Por Iliana Vargas, Gerente de Seguridad de la Información Auditoría, Pichincha Corp.
En Ecuador, según las cifras de la encuesta Estado Actual de la Ciberseguridad Ecuador en el año 2023, el 71% de las organizaciones consideran incluir dentro del plan de ciberseguridad y seguridad de la información procesos y controles para mejorar la higiene de la seguridad, en la infraestructura de sus organizaciones, en comparación con un 85% a nivel global. Para el 2024, el mismo estudio señala que hubo una disminución en la aplicación de varias de las prácticas de gestión de ciberseguridad. Para este año, el Plan de ciberseguridad y seguridad de la información para mejorar la higiene de la organización bajó al 59%.
Este decrecimiento podría tener su explicación en varios factores, por ejemplo: restricciones presupuestarias que impiden mantener o mejorar las prácticas de ciberseguridad, un cambio en la percepción del riesgo, falta de conciencia o capacitación (cultura de seguridad), y desafíos en la implementación y mantenimiento.
Un Plan de Ciberseguridad y Seguridad de la Información permite contar con una estrategia para proteger los activos de información y las infraestructuras tecnológicas de una organización frente a amenazas y vulnerabilidades cibernéticas a través de las prácticas y procedimientos para mantener y mejorar la seguridad de los sistemas de información y las redes en una organización.
Las iniciativas de higiene y salud en el ecosistema de seguridad son distintas según el tipo de sector o industria, pero en general, las empresas necesitan desarrollar un marco que incluya una arquitectura empresarial, tecnológica y de seguridad adecuadas. Este marco es la columna vertebral que proporciona los lineamientos para asegurar la sostenibilidad y el alto rendimiento de todos los dispositivos que protegen a la infraestructura que mantiene segura lo más importante para cada Organización, su información sea esta de clientes, personal interno, proveedores, etc.
La efectividad y cumplimiento de éstas iniciáticas, viene de la mano con la mejora continua del expertise y capacitaciones tanto de los recursos internos y externos (terceras y cuartas partes) de las organizaciones, en tal razón es importante todos los recursos participen en programas de capacitación robustos que respondan adecuadamente a las necesidades y cubran todos los riesgos frente a amenazas cada vez más disruptivas, factores de compromiso e incidentes que son más visibles.
Una adecuada salud incluye procesos de hardenización de los equipos y servidores, e implica que se han implementado buenas prácticas en la configuración de los equipos críticos de tecnología, así como de los equipos de seguridad perimetral (como los firewalls, sistemas de prevención y detección de intrusiones (IPS/IDS), switches y routers), dependiendoc del nivel y capas de protección con que cuenta cada organización.
Los responsables de mantener una infraestructura saludable en una estructura básica, son las áreas de tecnología quienes deben gestionar controles de primera línea de defensa, entre los más importantes: acciones preventivas sobre la gestión y remediación de vulnerabilidades, aplicación de configuraciones seguras en los firewalls y control sobre usuarios con accesos privilegiados (supervisión de actividades para prevenir mal uso o accesos indebidos).
En organizaciones más robustas y con infraestructuras más complejas, como las instituciones financieras, las responsabilidades se dividen claramente en dos líneas. La primera línea, generalmente perteneciente al área de tecnología, la cual aplica las prácticas y lineamientos definidos por la segunda línea, que es Seguridad de la Información. Esta última puede estar a cargo del CISO (Chief Information Security Officer), quien, desde su posición en la segunda línea, se encarga de definir las buenas prácticas y los estándares de seguridad que deben seguirse en toda la institución.
Para garantizar la efectividad de un plan de seguridad y ciberseguridad, es importante contar con un gobierno corporativo adecuado, que podría incluir, por ejemplo, un comité de seguridad de la información y ciberseguridad. Este comité es responsable de supervisar el cumplimiento del plan estratégico, evaluando si se están alcanzando los indicadores previstos y las metas establecidas, así como el progreso general hacia dichos objetivos.
En este marco de gobernanza, los órganos de control aportan en la gestión de la seguridad y el CISO se encarga de la implementación y monitoreo de las políticas y prácticas de seguridad y ciberseguridad dentro de la organización.