ESC

Escribe para buscar entre todos los artículos

Volver al archivo
· 3 min de lectura

¿Es importante documentar en materia de ciberseguridad?

Reflexión sobre la importancia crítica de documentar procedimientos y políticas de ciberseguridad en las organizaciones.

A veces esta es una pregunta que uno se hace tarde, cuando estamos en tribunales por un juicio laboral, civil o penal, porque en muchos casos existe miedo de documentar las cosas. Algunas veces nos excusamos en la falta de tiempo, en el “para qué nos vamos a amarrar solos a controles rígidos que entorpecen el giro del negocio”, sin ver los beneficios que se pueden obtener de ello.

Pero, cuando por razones de crecimiento de la empresa se hace una auditoría, o al ver la necesidad de establecer responsabilidades, cuando al consultar a los empleados encontramos respuestas como estas:

Hace 1 año que el empleado que expulsé de la empresa aún tiene sus claves de acceso a la intranet.

El bodeguero ahora trabaja en la sala y aún conserva los privilegios, y eso fue hace 3 meses.

Las claves de los correos se les fueron encargadas a los TI y todavía no las cambian.

Los procedimientos de ciberseguridad no se encuentran escritos, pero todo el mundo en la empresa dice cumplirlos.

Lo que hemos visto en el pasado nos lleva a reflexionar que un incidente de ciberseguridad no se puede resolver eficazmente si no existen los procedimientos escritos, revisados, aprobados y vigentes, que hayan sido comunicados a los empleados, y que estos últimos hayan sido evaluados en la puesta en práctica de los procedimientos.

Al carecer de estos documentos y procesos operando, nos lleva a “improvisar”, y como hemos visto en muchos de los casos reales, existe una improvisación que lleva a evidenciar una carencia organizacional en materia de seguridad de la información. Es cuando la empresa entra en modo de resolución de incidente; cuando esta reacción es lenta e improvisada se acrecienta el problema teniendo como foco la desvalorización de la marca, desacreditación pública y desprestigio, lo que finalmente impacta en la economía de la empresa afectada.

La respuesta a la pregunta que plantea el título de este artículo es un rotundo SÍ.

Si la respuesta es rotundamente un SÍ, entonces ¿qué debe existir en la empresa?

  • Política general de seguridad de la información
  • Política de gestión de incidentes de ciberseguridad
  • Procedimiento de gestión de incidentes de ciberseguridad
  • Bitácora de gestión de incidentes de ciberseguridad
  • Plan de respuesta ante incidentes
  • Playbook de respuesta a incidentes

Y por otro lado nos encontramos con la necesidad de tener que empezar desde cero cada vez que la empresa tiene algún problema que debe resolver, ya que cuando nos comenzamos a preguntar: ¿Esta es la primera vez que sucede? ¿Qué se hizo la vez anterior? ¿Cuál fue el procedimiento que realizaron antes y por qué?, y las respuestas que encontramos son un gran y sepulcral silencio, donde todos tienen la culpa de todo y de nada, lo que nos hace tener que empezar de cero, lo que significa un gasto en hora hombre el cual se debe asumir.

Con esos antecedentes lo que finalmente se produce en la empresa es una desmoralización por parte de los encargados de la seguridad de la información, de los demás empleados, y con la baja de moral de los empleados finalmente mayores fugas de información mediante los conductos informales de la empresa ayudando a la propagación de fake news internas.

Para evitarlo recomiendo:

Una auditoría externa para verificar los controles y la existencia de documentos de ciberseguridad.

Implementar los controles de ciberseguridad que se necesiten, con el objetivo de definir las responsabilidades dentro de la empresa, y de paso contar con la documentación necesaria para poder responder a incidentes de manera clara, y poder responder a tribunales con procesos definidos, conocidos y documentados.

Realizar un plan de ciberseguridad con controles que permitan mantener el SGSI, con una mejora continua.

Capacitar a las personas respecto del plan implementado, dándolo a conocer a la totalidad de las personas que trabajan en la empresa.

Establecer un plan de incentivos para quienes cumplan con los controles de buena manera, para hacer un efecto motivador en las personas, lo que reduce los riesgos y aumenta la satisfacción.

El enfoque en las máquinas en materia de ciberseguridad es correcto, pero el enfoque en las personas nos ayuda a tener una seguridad completa e integrada. Personal con sentido de pertenencia es el mayor activo que podemos tener en nuestras empresas.

¿Y cómo más podríamos aportar los profesionales de ciberseguridad a la empresa en materia de documentar? La respuesta es, agregando valor a la empresa, trayendo esta capacidad de documentar los activos de información que utilizamos, los riesgos que poseen y controles necesarios para mitigarlos, dejando un mapeo actualizado para las futuras decisiones estratégicas de la empresa, que en algún momento va a necesitar.

Autor: Oscar Orellana, julio 2019

SV
Autor

Sebastián Vargas

CISO & Fundador de TTPSEC SpA. Más de 15 años en ciberseguridad, governance, riesgo y compliance. Escribiendo sobre seguridad de la información desde 2018.

LinkedIn Medium

¿Te sirve el contenido?

Recomendarme en LinkedIn
Volver al archivo