La Importancia de revisar y actualizar tu plan Estratégico de Seguridad de la Información (PESI)

¿Cómo está tu PESI?

Es fundamental que todas las organizaciones, sin importar su tamaño, sector o facturación, dediquen tiempo a evaluar su Plan Estratégico de Seguridad de la Información (PESI). Este no es un esfuerzo exclusivo de las áreas de tecnología, seguridad o riesgos. El éxito de un PESI depende de un enfoque integral que involucre a todas las áreas de la organización.

Cuando se desarrolla un PESI, no se trata solo de pensar en qué antivirus comprar, si debemos hacer o no una evaluación de vulnerabilidades, o en qué fecha del año dictaremos una charla de sensibilización a los empleados sobre los riesgos de seguridad. Es mucho más que eso. La seguridad de la información no solo protege datos, sino que asegura la continuidad del negocio, el cumplimiento de la promesa de valor y la adherencia a las normativas legales y regulatorias aplicables. Revisar y actualizar el PESI permite detectar brechas, ajustar estrategias y prepararse frente a un panorama de riesgos en constante evolución.

Normativa Específica para Cooperativas en Colombia

Para el caso particular en Colombia, las cooperativas especializadas en ahorro y crédito, así como las multiactivas e integrales con sección de ahorro y crédito, vigiladas por la Superintendencia de la Economía Solidaria (Supersolidaria), deben cumplir con los requisitos de seguridad y calidad de la información definidos en la Circular Externa 36 de 2022, específicamente en su Anexo 2: Instrucciones sobre Seguridad y Calidad de la Información para la Prestación de los Servicios Financieros.

Esta normativa establece la obligatoriedad de contar con un PESI, el cual debe ser una responsabilidad del Consejo de Administración y la Gerencia General. Aunque la circular no detalla cómo desarrollar un PESI, sí enfatiza que este debe formularse considerando los recursos y limitaciones disponibles, además de los requisitos legales y reglamentarios pertinentes de cada entidad.

Asimismo, se menciona que el presupuesto del PESI debe contemplar:

• La criticidad de los activos de información involucrados.
• Los recursos necesarios para asegurar la función de seguridad de la información.
• Herramientas tecnológicas que protejan los activos de información.
• Un proceso de mejora continua para garantizar que la seguridad evolucione con las necesidades y riesgos de la entidad.

Relación entre el PESI y los Fallos en Ciberseguridad

Uno de los objetivos principales de un PESI es minimizar los fallos en ciberseguridad, los cuales generalmente se deben a la ausencia de controles adecuados. Al no contar con un plan estratégico bien definido, las organizaciones enfrentan brechas que pueden ser aprovechadas por los ciberdelincuentes, desde accesos no autorizados hasta ataques de ingeniería social.

El PESI, al estructurarse de manera integral, permite:

• Identificar las áreas vulnerables: Realiza análisis comparativos de capacidades de seguridad para reconocer dónde están los puntos débiles.
• Definir y priorizar controles adecuados: El plan detalla cómo y dónde implementar medidas organizacionales, tecnológicas, humanas y físicas para proteger los activos de información.
• Asegurar que las acciones sean efectivas y alineadas: Esto implica coordinar los esfuerzos entre diferentes áreas de la organización y alinearlos con las normativas legales y objetivos estratégicos.

Un PESI también debe garantizar que los controles estén continuamente revisados y adaptados a las amenazas emergentes, evitando así un enfoque reactivo que deja a la organización vulnerable frente a nuevas técnicas de ataque.

El Factor Humano: Una Pieza Clave en el PESI

Dentro del desarrollo y ejecución de un PESI, es fundamental incluir estrategias para abordar el factor humano, una de las principales causas de incidentes de seguridad. Los ciberdelincuentes son expertos en ingeniería social, utilizando tácticas diseñadas para engañar a los empleados y acceder a información crítica.

El PESI debe contemplar:

• Capacitación y sensibilización continua: Los empleados deben estar preparados para identificar intentos de phishing y otras amenazas comunes.
• Políticas claras de seguridad: Estas deben incluir procedimientos de respuesta ante incidentes y protocolos de acceso.
• Fortalecimiento de la cultura organizacional: Crear conciencia sobre la importancia de la seguridad como un esfuerzo colectivo.

De esta forma, el PESI se convierte en un marco estratégico que no solo cubre los aspectos técnicos, sino que también fortalece la participación activa de los empleados en la protección de los datos y la continuidad del negocio.

Reflexiona: Responde estas 5 Preguntas Clave sobre tu PESI

Para asegurarte de que tu Plan Estratégico de Seguridad de la Información cumple con las necesidades de tu organización, te invito a reflexionar y responder estas preguntas:

1. ¿Cuándo fue la última vez que revisaste y actualizaste tu PESI?
2. ¿Están alineados los objetivos de tu PESI con la estrategia general de tu organización?
3. ¿Has identificado y priorizado las mayores vulnerabilidades y riesgos en tus activos de información?
4. ¿Está tu equipo capacitado y preparado para enfrentar amenazas actuales, especialmente en lo relacionado con ingeniería social?
5. ¿Cuentas con indicadores claros para medir la efectividad de tu PESI y asegurar su mejora continua?

Recuerda: un PESI no solo protege información; protege el corazón de tu negocio, su reputación, y su capacidad de seguir operando de manera confiable y segura.