Estrategia de Ciberseguridad aplicando de manera simple el ciclo planear-hacer-verificar-actuar en la estrategia de ciberseguridad

Siendo desde hace años  consultor internacional, profesor en maestrías y experto en herramientas como el Balanced ScoreCard, Mapas Estratégicos, Execution Premium Process de Kaplan&Norton, Sistemas de Gestión de Ciberseguridad, de Continuidad del negocio, entre otros, con el pasar de los años he encontrado un patrón común que facilita la formulación y ejecución de la Estrategia, usando el ciclo Planear-Hacer-Verificar-Actuar, en este artículo exploraremos como aplicarlo a la estrategia de ciberseguridad.

La Génesis de los Sistemas de Gestión

A manera simple inicio con un ejemplo,  podemos pensar en las empresas que antes de la pandemia tenian implementado ya un Sistema de Gestión de Continuidad del Negocio basado en la ISO 22301:2019, sistema que he implemendado durante muchos años en distintos tipos de instituciones.  Tener este sistema de Gestión implementado implica estar preparado con planes de recuperación ante riesgos relacionados a incidentes disruptivos, hacer escenarios de posibles riesgos (Planear), ejecutar simulacros entre otros varios aspectos de la continuidad del negocio (Hacer), hacer revisiones y auditorias a los resultados de los simulacros (Verificar), documentar las mejoras necesarias según las lecciones aprendidas, (Actuar) ejecutar las medidas correctivas en los planes y escenarios y correr de nuevo el ciclo buscando la continuidad del negocio y la resiliencia organizacional en caso de un incidente disruptivo como lo fue la pandemia.  

No olvidemos que el principio básico de un Sistema de Gestión es cumplir con el ciclo Planear-Hacer-Verificar-Actuar, esto no solo aplica para sistemas de gestión basados en estandares de la Organizión Internacional de Estándares (ISO por sus siglas en inglés), implica también otros sistemas de gestión como los de Gestión de Clientes, Gestión del Conocimiento, de la Responsabilidad, Ciberseguridad, Continuidad del Negocio entre otros.

Actualmente en el mercado se cuenta con varios estándares internacionales relacionados a la Ciberseguridad, Seguridad de la Información y temas relacionados, por mencionar algunos podemos citar la ISO/IEC 27001:2022, NIST CSF, CIS, PCI-DSS, CSA y varios mas, éste artículo está escrito para público ejecutivo, gerencial, se abordará desde un punto de vista no técnico.

El Ciclo Planear-Hacer-Verificar-Actuar aplicado a la Estrategia de Ciberseguridad

El ciclo de la mejora contínua es ampliamente conocido, pero lamentablemente me he encontrado con muchos profesionales que lo asocian normalmente con Gestión por Procesos, Mejora Contínua, Gestión de la Operación entre otros, y no lo asociacian normalmente con la Gestión de la Estrategia, especialmente la de Ciberseguridad.

Despues de haber implementado Sistemas de Gestión de Estrategia basados en el modelo Execution Premium Process de los Drs. Kaplan y Norton, así como Sistemas de Gestión de Seguridad de la Información, Ciberseguridad, Continuidad en muchas medianas y grandes empresas así como en instituciones no lucrativas y en la Milicia entre otras, una forma fácil que encontré para explicar de manera simple en lo que consiste el Sistema de Gestión de Estrategia de Ciberseguridad, está resumido en la siguiente imagen.

El Ciclo Planear-Hacer-Verificar-Actuar aplicado a la Estrategia de Ciberseguridad

Planear

Idealmente el CISO (Chief Information Securit Officer) debe ser invitado a participar en el ejercicio de Planeación Estratégica Institucional para poder estar familiarizado con la estrategia lo mas a fondo posible, si esto no sucedió corresponde analizar detenidamente cada objetivo estratégico junto con el responsable asigando, entender las principales métricas definidas para medir la estrategia institucional así como los principales proyectos institucionales definidos y con ello planterar Objetivos Estratégicos de Ciberseguridad.

Es importante en ésta fase, para que se pueda hacer una buena implementación de la estrategia de ciberseguridad, lograr aterrizar el análisis estratégico al menos a los siguientes elementos:

  • Cybersecurity Strategy Map (La estrategia representada de manera gráfica ó One Page Strategy)
  • Cybersecurity Scorecard (Métricas clave de riesgo -KRIs por sus siglas en inglés-, relacionadas a los objetivos estratégicos de Ciberseguridad)
  • Cybersecurity Portfolio (Principales Iniciativas, Proyectos que se ejecutarán para el logro de la estrategia de ciberseguridad), normalmente llevados a sus principales hitos para efectos de planificación y presupuesto.  
  • Cybersecurity StratEX (Cyber Strategic Expenditures – Presupuesto necesario para implementar la estrategia de Ciberseguridad)

Hacer

Portafolio de Iniciativas, Proyectos Estratégicos de Ciberseguridad

Esta etapa es la esencia de la estrategia, sin portafolio de proyectos no existe la ejecución, por lo que en esta etapa se debe iniciar la ejecución del portafolio de proyectos definido en la fase planear.   Se debe contar ya con las principales actividades para el logro de los hitos con sus respectivos responsables, sin ello será imposible iniciar la ejecución.

En esta fase, el presupuesto Estratégico de Ciberseguridad (Cyber StratEX) definido en la fase anterior también inicia a ser ejecutado según lo planificado, normalmente como CapEX (Capital Expenditures) y OpEX (Operational Expenditures). 

A manera de ejemplo, con un importante Grupo Industrial regional, en la fase planer quedó una Iniciativa  Estratégica “Renovación del equipo clave de infraestructura de telecomunicaciones” con un presupuesto definido (Cyber StratEX), al iniciar la ejecución del proyecto y comprar la primeros equipos se está ejecutando el CapEX y luego, mantener en operación los nuevos equipos será el OpEX. 

Hay que recordar el principio básico de los proyectos, los cuales tienen un inicio, un fin y normalmente no se repiten.

Procesos

Otro componente sumamente importante de la ejecución de la estrategia de ciberseguridad son los procesos de la operación cyber, sin ellos y sin colaboradores, no habría estrategia¡ Los procesos deben continuar ejecutándose de manera eficiente y aplicandoles las mejoras necesarias.

Como pate de la ejecución de Portafolio de Proyectos Estratégicos, algunos requerirán mejoras a los procesos actuales, incluso algunos Proyectos podrán incorporar nuevos procesos.  (Siguiendo con el  ejemplo del párrafo anterior), los nuevos equipos adquiridos posiblemente transformen o cambien totalmente el proceso de mantenimiento ó administración de los equipos clave de la infraestructura de la organización. 

Verificar

Esta etapa es sumamente importante, si no hacemos las verificaciones necesarias, nunca sabremos si la ejecución de la estrategia va de acuerdo a lo planeado ni mucho menos podremos generar correcciones y mejoras.

Los 2 componentes clave de esta etapa son los siguientes.

Reuniones de Análisis Operativo de Ciberseguridad (RAO Cyber)

¿Están nuestras operaciones de Ciberseguridad bajo control?

Estas reuniones permitirán monitorear de cerca las operaciones cyber de la organización, especialmente las que tienen mayor relación e impacto con el logro de la ejecución de la estrategia institucional.

La periodicidad de ejecución de estas reuniones se recomienda que sea al menos mensual. 

Los elementos mínimos a revisar en esta reunión son los siguientes:

  • Procesos Cyber que impactan directamente en la estrategia Institucional
    • Avances y resultados de actividades 
    • Dashboards de métricas operacionales
    • Control presupuestario operacional
  • Portafolio de Proyectos Estratégicos
    • Avances y resultados de actividades de los proyectos
    • Avances y resulados para el logro de los hitos.
    • Control presupuestario del portafolio

Normalmente las RAO Cyber se llevan a cabo entre los responsables de alguna Iniciativa/Proyecto de la Estrategia de Ciberseguridad así como los líderes de los procesos cyber, acompañados de sus responsables operacionales.

Reuniones de Análisis Estratégico (RAE)

¿Estamos ejecutando adecuadamente nuestra estrategia de ciberseguridad?

Estas reuniones normalmente se llevan a cabo de manera mensual, participa el comité de seguridad o su equivalente dentro de la organización, la preside el CISO o quien la Alta Dirección designe, la reunión debe enfocarse en la discusión de resultados de los elementos estratégicos de la estrategia de ciberseguridad, se busca que el tiempo se dedique a resolver problemas y toma de decisiones y no llegarse a enterar en el momento.

Los elementos que normalmente se revisan en este tipo de reunión son los siguientes:

  • Objetivos Estratégicos de Ciberseguridad
  • Indicadores Clave de Riesgo (KRIs)
  • Avance general del Portafolio de Proyectos Estratégicos de Ciberseguridad incluido el presupuesto.

Un tiempo prudente para la ejecución de la reunión son 2 a 3 horas. 

Es importante que previo a la RAE Cyber los miembros que participen, hayan llevado a cabo sus RAOs Cyber y como resultado de estas reuniones hayan preparado y enviado previo la reunión sus respectivos análisis de desempeño y recomendaciones de los elementos a su cargo así como es importante que los otros gerentes lean estos resumenes de informes previo la reunión.   La agenda se envia previo la reunión y se busca que sea un espacio de toma de decisiones mas que de largas presentaciones de resultados.

Por default no se habla de los elementos tácticos a menos que sea necesario retroalimentación, se asume que el miembro que participa hizo sus RAOs y llega preparado.

Actuar (la mejora contínua)

Como resultado de ejecutar las RAOs y RAEs Cyber, se toman decisiones de corrección y de mejora de los distintos elementos de la estrategia de ciberseguridad, estas acciones se recomienda sean documentadas y almacenadas.

Por ejemplo durante una RAE puede decidirse mover la fecha de finalización de un proyecto, o la fecha de finalización de algún hito, se puede decidir modificar la meta de algún KRI entre otras cosas.

Asimismo durante la ejecución de una RAO se toman decisiones relacionadas a la operación cyber, por ejemplo atrasos en el programa de mantenimientos de equipos de la infraestructura tecnológica, bajo desempeño según las métricas de procesos entre otras.

Para finalizar, es recomendable crear el Rol de Oficial de Seguridad de la Información (OSI) ó Chief Information Security Officer (CISO), quien será el orquestador que permitirá que las cosas sucedan, idealmente reporta a la Alta Dirección, en otro artículo escribiré mas detalles sobre cada paso del Sistema de Gestión de Estrategia de Ciberseguridad así como de las funciones del CISO.

De lo Estratégico a lo Táctica en materia de Ciberseguridad

De lo Estratégico a lo Táctica en materia de Ciberseguridad

Se recomienda crear la estrategia en un esquema Top-Down y la rendición de cuentas será en un esquema Bottom-UP.  

Como se puede observar a la máxima altitud estratégica se encuentra la estrategia institucional, al disminuir la altitud se obtienen los elementos clave de la Estrategia de Ciberseguridad de la Información como lo son los Objetivos Estratégicos de Ciberseguridad, Indicadores Clave de Riesgo (KRIs por sus siglas en inglés), y las Iniciativas y Proyectos clave para el logro de los Objetivos de Ciberseguridad.

Se puede apreciar que la ejecución de la estrategia es llevada a cabo con base a buenas prácticas de Gestion de Proyectos y la ejecución de Procesos de Ciberseguridad debe ser llevada usando buenas prácticas en gestión de procesos como puede ser ISO 9001 y buenas prácticas de  gestión de servicios como ITIL, ISO/IEC 20000-1. 

La herramienta Executive Strategy Manager www.esmgrp.com diseñada por los Drs. Kaplan & Norton tiene la capacidad de automatizar la ejecución de la estrategia de ciberseguridad tanto a nivel estratégico como táctico. 

En otros artículos esploraremos mas a fondo la relación entre la Gestión de Estrategia de Ciberseguridad, la Gestión del Portafolio de Proyectos de Ciberseguridad y la Gestión de Procesos de Ciberseguridad.

Elder A. Guerra V.

CEO ES Consulting

Kaplan & Norton Execution Premium Certified since 2009 

Registered Expert ISO/IEC JTC 1/SC27/WG1 Information security, cybersecurity and privacy protection

Referencias bibliográficas

Kaplan, R., y Norton, D. (2008). The Execution Premium.

Pietersen, William G. (2010), Strategic Learning

ISO/IEC 27001:2022, ISO/IEC 20000-1:2018, ISO 22301:2019, www.iso.org 

NIST CSF, www.nist.gov/cyberframework

CIS, www.cisecurity.org

PCI-DSS, www.pcisecuritystandards.org

CSA, www.cloudsecurityalliance.org

Síguenos

Recientes

Populares

Eventos

También te puede interesar...

El naciente orden internacional: ¿hegemónico, estable o anárquico?

Están proliferando aceleradamente problemas mundiales que ningún país puede resolver por sí solo. La lista de dificultades que afectan a la humanidad, independientemente de...

Guía para Definir la Ciberseguridad Razonable: Perspectiva de un Profesional de Ciberseguridad en Guatemala

En Guatemala, al igual que en muchos otros países, no existe un estándar nacional, legal o transversal mínimo para la seguridad de la información....

Su casa y el clima

Los propietarios de terrenos, casas, apartamentos y otros edificios residenciales enfrentarán una pérdida que podría alcanzar los 25 billones de dólares —es decir, 25...

América Latina, potencial de inversión para los fondos de VC: cinco cualidades de la región que la hacen llamativa

Hoy en día la globalización y la interconexión de los mercados financieros van en aumento, destacando a América Latina como una región de enorme...