logo ORSYS Le mag

El medio de la formación y las competencias

Inicio > Tecnologías digitales > Ciberseguridad > Gobernanza de la SI: implicación de las unidades de negocio en la seguridad corporativa

Gobernanza de la SI: implicación de las unidades de negocio en la seguridad corporativa

Publicado el 17 de agosto de 2023
Compartir esta página :

La gestión de los riesgos cibernéticos se está llevando ahora al más alto nivel de la empresa, en forma de Comité de Gestión de Riesgos Cibernéticos. gobernanza para la seguridad de los sistemas de información. Su papel es dirigir y organizar la seguridad de la información, implicando al mismo tiempo a las unidades de negocio. Stéphane Garreau, experto en ciberseguridad y gestión de sistemas de información, explica el concepto de gobernanza de la seguridad de la información.

Artículo ilustrativo sobre gobernanza de la ciberseguridad

El riesgo cibernético se considera actualmente uno de los principales riesgos que amenazan a las empresas, que por ello están implantando medidas específicas destinadas a gestionar más eficazmente sus políticas de seguridad de la información. Estas medidas se formalizan dentro de una estructura de gobernanza específica. Desde un punto de vista operativo, la gobernanza está dirigida por el CISO, responsable de la seguridad de la información en la empresa, pero también debe implicar a todas las líneas de negocio de la empresa. ¿En qué consiste realmente la gobernanza? ¿Cómo puede establecerse la gobernanza de la seguridad de los sistemas de información? ¿Cuáles son las diferentes responsabilidades en el gobierno de la seguridad de la información? Veámoslo más de cerca.

¿Qué es la "gobernanza de la seguridad de los sistemas de información"?

Gestión de las políticas de seguridad de la información

"La gobernanza hace referencia al conjunto de soluciones organizativas que permiten hacer frente a los riesgos de seguridad de la información y gestionar la seguridad de la información", explica Stéphane Garreau, consultor en ciberseguridad y gestión de sistemas de información y formador de ORSYS. Suele ser uno de los componentes de la política de seguridad de los sistemas de información (PSSI).

En la práctica, implantar la gobernanza de la seguridad de la información en una organización implica :

  • Definir el papel desempeñado por cada persona dentro de la organización, en particular la del CISO.
  • Crear instancias (comités de seguridad informática, por ejemplo) o participar en organismos.
  • Aplicar un conjunto de políticas y procedimientos que describen cómo responde la organización a los riesgos de ciberseguridad.

Mejorar la gobernanza para reducir los riesgos de seguridad

El principal objetivo de la gobernanza de la seguridad de la información es reducir los riesgos. "Se trata de gestionar proyectos técnicos destinados a reducir los riesgos de seguridad, poner en marcha acciones de mejora de los procesos y crear una cultura de ciberseguridad mediante la sensibilización y la formación de los empleados", explica Stéphane Garreau.

Es probable que una mala gobernanza genere más incidentes o ciberataques, robo de datos, con repercusiones financieras, consecuencias para la imagen de la empresa y problemas de cumplimiento. "Existen estrechos vínculos entre la gobernanza de la seguridad de la información y la gestión global del riesgo. Los ciberriesgos han ido adquiriendo gradualmente un papel muy importante en la gestión de riesgos. A su vez, la gestión de riesgos ha proporcionado un marco para la gestión de la ciberseguridad", añade el experto.

Cuestiones de conformidad

"Abordar la cuestión de la gobernanza de la seguridad de la información también significa abordar cuestiones de cumplimiento", explica Stéphane Garreau. "Varios marcos normativos incluyen obligaciones en materia de ciberseguridad", en particular el RGPD (que exige adoptar medidas para garantizar la seguridad de los datos personales) y la norma PCI DSS (relativa al alojamiento de datos bancarios).

¿Cómo se establece la gobernanza de la seguridad de la información?

Ampliar la cuestión de la gobernanza al tríptico "detección/respuesta/continuidad

"Definir y aplicar la gobernanza de la seguridad de la información implica varias fases: análisis de la situación existente, evaluación de riesgos y formulación de propuestas para mejorar las normas vigentes", explica Stéphane Garreau. La gobernanza se formaliza y se plasma en la PSSI y en procedimientos operativos detallados.

"La ciberseguridad ha cambiado fundamentalmente en los últimos 15 o 20 años, cuando se trataba esencialmente de protegerse contra los ciberataques", señala el experto. "Hoy en día, la gobernanza de la seguridad de la información sigue teniendo una fuerte dimensión de protección, pero se ha ampliado para incluir la detección de incidentes, la respuesta y la continuidad del negocio. Procesos, recursos, planes de contingencia remediación Por tanto, los sistemas de información y comunicación se desarrollan y ajustan en función de este nuevo tríptico, en el marco de un proceso de mejora continua. Evaluar la calidad de la gobernanza implica medir la reducción de riesgos (número de incidentes, frecuencia, impacto, calidad de la respuesta de la organización, etc.).

Basarse en normas y puntos de referencia

Desde un punto de vista metodológico, las normas ISO son marcos útiles y generalizados para aplicar la gobernanza de la seguridad de la información: ISO 27001ISO 27014 (específica de la gobernanza de SI) e ISO 27002 (ampliamente conocida y utilizada para la gestión de riesgos de seguridad de TI).

Además de las normas ISO, muchas empresas confían en las herramientas del NIST (Instituto Nacional de Estándares y Tecnología) : allá Publicación especial 800-53 y el marco de ciberseguridad.

Marco de ciberseguridad

Formación en aplicación de la gobernanza

Aunque las empresas pueden mejorar o implantar la gobernanza por su cuenta, corren el riesgo de toparse con la falta de recursos competentes en estos ámbitos. ¿Cómo implantar una gestión eficaz de la seguridad de la información en un contexto en el que escasean los recursos? "Los recursos externos están a su vez muy solicitados. Formar a sus equipos en materia de gestión de riesgos y de conformidad es una buena respuesta a la escasez de talentos", aconseja Stéphane Garreau. Una vez formados, los equipos pueden acompañar a su empresa hacia la certificación en seguridad de los sistemas de información.

La gobernanza de los SI: una responsabilidad compartida entre la alta dirección, los CISO y los usuarios

Responsabilidad estratégica, responsabilidad operativa: encontrar el equilibrio adecuado

La gobernanza de la seguridad de la información se sitúa cada vez más al nivel de la dirección general. Este nivel de responsabilidad permite establecer prioridades y disponer de los recursos adecuados. "La mejor manera de conseguirlo es enfocar la cuestión de la ciberseguridad a través de los objetivos empresariales y el impacto de los ciberriesgos en la continuidad de la actividad. La responsabilidad operativa recae siempre en el CISO, pero bajo la responsabilidad última de la alta dirección", señala Stéphane Garreau. El CISO tiene un papel especial que desempeñar aquí. Como enlace entre los equipos operativos y los equipos no técnicos, asume el papel de comunicador y educador, y tiene que transformar un tema altamente técnico para que sea comprendido y asimilado por las distintas líneas de negocio.

¿Y dónde encaja el CIO en todo esto? "Sigue siendo un actor clave en todo el proceso", responde Stéphane Garreau, que explica que el reto es "implicar a las unidades de negocio en la seguridad informática, sin distanciarla demasiado del personal técnico".

Formación y sensibilización de los usuarios para crear una cultura de ciberseguridad

" Formar a los usuarios y concienciarlos sobre los ciberriesgos (e-learning, campañas de formación, etc.). suplantación de identidadEsto también forma parte de la gobernanza de la seguridad de la información, y es un requisito previo para que los usuarios asuman más responsabilidades", añade Stéphane Garreau. "Implantar la gobernanza de la seguridad de la información también significa garantizar que la seguridad se tiene en cuenta a todos los niveles y en todos los procesos de la empresa, lo antes posible. Esto se hace eco del concepto de seguridad por diseñoañade el experto.

La gobernanza de la seguridad de los sistemas de información forma parte de un enfoque de gestión y reducción de riesgos. Diseñada para gestionar eficazmente las políticas de seguridad, también se centra en concienciar a los empleados e implicar a todas las líneas de negocio en la reducción de los ciberriesgos. La gobernanza de la seguridad de los sistemas de información se basa en normas y puntos de referencia, que deben dominarse para aplicarlos correctamente. Dada la escasez de profesionales cualificados en ciberseguridad, la formación es una de las mejores opciones.

También pueden interesarle estos artículos

Director de Seguridad de Sistemas de Información (CISO) Responsable de Seguridad de Sistemas de Información (ISSM): más que un trabajo, ¡es una misión! Ciberseguridad y gobierno corporativo ORSYS Formación ¿Cómo gobernar una empresa ante las ciberamenazas? Ilustración del artículo NIS 2NIS 2: ¿cómo prepararse para aplicar la nueva directiva de ciberseguridad?

ARTÍCULO ANTERIOR

Web scraping: cómo recuperar automáticamente datos de la web

ARTÍCULO SIGUIENTE

3 consejos para obtener la certificación ISTQB

Nuestro experto

Stéphane GARREAU

Ciberseguridad

Ingeniero de la École Centrale Paris y certificado en seguridad de sistemas de información (CISSP y CCSK), […]

ámbito de formación

Ciberseguridad

formación asociada

Implementar y gestionar un proyecto ISO 27001:2022

Responsable del sistema de gestión de seguridad de la información (ISO 27001-2013) (BV-RSMSI), certificación Bureau Veritas

Seguridad de los Sistemas de Información, resumen