se apoya en actividades diseñadas para recono- cer y responder ante incidentes, mini-