Cuando ocurren ciberataques que afectan a la banca y a otros sectores claves de la economía, con la evidente connotación pública, gerentes de empresas solicitan servicios de Ethical Hacking como una solución de ciberseguridad al problema, creyendo que lo abordan de forma correcta. Pasado el susto, sin embargo, vuelven a sus tareas rutinarias, postergando los proyectos de ciberseguridad, lo que refleja la falta de conciencia en la protección de la información y un desconocimiento -o falta de creencia- de que los ciberatacantes son países u organizaciones criminales con estructura jerárquica, estrategias y con presupuestos definidos.

Para abordar en forma eficiente la gestión de riesgos de ciberseguridad se requiere gobernanza y una combinación de múltiples estrategias, siendo fundamentales la alineación a la misión y líneas de negocio de la compañía. Antes de asumir los proyectos que permitirían mitigar los riesgos de ciberataques es clave desarrollar un plan estratégico que sea aprobado y luego liderado por la alta dirección de la organización.

Para comenzar es útil recordar que desde hace un buen tiempo existe el Framework NIST, acrónimo de Instituto Nacional de Estándares y Tecnología dependiente del Departamento de Comercio de Estados Unidos. Se trata de un marco de ciberseguridad que ayuda a los negocios de todo tamaño a comprender mejor sus riesgos de ciberseguridad, administrarlos y reducirlos, junto a la protección de redes y datos.

Si se pregunta por qué es recomendable usar NIST, lo correcto es darle el carácter de estándar a nivel mundial para proteger la infraestructura crítica de la nación y porque la gestión de ciberseguridad parte desde la alta dirección, debiendo ser analizada de acuerdo al giro y procesos de negocios de la organización. Luego se involucra a las gerencias internas y stakeholders.

Las funciones del NIST, como son identificar, proteger, detectar, responder y recuperar, junto a sus niveles y perfiles, permiten diagnosticar el estado actual, mediante un perfil y generando un perfil objetivo. Ello posibilita diseñar un plan de acción, con un adecuado presupuesto de inversión y gasto acorde a las reales necesidades de ciberseguridad de la empresa.

De forma adicional, el marco NIST se relaciona con estándares, directrices y prácticas de las normas ISO 27032, ISO 27002 y Cobit, proporcionando una taxonomía común y un mecanismo para que las organizaciones describan su postura actual de ciberseguridad y también su objetivo deseado, así como para identificar y priorizar oportunidades de mejora dentro del contexto de un proceso continuo y repetible. Todo, al tiempo que se evalúa el progreso hacia el objetivo deseado y se comunica entre las partes interesadas, internas y externas, respecto del riesgo de seguridad cibernética.

NIST complementa y no reemplaza el proceso de gestión de riesgos y el programa de ciberseguridad de una empresa. La organización puede utilizar sus procesos actuales y aprovechar este marco para identificar oportunidades, fortalecer y comunicar la gestión del riesgo de ciberseguridad, asunto que debe estar en línea con las prácticas de la industria, enfatizando que aplica a todo tipo de empresa y de cualquier tamaño. La ciberseguridad es parte de la gestión seguridad de la información que, a su vez, es un pilar estratégico de la gestión de riesgo operacional.