Este sitio utiliza cookies para ofrecerle un servicio más ágil y personalizado. Al utilizar este sitio, acepta el uso que hacemos de las cookies. Puede obtener más información sobre el uso que hacemos de las cookies y tecnologías similares y sobre sus opciones consultando nuestra Política de privacidad. Al hacer clic en "Acepto", acepta nuestro uso de cookies y tecnologías similares.
La gobernanza de la ciberseguridad converge en torno a principios comunes
Este mes de febrero marca un hito importante en la evolución de la regulación de la ciberseguridad: las entidades reguladas por el Departamento de Servicios Financieros del Estado de Nueva York (DFS ) debían presentar su primera certificación anual de cumplimiento de la regulación de ciberseguridad de Nueva York, la primera del país, antes del 15 de febrero de 2018. Esta ocasión brinda una buena oportunidad para reflexionar sobre las tendencias emergentes en el mundo de la gobernanza de la ciberseguridad.
Dado que las empresas responden a menudo ante múltiples autoridades, existe la posibilidad de que las obligaciones se solapen e incluso entren en conflicto. Afortunadamente, hay buenas noticias: la normativa de ciberseguridad y las mejores prácticas de ciberseguridad están convergiendo en torno a un conjunto común de principios fundamentales. Si sigue las mejores prácticas generalmente aceptadas para proteger los datos de su empresa, como las pruebas de penetración basadas en el riesgo y la autenticación multifactor, también es probable que cumpla las normativas existentes y propuestas.
La gobernanza de la ciberseguridad se presenta en una gama de enfoques, desde las mejores prácticas voluntarias, como el Marco de Ciberseguridad del NIST, pasando por directrices obligatorias, aunque redactadas en términos generales, como las contenidas en la Herramienta de Evaluación de la Ciberseguridad del Consejo Federal de Examen de Instituciones Financieras, hasta requisitos algo más prescriptivos, como la normativa del DFS. La Ley Modelo de Ciberseguridad adoptada el año pasado por la Asociación Nacional de Comisionados de Seguros es muy similar a la normativa del DFS.
Aunque los distintos conjuntos de normas y mejores prácticas pueden diferir en función del sector y la jurisdicción aplicables, la adopción de las siguientes medidas fundamentales ayudará a su empresa a cumplir cualquier norma:
- Realizar una evaluación de riesgos de ciberseguridad. Los reguladores y los expertos en ciberseguridad coinciden en que el propio personal de una empresa es el más indicado para conocer el riesgo de ciberseguridad de su empresa, que puede variar enormemente en función del tipo de negocio de la empresa, su tamaño, su base de clientes, el tipo de datos que almacena y muchos otros factores. Evaluar el riesgo de su empresa es todo un reto, pero debe realizarse con detenimiento y detenimiento porque prácticamente todo su programa de ciberseguridad se adaptará a su evaluación de riesgos.
- Establezca una política de ciberseguridad. Un programa de ciberseguridad no existe a menos que esté por escrito. Los reguladores y los expertos en ciberseguridad coinciden en que es fundamental establecer y mantener una política de ciberseguridad escrita y actualizada periódicamente que sea adecuada a la evaluación de riesgos de su empresa. Esta política será una fuente primaria para demostrar al Consejo de Administración, reguladores, aseguradoras y clientes que su empresa es diligente en la creación, ejecución y adhesión a un sólido programa de ciberseguridad.
- Designar un Director de Seguridad de la Información (CISO). Encargar a una sola persona cualificada la responsabilidad de la ciberseguridad garantiza claridad y responsabilidad. Para las empresas más pequeñas, la función de CISO puede externalizarse.
- Realizar pruebas de penetración y evaluaciones de vulnerabilidad. Aunque los distintos conjuntos de buenas prácticas y normativas varían en cierta medida en cuanto a la frecuencia y la forma en que las empresas deben realizar pruebas de penetración y evaluaciones de vulnerabilidad, todos coinciden en que estas medidas son una parte importante de un programa de ciberseguridad sólido.
- Implemente la autenticación multifactor. Todos los usuarios autorizados deben utilizar la autenticación multifactor, como la introducción de una contraseña y un código enviado por SMS a un teléfono móvil, sobre todo al iniciar sesión desde fuera de la red. En qué circunstancias puede ser necesaria la autenticación multifactor dependerá con frecuencia de la evaluación de riesgos de su empresa.
- Cifre sus datos. Todos los datos no públicos que sean críticos para su empresa o para sus clientes deben cifrarse mientras están en tránsito o en reposo. Establece políticas y procedimientos de cifrado basados en la evaluación de riesgos de tu empresa.
- Prepare un Plan de Respuesta a Incidentes. Todas las empresas han tenido o tendrán algún tipo de incidente de ciberseguridad. Muchas empresas tienen uno o más incidentes de los que ni siquiera son conscientes. La forma en que la empresa responde a un incidente de este tipo puede ser objeto posteriormente de un intenso escrutinio por parte de reguladores, investigadores y posibles demandantes. Mantener y seguir un plan escrito de respuesta a incidentes que cubra temas como los procedimientos de detección, recuperación y notificación ayudará a su empresa a recuperarse más rápidamente y a salir mucho mejor parada del consiguiente escrutinio. Tenga en cuenta que ningún plan de respuesta a incidentes está completo hasta que se ha puesto a prueba en un ejercicio de simulación o similar.
Establecer programas de ciberseguridad y hacerlos bien es un ejercicio difícil, pero necesario. Siempre es una buena idea consultar a expertos en los campos de la ciberseguridad y la regulación a la hora de formular y actualizar estos programas. Pero entender y reflexionar sobre estos principios comunes le ayudará a asegurarse de que está cumpliendo tanto con las mejores prácticas de ciberseguridad como con la ley.
InvestigaciónLíneas directas