La posibilidad de sufrir ataques cibernéticos es una amenaza constante para las universidades. Si bien existen numerosas soluciones, políticas y estrategias para proteger los recursos de las instituciones, su implementación se debe evaluar periódicamente. Eso permite establecer con certeza el nivel de la madurez de la ciberseguridad de la organización y actuar en consecuencia.
Un modelo de madurez se puede definir como el conjunto de prácticas o procesos para determinar los niveles de avance en las capacidades de la institución. En algunos casos dichos modelos pueden estar determinados por disposiciones legales, como las que regulan la protección de datos.
Un modelo de madurez de la ciberseguridad ayuda a lograr una postura de seguridad eficiente y optimizada. Esto es porque facilita la identificación de las áreas que se deben priorizarse para lograr mejor protección y medir objetivamente su progreso.
Ahora bien, existen numerosos modelos de madurez de la ciberseguridad; aunque difieren en qué tan detallados están y qué tan rigurosos son sus parámetros, suelen compartir ciertas características. Una de ellas es el agrupamiento de sus descripciones en cinco etapas o áreas principales. ¿Cuáles son?
Etapas de la madurez de la ciberseguridad
●Primera etapa. La ciberseguridad está desorganizada y sin estructurar, pues no existen políticas claramente establecidas. Las soluciones trabajan de manera aislada y los procesos de la institución no están documentados.
●Segunda etapa. En este punto los procesos de seguridad ya están documentados. De esa manera, son replicables por cualquier persona a cargo del área. Sin embargo, la integración a nivel institucional aún es incompleta y pueden persistir diferencias en la manera en que cada departamento realiza y documenta sus procesos.
●Tercera etapa. Los procesos y procedimientos de ciberseguridad están estandarizados en todas las áreas de la universidad. El personal recibe entrenamiento oportuno para que pueda comprenderlos y replicarlos de manera uniforme. También se promueve la toma de acciones proactivas y no sólo reactivas para responder a las amenazas.
●Cuarta etapa. Se monitorea y mide el trabajo y los reportes de las herramientas de seguridad. Este nivel suele incluir el uso de herramientas analíticas para obtener estadísticas cuantitativas de los eventos y controles de seguridad.
●Quinta etapa. La madurez de la ciberseguridad es óptima; los procesos se monitorean, analizan y mejoran de manera continua y en muchas ocasiones, automatizada.
Dilucidar los cambios necesarios
No existe un modelo único de madurez de la ciberseguridad ni tampoco una sola forma de evaluarla y mejorarla. En el mercado están disponibles diversas herramientas y soluciones para gestionar y fortalecer la seguridad de los recursos de las TIC universitarias.
Sin embargo, sea cual sea el modelo y la metodología elegidos, la autoevaluación consistente y continua de la ciberseguridad permite dilucidar los cambios necesarios y crear tanto un cronograma como una hoja de ruta para realizarlos.
Pero eso no es todo. Una vez que la organización determina sus necesidades para fortalecer su ciberseguridad, es conveniente que los hallazgos sean revisados por un agente externo. Eso no sólo permite corroborar o enriquecer las medidas a tomar, sino que ayuda a cumplir con los requerimientos legales de manera confiable.