La gestión de la ciberseguridad es un proceso complejo que requiere de la intervención de equipos vinculados a diferentes ámbitos, con funciones y responsabilidades diversas. Además, las decisiones resultantes de esta gestión pueden impactar de forma transversal sobre todo el conjunto de la organización.
Por todo ello, surge la necesidad de fijar un marco de gobernanza en el que se designe la persona u órgano que se encargará de la gestión de la ciberseguridad y se detallen sus competencias. Este marco de gobernanza deberá ser dado a conocer a toda la organización con el fin de que las medidas que adopten los responsables de la gestión de la ciberseguridad sean asumidas por todos sus miembros.
Definición Marco de Gobernanza de la Ciberseguridad
La definición de este marco puede parecer una tarea ardua, abordable únicamente por grandes organizaciones dotadas de equipos específicos expertos en los distintos ámbitos de gestión de la ciberseguridad. Nada más lejos de la realidad. Toda organización puede diseñar y adaptar su marco de gobernanza, partiendo de esquemas básicos hasta llegar a propuestas extremadamente complejas.
Así, el Centro Criptológico Nacional (CCN) en su documento “Aproximación al marco de gobernanza de la ciberseguridad” propone un modelo de gobernanza de la ciberseguridad que puede ser adoptado por las organizaciones. Tomando como referencia este marco, las organizaciones pueden desarrollarlo en base a sus capacidades y necesidades, bien reduciendo su alcance si poseen una estructura reducida, bien desarrollándolo de tal manera que todas las funciones y responsabilidades queden perfectamente definidas y asignadas, de forma que se cubran todos los ámbitos de gestión de la ciberseguridad.
Ejes principales del Marco de Gobernanza de la Ciberseguridad
El marco de gobernanza de la ciberseguridad propuesto por el CCN gira en torno a tres ejes principales:
- Identificación de una estructura organizativa responsable de la gestión de los diferentes servicios de ciberseguridad. Esta estructura debe ser adaptable al tamaño y recursos de cada organización.
- Integración de los procesos de gestión para la gobernanza de la ciberseguridad, prestando especial atención a los orientados a la prevención. Entre todos ellos destacan los siguientes:
- la adecuación normativa
- la gestión de riesgos
- la monitorización de activos
- las auditorías de seguridad
- la respuesta a incidentes
- Identificación de los servicios prestados por los suministradores y proveedores de la organización y establecimiento de los requisitos de cumplimiento que les serán exigidos.
Comité de seguridad TIC
A estas premisas que sustentan el marco propuesto por el CCN se puede sumar la necesidad de garantizar la debida prestación por parte de las organizaciones de sus obligaciones en relación con los destinatarios de los servicios que prestan (clientes, usuarios…).
Como se puede apreciar en el modelo propuesto por el CCN, la gobernanza de la ciberseguridad requiere de un órgano superior que se responsabilizará de la gestión de todo el proceso. Este órgano será el Comité de Seguridad TIC que estará integrado por el personal de la organización especializado en las diferentes áreas de competencia de la seguridad de la información con capacidad para la toma de decisiones. A este órgano se podrán sumar representantes de otras áreas de la organización por motivos estratégicos u operativos.
La figura visible de este órgano para la ejecución de sus funciones es el Responsable de la Seguridad de Información, también conocido por sus siglas en inglés como CISO. Su ubicación dentro del organigrama de la organización debería ser relevante.
Funciones y responsabilidades del Comité de Seguridad TIC
La lista de funciones y responsabilidades que debe asumir el Comité de Seguridad TIC puede llegar a ser muy amplia, si bien se debe poner el foco sobre algunas consideradas esenciales:
- El proceso de gestión de la ciberseguridad debe estar imbuido por una metodología basada en la mejora continua.
- Definir y mantener la normativa de aplicación y la estructura organizativa que guiará el proceso de gestión de la ciberseguridad.
- Proponer, mantener y dar a conocer la Política de Seguridad de los sistemas de información.
- Gestionar los riesgos, haciendo especial hincapié en el análisis y tratamiento de las amenazas.
- Auditar periódicamente la seguridad de la organización y alinearla con la normativa aplicable.
- Formar y concienciar en materia de ciberseguridad a todos los miembros de la organización, realizando acciones periódicas y adaptadas a las amenazas vigentes en cada momento.
- Implementar un proceso de monitorización continua de amenazas y de gestión de las vulnerabilidades de los activos de la organización.
- Gestionar los incidentes de seguridad que afecten a los sistemas de información atendiendo a lo establecido en la normativa vigente.
La seguridad gestionada a través del SOC
Como se ha indicado, una de las funciones esenciales en materia de seguridad de la información es la monitorización de los activos. Mediante la tecnología existente y a través de los servicios que la gestionan es posible automatizar y delegar la gestión de este proceso. Esta delegación recae, fundamentalmente, en el Centro de Operaciones de Seguridad (SOC), convirtiéndose de este modo en instrumento operativo clave dentro del proceso de gobernanza de la ciberseguridad.
La seguridad gestionada a través del SOC sitúa a estos centros en un lugar neurálgico dentro de la organización, ya que a través de ellos se conoce el estado de situación de la seguridad de los sistemas de información. El SOC debe prestar sus servicios de manera transversal a toda la organización. Desde allí será posible integrar las siguientes tareas:
- Conciliar el riesgo, la política, la gobernanza, la seguridad y los objetivos de negocio de la organización.
- Identificar, a través del análisis de un equipo de expertos, las herramientas, los controles, la automatización y los métodos más adecuados para monitorizar y proteger los activos.
- Trabajar en la investigación y respuesta a incidentes, proponer mejoras en la ejecución de procesos y en la configuración de sistemas y, en última instancia, remediar el riesgo para la organización. Una vez que se ha identificado una amenaza, el SOC será el responsable de escalar el problema al órgano correspondiente para solucionarlo. La información reportada debería alimentar los sistemas de conocimiento de la empresa para poder alertar y predecir de manera más eficiente futuros ataques.
En definitiva, el SOC existe para monitorizar y proteger los activos críticos de una organización a través de estándares y procesos repetibles. Esto significa que tiene la tarea de vigilar todo el negocio para identificar y bloquear el comportamiento malicioso de actores internos o externos. El encargo que tiene el SOC de reducir el riesgo del negocio debe realizarlo, además, dentro de un presupuesto razonable y sin obstaculizar las operaciones de la organización. Su labor debe desempeñarse bajo las premisas de la eficacia y la eficiencia. Por todo ello, el SOC debe estar estrechamente alineado con el objetivo del negocio.
El SOC de Global Technology posee la capacidad tecnológica y el equipo de analistas expertos para acompañar y asesorar a las organizaciones en el proceso operativo de gobernanza de la seguridad de la información.
Responsable de SOC en Global Technology