seguritecnia 422

Formación en Seguridad lo que significa el compromiso no sola- mente del más alto nivel, con el objeto de asegurar la continuidad del nego- cio, sino también el del resto del perso- nal, tanto de los responsables de la plani- ficación como de la dirección, gestión y operación, incluyendo a los de comuni- cación, elemento fundamental en el ám- bito de un concepto moderno de ges- tión de crisis, cibernética o no. En definitiva, es imprescindible inte- grar la ciberseguridad en la estrategia corporativa como una política orien- tada a identificar y gestionar, eficaz- mente y de forma temprana, los even- tos que puedan suponer una amenaza, mitigando sus efectos y asegurando la capacidad de recuperación y la conti- nuidad del negocio y la supervivencia de la organización. Cómo actuar Identificada la necesidad, surge la pre- gunta: ¿cómo hacer para cambiar la práctica de protección reactiva, con- solidada en múltiples casos? La pro- puesta es seguir un esquema basado en las diferentes etapas del ciclo de vida del planeamiento estratégico de las organizaciones. En una primera fase, de planificación y dirección, corresponden a los deciso- res, la alta dirección y gran parte de la conocida como suite C (CEO, COO, CIO, CFO, CTO, CLO, CMO), los asuntos re- lacionados con el gobierno de la se- guridad de la información y el cum- plimiento de sus obligaciones, inclu- yendo el análisis de riesgos, todo ello en un adecuado marco de organiza- ción de los recursos de todo tipo, ase- gurando que los procesos de ciberse- guridad están alineados con los objeti- vos estratégicos. La etapa de gestión tratará, entre otras cuestiones, del diseño e imple- mentación de arquitecturas de ciber- seguridad y desarrollo seguro, comple- mentadas con actividades de ciberinte- ligencia, cerrando el ciclo con una fase de evaluación y seguimiento donde se llevan a cabo actividades periódicas de monitorización, así como auditorías de la ciberseguridad y procesos de hacking ético, incluyendo también la valoración de las lecciones aprendidas en los dife- rentes sucesos que se hayan producido y que servirán para modificar, si fuera necesario, los planes y procedimientos. Dado que, a pesar de todas las me- didas, es prácticamente inevitable im- pedir que se produzca un evento o ata- que, debe incorporarse una fase trans- versal de identificación y respuesta a incidentes y de actividades propias del análisis forense digital y de ciberresi- liencia, recuperación y continuidad de negocio, completada con un conoci- miento permanente de la situación y las tendencias tanto de las amenazas como de las respuestas. La mayor parte de las actividades mencionadas a desarrollar en cada una de las etapas no demandan un conoci- miento técnico, pero sí de los riesgos a que la organización debe enfrentarse y comprender, planificar, gestionar y ope- rar los diferentes aspectos relaciona- dos con la ciberseguridad, conceptos que, en ocasiones y en determinados niveles de ejecución, pueden estimarse como más importantes que las particu- laridades técnicas de la seguridad ciber- nética. En conclusión, la ciberseguridad debe contemplarse como un componente más del gobierno corporativo, cuya fi- nalidad no es per se la protección en el ciberespacio, sino la contribución que puede aportar a la organización en tér- minos de cumplimiento de los objeti- vos estratégicos. Por ello, ha devenido en un elemento principal clave de la planificación estratégica de las organi- zaciones que compete tanto a los órga- nos de gobierno como a los de admi- nistración, gestión y operación. Esta realidad conlleva a que las em- presas e instituciones deban incremen- tar sus esfuerzos para garantizar el com- promiso de todos los actores, lo que demanda una formación adecuada de todo el personal y en todos los aspec- tos de la ciberseguridad, no solamente los técnicos, complementada por una sensibilización y fomento de la cultura corporativa de la seguridad cibernética. En apoyo a esta labor, Fundación Au- cal ha desarrollado el primer máster en ciberseguridad dedicado a formar en el gobierno, dirección y gestión de la seguridad cibernética en entornos cor- porativos, cuyo contenido, duración y titulación, avalados por una presti- giosa universidad, hacen de él una he- rramienta imprescindible para los nue- vos directivos. S