Existen diversos mitos relacionados con la ciberseguridad.
-
“La ciberseguridad es una industria nueva y no existe suficiente información que permita medir la madurez.”
-
“Solo se pueden aplicar modelos de madurez cuando se tienen procesos bien definidos, como podría ser el caso de implementación de software. Imposible hacerlo con la ciberseguridad, donde cada día se presentan problemas o situaciones nuevas y disruptivas.”
Estas son en realidad excusas que se usan a menudo y verdaderamente se pueden adoptar medidas concretas que permiten medir cuantitativamente el nivel de madurez en relación a la ciberseguridad.
¿A qué nos referimos con medir la madurez?
En general un modelo de madurez es una herramienta para evaluar y mejorar habilidades, capacidades y competencias. Se puede definir a un modelo de madurez como un conjunto de características, atributos o indicadores que representan un estado de situación, una progresión y el nivel de éxito en un dominio o disciplina particular.
Un modelo de madurez permite a una organización evaluar las prácticas en relación con un conjunto de puntos de control claros de referencia. La evaluación de estos puntos permite comprender claramente donde se encuentra posicionada la organización actualmente y permite generar una hoja de ruta para mejorar el nivel de madurez en función del negocio.
¿Está mejorando nuestra ciberseguridad? ¿Somos una organización ciberresiliente? ¿Cómo hacemos para seguir mejorando? ¿Estamos mejor que el año anterior? ¿Cómo podemos saberlo?
¿Qué recomendamos?
-
Contemplar los estándares internacionales del tipo ISO 27001, PCI-DSS, NIST-CSF, entre otros.
-
Seleccionar el marco de madurez de ciberseguridad que es más apropiado y mejor se adapta a su organización.
-
Realizar un assessment para conocer cuál es su nivel actual y su perfil de riesgo.
-
Contar con un tablero que mida la madurez para cada dominio y aspecto de control. Este será a partir de ahora, el medio para hacer el seguimiento de su nivel de madurez.
-
Establecer un objetivo de madurez para su organización y negocio. No se debe aspirar a alcanzar el mayor nivel de madurez, sino que hay que elegir el objetivo basado en los riesgos de la organización.
-
Trabajar para alinear al directorio y las partes interesadas con el objetivo.
-
Implementar prácticas y controles. El foco debe estar en mejorar y medir la mejora, no únicamente en aspirar un nivel de madurez.
-
Realizar una evaluación regularmente para medir el progreso y la mejora continua.
Lo más importante es saber que esto no es un mero ejercicio de cumplimiento, sino debe ser un camino de mejora constante que busque alinear la madurez con los objetivos, en función de los riesgos.