top of page
  • Rodrigo Diaz, Argentina

Ciberseguridad: Un Escenario de crecientes Amenazas requiere un Cambio de Estrategia

Las empresas globales más importantes proveedoras de servicios y equipamiento de ciberseguridad afirman que el crecimiento sostenido de los ataques en América Latina presenta cifras de crecimiento interanual de 24%. Esto plasma de manera evidente que se requiere cambiar la estrategia de defensa de detección para poder transformarla en prevención, dejando atrás el modelo de defensa tipo fortaleza o por capas, como se diseñan los sistemas de protección física y como se describe en la norma 27002 (ISO/IEC, 2005), para avanzar hacia un modelo de blindaje unitario y de autorizaciones instantáneas. Esto obedece a la ubicuidad con el que actualmente cuentan, tanto el origen de la amenaza como el activo a proteger, lo cual profundiza el modelo de ciberinmunidad, que no se construye con la implementación de uno o un conjunto de equipamientos tecnológicos, sino que requiere un plan de trabajo que permita transitar desde la realidad actual hacia la situación necesaria del futuro.

Una estrategia recomendable, sería comenzar este camino con una evaluación basada en modelos internacionales, otorgándole un enfoque práctico. En tal sentido, el marco para Mejorar la Ciberseguridad de las Infraestructuras Críticas del National Institute for Standards and Technology (NIST) de Estados Unidos de América, en donde se marca una tendencia de adopción, siendo considerado eficaz en un contexto de innovación tecnológica, ya que se mantiene neutral a la tecnología propiamente dicha, apoyándose en estándares, directrices y prácticas internacionales, administrados y actualizados por la propia industria tecnológica. Las herramientas y métodos disponibles dentro del modelo para lograr los resultados reconocen la naturaleza global de los riesgos de ciberseguridad y evolucionan con los avances tecnológicos y los requisitos comerciales provenientes del mercado.


A partir de esas normas, directrices y prácticas, el marco NIST proporciona una taxonomía y mecanismo comunes para que las organizaciones puedan:


  • Describir su postura actual hacia la ciberseguridad,

  • Explicitar objetivamente su estado en ciberseguridad,

  • Identificar y priorizar las oportunidades de mejora en el contexto de un proceso continuo y repetible,

  • Evaluar el progreso hacia el estado esperado,

  • Comunicar entre las partes interesadas internas y externas sobre el riesgo de ciberseguridad.


Este enfoque unificado y práctico para gestionar el riesgo de ciberseguridad para las infraestructuras críticas y las organizaciones en general, reconoce que las mismas seguirán teniendo riesgos inherentes a cada actividad, como amenazas, vulnerabilidades y diferentes tolerancias de riesgo, como la forma de personalizar la gestión de la seguridad.


Fuente: Elaboración propia basado en información NIST


Particularmente en la categoría “Prevenir” es importante cambiar el paradigma de las últimas décadas de prepararse para evitar el ataque, propio del modelo comentado previamente de defensa física al estilo fortaleza, por un enfoque más granular y dinámico basado en prepararse para el ataque, dando por hecho que, tarde o temprano, éste ocurrirá.


Es de suponer que, en el futuro cercano, el lucro que obtienen los grupos atacantes se incremente por el valor de los datos secuestrados y ya no por la continuidad operativa de la red, y estará dado por la confidencialidad de estos, ya sea por la sensibilidad o por el cumplimento regulatorio. Por este motivo las pólizas de seguro que actualmente se pueden contratar y cubren, entre otros, los riesgos de ciberseguridad, solicitan contar con un relevamiento del nivel de madurez de la ciberseguridad del asegurado realizado sobre la guía de estándares internacionales como la ISO 27000 o el modelo de seguridad del NIST, adaptando la economía de este mercado tan importante a las nuevas dimensiones de las variables que la seguridad cibernética representa en la matriz corporativa de riesgos.


La aplicación del marco NIST para el tratamiento de los riesgos cibernéticos, asegura que las organizaciones puedan determinar las actividades que son importantes para la prestación de servicios críticos, facilitando de esta manera, la priorización de las inversiones para maximizar el beneficio logrado en la estrategia de ciberseguridad, siendo particularmente beneficioso para las PYMES, que llegan a generar el 60% del empleo productivo en América Latina y el Caribe.


.

10 visualizaciones0 comentarios

Comentários


bottom of page