Hacia un enfoque integrado
Acabemos con los silos tradicionales en ciberseguridad
Un cambio en la forma de afrontar las amenazas
Autor: Dirk Jan van den Heuvel, Director General de Bureau Veritas Cybersecurity
Como director de una empresa de ciberseguridad en crecimiento, observo un cambio en la forma en que nos enfrentamos a las amenazas. La división tradicional entre, por ejemplo, "awareness", "goveranance" o "medidas técnicas" suele suponer una desconexión en la gestión de los riesgos cibernéticos. La solución: un enfoque más integrado y multidisciplinar.
Algunas grandes empresas disponen de buenas medidas para controlar sus riesgos de ciberseguridad. Tienen una oficina CISO, un sistema de gestión de la seguridad, formación y medidas técnicas. Siguen las normas ISO 27k o el Marco de Ciberseguridad del NIST (Identificar, Proteger, Detectar, Responder, Recuperar, Gobernar). Disponen de políticas para analizar los riesgos, las amenazas, los hallazgos y los problemas, de modo que aprenden y mejoran. Con un gran equipo de expertos en seguridad controlan los riesgos cibernéticos de una empresa tan grande. ¡Enhorabuena!
Crédito: N. Hanacek/NIST
Desconexión entre las distintas medidas
Para las organizaciones más pequeñas (hasta miles de empleados), sin embargo, el reto es mayor. Necesitan bastantes competencias para gestionar los riesgos cibernéticos de forma madura. Desde fuera, sus medidas de seguridad pueden parecer buenas: pueden organizar formación, disponer de políticas de seguridad y medidas técnicas para reducir los ciberriesgos. Pero lo que vemos en la práctica es que estas medidas suelen estar bastante desconectadas:
- La formación sobre concienciación y comportamiento no está vinculada a las especificidades de esa organización o del sector en el que opera. A menudo se trata como un tema de cumplimiento y no como una forma de controlar los riesgos reales.
- Puede que exista un sistema de Security Management, pero puede que no aborde las amenazas reales en el aspecto técnico, o los riesgos relativos al governance y al factor humano.
- Las medidas técnicas e informáticas podrían ser buenas, pero insuficientes o desequilibradas. Por ejemplo, si existen medidas adecuadas de "Protección", pero insuficientes de "Detección" o "Respuesta".
Necesitamos un enfoque más equilibrado
Los retos cibernéticos actuales requieren un enfoque equilibrado e integrado de las medidas de ciberseguridad. Las medidas de Protección, Detección, Respuesta y Governance deben estar todas alineadas. Personas con formación en Awareness and Behavior, Security Management o IT Security necesitan trabajar juntas para proteger a la organización. Tenemos que deshacernos de los silos tradicionales y centrarnos más en la colaboración y la integración. La seguridad de la información, la ciberseguridad y el factor humano tienen que fundirse, tanto para las organizaciones más grandes como para las más pequeñas.
NIS2 y DORA: movimiento hacia la integración
Afortunadamente, vemos un movimiento hacia este enfoque integrado en normativas como NIS2 y DORA. No se trata de una lista de comprobación, ni de una simple lista de acciones, sino, en última instancia, de conocimientos y formación, mentalidad, responsabilidad, gestión continua de riesgos, pruebas o incluso sanciones. Estas normativas mundiales obligan a muchas organizaciones críticas e importantes a aplicar medidas de gestión de la seguridad sólidas e integradas. Y según las normativas, sus proveedores críticos tienen que hacer lo mismo.
Esto supone todo un reto para las organizaciones críticas e importantes de nuestra sociedad. La época en la que bastaba con tener un SGSI; la época en la que un pentest anual abordaría los riesgos; la época en la que los clientes podían aceptar cualquier ciberincidente como "mala suerte", se ha acabado. Necesitamos un enfoque más profesional, multidisciplinar y basado en programas (con varias vías en paralelo). En Bureau Veritas Cybersecurity nos gusta este reto. Por eso llamamos a 2024 el año del Enfoque integrado.
El mundo de la ciberseguridad está cambiando. Suscríbase a nuestro boletín Cyber Vision para obtener más información sobre la naturaleza cambiante de la ciberseguridad y el futuro de la ciberresiliencia.
Sobre el autor
Dirk Jan van den Heuvel, Director General de Bureau Veritas Cybersecurity
Director General experimentado con una trayectoria demostrada en el sector de las Tecnologías de la Información y la ciberseguridad. En ello un enfoque en pericia, estándares (globales), pruebas y certificación. Emprendedor y fuerte desarrollador de negocios con habilidades de Liderazgo con un Doctorado enfocado en Física de la Universidad de Leiden.
Servicios con un Enfoque integrado
CyberCare
Servicios de NIS2
Contáctenos
¿Le gustaría saber más sobre cómo el Enfoque integrado de Bureau Veritas Cybersecurity a la ciberseguridad puede ayudar a su organización? Rellene el formulario y nos pondremos en contacto con usted en el plazo de un día laborable.
¿Por qué elegir la ciberseguridad de Bureau Veritas?
Bureau Veritas Cybersecurity es su socio experto en ciberseguridad. Ayudamos a las organizaciones a identificar riesgos, reforzar sus defensas y cumplir con las normas y regulaciones de ciberseguridad. Nuestros servicios abarcan personas, procesos y tecnología, desde la formación en materia de concienciación y la ingeniería social hasta el asesoramiento en seguridad, el cumplimiento normativo y las pruebas de penetración.
Operamos en entornos de TI, TO e IoT, y damos soporte tanto a sistemas digitales como a productos conectados. Con más de 300 profesionales de la ciberseguridad en todo el mundo, combinamos una profunda experiencia técnica con una presencia global. Bureau Veritas Cybersecurity forma parte del Bureau Veritas Group, líder mundial en pruebas, inspección y certificación.