Taller (Rick Aldrich)

El objetivo del taller es establecer elementos claves para el establecimiento, implementación, medición y evolución de un programa de ciber seguridad. Para ello se detalla un marco de gestión de riesgos que reconoce que la seguridad total no es viable y por tanto la efectividad del programa estará sustentada en una gestión confiables de los riesgos.

De igual forma, se abordarán los elementos de gobierno requeridos en el programa, en donde es clave entendere el marco jurídico en el que opera, los tratados internacionales que el país ha firmado o ratificado en las leyes nacionales y locales, lo cual puede restringir ciertas actividades (por ejemplo, las actividades de las escuchas telefónicas o la vigilancia de empleados) o podrá establecer excepciones (cuando, por ejemplo, el trabajador ha dado su consentimiento para dicho monitoreo como condición para el empleo)

De otra parte, durante el taller se revisarán las normas, buenas prácticas y los controles adoptados por una política corporativa de ciber seguridad, entre los cuales se cuentan los del NIST, las directrices cada vez más populares como las Top 20 de Consenso de auditoría del SANS Institute (Consensus Audit Guidelines Top 20), que han demostrado ser una forma efectiva de minimizar amenazas conocidas y de alto impacto.

Así mismo, se revisará el trinomio personas, procesos y tecnología, con énfasis en la tecnología. La proliferación de malware y la conectividad en todo el mundo significa que los ataques se pueden materializar con velocidad e intensidad increíbles. Esto hace que la capacidad de respuesta de las organizaciones y naciones no sea la más adecuada. Esto ha llevado al concepto de "seguimiento continuo", en la que la tecnología se despliega para hacer verificaciones claves en intervalos regulares.

Dicho concepto ha evolucionado a uno de "Diagnóstico y mitigación continuos" por el nuevo énfasis en no sólo el seguimiento, sino en las medidas positivas para mitigar las vulnerabilidades o ataques observados. La gente, por supuesto, seguirá siendo el eslabón más débil, como se muestra en varias ocasiones por las historias de éxito de phishing. Los usuarios tienen que ser entrenados para ser sabios frente a la ciber seguridad, para lo cual los profesionales de la ciber seguridad necesitan formación especializada y experiencia práctica complementaria que permite desarrollar dicha sabiduría.

En la última parte del taller, se abordarán los aspectos de gestión, con el fin de fortalecer y asegurar el liderazgo empresarial detrás del programa de ciber seguridad empresarial. Esto incluye la definición y recolección de métricas clave para proporcionar una retroalimentación constante del estado del programa, a partir de indicadores de aplicación y cumplimiento de la eficacia y la rentabilidad de las acciones previstas. Un programa de métricas eficaz puede identificar rápidamente las áreas problemáticas y ayudar a identificar y establecer la asignación más eficaz de los recursos requeridos para reducir al mínimo el riesgo identificado.