Episodio 011 Conversación sobre ciberseguridad con Andrés Velázquez

Conversación sobre la ciberseguridad con Andrés Velázquez (Twitter @cibercrimen y Facebook @avelazquez.csi). Ciberseguridad tiene que ver con administración de riesgos. Nuestra vida entera es una administración de riesgos. Los riesgos en sí, no se conocen como tal y sis darnos cuenta lo que pasa es que los tenemos controlados. Es importante distinguir la ciberseguridad de la seguridad de la información, pero además es necesario poder explicarlo a la alta administración de tal manera que se sensibilicen de lo que es. Si lo dejamos solo como responsabilidad de TI genera un conflicto de interés y una limitación de alcance por la falta de entendimiento profundo de los procesos de negocio. La ciberseguridad debe ser un tema del negocio, no del área de TI. Por ejemplo en la pandemia la administración en algunas empresas lo que hizo fue pedir a TI que activara los VPN’s, en lugar de haber realizado un análisis concienzudo de todos los riesgos que implicaría el trabajo remoto para proteger la información, la operación y se implementaran controles para seguir trabajando de buena manera. Respecto del Plan de Continuidad de Negocio, las empresas que habían incluido el riesgo de pandemias en su evaluación, se enfocaron en seguridad física, de los empleados, etc. pero no habían incluido lo necesario para que las operaciones no se detuvieran. Ahora que los Consejos de Administración y Comités están leyendo más del tema de ciberseguridad una actividad importante es traducir el lenguaje técnico a lenguaje de negocio, explicar situaciones concretas que pudieran tener consecuencias en caso de no implementar ciertas actividades, herramientas y controles.  En términos de lo que se describe en la página del “Observatorio de ecomerce” se puede explicar la seguridad de la información es un todo y la ciberseguridad es una parte. La seguridad de la información incluye las medidas y conceptos de protección de información y datos de valor de la empresa. La ciberseguridad incluye prácticas de ataque, controlar y atacar para validar que los controles protegen a la empresa.  La seguridad de la información se basa en técnicas, herramientas y metodologías de seguridad. El obtener certificaciones como ISO 27001 no es necesariamente suficiente. Es indispensable entender qué se debe proteger de la organización y desarrollar una estrategia que se conecte con la ciberseguridad.  Ciberseguridad es un tema estratégico, es importante ubicar esta área en la estructura organizacional evitando los conflictos que se generan, por ejemplo, si queda en TI o Finanzas o Control Interno, se sugiere que reporte al Director General. De esa manera los esfuerzos y recursos que se inviertan en estos temas serán estratégicamente puntualizados. Recomendaciones para incrementar nuestro conocimiento de ciberseguridad y cómo aplicarlo en nuestro trabajo: Estar bien informado: Tratar de saber lo que pasa allá afuera en LinkedIn, Twitter, etc. leer noticias e ir más allá, profundizar en el fondo del asunto. Analizar a profundidad: Con los elementos a detalle, llevar esas fallas que originaron los problemas a una reflexión interna de nuestros propios procesos. Aterrizar la información: Con esa reflexión usar los resultados y plasmarlos en la matriz de riesgos para actualizarla y complementarla. Sensibilizarnos y ayudar a que el personal de las empresas y nuestras propias familias aprendan sobre el tema de ciberseguridad, estamos expuestos y hay que ser incrédulos de las cosas para estar protegidos.

There are no comments yet.

Please log in to write the first comment.