Si eres empresario en México (chico, mediano o grande, aplica de la misma forma), estas son las recomendaciones mas importantes para tener un estándar mínimo en Ciberseguridad, sin embargo, si eres una empresa regulada por la Comisión Nacional Bancaria y de valores (CNBV), y especialmente parte del sector fintech, las siguientes recomendaciones serán obligatorias para todos sus agremiados.
Cumplir las siguientes indicaciones, minimizará la probabilidad de que un ataque cibernético destruya parcial o totalmente el valor de tu organización. El reto no está fácil ya que, 80% de las empresas en México han tenido al menos un ataque exitoso en los últimos 12 meses -uno de los países más atacados del mundo-.
1.- Contar con un CISO.- El Jefe de Seguridad de la Información (CISO por sus siglas en ingles) es un puesto que ahora se exige con distintos requerimientos que responden a las necesidades del entorno. Entre los más importantes es que tengan además de conocimientos técnicos, capacidades gerenciales e incluso de inteligencia, ya que este espacio requiere poder liderar esfuerzos de análisis estratégico, estrategias de defensa, de contrainteligencia, además de enfocar a toda la organización a mejores prácticas -como capacitación y adopción de estándares-, con el fin de preservar la información. Es importante que el CISO reporte a los niveles más altos de la organización, idealmente al Consejo de Administración.
2.- Tener un Plan Director de Seguridad (PDS).- Es un plan general que varía en complejidad reflejando el tamaño de la organización y la dependencia de datos en su operación, sin embargo, todos se basan en varias fases desde el análisis inicial en materia de ciberseguridad, el planteamiento de la estrategia para toda la organización, definición de proyectos clave e iniciativas de la organización y, finalmente, implementación.
3.- Tener un presupuesto específico para proyectos de Ciberseguridad
- Tal vez uno de los peligros organizacionales más grandes es que muchas empresas grandes tienen el presupuesto de Seguridad como parte de TI, lo cual hace que compita por muchas otras prioridades (como mejoras tecnológicas en finanzas, administración, ventas, operaciones) con el enorme riesgo de descuidar la seguridad. La CNBV recomienda y muy pronto regulará como obligatorio tener separado el presupuesto de Ciberseguridad.
4.- Tener el área de Ciberseguridad como un pilar transversal en la organización.
Para lograr preservar la seguridad, es fundamental que el CISO y sus líderes tengan alcance a través de toda la organización, tal que puedan levantar conciencia en todas las áreas, puedan implementar y hacer obligatorias mejores prácticas, capacitar, e incluso otorgar responsabilidades y consecuencias a distintos líderes en la organización.
Si tu empresa es mediana, y apenas inicias el camino de la ciberseguridad, es momento de que tomes este reto muy en serio y asignes responsabilidades dentro de tu empresa para cuidarla, ya que hoy, todas las empresas incrementan cada día su dependencia de datos y de tecnología.
Quienes velamos por la Ciberseguridad sabemos que existen dos tipos de empresas, las que ya fueron atacadas, y las que todavía no saben que están en proceso atacadas, por ello, es importante tomar medidas de inmediato.
Manuel Rivera es CEO y Socio fundador de NEKT Group, empresa especializada en servicios de ciberseguridad en las américas.