Skip to main content

Poner en práctica los principios de ciberresiliencia

Objetivos de aprendizaje 

Después de completar esta unidad, podrá:

  • Describir cómo diseñar una estrategia de integración para permitir la adopción de nuevas políticas y principios cibernéticos.
  • Explicar cómo obtener apoyo y aliados para priorizar la ciberresiliencia.
  • Enumerar las acciones para defender la propuesta de ciberresiliencia como una oportunidad de negocio valiosa para la organización.
  • Identificar cómo crear un plan y un equipo para permitir la adopción eficaz de principios de ciberresiliencia.
  • Describir cómo implementar los principios de ciberresiliencia, y cómo monitorear y ampliar la ciberresiliencia en toda la organización.

Implementar los principios

Para implementar los principios de ciberresiliencia del Foro Económico Mundial (WEF) para la industria del petróleo y gas (OG), así como para obtener los beneficios previstos, la ciberresiliencia no debe ser una consideración posterior, sino que debe estar incorporada en la cultura de una organización y en todos los aspectos de las normas de un negocio. Para cambiar de manera profunda los modos de pensar corporativos arraigados, los gerentes pueden tomar un enfoque gradual para introducir las mejores prácticas de ciberresiliencia en las organizaciones de OG. Estos son los pasos para adoptar este enfoque.

  • Diseñar la estrategia de integración.
  • Obtener apoyo y aliados.
  • Defender la propuesta.
  • Crear un plan y un equipo.
  • Realizar la implementación.
  • Monitorear y ampliar.

Sydney es directora de seguridad de la información (CISO) en una compañía pública de petróleo y gas natural. Sigamos sus pasos a medida que pone en práctica los principios de ciberresiliencia para su industria. 

Sydney está parada frente a una compañía de petróleo y gas natural.

Diseñar la estrategia de integración

Sydney sabe lo importante que es definir una estrategia que integre y permita la adopción de políticas y principios cibernéticos nuevos de forma efectiva. Empieza por definir una metodología de entrega en torno a cuatro pilares clave dentro de la organización: postura frente al riesgo, cultura interna, modelo organizacional y estrategias de negocio. Evalúa la postura frente al riesgo y la madurez interna de su organización para priorizar con exactitud las acciones cibernéticas.

Además, para alinear e integrar los principios de ciberresiliencia con la estrategia, la visión y la misión del negocio, Sydney comprende cómo la ciberseguridad puede respaldar y permitir la competencia central de cada unidad de negocio. Entiende el modelo y la estructura operativos de la organización, y verifica qué partes interesadas clave se requieren para que la adopción sea rápida y exitosa. Selecciona una estrategia de modelo de entrega que se integra bien en la cultura interna de la organización para garantizar la adopción y la implementación efectivas de los principios de ciberresiliencia.

Obtener apoyo y aliados

A continuación, para estar segura de que cuenta con el apoyo interno del liderazgo de los niveles medio y superior, Sydney demuestra los riesgos cibernéticos de sus unidades de negocios a la vez que aprovecha su mandato en la junta para priorizar la ciberresiliencia. Describe las expectativas y los requisitos específicos necesarios para respaldar el mandato en la junta directiva a fin de asegurar la aceptación de las partes interesadas clave. Para ello, ilustra el valor de los principios de ciberresiliencia en situaciones únicas. Para asegurarse de tener el apoyo del liderazgo del nivel superior, defiende la propuesta y demuestra la importancia de la ciberresiliencia ante los miembros de la junta.

Sydney también identifica a los colaboradores clave entre las múltiples partes interesadas de toda la organización que son críticos para la implementación de los principios de ciberresiliencia (por ejemplo, el funcionario encargado de los riesgos y el equipo de auditoría de la organización). Consigue la aceptación interna de los jefes comerciales clave al crear un plan estratégico mediante la ilustración de la importancia y los beneficios para sus negocios. Asimismo, proporciona recursos y respaldo de fondos para proyectos piloto o faro con fondos dedicados a ciberseguridad, por medio de la asignación de presupuestos operativos a medidas de ciberresiliencia.

Sydney también integra los principios de ciberresiliencia en los procesos de regulación existentes para que la adopción se realice sin inconvenientes y de forma más rápida (por ejemplo, mediante el uso de la cultura sobre seguridad que tiene en la organización y otras disciplinas maduras).

Defender la propuesta

A continuación, para mantener el apoyo y la implicación del liderazgo del nivel superior, Sydney describe la ciberresiliencia como una oportunidad de negocio valiosa para la organización. Asigna nuevas políticas cibernéticas a la visión, la misión y los objetivos estratégicos de la compañía. Comunica la complejidad y la urgencia de implementación mediante la ilustración de los riesgos para la organización y la unidad de negocio.

Sydney también coordina actividades con aliados internos identificados para garantizar una propuesta colaborativa y holística cuando se comunique con la junta directiva y presente los informes. Reitera los beneficios de la ciberresiliencia a la junta directiva. Para ello, demuestra el valor de negocio cuantificando y calificando los riesgos y las recompensas para la organización a través de ejemplos prácticos. Además, para establecer objetivos claros, aclara los puntos de medición del desempeño y los indicadores clave de desempeño de forma oportuna, y define la frecuencia de los informes (de mensual a semestral).

Sydney reitera la relevancia de los principios de ciberresiliencia para destacar a la junta directiva el valor y los beneficios de la ciberresiliencia a largo plazo. 

Crear un plan y un equipo

A continuación, para permitir la adopción y la implementación efectivas de los principios de ciberresiliencia, Sydney establece un mapa de ruta con actividades claras, eventos clave e indicadores clave de desempeño prácticos con mecanismos que respaldan los cambios futuros. Selecciona un equipo interfuncional para gestionar una ruta estratégica de implementación según la complejidad y la cultura de su organización, y los objetivos de los miembros de la junta. Adapta y valida el plan (si es necesario). Para ello establece las entregas y los puntos de medición clave, y un plan de comunicación de informes y métricas bien definido.

Para definir el modelo de entrega, Sydney tiene en cuenta la gestión de cambios internos, la ingeniería del proceso de negocio y el método de entrega (por ejemplo, aprovechar la metodología ágil y la planificación anual del negocio de la organización). Verifica que el equipo entiende el valor de los principios, y defiende la ruta estratégica mediante la aplicación de objetivos individuales y la integración de la responsabilidad en ciberseguridad dentro de cada función.

Realizar la implementación

Luego, Sydney inicia la implementación de los principios clave de gestión de riesgos y ciberresiliencia para moldear la cultura de ciberseguridad en la organización por medio de una estrategia de integración definida. Introduce, implementar e integra los principios de ciberresiliencia en el modelo operativo de destino. Aprovecha los proyectos piloto, faro y existentes para integrar programas de ciberresiliencia en los nuevos desarrollos.

Sydney también adapta la capacitación a un amplio de miembros del personal, incluidos los miembros de la junta directiva, para establecer expectativas integrales y concienciación acerca de los riesgos cibernéticos inherentes.

Monitorear y ampliar

Por último, Sydney posibilita el monitoreo continuo por medio de bucles de retroalimentación instantáneos, a la vez que proporciona métricas de desempeño clave y lleva a cabo las revisiones de desempeño necesarias para ampliar la ciberresiliencia en toda la organización. Permite la comunicación constante con las partes interesadas clave en cuanto al valor de los proyectos de ciberresiliencia en curso y futuros, y el logro de los objetivos de ciberseguridad de la organización. Implementa de forma continua la generación de informes y la retroalimentación en la junta directiva con el fin de recalcar los objetivos iniciales, proporcionar mediciones simples y comunicar el progreso y el valor general.

Sydney también monitorea los indicadores líderes (por ejemplo, el presupuesto y la capacidad del proyecto) y elimina los obstáculos identificados antes de que tengan un impacto negativo en la implementación. Monitorea y revisa los indicadores de desempeño definidos, y si es necesario, los adapta para respaldar la expansión de la ciberseguridad.

Comprobación de conocimientos

¿Listo para revisar lo que aprendió? Esta comprobación de conocimientos no se puntúa; solo es una forma sencilla de comprobar sus conocimientos. Para comenzar, arrastre la descripción en la columna izquierda al término correspondiente a la derecha. Cuando finalice la comparación de todos los elementos, haga clic en Enviar para comprobar su trabajo. Si desea empezar desde el principio, haga clic en Restablecer.

¡Bien hecho!

Resumen

En este módulo, presentamos un proceso para evaluar el riesgo cibernético y mejorar la ciberresiliencia en toda la industria de OG. También aprendimos cómo implementar los principios de ciberresiliencia del WEF para las juntas directivas de la industria de OG. ¡Excelente trabajo!

¿Le interesa obtener más información sobre tecnologías y trayectorias profesionales de ciberseguridad? Diríjase al Centro de aprendizaje sobre ciberseguridad para explorar otras funciones y conocer la experiencia de profesionales de seguridad reales.

Recursos

PDF: WEF: La ciberresiliencia en la industria del petróleo y gas

Comparta sus comentarios de Trailhead en la Ayuda de Salesforce.

Nos encantaría saber más sobre su experiencia con Trailhead. Ahora puede acceder al nuevo formulario de comentarios en cualquier momento en el sitio de Ayuda de Salesforce.

Más información Continuar a Compartir comentarios