¿Cómo centrarse en la seguridad de la información y defender a su empresa de ciber-ataques?

La protección de los datos personales y la información comercialmente sensible se está volviendo más y más importante cada día. Las empresas se enfrentan cada vez más a la necesidad de encontrar la mejor solución para reforzar la seguridad de la información - aquí es donde la “Enterprise Architecture” (EA) puede marcar la diferencia.

En el mundo de hoy, en frenético y constante cambio, los datos corren a la velocidad de la luz, y cada vez más están transformando rápidamente en procesos nuestra vida cotidiana. La transformación digital es una realidad hoy en día, y entrar en el mundo digital, de forma segura se ha convertido en una prioridad para las pequeñas, medianas y grandes empresas. Mucho se puede aprender de la reciente historia de British Airways hace menos de dos meses: la aerolínea británica fue hackeada, convirtiéndose en víctima de una violación de datos en la que fueron robados los "datos personales y financieros" de los clientes, y más de 380.000 tarjetas de crédito se vieron afectadas. British Airways ya ha ofrecido una compensación a los clientes afectados por el incidente, una cantidad muy significativa, sobre todo porque a muchos clientes de British Airways se les informó sobre el incidente pero no se les dijo que sus datos de tarjetas habían sido robados.

 

¿Qué podemos aprender de esto? Nadie está a salvo de las brechas de seguridad y gestión de la seguridad: es, sin duda una responsabilidad de toda la empresa, desde el nivel operativo del negocio hasta el flujo de trabajo a nivel tecnológico. Todas estas fugas de datos demuestran que vivimos en un mundo digital muy vulnerable y los hackers pueden pasar desapercibidos durante bastante tiempo, y después puede ya ser demasiado tarde. Es por tanto imprescindible desarrollar sistemas robustos y seguros que integren cifrado de datos en cada paso del proceso, pero también es igualmente esencial disponer de una herramienta que ayude en la detección de todas las áreas no cubiertas digitalmente e inseguras de la empresa.

 

En otras palabras, se necesita establecer un sistema de gestión de Seguridad de la Información (SGSI) y mantenerlo día a día.

 

¿Qué es un SGSI: Información del Sistema de Gestión de Seguridad

Un Sistema de Gestión de Seguridad de la Información es un conjunto de procedimientos y reglas dentro de una empresa que ayudan de forma permanente a definir, gobernar, controlar, mantener y mejorar continuamente la seguridad de la información. Se trata de un enfoque sistemático para gestionar la información confidencial de la empresa, y que siga siendo seguro. Incluye personas, procesos y sistemas de TI, y aplica un proceso de gestión de riesgos para ayudar a las pequeñas, medianas y grandes empresas a mantener los activos de información securizados. Un buen punto de partida es plantear uno o más marcos de trabajo, con el fin de definir e implantar un conjunto adecuado de reglas y procedimientos basados en las mejores prácticas probadas. La norma ISO 27000 - por ejemplo - ayuda a las organizaciones a mantener activos de información segura. Es el enfoque más conocido de esta familia de normas.

 

La gestión satisfactoria de un conjunto de activos y riesgos, es donde las empresas se han esforzado al máximo y han visto el mayor desafío. Aquí es donde las organizaciones con una fuerte capacidad en Arquitectura Empresarial (EA) han sido capaces de tener éxito, mediante el aprovechamiento de su arquitectura de gestión de conocimientos, con el fin de ofrecer un método más robusto y sistemático de la comprensión de sus activos de datos y sus riesgos asociados.

 

¿Por qué una herramienta de EA es la piedra angular para la Gestión de la Seguridad


1. El papel del Arquitecto:

Junto con un buen proyecto ISMS, el papel de la EA es otro factor importante a ser examinado. Cada empresa debe ser resistente y capaz de reaccionar ante cualquier riesgo, al mismo tiempo ser capaz de entender o predecir el impacto de las posibles amenazas que se pueden enfrentar.

 

En este escenario, el Arquitecto Empresarial es el papel clave para el éxito, ya que él es capaz de proporcionar una comprensión del impacto de la seguridad de la información en los diferentes niveles de la empresa. Al ser capaz de detectar y vincular los diferentes activos de la empresa. Como una empresa relacionada con cada riesgo de seguridad de la información, un Arquitecto Empresarial puede alinear fácilmente todo el proceso con los objetivos comerciales y garantizar que la empresa sea lo suficientemente fuerte como para reconocer y responder a todas las amenazas. Por último, un buen Arquitecto Empresarial sabe cuántos activos de una compañía son relevantes al intentar mejorar cualquier brecha relacionada con el SGSI.

 

En algún momento, toda esta nueva definición de la empresa también se usará como un plan para definir y evaluar las responsabilidades con respecto a la iniciativa SGSI.

 

Pero, ¿cómo puede un Arquitecto ejecutar esta tarea compleja y lenta y administrar un conjunto claro de activos y sus dependencias? - Gracias a la mejor herramienta de arquitectura empresarial.

 

2. El papel de una herramienta EA:

Una herramienta potente de arquitectura empresarial como ADOIT marca la diferencia en todos los aspectos de la empresa. Permite a los arquitectos y partes interesadas planificar, monitorizar y analizar cada aspecto de la empresa, así como ayudar a la estructura empresarial a mantenerse al tanto de las tendencias de la industria y las necesidades del mercado. Los gestores de riesgos también aprovechan los beneficios de una herramienta de EA, definiendo mejor un plan de trabajo concreto de procesos y flujos de trabajo. Este tipo de software ofrece una visión más holística y disciplinada de la empresa, y permite una colaboración abierta entre TI y otras unidades de negocios, brindando una visión integral de la arquitectura de TI a cualquier persona que se encuentre fuera del entorno de TI. Con esta visión general clara y completa, también será más fácil para los gerentes y los tomadores de decisión priorizar algunas inversiones en comparación con otras, facilitando proyectos y nuevos servicios.


En el sistema y el desarrollo de TI, una herramienta como ADOIT es realmente útil para analizar el impacto de los errores del sistema, las brechas y las brechas de seguridad. Este enfoque le permite a la compañía enfocarse en la detección y respuesta, así como en asegurar la capacidad de recuperación ante los riesgos de seguridad. Por lo tanto, los beneficios de tener una herramienta de Arquitectura Empresarial son que brinda respuestas a algunas de las preguntas más importantes relacionadas con la Seguridad de la Información: 

 

  • ¿Cuál es el alcance del cumplimiento?
    Todo comienza con el marco de trabajo, y la respuesta en ese caso, es convertir un marco genérico en algo realmente significativo y valioso para la empresa, y dividir los requisitos de cumplimiento genéricos en requisitos únicos. Esta operación llevará a una internalización de los requisitos genéricos para todos los activos de la empresa, a la creación de reglas de alcance de validez inteligentes y a una definición de alcance automatizada. Una vez que se definen los requisitos, estos pueden vincularse a los elementos y medidas de infraestructura relevantes para garantizar que el cumplimiento pueda planificarse y ejecutarse.
  • ¿Qué y dónde está la responsabilidad de la evaluación de riesgos?
    Después de definir el alcance de cumplimiento de la Arquitectura, las evaluaciones de riesgo deben identificarse, definirse y luego ejecutarse. Gracias a una herramienta de EA, cada evaluación de riesgos puede asignarse al responsable correcto de activos con bastante facilidad, y cada una de ellas se activará para ejecutar una evaluación de riesgos contra un objetivo de control particular. Eventualmente, todo este nuevo proceso ayudará a la compañía a tener Una definición continua y automatizada.
  • ¿Cuál es el nivel de detalle de los controles?
    El beneficio de esta nueva definición de alcance traerá un alto nivel de optimización del trabajo: junto con el crecimiento de la compañía, las evaluaciones y el alcance de cumplimiento crecerán dinámicamente, así como la definición de la trazabilidad corporativa. Considerar desde el marco general y los requisitos generales, hasta los nuevos y necesarios mecanismos requeridos para la evaluación de riesgos es una ventaja que no tiene precio, y junto con una herramienta de EA, los resultados de estas evaluaciones se presentarán al usuario en un panel dentro del software, por lo tanto dando una visión general de lo que está sucediendo actualmente con mucho más detalle del control. Los miembros del equipo finalmente podrán desarrollar un buen plan de respuesta a incidentes para proteger a toda la organización y garantizar la seguridad de toda la empresa y, lo que es más importante, de los clientes. Este cambio en la empresa se traducirá en más entradas de datos, nuevos modelos de negocios y nuevos desafíos desde una perspectiva de seguridad de la información.

 

Conclusiones finales

Gartner predice que habrá 20.004 millones de dispositivos conectados en todo el mundo para 2020 **, y la otra cara de esta moneda implica una vasta red de hackers potenciales, con una amplia gama equivalente de puntos de acceso fácil para aprovechar. Se espera que el futuro de la TI aumente y este enorme cambio permitirá que los riesgos crezcan en la misma magnitud. Pero al mismo tiempo, las empresas que ven un aumento en la cantidad de información que recopilan, también tendrán un mayor interés por utilizar esa información de una manera más dinámica y ofrecer a los clientes una interacción más rápida y actualizada. con sus servicios.

 

La gestión de la seguridad de la información va a crecer en importancia, magnitud e impacto y, si varias compañías perdieron millones y millones de dólares debido a los ataques cibernéticos, la respuesta definitivamente tendrá éxito en el SGSI junto con todos los interesados y aprovechará la definición de la empresa para comprender. , monitorear y estar al tanto de tal iniciativa.

 

Ciertamente, el enfoque de colaboración será el escenario clave para este nuevo y rentable desafío.

 

Si no desea perder más tiempo, contáctenos y compruebe todas las capacidades que nuestro software ADOIT, nombrado Líder entre las suites de gestión de arquitectura empresarial de Forrester Wave, puede ofrecerle y programar una DEMO en vivo completa y totalmente gratis con uno de nuestros expertos

 

*Más info: iso.org/isoiec-27001-information-security.html

**www.gartner.com/en/newsroom/press-releases/2017-02-07-gartner-says-8-billion-connected-things-will-be-in-use-in-2017-up- 31 por ciento-from-2016