Ciberseguridad: cómo seleccionar apoyo externo de forma idónea

La ciberseguridad debe ser un tema de relevancia interna para las empresas.

Si estás leyendo este artículo probablemente hayas leído el titulado: ¿Debo obtener asistencia externa para administrar mi riesgo de ciberseguridad? y concluiste que deberías subcontratar un proveedor externo. La siguiente pregunta que pudo surgirte fue: ¿Cuáles son las distintas opciones cuando de subcontratación se trata? Para responder a eso consulta nuestro segundo artículo de esta serie: Una introducción a la subcontratación de empresas que ofrecen soporte de ciberseguridad y TI.

Ahora que comprendes tus opciones estás listo para aprender a elegir la que mejor responda a tus necesidades. En esta guía proporcionamos información detallada sobre cómo seleccionar el nivel de apoyo externo.

Paso 1: priorizar

Prioriza tus sistemas y datos. Pregúntate: ¿Cuáles son los más importantes para mi negocio? ¿Cuáles son mis «joyas de la corona»? Es importante identificarlos y enumerarlos para un mejor ejercicio.

Paso 2: considera contratar a un asesor

Hazte las siguientes preguntas para saber si necesitas o no apoyo adicional: ¿Tengo que cumplir con las regulaciones? ¿Interactúo con la información del empleado –el cliente identificable personalmente–? ¿Información (PII) o información de salud protegida (PHI)? ¿Mi empresa está ubicada en un estado con leyes de privacidad? ¿Conozco los requisitos y expectativas que tienen mis clientes? ¿Acepto tarjetas de crédito como forma de pago? ¿Soy parte de una cadena de suministro de infraestructura crítica?

Si la mayoría de tus respuestas fueron “sí”, probablemente te resulte útil un asesor de seguridad de la información, cibernético o un director virtual de seguridad de la información (vCISO). Ellos pueden brindar soporte adicional para guiarlo a través del proceso de selección de apoyo externo.

Si la mayoría de tus respuestas fueron “no”, es posible que no necesites ayuda externa para determinar qué servicios de subcontratación se necesitan.

Paso 3: distingue roles

Es posible que muchos consultores no tengan la capacitación y la experiencia adecuada para abordar sus requisitos de seguridad únicos.

Paso 4: selecciona un ciber líder

Construye una cultura de seguridad y garantiza que las salvaguardas asociadas sean implementadas con el apoyo de la alta gerencia y el vCISO, pues es la persona de contacto de tu empresa con el proveedor seleccionado.

Lo anterior son aspectos fundamentales para que la ciberseguridad nunca deje de ser un tema de relevancia interna para la empresa, aunque se subcontrate el servicio.

Por: Walter Bran con información de Cyber Readiness Institute.