En ciberseguridad, la gobernanza es el conjunto de procesos, políticas y estructuras diseñadas para alinear la seguridad informática con los objetivos de la organización, con el fin de proteger los sistemas y los datos al tiempo que se garantiza el cumplimiento de la normativa.
Conceptos clave :
- Marco de gobernanza Estructura global que define las funciones, responsabilidades y procesos de toma de decisiones en materia de ciberseguridad.
- Política de seguridad Política informática: conjunto de normas y procedimientos que rigen el uso de los sistemas de información y el comportamiento de los usuarios.
- Gestión de riesgos Proceso de identificación, evaluación y tratamiento de las amenazas y los peligros para la seguridad vulnerabilidades.
- Conformidad Cumplimiento de las leyes, reglamentos y normas aplicables en materia de seguridad de la información.
- Sensibilización Formar a los usuarios en buenas prácticas de seguridad para reducir los riesgos asociados al factor humano.
Principales marcos y normas utilizados habitualmente para la gobernanza de la ciberseguridad
- ISO/IEC 27001 Es la norma internacional para los sistemas de gestión de la seguridad de la información (SGSI). Proporciona un marco para establecer, implantar, mantener y mejorar continuamente un SGSI.
- Marco de ciberseguridad del NIST Desarrollado en Estados Unidos, este marco proporciona directrices para mejorar la ciberseguridad de las infraestructuras críticas. Está ampliamente adoptado en todo el mundo.
- COBIT (Objetivos de Control para las Tecnologías de la Información y Relacionadas) Un marco para el gobierno y la gestión de la tecnología de la información empresarial, desarrollado por ISACA.
- Controles CIS Un conjunto de 20 comprobaciones de seguridad prioritarias para defenderse de los ciberataques más comunes.
- PCI DSS (Payment Card Industry Data Security Standard) Norma de seguridad de datos para el sector de las tarjetas de pago.
- SOC 2 (Control de organización de servicios 2) Un marco de auditoría para proveedores de servicios, centrado en la seguridad, la disponibilidad, la integridad del tratamiento, la confidencialidad y la protección de la intimidad.
- RGPD (Reglamento General de Protección de Datos) Aunque se trata de un reglamento más que de una norma, tiene un impacto significativo en la gobernanza de la ciberseguridad en Europa.
Principales certificaciones para la gobernanza de la ciberseguridad
- CISM (Gestor certificado de seguridad de la información) Certificación profesional para responsables de seguridad de la información, expedida por ISACA.
- CISSP (Profesional certificado en seguridad de sistemas de información) Una certificación ampliamente reconocida para profesionales de la ciberseguridad, expedida por (ISC)².