Després de la transformació digital el pes de la ciberseguretat en les organitzacions ha augmentat exponencialment. És un món en constant evolució i del qual cada vegada les empreses són més conscients de la seva importància dins de l’organització.
Guillermo Rodríguez, director de l’àrea de Cyber Risk Culture de PwC Espanya i director del màster en Seguretat Informàtica i Gestió del Risc Tecnològic, ha sigut l’encarregat de presentar el webinar «Estratègia de ciberseguretat: panorama actual i implementació a l’empresa».
L’Euncet Business School i PwC Espanya, firma líder d’auditoria i consultoria dins de les considerades Big Four, s’han aliat per crear un màster online que capaciti els estudiants per donar resposta als riscos i ciberamenaces que afecten les organitzacions de tot el món. El programa està format per 13 cursos d’especialització basats en una metodologia 100% pràctica.
En aquesta sessió informativa, Guillermo Rodríguez reflexiona sobre la importància del pla estratègic en ciberseguretat i com implementar-lo en una empresa, com a bestreta dels continguts que es posaran a disposició dels alumnes del màster.
- La ciberseguretat a les companyies
- La importància de l’estratègia
- El pla estratègic de ciberseguretat
- Elements que componen el pla estratègic de ciberseguretat
- Fases del Pla Director de Seguretat
- Estàndards més comuns per elaborar el pla estratègic de seguretat
- Govern de la ciberseguretat
- Rols, funcions i processos de l’àrea de ciberseguretat
- Pla de ciberseguretat
- Generació del Pla de Ciberseguretat
- Conclusions i beneficis del pla estratègic de ciberseguretat
La ciberseguretat a les companyies
Abans de parlar del pla estratègic en ciberseguretat és important contextualitzar la situació de la seguretat informàtica en l’actualitat.
L’informe de riscos del Fòrum Econòmic Mundial (WEF), destaca des de fa anys la importància de considerar els ciberriscos dins de les organitzacions, i identifica diversos d’aquests riscos en el top 10 dels més importants en l’actualitat.
Segons estadístiques proporcionades per Varonis:
El cost mitjà d’una violació de dades és de 3.92 milions de dòlars
- Es preveu que la despesa mundial en seguretat cibernètica assolirà el 2022 els 133.700 milions de dòlars.
- Els hackers ataquen cada 39 segons, una mitjana de 2.244 vegades al dia.
- El 62 % de les empreses van patir atacs de pishing i d’enginyeria social el 2019.
- El 68 % dels líders empresarials senten que els riscos de seguretat cibernètica estan augmentant.
S’ha passat del desconeixement absolut sobre la ciberseguretat a rebre notícies diàriament sobre aquests riscos tecnològics. Aquest fet ha ajudat a posicionar la ciberseguretat com una de les principals àrees de desenvolupament dins dels negocis.
Des de l’any 2018 es creu que la ciberdelinqüència mou més diners al món que el narcotràfic. Els seus atacs cada vegada són més sofisticats, per la qual cosa les empreses requereixen de treballadors experts per fer-hi front.
En l’informe publicat per PwC s’estima que el 2021 hi haurà 3,5 milions de llocs de treball en ciberseguretat sense cobrir a tot el món, mentre que en l’informe realitzat per ISC es diu que a Europa estem prop dels 350.000 llocs de treball de demanda que no es pot cobrir amb l’oferta actual. Aquestes dades no fan més que confirmar la demanda creixent que hi ha d’especialistes en ciberseguretat, i evidencia que aquests especialistes estan entre els perfils professionals més interessants per a les companyies a dia a avui.
La importància de l’estratègia
La improvisació és un dels grans enemics per a qualsevol empresa. I és que, l’estratègia empresarial ens ajuda a aprofitar les oportunitats, fer front a les amenaces, reforçar les fortaleses i minimitzar les debilitats o els riscos. Per a això, es necessita desenvolupar una correcta estratègia amb un coneixement ampli de l’empresa, tant intern com extern. És important comptar amb una visió objectiva i realista de la companyia.
En l’àmbit de la ciberseguretat succeeix el mateix. L’estratègia en ciberseguretat permet aprofitar i focalitzar els recursos disponibles en les àrees de més risc perquè siguin més rendibles.
Conèixer la part estratègica i de govern és essencial per desenvolupar qualsevol pla director de ciberseguretat. Això sí, no cal deixar de banda el coneixement més tècnic de la ciberseguretat per poder generar un pla complet i realista.
L’objectiu de totes les organitzacions hauria de ser la reducció dels seus ciberriscos el màxim possible o, almenys, fins a un llindar assumible pel negoci. No existeix el risc zero, amb la qual cosa, encara que les companyies adoptin tot tipus de controls o mesures de seguretat preventius, han d’ existir plans de detecció, resposta i recuperació per minimitzar l’ impacte en cas d’incident.
El pla estratègic de ciberseguretat
El pla estratègic (o director) de ciberseguretat és un projecte que proposa una sèrie de mesures que ajuden a reduir els riscos entorn de la ciberseguretat d’una empresa. Ha de contenir els aspectes tècnics, legals i organitzatius que s’han de dur a terme per reduir els riscos provocats per les amenaces que afecten una companyia fins a un nivell acceptable.
Un pla estratègic de ciberseguretat ha d‘ajudar a establir l’estratègia que s’ha d’implementar incloent les mesures tècniques, legals i organitzatives adequades.
Elements que componen el pla estratègic de ciberseguretat
El pla estratègic de ciberseguretat es compon de dos àmbits:
- Govern de la ciberseguretat. Consisteix en tota la definició que ens ajuda a estructurar un departament de ciberseguretat i a establir el govern, els rols, les funcions i els procediments que han d’aplicar en aquest departament de seguretat.
- Pla de ciberseguretat. Ajuda a identificar les mesures, a prioritzar-les i a implantar d’ una manera homogènia i amb criteri totes aquestes mesures dins de l’ organització.
Fases del Pla Director de Seguretat
1. As Is
Permet conèixer la situació actual de la ciberseguretat dins de l’organització. S’hauran de determinar el nivell dels riscos que té l’organització, i amb això les amenaces a les quals està exposada.
2. To Be
En aquesta fase s’estableix el nivell objectiu de protecció que desitja l’organització. Aquest nivell objectiu es valora en capacitats de protecció o en reducció del nivell de risc.
3. MESURES DE SEGURETAT
Identificar quines són les mesures ajudarà l’organització a passar de l’estat actual a l’estat objectiu.
4. Pla ESTRATÈGIC DE CIBERSEGURETAT
Un cop detectades les mesures de seguretat s’han de classificar i prioritzar. En aquest punt s’han d’ identificar els costos, prioritats i dependències de les mesures.
5. aPROVACIÓ
L’Alta Direcció serà l’encarregada d’aprovar el Pla Estratègic de Ciberseguretat.
L’aprovació d’aquest és vital per a l’establiment del pressupost o de la inversió que la companyia està disposada a emprar.
6. Execució i seguiment
En aquesta darrera fase, es fa un seguiment per assegurar que es compleix el que estableix el pla estratègic i s’assoleixen els objectius marcats a l’inici.
Estàndards més comuns per elaborar el pla estratègic de seguretat
Existeixen molts estàndards i normatives, tot i que les més utilitzades a nivell mundial són:
NISTC CSF
Estàndard americà que estableix cinc dominis a tenir en compte per les organitzacions a l’ hora d’establir el pla estratègic:
- Identificar. Realitzar una anàlisi de riscos per gestionar els actius. Cal saber quins són els processos i la informació rellevant per a l’empresa.
- Protegir. Prendre totes les mesures necessàries per protegir: control d’accés, conscienciació i entrenament, seguretat de les dades, manteniment i tecnologies de protecció.
- Detectar. Descobrir anomalies i esdeveniments monitoritzant de forma contínua la seguretat i activant processos de detecció.
- Resposta. Cal saber respondre davant els atacs al més aviat possible i de la millor manera per mitigar els efectes i recuperar els sistemes i actius que hagin estat atacats.
- Recuperació. Un cop s’ha donat resposta s’han de crear plans de recuperació per establir millores per al futur.
ISO/IEC 27001
L’estàndard ISO/IEC 27001 és un estàndard certificable que es basa en el cicle del PDCA (Pla-Do-Check-Act). Les fases del cicle en què es basa aquest estàndard són:
- Planifica (Pla). Identifica els actius, entén els processos i el negoci, i realitza una anàlisi de riscos segons l’estat actual en ciberseguretat de la companyia.
- Fes (Do). Identifica els controls i implanta les mesures de seguretat segons els riscos identificats.
- Verifica (Check). Verificar que els controls que estan implantats s’estan executant correctament. Per a això serà necessari mesurar, auditar i verificar.
- Actua. Tots els sistemes són millorables. S’han de detectar els problemes, les debilitats i les millores, a fi d’establir les iniciatives que corregeixin aquestes desviacions.
ISO/IEC 27002
L’estàndard ISO/IEC 27002 permet identificar els dominis i diferents controls que ajuden a mitigar els riscos. Aquests són alguns dels dominis i controls:
5 – Polítiques de seguretat de la informació |
6 – Organització de la seguretat de la informació |
7 – Seguretat relativa als recursos humans |
8 – Gestió d’actius |
9 – Control d’accés |
10 – Criptografia |
11 – Seguretat física i de l’entorn |
12 – Seguretat de les operacions |
13 – Seguretat de les comunicacions |
14 – Adquisició, desenvolupament i manteniment de sistemes d’informació |
15 – Relació amb proveïdors |
16 – Gestió d’incidents de seguretat de la informació |
17 – Gestió de la continuïtat del negoci |
18 – Compliment |
Govern de la ciberseguretat
El govern de la ciberseguretat és una àrea molt important que condicionarà el funcionament del departament. S’ha de definir l’estructura d’aquest departament, i s’ha d’establir les dependències organitzatives en l’organigrama de la companyia.
Les estructures dependents del CIO més comunes són:
Aquest tipus d’organització sol donar-se en empreses petites. A poc a poc aquesta estructura ha anat evolucionant i se li ha anat donant més pes la figura del CISO. En el següent organigrama, el responsable de seguretat depèn directament del CIO, equiparant-se amb la resta de responsables de les àrees d’ IT. Aquest organigrama, que encara és comú trobar-lo en moltes organitzacions, lliga profundament la funció de la ciberseguretat amb el món IT de la companyia.
Aquestes estructures poden reportar inconvenients ja que depèn completament del CIO. La dependència directa amb el CIO sol generar problemes de govern i operatives en l’àrea de ciberseguretat.
En els darrers anys la tendència ha estat la de migrar cap a tipus d’organitzacions basades en estructures independents de l’àrea d’IT o del CIO:
“L’impacte dels ciberatacs cada és més gran, i s’evidencia en les dificultats que tenen les companyies per continuar amb les operacions després que es produeixin” Guillermo Rodríguez
Rols, funcions i processos de l’àrea de ciberseguretat
Un cop establert l’àrea de ciberseguretat s’ha de definir els rols, funcions i processos que permetran governar i gestionar la funció de ciberseguretat a la companyia. La mida de les organitzacions serà un dels factors que condicioni la definició de rols i funcions.
La definició dels rols que existiran en l’àrea de ciberseguretat, juntament amb les responsabilitats que tindrà cadascun d’ells, és important per evitar llacunes en el govern o la protecció de la companyia. Per a cadascun dels rols, s’hauran de definir les funcions que permetran a aquest rol, assumir les responsabilitats establertes.
Finalment, és importantíssim definir correctament els processos d’operació del departament de ciberseguretat, establint la forma de relació amb altres àrees de la companyia, així com els processos interns que seran utilitzats en les operacions d’aquesta àrea.
Pla de ciberseguretat
El Pla Estratègic de Ciberseguretat, a més d’establir el govern de la ciberseguretat, ha de definir el Pla de Seguretat. Aquest Pla de Seguretat contempla les mesures i iniciatives que ajudaran a protegir la companyia.
Les fases per a la generació d’ un pla de ciberseguretat són les següents:
AS IS
Aquesta primera fase requereix de l’entesa dels processos i del negoci en general. Cal identificar els comptes significatius que generen ingressos i valor dins de l’organització, així com els actius crítics, importants i necessaris que ho suporten. Cal detectar els processos que s’han de reforçar per ser més susceptibles a possibles atacs.
Com a peça fonamental en la generació d’un Pla de Ciberseguretat s’ha de realitzar una anàlisi de riscos amb la finalitat d’identificar quins són els actius d’ informació i quines són les seves amenaces i vulnerabilitats. L’anàlisi de riscos té uns elements a considerar.
Els actius, les amenaces que afecten els actius i es materialitzen mitjançant vulnerabilitats, la probabilitat de materialització i l’impacte que genera l’amenaça un cop materialitzada.
Amb tots aquests valors es pot calcular el risc intrínsec que té l’organització. A partir d’ aquest moment, es podran identificar els controls que permetran reduir aquest risc fins que quedi un risc residual assumible per l’Alta Direcció.
El resultat de l’anàlisi de risc determinarà quins riscos de cada dupla actiu-amenaça és més prioritari reduir.
En paral·lel, i per identificar les vulnerabilitats s’analitzarà l’estat de seguretat de la companyia. Aquesta anàlisi pot realitzar mitjançant anàlisis tècniques de vulnerabilitats, obtenció de mètriques, observació i altres tasques que puguin ajudar-nos a establir el nivell de seguretat actual.
TO BE
Amb la situació actual de seguretat coneguda, estem en disposició d’ establir el nivell objectiu de protecció que volem.
Per establir el nivell objectiu hem de tenir en compte molts factors, ja que el nivell de recursos i esforç és limitat. En aquesta segona fase recomanem realitzar una comparativa del sector per obtenir informació útil en la presa de decisió. Això no limita que s’ obtinguin altres fonts d’ informació que ajudin a decidir aquest nivell.
Un cop establert el nivell objectiu, caldrà establir la forma en què s’ anirà aconseguint els resultats al llarg del temps. D’aquesta manera, és recomanable posar-se objectius parcials a curt, mitjà i llarg termini.
Generació del Pla de Ciberseguretat
Un cop establert el nivell objectiu s’ identificaran els controls, mesures de seguretat i iniciatives que ens permetin passar d’ un nivell a un altre. Aquestes mesures o iniciatives tindran una prioritat en base al benefici que aporten segons la reducció de risc que provoquen, el cost, la complexitat d’ implantació o manteniment, i per suposat la seva dependència respecte a la resta d’ iniciatives o mesures de seguretat.
Totes aquestes mesures, així com la projecció des de l’estat actual a l’objectiu ens permet generar el Pla de Ciberseguretat, que serà presentat a la Direcció de la companyia per a la seva aprovació.
Conclusions i beneficis del pla estratègic de ciberseguretat
- L‘estratègia ens permet focalitzar els esforços on realment és necessari dins de l’organització.
- Permet unir esforços entenent els objectius de les mesures de seguretat que implementem.
- L’anàlisi de riscos ens permet identificar les amenaces i prioritzar-les segons el seu risc. És la peça central de l’estratègia.
- No es pot establir una estratègia sense entendre el negoci i els seus processos.
Si necessites informació sobre el tema, et recomano visualitzar aquest webinar sobre l’estratègia de ciberseguretat.