Icon Registrate
Regístrate
Icon Perfil
Iniciar Sesión

Genera confianza en tu negocio: certificaciones en ciberseguridad

Genera confianza en tu negocio: certificaciones en ciberseguridad

Escenario actual

La creciente dependencia de Tecnologías de la Información en todos los ámbitos de la actividad humana en las últimas décadas ha comportado la constante aparición de nuevas regulaciones, estándares y leyes relativas a su seguridad y privacidad. Esto hace que la TI sea cada vez más objeto de supervisión,  de manera similar a actividades  tradicionales como la arquitectura, la ingeniería en sus diferentes ramas, navegación aérea, alimentación, sanidad, … todas ellas fuertemente reguladas. Asociadas al incremento de regulación, han surgido numerosas certificaciones para su cumplimiento o para demostrar el cumplimiento de los estándares en la empresa, así como generar confianza a las diferentes partes interesadas (stakeholders). De manera análoga existen numerosas certificaciones sobre la competencia profesional en materia de seguridad de la información, privacidad y protección de datos personales para los empleados.

Certificaciones en la empresa

Desde los años setenta, han surgido numerosos organismos de regulación, regulaciones y estándares relativos a la seguridad de la información y protección de datos, en diferentes sectores.  Algunos ejemplos son: Privacy Act  (USA, 1974), Computer Security Act (USA, 1987), HIPAA (Health Insurance and Portability and Accountability Act) (USA, 1996),  PCI-DSS (Payment Card Industry – Data Security Stándard, 2004), ISO/IEC 27001 (2005), PSD2 (Payment Services Directive 2, Europa, 2015) GDPR (General Data Protection Regulation) (Europa, 2016), NIS (Network and Information Security) (Europa, 2016), entre muchos otros.

Es por ello, que para demostrar el cumplimiento, generar confianza, y proteger el valor de su marca, cada vez más empresas se certifican en diferentes sistemas de gestión (ISO27001 de seguridad de la información, ISO22301 de continuidad de negocio, 27701 de Privacidad,…), utilizando diferentes marcos de control para gestionar el riesgo. Algunos de los marcos de control (control frameworks) más habituales hoy en día son el Anexo A de la ISO27001,  PCI-DSS (Payment Card Iindustry – Data Security Standard), PSD2 para la seguridad de pagos con tarjetas de crédito y medios digitales,  NIST (National Institute of Standards Technology), CIS (Critical Security Controls) y CSA (Cloud Security Alliance).

Un valor añadido, dentro del proceso para la certificación, será que los empleados de la empresa serán mucho más conscientes de las amenazas en ciberseguridad y privacidad, y esto les mantendrá alerta y motivados, minimizando la posibilidad de que se materialicen los diferentes riesgos.

 

Aprende a proteger tu empresa ante ciberataques
 

En paralelo, en caso de incidente, los reguladores, la opinión pública y los clientes, serán mucho más comprensivos, con menores demandas, sanciones e impacto reputacional en aquellas empresas que han sido diligentes y responsables en el cumplimiento de su obligación para con la seguridad y privacidad, y están certificadas o en proceso.

Certificaciones para los profesionales

Lógicamente, para poder certificar a las empresas, o simplemente para cumplir con las buenas prácticas y estándares en materia de ciberseguridad y privacidad, serán necesarios profesionales adecuadamente capacitados. Existen gran cantidad de disciplinas en esta materia, que fundamentalmente se pueden agrupar en implementadores, auditores y certificadores de seguridad y privacidad. 

Dentro de los implementadores, a su vez, se pueden definir 4 grandes grupos: estrategia-organización, protección, monitorización-detección y resiliencia (respuesta a incidentes, recuperación, ….). En lo que respecta a auditores, se dividen fundamentalmente en auditores de los sistemas de gestión (organización) y auditores técnicos (sistemas, pentesting, red team….). Por último, están los certificadores, que dan fe del correcto despliegue de los sistemas de gestión y marcos de control de seguridad y privacidad a las entidades de certificación.

Dentro de las muchas certificaciones profesionales disponibles destacamos las siguientes:

ISO27001 Lead Implementer, ISO27001 Lead Auditor, CISA (Certified Information Security Auditor), CISM (Certified Information Security Manager), Certificaciones IAPP (International Association of Privacy Professionals), CEH (Certified Ethical Hacker), OSCP (Offensive Security Certified Professional), Certificaciones SANS Institute, así como las certificaciones de seguridad de los numerosos fabricantes de tecnología (Cisco, IBM, Microsoft, CheckPoint, Palo Alto, ….).

Generemos confianza

Las certificaciones son la mejor manera de demostrar de manera objetiva la cualificación de las empresas y profesionales. Una adecuada protección, así como el cumplimiento regulatorio y de estándares en la empresa sin duda potenciarán su imagen, reputación y valor de marca. Es por ello que la ciberseguridad se considera cada vez más una inversión y no un gasto en la empresa. Así mismo, los líderes de ciberseguridad cada vez reportan más alto dentro del organigrama de la empresa, al considerarse la seguridad un tema estratégico. Va siendo habitual en algunos casos que reporten directamente al CEO, especialmente en empresas altamente digitales. Por último, los perfiles de ciberseguridad están muy demandados, así que para los profesionales también es una inversión en su futuro el certificarse en ciberseguridad.

 

New call-to-action

New call-to-action

Suscríbete a nuestro newsletter y no te pierdas nada

Te puede interesar