La gestión del riesgo cibernético se lleva ahora al nivel más alto de la empresa, en forma de gobernanza de la seguridad de los sistemas de información. Su función: gestionar y organizar la seguridad de la información, involucrando a las profesiones. Stéphane Garreau, experto en ciberseguridad y gestión de sistemas de información, detalla este concepto de gobernanza de la seguridad de la información.
El riesgo cibernético se considera actualmente uno de los principales riesgos que amenazan a las empresas, por lo que están implementando medidas específicas destinadas a gestionar de manera más eficaz sus políticas de seguridad de la información. Estas medidas se formalizan dentro de una gobernanza específica. Dirigida desde un punto de vista operativo por el CISO, responsable de la seguridad de la información dentro de la empresa, la gobernanza debe implicar, no obstante, a todas las profesiones de la empresa. ¿En qué consiste realmente? ¿Cómo implementar la gobernanza de la seguridad de los sistemas de información? ¿Cuáles son las diferentes responsabilidades en la gobernanza de la seguridad de la información? Veamos esto en detalle.
¿En qué consiste la “gobernanza de la seguridad de los sistemas de información”?
Gestionar políticas de seguridad de la información.
“La gobernanza se refiere a todas las soluciones organizativas que permiten abordar los riesgos de seguridad de la información y gestionar la seguridad de la información”, explica Stéphane Garreau, consultor y formador en ciberseguridad y gestión de sistemas de información de ORSYS. Generalmente constituye una de las secciones de la política de seguridad de los sistemas de información (PSSI).
En concreto, la implementación del gobierno de la seguridad de la información dentro de una organización consiste en:
- Definir el papel que desempeña cada uno. dentro de la organización, en particular la del CISO.
- Crear instancias (comités de seguridad informática, por ejemplo) o participar en órganos.
- Establecer un conjunto de políticas y procedimientos. que describen cómo la organización responde a los riesgos de ciberseguridad.
Mejorar la gobernanza para reducir los riesgos de seguridad
El objetivo principal de la gobernanza de la seguridad de la información es reducir los riesgos. “Se trata de gestionar proyectos técnicos destinados a reducir los riesgos de seguridad, implementar acciones de mejora de procesos y crear una cultura de ciberseguridad a través de acciones de sensibilización y formación de los empleados”, detalla Stéphane Garreau.
Es probable que una mala gobernanza genere más incidentes o ciberataques, robo de datos, con impactos financieros, consecuencias en la imagen de la empresa o incluso problemas de cumplimiento. “Existen fuertes vínculos entre la gobernanza de la seguridad de la información y la gestión general de riesgos. Los riesgos cibernéticos han ido ocupando poco a poco un lugar muy importante en la gestión de riesgos. Por su parte, esto proporcionó un marco para la gestión de la ciberseguridad”, añade el experto.
Abordar preguntas sobre cumplimiento
“Abordar la cuestión de la gobernanza de la seguridad de la información también permite abordar las cuestiones de cumplimiento”, explica Stéphane Garreau. "Varios marcos regulatorios incluyen obligaciones de ciberseguridad", incluido el GDPR (que requiere que se tomen medidas para garantizar la seguridad de los datos personales) y PCI DSS (relacionado con el alojamiento de datos bancarios).
¿Cómo implementar la gobernanza de la seguridad de la información?
Ampliar la cuestión de la gobernanza al tríptico “detección/respuesta/continuidad”
“La definición y aplicación de la gobernanza de la seguridad de la información se lleva a cabo en diferentes fases: análisis de la situación existente, evaluación de riesgos y formulación de propuestas destinadas a mejorar los estándares vigentes”, explica Stéphane Garreau. La gobernanza está formalizada y expresada en el PSSI y en los procedimientos operativos detallados.
“La ciberseguridad ha evolucionado fundamentalmente en los últimos 15 o 20 años, cuando consistía esencialmente en proteger contra los ciberataques”, señala el experto. “Hoy en día, la gobernanza de la seguridad de la información todavía tiene una fuerte dimensión de protección, pero se ha ampliado para incluir la detección de incidentes, la respuesta y la continuidad del negocio. Por ello, se desarrollan y ajustan procesos, recursos, planes de remediación y comunicación respecto de este nuevo tríptico, en un proceso de mejora continua. Evaluar la calidad del gobierno implica medir la reducción de riesgos (número de incidentes, frecuencia, impactos, calidad de la respuesta de la organización, etc.).
Confíe en estándares y puntos de referencia
Desde un punto de vista metodológico, las normas ISO constituyen marcos útiles y ampliamente utilizados para la implementación de la gobernanza de la seguridad de la información: ISO 27001, ISO 27014 (específica para la gobernanza de SI) o incluso ISO 27002 (muy conocida y utilizada en el contexto del riesgo de seguridad de TI). gestión).
Más allá de los estándares ISO, muchas empresas confían en las herramientas NIST (Instituto Nacional de Estándares y Tecnología) : allá Publicación especial 800-53 y el marco de ciberseguridad.
Capacítese para implementar la gobernanza
Aunque las empresas pueden mejorar o implementar la gobernanza por sí solas, corren el riesgo de encontrarse con una falta de recursos competentes en estos temas. ¿Cómo implementar una gestión eficaz de la seguridad de la información en un contexto donde faltan recursos? “Los propios recursos externos tienen una gran demanda. Formar a sus equipos en materia de gestión de riesgos y cumplimiento representa una buena respuesta a la escasez de talento”, aconseja Stéphane Garreau. Una vez capacitados, los equipos pueden ayudar a su empresa a obtener la certificación de seguridad de los sistemas de información.
Gobernanza de SI: una responsabilidad compartida entre la dirección general, CISO y usuarios
Responsabilidad estratégica, responsabilidad operativa: un equilibrio por encontrar
La gobernanza de la seguridad de la información se está llevando cada vez más al nivel de la alta dirección. Este transporte permite obtener priorización y recursos adecuados. “La mejor manera de lograrlo es abordar el tema de la ciberseguridad a través de los objetivos comerciales y el impacto de los riesgos cibernéticos en la continuidad del negocio. La responsabilidad operativa siempre recae en el CISO, pero bajo la responsabilidad última de su dirección general”, señala Stéphane Garreau. El CISO juega aquí un papel especial. Vínculo entre equipos operativos y equipos no técnicos, asume el papel de comunicador y docente, y debe transformar un tema muy técnico para que sea comprendido y asimilado por las diferentes profesiones.
¿Qué pasa con el CIO en todo esto? “Sigue siendo un interlocutor fundamental en todo este proceso”, responde Stéphane Garreau, quien explica que todo el desafío consiste en “involucrar a los profesionales en la seguridad informática, sin distanciarlos demasiado de los técnicos”.
Formar y educar a los usuarios para crear una cultura de ciberseguridad
“Formar a los usuarios, sensibilizarlos sobre los riesgos cibernéticos (e-learning, campañas de formación sobre phishing, por ejemplo) y recordarles las buenas prácticas también forma parte de la gobernanza de la seguridad de la información y condiciona el aumento de la responsabilidad de los usuarios”, añade Stéphane Garreau. “Establecer una gobernanza de la seguridad de la información también significa garantizar que la seguridad se tenga en cuenta en todos los niveles y en todos los procesos de la empresa, lo antes posible. Esto hace eco del concepto de seguridad por diseño », añade el experto.
La gobernanza de la seguridad de los sistemas de información es parte de un enfoque de gestión y reducción de riesgos. Destinado a gestionar eficazmente las políticas de seguridad, también se centra en concienciar a los empleados e involucrar a todas las profesiones para reducir los riesgos cibernéticos. El establecimiento de la gobernanza de la seguridad de los sistemas de información se basa en estándares y puntos de referencia, cuyo dominio es necesario para implementarlos adecuadamente. Ante la escasez de profesionales cualificados en ciberseguridad, la formación representa una de las mejores opciones.
