Son muchos los factores y premisas que una organización debe considerar para definir su estrategia de ciberseguridad, sin embargo, el simple hecho de que una organización se plantee esta pregunta, ya es un síntoma de madurez.
En primera instancia, la ciberseguridad es un “conjunto de medidas de protección de la información, a través del tratamiento de las amenazas que ponen en riesgo la información y que es tratada por los sistemas de información que se encuentran interconectados”. Según ISACA (Information Systems Audit and Control Association).
Es decir, hablamos de sistemas, redes y datos que necesitamos proteger. Y esta protección va a depender de la infraestructura que tengamos, los recursos de la organización para protegerlos, su madurez, etc.
La tecnología relacionada con la ciberseguridad no tiene que sentido por sí misma, sino que tiene la obligación de dar soporte a los objetivos estratégicos de la organización. Por ejemplo, si la organización quiere abrir una nueva línea de negocio o digitalizar un área mediante la implantación de un nuevo software, la ciberseguridad debe ser el área encargada de proteger a la organización contra ataques que pongan en peligro la seguridad de la información de estos nuevos servicios.
Es por lo que, en algunos modelos, un rol como el CISO se encuentra dentro de la alta dirección para conocer de primera mano los objetivos estratégicos del negocio y protegerlos adecuadamente. Como en toda estrategia, la implicación de la alta dirección es una pieza clave