Con el uso cada vez mayor de la tecnología y las plataformas automatizadas en la operación de los negocios y en particular de las instituciones financieras, el tema de la Ciberseguridad deja de ser un asunto de películas y series de ciencia ficción y se vuelve algo que cada vez es más importante para la operativa diaria de nuestras organizaciones, siendo inclusive irresponsable ignorar el tema, independientemente del tamaño de la organización.

Sin embargo, con frecuencia es un tema en el cual muchas organizaciones son susceptibles a gastar (y desgastar al equipo de la organización) de forma desordenada obteniendo resultados limitados e intangibles.

En este documento presentamos un enfoque metódico para la asignación de recursos con miras a tener mayor efectividad y éxito en la implementación de un “Programa de Ciberseguridad” de su compañía.

INICIO

I. Concientizar a la Alta Dirección

Cualquier programa de ciberseguridad debe tener el convencimiento y apoyo de los altos directivos de la compañía. Ellos son el primer prospecto a convencer y deberán ser el mayor aliado en la implementación.

Esto es así porque implementar y operar un programa de ciberseguridad implica un costo para la compañía, ya sea en tiempo consumido por sus empleados e incluso en costo monetario de implementación y operativo. A diferencia de los proyectos con retorno sobre inversión, los “Programas de Ciberseguridad” se asemejan más a un gasto en un seguro, donde mientras el riesgo no se materialice, no obtienes un retorno tangible a tu inversión.

II. Que permee por toda la organización

La alta dirección debe ser el principal creyente e impulsor de un proyecto de ciberseguridad, pero para lograr un programa exitoso, dicho programa debe ser asimilado, asumido y ejecutado por toda la compañía, en todos sus niveles.

Cualquier persona que colabore en la compañía es un potencial punto de acceso para un ataque, y debe estar capacitado para protegerse y proteger a la empresa, siempre de acuerdo a su vulnerabilidad.

III. No todo es tecnología

La Ciberseguridad no se garantiza meramente implementando costosas soluciones tecnológicas. El primer paso siempre debe ser el conocer la situación actual y nuestra operación, para determinar las amenazas y vulnerabilidades inherentes que conlleva dicha operación.

Una vez que conozcamos estas amenazas y vulnerabilidades, es necesario conocer la probabilidad de que se materialicen (riesgo) y el impacto que dicha materialización pudiera provocar en nuestra compañía. Hay muchas herramientas para formalizar este proceso que conocemos como Evaluación de Riesgos.

La Evaluación de Riesgos debe incluir una clasificación de los activos críticos de la organización, considerando factores como la confidencialidad, integridad y disponibilidad de la información.

La Evaluación de Riesgos debe dejar bien claro:

• ¿Cuáles son los activos críticos de la organización?
• ¿Cuál es el impacto de que estos activos sean afectados por un ciberataque?
• ¿De qué formas puede ser atacado cada activo crítico?
• ¿Cuál es la probabilidad de que dicho ataque se materialice?
• ¿Cuál es el impacto específico de dicho ataque?

METODOLOGÍA

A continuación, se presenta un enfoque estructurado en seis etapas, en el cual la Etapa 1 abarca todo este proceso de poner en contexto y perspectiva la posición actual de la organización mediante la Evaluación de Riesgos.

Etapa 1: Evaluación de Riesgos

Es importante contrastar el resultado de la Evaluación de Riesgos contra el apetito al Riesgo que la compañía tenga. Básicamente, consiste en conocer qué tan dispuesta está la alta dirección a ver cada riesgo enlistado y su correspondiente impacto materializarse a resultas de un incidente de ciberseguridad.

Esto nos permite filtrar cuáles vulnerabilidades y amenazas hay que atacar y cuáles estamos de acuerdo en dejar en el nivel en que están y convivir con ellas en la operación diaria.

Otra acción que podemos tomar es priorizar las vulnerabilidades y decidir el orden en que se buscará mitigarlas. Recordemos que un Programa de Ciberseguridad implica un gasto para la compañía y debe encajar dentro de un Presupuesto que se asigne.

Con las vulnerabilidades y amenazas que se determine conveniente incluir en el programa, se deben buscar medidas para su eliminación o bien mitigación a un nivel acorde al apetito al riesgo.

Las soluciones pueden ser de educación, de metodología o tecnológicas, y hay que determinar lo mejor posible el costo asociado a cada medida. No olvidemos que debe seguir siendo viable para la operación de la compañía.

Asimismo, deben priorizarse para que el orden de implementación pueda atacar las vulnerabilidades en el orden que convenga para beneficio de la continuidad operativa.

Hablando de continuidad operativa, recordemos que una opción de nuestro plan de ciberseguridad es MITIGAR el riesgo, lo cual significa que la posibilidad de que una amenaza o vulnerabilidad impacte a la compañía sigue latente.

Por lo tanto, en el Plan de Ciberseguridad se deben establecer, medidas que garanticen la protección de la infraestructura, datos y operaciones financieras. Este plan debe diseñarse en etapas progresivas, desde lo más básico hasta un nivel avanzado de seguridad.

Etapa 2: Medidas Básicas de Seguridad

Entonces, para la Etapa 2 se debe implementar medidas básicas de seguridad. Son las primeras barreras que se colocan para defendernos de un ataque de ciberseguridad.

Políticas, procedimientos y mejores prácticas:

• Realizar entrenamientos básicos sobre uso seguro de correos electrónicos, detección de fraudes y buenas prácticas en el uso del equipo de cómputo
• Asegurarse de que todos los dispositivos tengan software antivirus actualizado
• Mantener todos los sistemas y aplicaciones actualizados para prevenir vulnerabilidades conocidas
• Establecer copias de seguridad periódicas para evitar pérdida de datos es crucial

Soluciones tecnológicas:

• Implementar políticas de contraseñas seguras,
• Implementar autenticación en dos pasos (2FA)
• Implementar el uso de gestor de contraseñas es fundamental
• Configurar firewalls en la red

Etapa 3: Seguridad Operativa y Protección de Datos

En la Etapa 3, ya hablamos de seguridad en Operaciones Financieras y Protección de Datos.

Políticas, procedimientos y mejores prácticas:

• Diferenciar los datos en “Confidencial, organizacional y público”
• Definir un protocolo para el manejo de información de clientes y proveedores es muy necesario
• Establecer una matriz de roles y permisos que garantice segregación de funciones

Soluciones tecnológicas:

• Implementar un sistema de control de accesos (IAM) asegura que cada usuario tenga permisos adecuados y siempre otorgar el mínimo privilegios según la función del colaborador y que haya segmentación de accesos por roles
• Habilitar logs de seguridad para registrar accesos y actividades en los sistemas son pasos esenciales
• Cuando la organización empieza a operar activamente, es clave reforzar la seguridad en las transacciones financieras y el manejo de datos. Implementar cifrado TLS/SSL en comunicaciones. ¡Aplicar diferentes medias de cifrado (En tránsito y en reposo), es algo a lo que debes aplicar con atención!

Etapa 4: Monitoreo y Respuesta a Incidentes

Con un esquema básico de seguridad funcionando, para la Etapa 4, la compañía debe implementar monitoreo continuo y establecer un plan de respuesta ante incidentes.

Políticas, procedimientos y mejores prácticas:

• Crear un procedimiento de actuación en caso de ataques, filtraciones de datos o fraudes es esencial
• Realizar pruebas de phishing y simulaciones de ciberataques para medir la preparación del equipo
• Revisar regularmente la seguridad de los sistemas mediante auditorías y análisis de vulnerabilidades son prácticas recomendadas y una parte vital de un programa de Ciberseguridad son los planes de contingencia y de continuidad operativa, conocidos como DRP o BCP

Soluciones tecnológicas:

• Instalar herramientas que identifiquen y bloqueen accesos sospechosos en tiempo real, como un sistema de detección de intrusos (IDS/IPS) o un SIEM (Gestión de eventos e información de seguridad), el cual vas a poder centralizar todos los registros de las herramientas de seguridad que vayas implementando, para poder visualizarla de manera correcta en un solo lugar
• Si la compañía crece, puede implementar o tercerizar un Centro de Operaciones de Seguridad (SOC) para monitoreo 24/7

Etapa 5: Seguridad Avanzada y Automatización

Para la Etapa 5, se debe fortalecer la postura de seguridad con herramientas avanzadas y procesos automatizados.

Políticas, procedimientos y mejores prácticas:

• Algo muy importante a considerar es tener la infraestructura alojada en cloud, ya que tiene muchas soluciones que se adaptaran a tu tipo de organización
• Considerar aplicar desarrollo seguro desde el inicio

Soluciones tecnológicas:

• Un ejemplo es la ingesta de Inteligencia de Amenazas, ya que es una solución muy necesaria para cualquier tipo de organización de tipo financiero. Ya que nos sirve para detectar IOC (Indicadores de compromiso) y diferentes patrones de ataques que afectar a organizaciones del sector y el cual deberás ingresar al SIEM (Security Information and Event Management)
• También tener un proceso de “Análisis de Comportamiento (UEBA)”, es una herramienta de ciberseguridad que detecta comportamientos anómalos en usuarios y entidades de una red

Etapa 6: Cumplimiento, Certificaciones y Cultura de Seguridad

La etapa 6 consiste, en consolidar la madurez de la estrategia en ciberseguridad, la compañía debe garantizar su cumplimiento normativo y fomentar una cultura organizacional enfocada en la seguridad.

Políticas, procedimientos y mejores prácticas:

• Certificarse en Normas Internacionales como la ISO 27001 (seguridad de la información) y PCI-DSS (protección de datos financieros) o Regulaciones Financieras, aseguran el cumplimiento de las disposiciones o controles de la CNBV y otros organismos reguladores
• Estas regulaciones nos ayudarán a definir un marco de políticas de seguridad de la información documentado por escrito, que sirva como guía para todos los empleados y se establezca las expectativas de comportamiento seguro
• Estas se deben comunicar a todos los empleados y mantenerlas actualizadas periódicamente para mantener su relevancia y mejora continua 

Soluciones tecnológicas:

• Este punto se enfoca casi exclusivamente a estandarizar o certificar los esfuerzos realizados por lo que el mayor énfasis se hace sobre la parte procedural y de prácticas.

Es un trabajo arduo, pero demuestra la importancia de una organización para proteger los datos internos y de clientes de manera correcta.

MANTENIMIENTO

Los ciberataques evolucionan y, los sistemas se actualizan, de tal forma que ningún plan debe mantenerse estático. Un pilar fundamental de un Programa de Ciberseguridad es su capacidad de adaptarse a los nuevos tiempos y amenazas. Esto se logra con ciclos de revisión, educación continua e incluyendo la ciberseguridad en la evaluación de proveedores e implementación de nuevos servicios y tecnologías.

CONCLUSIONES

La seguridad de la información no se trata únicamente de tecnología. Es una combinación de personas, procesos y herramientas. La capacitación continua del personal, la concientización en todos los niveles de la organización y la integración de la seguridad en cada decisión tecnológica son fundamentales para reducir el riesgo de incidentes. Sin embargo, la verdadera fortaleza de un programa de seguridad radica en su capacidad de evolucionar. Las amenazas cambian constantemente, y un plan que no se actualiza con frecuencia se vuelve obsoleto y vulnerable. La ciberseguridad es un compromiso a largo plazo que requiere visión estratégica, inversión y cultura organizacional. No existe un estado de “protección total”, sino un esfuerzo continuo por minimizar riesgos y fortalecer la resiliencia ante ataques. Una organización que asume este reto con seriedad no solo protege su información y su reputación, sino que también construye un entorno de confianza para clientes, socios y empleados.

Recursos Adicionales de Referencia:

https://www.cisecurity.org/cis-benchmarks

https://owasp.org/

https://www.cisa.gov/securebydesign

https://www.sans.org/mlp/espanol/

https://www.iso.org/es/norma/27001

Official PCI Security Standards Council Site

https://www.gob.mx/cnbv