seguritecnia 454

SEGURITECNIA Junio 2018 43 Seguridad Integral personas son el punto débil de los sis- temas. Proporcionar a los empleados la formación necesaria para identificar amenazas, aplicar protocolos de segu- ridad y actuar en caso de desastre es de vital importancia. El cumplimiento de la normativa también debe tener su papel en los programas para evitar posibles sanciones u otras consecuen- cias legales derivadas del tratamiento de la información corporativa. No cabe duda de que los tiempos han cambiado y así debe hacerlo el fun- cionamiento de las empresas. No hace tanto era impensable que las personas pudieran realizar su función desde luga- res diferentes a su puesto de trabajo, y hoy es algo común en todas las empre- sas que han aprendido a gestionar. Esta cara positiva de la tecnología tiene tam- bién un lado oculto y peligroso que las compañías deben aprender igualmente a gestionar, y dado su impacto crítico deben hacerlo desde las áreas de go- bierno corporativo para dar la impor- tancia que merecen a las áreas de ciber- seguridad y compliance . S tion Officer o algún otro de los perfiles equivalentes que han surgido en los últimos tiempos puede ser el respon- sable, pero necesita implicar a otros perfiles directivos y ejecutivos para lle- var a buen puerto la estrategia de ci- berseguridad. Implicar a los CXO es uno de los factores determinantes para su éxito. Realizar auditorías internas: revisar de forma periódica la estrategia de ciberseguridad, actualizar procesos y controles atendiendo a amenazas emergentes y testar el cumplimiento de la normativa son algunas de las funciones a las que puede contribuir una auditoría interna. Realizar auditorías externas: el mejor complemento para una auditoría in- terna. Evaluar los controles de seguri- dad, fortalecerlos e implementar pro- gramas para la gestión de riesgos em- presariales son algunas de las posibles aportaciones de la auditoría externa. Implementar programas de forma- ción para los empleados: la estrate- gia de ciberseguridad no puede ob- viar el hecho de que, a menudo, las frecuente el uso de software de ges- tión empresarial, de inteligencia de ne- gocio, etc., con funciones de autoservi- cio, en los que los propios empleados acceden a la información sin pasar por la intermediación del CISO ni de IT. Ade- más, ahora los jefes de departamento y otros directivos también pueden tomar la iniciativa en materia de tecnología, y en muchas compañías el papel del CIO ha pasado de ser el proveedor a ofrecer consultoría en materia digital. Ante el panorama de amenazas antes descrito, con la necesidad de protección de la información como principal ac- tivo de negocio y la nueva normativa de cumplimiento cada vez más exigente, es fácil entender que la ciberseguridad ha ascendido de los dominios de IT a la sala de juntas y ha pasado a ser una cuestión en la que deben implicarse la junta di- rectiva, el consejo de administración o el comité de dirección. Es decir, se ha con- vertido en un tema de gobierno corpo- rativo, en el que el CISO y el DPO son fi- guras de gran relevancia para proteger el negocio de las empresas. Medidas Algunas de las pautas o medidas que se pueden tomar desde el gobierno corporativo para definir una estrategia conjunta de compliance y ciberseguri- dad y minimizar así las posibles amena- zas son: Definir una estrategia de cibersegu- ridad: incluir la seguridad como una parte más de la estrategia corpora- tiva es fundamental. Es necesario ela- borar un detallado plan de ciberse- guridad y evaluar su cumplimiento de forma periódica. El cumplimiento nor- mativo ( compliance ) debe ocupar una parte importante en el enfoque de la política de ciberseguridad, que debe tener en cuenta las exigencias de las nuevas leyes en todo lo referente a protección de datos (propios o de ter- ceros) o de uso fraudulento de la infra- estructura con fines delictivos. Asignar roles y responsabilida- des: como sugeríamos antes, que toda esa responsabilidad recaiga so- bre el CIO es inviable. El Chief Informa- Es imposible garantizar la privacidad sin medios tecnológicos que implanten una política de ciberseguridad eficaz