Hace unos días recalcaba la importancia del framework de Cyberseguridad de NIST en el contexto de los eventos de ataques a las infraestructuras de TI que están sucediendo. Vamos a iniciar un recorrido por las fases, comentando puntos que han probado ser hitos difíciles de superar en la gestión de la seguridad de la información.

La primera fase se refiere a la identificación de todo lo que tiene importancia para la gestión de la información. El lector debe de tener sumo cuidado en no confundir esta fase con la tradicional identificación de activos de información de otros frameworks. Aunque es necesario tener identificados los activos de información, esto es dispositivos que almacenan, transportan o procesan información, el framework también incluye en esa fase importantes categorías que se relacionan con la identificación de funciones crítica de la gestión de TI. Estas categorías son: el ambiente de negocios, el gobierno de la seguridad, la evaluación de riesgos y el análisis de riesgos operacionales. Estas categorías en la realidad tienden a ser ignoradas en las empresas, pero representan hitos fundamentales en el control de la seguridad de la información. Quizá la más relevante sea la evaluación de riesgos de seguridad porque es la que aporta información crucial para entender la importancia de la seguridad de la información para el negocio. Es también la más difícil de asimilar para el negocio. Mi mejor comentario aquí para los dueños de negocio es: si no quieren gastar de forma aleatoria en seguridad, participen en la evaluación de riesgos para dejarle claro a los responsables de la seguridad adónde es que están los riesgos que impactan en la organización. Es importante mencionar que el framework no es solamente técnico y cuando establece la categoría de evaluación de riesgos, en unos de sus componentes especifica directamente que “los impactos potenciales al negocio” sean identificados. Esta frase debe dejarnos clara la idea de que la implementación de la cyberseguridad debe realizarse de acuerdo con los lineamientos del negocio. Hay que recordar aquí que un riesgo es todo lo que podría pasar que tiene la probabilidad de impedir el lograr los objetivos de negocio.

Tener una idea de los riesgos ayudará también a definir el Gobierno de la Seguridad que es necesario para la empresa. Es importante que se identifiquen roles y responsabilidades a todos los niveles de tal forma que se obtenga la seguridad a partir de un conjunto ordenado de esfuerzos. En el área de gobierno, el establecimiento de políticas de seguridad que son continuamente monitoreadas para establecer su efectividad y necesidades de mejora es una tarea primaria.

En la categoría del ambiente de negocios, es importante considerar aquellos procesos de gestión de TI que están pensados para interactuar con el negocio. El establecimiento de niveles de acuerdo de servicios, la gestión de proveedores, la gestión de la capacidad y similares, que garanticen que la información estará disponible, se mantendrá integra y será confidencial cuando las necesidades del negocio así lo requieran.

Por último, la gestión del riesgo operacional es una necesidad eminente de la Gerencia de TI. Esto es identificar riesgos en las operaciones de TI y preparar acciones mitigantes o de reacción en caso de que se materialicen. Esta categoría es importante para no perder disponibilidad en caso de un evento contingencial. Por ejemplo, que pasaría si un empleado “critico” se enferma. Esto es un riesgo operacional. ¿Hemos preparado a alguien más para desempeñar sus funciones críticas? ¿Sabíamos que era crítico? ¿Tenemos documentación suficiente para responder al negocio aunque falte el empleado? Estas preguntas nos hacen entender que no sólo hay que identificar activos en esta fase, sino que es una fase para identificar todo lo que es importante para una gestión eficiente de la seguridad de la información, tomando como criterio primordial el impacto que se necesita evitar a las operaciones del negocio.