Estrategia Integral de Gestión de Ciberseguridad

Por: Ramiro Pulgar, CEO, Blue Hat Corporation.

La gestión de la ciberseguridad en las organizaciones ha trascendido las simples medidas técnicas para abordar un espectro más amplio de riesgos y desafíos. De acuerdo con las normativas ISO, los enfoques modernos deben ir más allá de la tríada tradicional de confidencialidad, integridad y disponibilidad, e incluir consideraciones sobre la reputación corporativa, pérdidas financieras y desafíos legales y regulatorios. Además, es fundamental considerar los riesgos asociados con terceros y las situaciones políticas, especialmente cuando se utilizan servicios en la nube y los datos se encuentran almacenados en centros de datos situados bajo distintas jurisdicciones y legislaciones. 

La ciberseguridad ya no es solo una cuestión tecnológica, sino que también está profundamente vinculada con aspectos sociales, enfrentando amenazas de ingeniería social, la extorsión y el grooming, entre otras. Actualmente, es esencial asegurar la protección de la información física y digitalmente, dado que las operaciones de negocios son en línea y muchas de las amenazas son digitales. Además, es importante destacar que muchas de estas amenazas se encuentran en la dark web. Por lo tanto, la ciberseguridad significa mantener los riesgos a un nivel tolerable, incorporando toda la protección a la estrategia del negocio y debe ser integral para proteger las personas, los procesos, apoyándose en la tecnología. 

La implementación de una estrategia integral de ciberseguridad en las organizaciones requiere una colaboración entre dos roles clave: el Oficial de Seguridad de la Información, OSI, y el Oficial de Protección de Datos Personales. A pesar de que cada uno desempeña funciones distintas, ambos comparten el objetivo de concientizar a la alta gerencia para integrar la ciberseguridad en las estrategias generales de negocio.  

Además, las regulaciones juegan un importante papel en la definición y aplicación de estrategias dentro de las organizaciones. A nivel local, entidades como la Superintendencia de Bancos o la SEPS dictan normativas específicas que deben ser observadas. Paralelamente, a otros estándares internacionales obligatorios como el PCI-DSS para entidades que procesan tarjetas de crédito.  

Actualmente, estándares como la ISO 27001, en su última revisión de 2022, ofrecen la posibilidad de personalizar las políticas de seguridad internas para que estas regulaciones estén inherentemente embebidas en los procesos de la organización, incluyendo herramientas disponibles facilitando una integración desde el inicio. 

De manera que la responsabilidad de los líderes de seguridad de la información es asegurarse que sus equipos tengan el conocimiento necesario y el soporte tecnológico adecuado para el cumplimiento y fomentar prácticas en la cultura organizacional, más allá de hacer un mero checklist de adquisición de herramientas o productos. 

Blue Hat Corporation en la gestión de incidentes 

Los sistemas de gestión, SGSI, es un marco integral que incorpora la gestión de incidentes. En Blue Hat Corporation, entendemos la importancia de la gestión de incidentes, y la tratamos como investigaciones orientadas a fraudes, lo que nos permite identificar las acciones de los hackers durante un incidente. Estas prácticas preparan a la organización para responder en momentos críticos. Además, llevamos a cabo investigaciones proactivas a través de la gestión de vulnerabilidades, que es mucho más que simplemente escanear sistemas con herramientas tecnológicas o contratar servicios de lo que popularmente se llama «hacking ético», cuyo término correcto es penetration testing.  

Los sistemas de gestión proporcionan una guía sobre lo que se debe hacer en términos de seguridad, mientras que las operaciones como la gestión de incidentes, el penetration testing, y la integración con investigaciones forenses delinean cómo manejar y responder a actos de ciberdelincuencia. Además, es importante la incorporación de prácticas de desarrollo seguro que reduzca las fallas en la lógica de programación y de negocio de modo que los ciberdelincuentes no tengan la oportunidad de aprovechar las vulnerabilidades y comentan fraudes. Estas actividades operativas, junto con la recuperación ante desastres, la hardenización de sistemas y el apoyo a las mejoras de seguridad en el desarrollo de software, deben integrarse para que la gestión de la seguridad sea efectiva. 

El objetivo final de un sistema de gestión es transformar la cultura organizacional de todas las personas involucradas ya que la eficacia de la tecnología depende de la acción humana; sin una participación, incluso la tecnología más avanzada resulta inútil. Esta transformación cultural debe ajustarse a los roles y responsabilidades de cada actor dentro del ecosistema de seguridad de la información. Cada participante desempeñará roles específicos; por ejemplo, las áreas de continuidad buscan asegurar la operatividad integrándola con la seguridad de la información, mientras que las áreas de riesgo se enfocan en la identificación y gestión de riesgos potenciales. El sistema de gestión facilita la coordinación integral de estas funciones, aplicando las mejores prácticas y estándares como ISO 27001 y COBIT. 

La Ley de Protección de Datos Personales como parte del SGSI 

Para Blue Hat Corporation, la Ley de Protección de Datos Personales es vista como una parte integral del sistema de gestión, alineada con estándares como ISO 27001, que trabajan en conjunto con los Sistemas de Gestión de Seguridad de la Información (SGSI). Dado que manejamos bases de datos que contienen tanto datos personales como otros de carácter confidencial, no sería práctico gestionar estos activos de forma independiente. Por ello, adoptamos un enfoque unificado que incluye sistemas de gestión de privacidad respaldados por medidas de seguridad de la información.  

Contamos con personal tanto local como internacional, con formación legal y experiencia en la implementación del GDPR en Europa. Además, fuimos la primera empresa en Ecuador certificada bajo la norma ISO 27701, lo que nos permite aplicar lecciones y mejorar continuamente nuestras prácticas de privacidad y seguridad para nuestros clientes. 

Una buena práctica es quitarnos de la cabeza la idea de que cumplimos con las leyes de protección de datos únicamente para evitar sanciones. Este tipo de riesgos siempre ha estado presente, de manera que es importante concienciar a la alta gerencia de que la incorporación de estas prácticas no debe verse como una simple verificación de requisitos legales, sino como parte de la cultura organizacional enfocada en proteger la privacidad de las personas. Después de todo, el propósito último la ley es asegurar la protección efectiva de la información personal, que es lo que realmente está en riesgo de ser expuesto. 

Blue Hat Corporation, con 15 años de experiencia en el sector, se ha especializado en ciberseguridad y seguridad de la información, liderando en la gestión integral de estrategias de ciberseguridad. A lo largo de su destacada trayectoria, la empresa ha desarrollado una amplia gama de servicios que incluyen Penetration Testing para el cumplimiento de estándares y regulaciones, la implementación y auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI y EGSI), así como la gestión de la privacidad conforme a la Ley Orgánica de Protección de Datos Personales y la continuidad del negocio. 

En Blue Hat Corporation, ponemos énfasis en concienciar a la alta gerencia sobre la importancia del apoyo firme y continuo a las estrategias de ciberseguridad y otros sistemas de gestión. Sin este respaldo, cualquier iniciativa puede enfrentarse a obstáculos. Aunque hay que reconocer que la financiación es importante, también sabemos que no todas las políticas requieren de grandes inversiones. En ocasiones, simplemente reajustar las actividades puede ser suficiente. En nuestra práctica, fomentamos que todos los sectores de la organización colaboren de manera integral, creando sinergias.