¿Cómo medir la madurez de ciberseguridad en mi organización?
Por: Andrés Velázquez
Cumplir con estándares u obtener una calificación ante una guía no necesariamente nos dice dónde nos encontramos en cuanto a la ciberseguridad de la organización.
Una de las primeras veces que me invitaron a participar constantemente como miembro externo en un comité de ciberseguridad, presencié algo que me ha dado vueltas en la cabeza desde entonces. El consejo de administración había solicitado que se hiciera “algo” para poder identificar cómo se encuentra la organización con respecto a la ciberseguridad; al ser una entidad financiera, deseaba ver que lo que se había invertido estaba bien invertido y que mitigaría los riesgos que se enfrenta la organización.
Cabe mencionar que el sector financiero en México es uno de los más regulados y por ende donde más se ha logrado concientizar sobre la importancia de la ciberseguridad. No así en otros que han tenido malas rachas en los últimos años como los de manufactura o salud.
En esa sesión del comité, era momento de ver los resultados que se llevaron a cabo por parte de una empresa externa: una auditoría de ciberseguridad contra un estándar como lo es el ISO 27001 (de Gestión de la Seguridad de la Información) para ver cómo se encontraba la organización. La información era oro puro, pero no para el comité donde estaban tomadores de decisiones. La forma de presentarlo fue lo que generó más problema: se tomaron los controles, se especificó cuáles de ellos se cumplieron y cuántos no. Se sacó un promedio y se definió que la organización cumplía el 80% de los controles definidos en el ISO. El presidente del comité y principal accionista gritó: “¡Pues pasamos!” como si fuera la calificación de un universitario.
Se hizo un silencio.
Era mi primer comité, conocía a la mayoría e incluso había tenido reuniones privadas con casi todos, por lo que solicité la palabra para poder explicar lo complicado que había terminado esa presentación con ese comentario.
Y es que el ISO 27000, el NIST Cybersecurity Framework y el CIS 20 son algunos de los modelos de madurez más usados a nivel internacional, siempre y cuando se empleen de la forma correcta para indicar cómo se encuentra la organización.
Quizá el que más es usado para poder identificar cómo se encuentra la organización es el NIST Cybersecurity Framework o NIST CSF que permite identificar cómo se encuentra la organización con respecto a ciertas funciones: Identificación de riesgo, protección, detección, respuesta y recuperación. Estos modelos de madurez van en los niveles:
Madurez Inicial – la organización es prácticamente vulnerable ya que no hay una estructura, documentación o procesos.
Madurez Repetible: la organización tiene conocimiento de ciberseguridad, pero todavía es reactiva, es decir, pueden repetir esfuerzos básicos y tienen documentación básica. La organización podrá responder ante un incidente en algunos días, pero probablemente perderán datos, suspenderán la operación y tendrán un impacto financiero.
Madurez Definida: la organización tiene medidas efectivas normalmente pensadas desde las perspectivas de ciberseguridad, cumplimiento y aunado a procesos de seguridad privados. Las políticas de ciberseguridad existen y están disponibles en los ambientes críticos. Pueden reaccionar ante un incidente.
Madurez Administrada: la organización cumple con los requerimientos internos y externos de operación; toda la infraestructura se encuentra administrada y revisada constantemente, por lo que se tiene visibilidad gracias al monitoreo que permite identificar aquellos que van en contra de las políticas.
Madurez Optimizada: la organización ha llegado al punto donde la postura de ciberseguridad incluye que los procesos son un modelo de mejora continua, permitiendo que la reacción sea inmediata ante un incidente.
Si usted es un tomador de decisión, quizá esté tratando de buscar en qué nivel de madurez se encuentra su organización, y muy probablemente no sea en las más altas. La mayoría de las organizaciones podrían estar en los tres primeros niveles.
Lo importante es saber que hay modelos de madurez, que es posible buscar organizaciones externas que hagan las acciones necesarias para obtener una postura de la ciberseguridad de su organización y que se cree un plan para poder subir de nivel.
No piense que tener un “6” en ciberseguridad significa que está a salvo, hasta los que tienen “10” han tenido incidentes.
@cibercrimem