En el mundo de la ciberseguridad existen varias estrategias de seguridad defensiva; una de estas estrategias es llamada «defensa en profundidad», en la que una organización promueve diversas medidas de seguridad para proteger sus activos. El modelo de defensa en profundidad se centra en los controles técnicos existentes en las diferentes capas de la infraestructura. Estas capas consideran controles de datos, de aplicativos, de computadores y servidores, de seguridad física y de diversas capas de red como red interna y perimetral.
Existe además una categoría de políticas, procedimientos y concientización, pero se aproximan a temáticas como políticas de claves y clasificación de datos. Estos controles se pueden asociar a políticas, configuraciones y herramientas de seguridad. Gran parte de estos controles son clasificados de manera técnica, donde el foco es el endurecimiento de los sistemas tecnológicos de la organización o simplemente la reducción del riesgo a un nivel exclusivamente técnico.
Una interpretación rápida de esta estrategia parecería implicar que la solución para mitigar el riesgo frente a un ciberataque es invertir recursos en herramientas y configurarlas correctamente; pero ese enfoque se encuentra limitado, ya que se encontrarían relegadas o ignoradas actividades importantes que no involucran a las herramientas de seguridad directamente.
El 26 de febrero del 2024, el Instituto Nacional de Estándares y Tecnologías de los Estados Unidos, también conocido como NIST, publicó una nueva versión de su marco de trabajo de ciberseguridad. Anteriormente este marco de trabajo se componía de los siguientes cinco (5) pilares: identificación, protección, detección, respuesta y recuperación. La versión actualizada incluye una nueva categoría que aplica de manera transversal a todos los pilares, y es el «gobierno».
NIST define el gobierno de riesgos como el proceso por el cual las evaluaciones, decisiones y acciones de la gestión de riesgo se conectan con la estrategia y objetivos de la organización. El gobierno corporativo define la estrategia general de la organización, la cual tiene la función de definir los procesos por los cuales se establecen los objetivos corporativos adicionalmente a los procedimientos internos que deben seguir los diversos equipos de la organización para lograr esos objetivos.
Tradicionalmente las decisiones de la estrategia de los equipos de ciberseguridad debían adaptarse al gobierno corporativo sin la capacidad de participar en el desarrollo de esta estrategia. Actualmente, debido a la relevancia de la ciberseguridad en el contexto más amplio de la organización, es esencial que los líderes de esta área sean parte integral en las decisiones que los afectan directamente. La ciberseguridad es una fuente importante del riesgo empresarial, por lo que se la debe considerar al definir la estrategia general junto con los riesgos ya considerados como el financiero y el jurídico. Al implementar este componente en la evaluación de riesgo de la organización, la alta dirección tendría la capacidad de tomar decisiones informadas que abarquen el abanico de riesgo completo reduciendo los puntos ciegos.
En un contexto histórico el área de ciberseguridad ha sido vista como un centro de costo, en donde la inversión en esta no entregaba un retorno. Por el contrario, es esencial ver esta inversión en ciberseguridad desde una perspectiva holística, que facilita y resguarda el cumplimiento de los objetivos del negocio. En la actualidad el ambiente corporativo mantiene los activos más valiosos de las organizaciones en formato digital; la protección de estos activos es cada vez más importante. Como ejemplo, se puede citar las áreas que trabajaban en silos antes, desde recursos humanos hasta finanzas, y que ahora trabajan con grandes volúmenes de datos digitales, que pueden contener información sensible, ya sea del negocio o de sus clientes, por lo que estos datos se deben proteger. Por este mismo motivo, las decisiones y evaluaciones de riesgo de una empresa deben considerar los riesgos informáticos además de los riesgos tradicionales de los proyectos.
Cuando se habla de inversión en ciberseguridad, no significa simplemente comprar herramientas de vanguardia o top de línea, sino realizar una inversión transversal, desde el gobierno corporativo hasta las herramientas de seguridad. Estas consideraciones deben incluir la generación de procesos y la capacitación de las personas que deben operar estas tecnologías de manera eficaz. No sería una buena inversión adquirir nuevas tecnologías si la organización no fuera capaz de utilizarla adecuadamente.
Ya es un cliché, pero se sabe que una organización solo es tan segura como su eslabón más débil. Sin embargo, no solo los eslabones deben ser sólidos, sino que la conexión entre cada eslabón debe poder funcionar como cadena cohesionada que logre efectivamente contener la acción de las amenazas. Es decir, no sirve de nada tener una cadena del metal más resistente del mundo en la puerta principal del edificio, si existe una puerta desbloqueada en la parte trasera de este. Lo mismo aplica en la ciberseguridad, se pueden tener las herramientas de vanguardia más actuales, pero si los datos no se gestionan correctamente y los colaboradores caen en campañas de phishing, esas herramientas no podrán detener un incidente. Finalmente, la organización completa debe ser resiliente y no solamente secciones de esta.
