En los últimos meses he sido invitado a exponer a empresas de diversos sectores económicos, particularmente en materia de la ley marco de ciberseguridad.

– Si tuviera que orientar a las empresas por donde partir, diría que primero por el hashtag#Directorio, tal como lo escribí en otro post.

De los comentarios que me han hecho en esas capacitaciones y aquí en hashtag#Linkedin, podemos agregar los siguientes temas:

La necesidad de supervisar la Implementación de Controles de Seguridad, es un tema que debe asumir el hashtag#directorio.

– Debe aprobar Controles de Seguridad: Asegurarse de que se implementen controles técnicos y organizativos adecuados para proteger los activos de la empresa.

– Sería ideal Pedir que en cada reunión del Comité correspondiente se revisen las auditorías y Evaluaciones: (Sería interesante el supervisar las auditorías internas y externas, revisar los resultados de las evaluaciones de seguridad)

– Destinar 15 minutos al inicio de sesiones a monitorear el Cumplimiento Normativo. Ello busca garantizar el cumplimiento con todas las regulaciones y estándares aplicables en materia de ciberseguridad.

Ayudar a fomentar una Cultura de Ciberseguridad

– Incorporar la Ciberseguridad en la Formación: Asegurar que todos los empleados reciban capacitación regular en ciberseguridad.
– Incentivar Buenas Prácticas de Seguridad: Establecer incentivos para que los empleados adopten y mantengan buenas prácticas de seguridad.

Un tema que debe estar en agenda anual sería el supervisar la Respuesta a Incidentes de Seguridad. Tal vez verificar la realización de ejercicios.

Aprobar Planes de Respuesta a Incidentes: Asegurarse de que existan planes detallados y probados de respuesta a incidentes.

Monitorear y Revisar Incidentes: Revisar regularmente los informes de incidentes de seguridad y asegurarse de que se tomen medidas correctivas.

Evaluar el Impacto Post-Incidente: Supervisar la evaluación del impacto de los incidentes y la implementación de mejoras basadas en las lecciones aprendidas. El Recovery Time Objetive (RTO) es una métrica que el Directorio debería empezar a pedir.