Estructura de ciberseguridad: estructura de gobierno de la información y la ciberseguridad

Posted in Gestión de riesgos on diciembre 8, 2023
Cybersecurity Structure

Una estructura de ciberseguridad es uno de los componentes de la arquitectura de un sistema. Un producto o sistema completo está diseñado y construido alrededor de él. El término «arquitectura de seguridad» se refiere a un marco para determinar cómo los controles de seguridad y contramedidas de su empresa encajan en la estructura general del sistema.

El La Junta Directiva establece el tono de la organización. La junta directiva está compuesta por miembros con experiencia especializada en diferentes dominios, como finanzas, cumplimiento, tecnología de la información, gestión de riesgos, recursos humanos y marketing. La junta directiva es responsable de establecer una sólida cultura de cumplimiento de seguridad de la información y protección de datos y garantizar que la administración cumpla con todas las leyes y requisitos reglamentarios aplicables.

Estructura De Ciberseguridad

La estructura de ciberseguridad

Una estructura de gobierno sólida es la base de un programa eficaz de seguridad de la información. Incluye que la junta directiva y la alta gerencia establezcan el tono en la parte superior, contraten a un director de seguridad de la información calificado o CISO y asignen los recursos adecuados a las tres líneas de defensa. En una organización como un banco o una institución financiera, la junta directiva es principalmente responsable de establecer una sólida cultura de cumplimiento de ciberseguridad y protección de datos e implementar el programa de cumplimiento de seguridad de la información.

El «tono en la parte superior» es un compromiso público en los niveles más altos de la organización para cumplir con los requisitos de protección de información y datos como parte de su misión central y el reconocimiento de que esto es fundamental para el marco general de gestión de riesgos de protección de datos e información.

Para garantizar una supervisión adecuada de la cultura de cumplimiento de la información y la protección de datos, la junta directiva forma un subcomité a nivel de junta para monitorear periódicamente los problemas de información y protección de datos y los cumplimientos normativos relacionados.

La junta directiva puede delegar la responsabilidad al Comité de Cumplimiento de Seguridad de la Información de la Junta o BISCC. Los miembros de BISCC realizan periódicamente reuniones de cumplimiento, donde se revisan y discuten problemas de cumplimiento significativos, incumplimientos y nuevos requisitos reglamentarios.

La junta garantiza que se mantenga una sólida cultura de cumplimiento y un entorno de control. La junta proporciona supervisión y orientación al BISCC y a la alta gerencia para implementar el programa de cumplimiento de seguridad de la información y las políticas aliadas debidamente aprobadas por la junta. La administración forma el conjunto de procesos, líneas de informes, sistemas y estructuras que proporcionan la base para llevar a cabo los requisitos reglamentarios en toda la organización. El entorno de control se relaciona con el compromiso de la gerencia y los empleados con la integridad y los valores éticos.

Para que los controles internos sean eficaces, un entorno de control de protección de datos e información adecuado debe demostrar los siguientes comportamientos:

  • La junta revisa las políticas y procedimientos periódicamente y garantiza su cumplimiento
  • La junta determina si existe un sistema de auditoría y control para probar y monitorear periódicamente el cumplimiento de las políticas o procedimientos de control interno y para informar a la junta casos de incumplimiento.
  • La junta garantiza la independencia de los auditores internos y externos, de modo que la auditoría interna informe directamente al comité de auditoría de la junta, que es responsable ante la junta, y que el auditor externo interactúe con dicho comité y presente una carta de gestión a la junta directamente.
  • La junta se asegura de que se hayan tomado las medidas correctivas apropiadas cuando se informa de la instancia de incumplimiento y que el sistema se haya mejorado para evitar errores recurrentes o errores.
  • Los sistemas de información de gestión proporcionan información adecuada a la junta para que la junta pueda tener acceso a los registros si surge la necesidad.
  • La junta y la gerencia aseguran la comunicación de las políticas de cumplimiento dentro de la organización.
  • El BISCC garantiza que la administración implemente el programa de cumplimiento de seguridad de la información aprobado por la junta para evitar el riesgo de pérdidas de datos e información y garantizar el cumplimiento efectivo de los requisitos reglamentarios relacionados con la protección de datos y la seguridad de la información.
  • El BISCC forma un comité de cumplimiento a nivel gerencial conocido como el Comité de Seguridad de la Información Gerencial o MISC. El MISC trabaja en nombre del BISCC. Revisa regularmente y proporciona retroalimentación apropiada a la gerencia y a los empleados con respecto al perfil general de cumplimiento de la organización.

MCC comprende a todos los jefes de departamento como miembros del MISC, y se reúnen periódicamente para discutir el estado de cumplimiento de sus respectivos departamentos. El Director de Seguridad de la Información, o CISO, sirve como secretario del BISC. El CISO prepara y presenta la agenda de la reunión del BISC ante los miembros del BISC antes de cada reunión periódica del BISC.

El CISO, como jefe de la función de cumplimiento de seguridad de la información, sirve como la segunda línea de defensa y trabaja en coordinación con los equipos de negocios, tecnología de la información y operación de la organización, quienes son responsables de establecer las relaciones comerciales y procesar las transacciones de los clientes y clientes.

El CISO también es el principal responsable de adoptar el enfoque basado en el riesgo para administrar el cumplimiento del programa de seguridad de la información y garantizar que los datos y la información de la organización estén protegidos contra ataques cibernéticos o cualquier otro uso indebido.

Como mejor práctica, el CISO de una organización más grande no debe estar directamente involucrado en las actividades comerciales y operativas. El CISO designado también debe tener una supervisión independiente y ser capaz de comunicarse directamente con las partes que toman decisiones sobre el negocio, como la alta dirección o la junta directiva.

Estructura De Ciberseguridad

Un CISO debe poseer lo siguiente:

  • Tener la autoridad necesaria y el acceso a los recursos para implementar un programa efectivo de cumplimiento de seguridad de la información y realizar los cambios deseados
  • Conocer las funciones y estructura del negocio
  • conocer los riesgos y vulnerabilidades relacionados con la ciberseguridad y los datos del sector empresarial, así como las tendencias y tipologías de ciberseguridad
  • Comprender los requisitos del sector empresarial bajo estándares y regulaciones internacionales de ciberseguridad

CISO es principalmente responsable de hacer lo siguiente:

  • Garantizar el cumplimiento de las leyes, normas, reglamentos e instrucciones aplicables
  • Desarrollar programas de cumplimiento de seguridad de la información de extremo a extremo y todas las políticas, procedimientos, métodos, herramientas, etc. de ciberseguridad y protección de datos, a la luz de estas pautas y garantizar, monitorear o supervisar su implementación en toda la entidad.
  • Determinar los recursos necesarios para desempeñar funciones y responsabilidades de cumplimiento profesional y de calidad deseada
  • Asegurar que se desarrollen e implementen políticas y procesos apropiados para respaldar el programa de cumplimiento de seguridad de la información.
  • Proporcionar datos resumidos e informar los hallazgos sobre cuestiones de cumplimiento de datos e información a la junta o su subcomité periódicamente
  • Informar con prontitud al MISC y al BISC sobre cualquier incumplimiento normativo importante, como fallas que puedan acarrear una sanción significativa.
  • Revisar las políticas y procedimientos de protección de datos e información para garantizar que se incorporen los requisitos reglamentarios para un cumplimiento meticuloso
  • Coordinar con la alta gerencia para implementar el programa general de cumplimiento de seguridad de la información
  • Garantizar que los empleados reciban capacitación relacionada con la ciberseguridad y la protección de datos

Reflexiones finales

Para proteger los datos críticos, la tecnología moderna requiere el uso de un marco de arquitectura de referencia de ciberseguridad por parte de una organización. Esto reduce significativamente la probabilidad de que un atacante obtenga acceso exitoso a la infraestructura de red de una organización. Una empresa puede utilizar la arquitectura de seguridad para crear un entorno libre de riesgos mientras se adhiere a los estándares de seguridad y requisitos comerciales más recientes.

Esta es solo una de las muchas ventajas de este método. Con la ayuda de la arquitectura de seguridad, las organizaciones pueden demostrar su integridad y secreto a posibles socios. Una arquitectura de seguridad sólida se basa en los principios de confidencialidad, integridad y accesibilidad. A los clientes y socios les resultará mucho más fácil hacer negocios y confiar en una empresa como resultado de esto.