Especificaciones de una solución de control ciberseguridad : ¿ha pensado en todo?

Compartir

¿Desea reforzar sus procesos de gestión de ciberseguridad y de conformidad con una herramienta adaptada a sus necesidades? Entonces, su primer paso clave en la planificación de este proyecto es elaborar un pliego de condiciones. En él se definen claramente las necesidades y expectativas de su empresa. Pero más allá de las funcionalidades esenciales y de la definición del nivel de servicios requeridos (formación, actualizaciones, asistencia al usuario, etc.), ¿cómo elaborar eficazmente este pliego de condiciones? ¿Y cuáles son los escollos que hay que evitar?

En este artículo, descubrirá los pasos que hay que seguir para elaborar su pliego de condiciones, junto con una serie de preguntas que le ayudarán a llegar al fondo de sus requisitos y necesidades.

1. Defina las características que necesita

El pliego de condiciones se centra en las funcionalidades que le permitirán medir el rendimiento de su empresa ciberseguridad .

¿Cómo puede medir el rendimiento del sitio web ciberseguridad de su empresa y su evolución a lo largo del tiempo?

Un sistema de información es un entorno en constante evolución. Por lo tanto, es importante definir indicadores de rendimiento (KPI) pertinentes que puedan supervisarse con el tiempo para medir la evolución de su empresa ciberseguridad . Enumera los indicadores de rendimiento de las medidas de seguridad operativas, como el índice de éxito de las pruebas de penetración, el tiempo de respuesta ante incidentes de seguridad o los índices de detección de las aplicaciones antivirus. Pero piense también en medir el rendimiento de los distintos proyectos de ciberseguridad vinculados a la aplicación de su política de sistemas de seguridad informática (PSSI), como los planes de acción y los planes de control. Una vez enumerados los indicadores, piense en cómo se mostrará la información y cómo se comunicarán estos KPI a sus distintos contactos.

Hágase también estas preguntas:

  • ¿Qué tipos de datos recoge la solución? ¿Métricas, pero también informes de progreso, comentarios y planes de acción?
  • ¿Dispone la solución de indicadores de agregación (tiempo, alcance, etc.) para elaborar informes y vistas consolidadas para mis directivos?
  • ¿Cómo se gestionan los distintos roles (administradores, colaboradores, lectores, etc.)?
  • ¿Puedo delegar la introducción de indicadores en determinados usuarios?
  • ¿Se permite un sistema de aprobación de determinadas acciones para tener un control de segundo nivel?
  • ¿Pueden exigirse pruebas de acciones periódicas (como actualizaciones regulares del software por parte de un colaborador de la plataforma)?
  • ¿Es posible comparar un KPI en varios perímetros (por ejemplo, entre filiales de un mismo grupo o entre distintos departamentos)?
  • ¿Proporciona la herramienta informes detallados que ayuden a los usuarios a tomar decisiones con conocimiento de causa?
  • ¿Cómo comparto uno o varios cuadros de mando?
¿Cómo gestiona sus proyectos ciberseguridad ?

Además de mostrar indicadores de rendimiento, la herramienta de gestión debe permitirle controlar todos los proyectos de su empresa ciberseguridad : seguimiento del estado de avance, trabajos pendientes, calendarios e hitos. Pero su futura solución también debe permitirle identificar los proyectos que llevan retraso. Enumere también sus necesidades de actualización.

También debería hacerse las siguientes preguntas:

  • ¿Puede delegarse el seguimiento del proyecto en los usuarios interesados?
  • ¿Qué tipos de datos pueden recogerse (adición de anexos, comentarios, cambio de estado, etc.)?
  • ¿Puede supervisar proyectos dentro de un perímetro determinado? ¿O puede supervisar también la gestión de los planes de acción en todos los sitios?
  • ¿Puede estimar los recursos (coste, tiempo) necesarios para implantar un proyecto de seguridad en la herramienta de gestión?
  • ¿Puede cartografiar a sus proveedores, supervisar sus evaluaciones de seguridad y asignarles un índice de criticidad?
¿Cómo se gestiona la conformidad informática?

Otra parte de su pliego de condiciones se centrará en definir sus requisitos de gestión de la conformidad informática. Su solución debe permitirle medir y controlar en el tiempo el nivel de conformidad de su organización con todas las normas aplicables a su actividad (ISO 27001, guía de higiene ANSSI, PCI-DSS, HDS, 3CF, SWIFT, SecNumCloud, DORA, etc.), así como con sus propias políticas internas. Pero no olvides estar atento a los cambios en las normas, como la versión 2022 de ISO 27002 o la directiva NIS2. La herramienta debe tener en cuenta los cambios de estas normas y actualizar automáticamente los indicadores de seguimiento.

Asegúrese también de hacerse preguntas sobre los siguientes temas:

  • ¿Cómo funciona la modelización de normas y políticas en la herramienta?
  • ¿Puedo realizar una evaluación de uno o varios terceros (proveedores, socios, filiales) a partir de un reglamentación configurable?
  • ¿Qué tipo de pruebas puedo adjuntar a una declaración de conformidad? ¿Puedo añadir comentarios, adjuntar archivos o anotar indicadores?
  • ¿Dispone la herramienta de un catálogo de normas listo para usar?
  • ¿La evaluación de la conformidad está vinculada a medidas correctoras o de cumplimiento?
  • ¿Cómo se gestionan las no conformidades y la justificación para tratar las discrepancias detectadas durante las auditorías?
¿Cómo controla su seguridad informática?

En su futura herramienta de gestión, también deberá poder seguir los incidentes de seguridad (seguimiento, inventario, registro) y disponer de indicadores para su corrección. También debería poder seguir las excepciones de seguridad, es decir, las autorizaciones para desviarse de las medidas definidas en sus políticas de seguridad, ya sean temporales o permanentes.

Para ayudarle a reflexionar más profundamente, considere las siguientes preguntas:

  • ¿Permite la herramienta de gestión vincular las medidas correctoras a los incidentes de seguridad?
  • ¿Puede vincular las acciones a las excepciones? ¿Puede clasificarlas según su estado, comentarlas, validar solicitudes o asociar contramedidas?

2. Establezca sus requisitos de servicio más allá de la funcionalidad

¿Cómo encaja la herramienta en su entorno informático?

La solución de gestión de la seguridad no puede ser una herramienta aislada del resto de su sistema de información. Al contrario, debe estar interconectada con una serie de soluciones técnicas que recopilen automáticamente datos de diferentes soluciones de seguridad. SIEM, directorio corporativo, EDR, aplicaciones en la nube... Todos estos son entornos de los que la herramienta de gestión debe ser capaz de recuperar información automáticamente.

Especifique sus necesidades y obtenga las respuestas a estas preguntas:

  • ¿Cómo puede integrarse la plataforma con sus herramientas de seguridad actuales? Y ¿cuánto esfuerzo me costará integrar la plataforma en mi infraestructura actual?
  • ¿Qué conectores tiene ya la solución? ¿Satisfacen sus necesidades?
  • En caso afirmativo, ¿puede el proveedor de soluciones introducir nuevos conectores para satisfacer sus necesidades?
¿Cómo facilita la herramienta la experiencia del usuario?

Para garantizar la adopción de la solución de control, es esencial que los usuarios puedan navegar fácilmente y encontrar la funcionalidad que buscan. Para ello, la interfaz de usuario debe diseñarse de forma ergonómica e intuitiva. No subestime las pérdidas asociadas a una mala experiencia de usuario: pérdida de tiempo, desmotivación, mayor tiempo de formación, mayor riesgo de errores o problemas de usuario, etc.

Además, puede hacerse las siguientes preguntas:

  • ¿Se puede personalizar la interfaz de usuario, por ejemplo con paneles e informes personalizables?
  • ¿Ofrece la herramienta funciones de colaboración para que los usuarios puedan trabajar juntos en proyectos de seguridad?
¿Cómo se gestionan las solicitudes de los usuarios y la formación?

La solución propuesta debe ir acompañada de asistencia por parte del editor durante todo el contrato. La asistencia al usuario es esencial. Hay que definir los canales de comunicación y los tiempos de asistencia. Pero también hay que preguntar cómo se corregirán los fallos que se produzcan y cómo se mejorarán las competencias de los usuarios en el uso de esta nueva herramienta.

  • ¿Cuál es el nivel de asistencia que ofrece el proveedor de la plataforma en cuanto a tiempos de respuesta, asistencia técnica y resolución de problemas?
  • ¿Cuál es la metodología de integración (hojas de ruta de ISS, plan de control, supervisión de riesgos)?
  • ¿Qué formación está prevista y cómo? ¿Cómo se integra a los usuarios?

3. Planifique con antelación e incluya sus necesidades adicionales para el futuro

La plataforma debe evolucionar con sus necesidades y ser fiable. Pero, ¿cómo puede estar seguro de ello?

¿Cómo se gestiona la escalabilidad de la herramienta?

Como sabe, ciberseguridad es un campo en constante evolución, con muchos cambios rápidos. Hay que adaptarse constantemente a nuevas limitaciones y retos, como el aumento del número de usuarios, el incremento del volumen de datos, los cambios en las soluciones ciberseguridad del ecosistema o la incorporación de nuevos servicios a su organización. Para hacer frente a estos retos, es esencial que la herramienta de gestión ciberseguridad sea capaz de adaptarse a estos cambios continuos. Debe ser capaz de ajustarse con rapidez y eficacia a los nuevos requisitos. Por eso, su pliego de condiciones debe permitirle elegir una herramienta de gestión fiable y escalable para ciberseguridad , sin servicios adicionales.

  • ¿Cómo puedo crear un nuevo usuario o cambiar fácilmente los derechos de un usuario?
  • ¿Es capaz la plataforma de soportar una carga pesada en cuanto a número de usuarios y volumen de datos? ¿Y cómo gestiona la futura ampliación de las necesidades de la empresa?
  • ¿Cómo puede desarrollar su perímetro integrando nuevas políticas de seguridad? ¿Nuevos proveedores?
  • ¿Existe un entorno "sandbox" para probar nuevas funciones o importaciones?
¿Cómo puede estar seguro de que la solución es fiable?

El último punto de este artículo, pero no por ello menos importante, se refiere al rendimiento y la fiabilidad de la herramienta de gestión. Cumplimiento de las buenas prácticas de desarrollo de código (el famoso concepto Security by Design), gestión de la disponibilidad de la plataforma, confidencialidad de los datos alojados, gestión de incidentes... Comprueba que el editor cumple tus requisitos de seguridad.

Completa tu reflexión con estas preguntas:

  • ¿Los datos están alojados en Francia? Está certificado el proveedor de alojamiento SecNumCloud para cumplir las normas de seguridad de la ANSSI?
  • ¿Es compatible la solución con la autenticación fuerte?
  • ¿Qué certificaciones tiene el editor?

En conclusión

La elaboración de un pliego de condiciones para una herramienta de gestión de ciberseguridad y de conformidad es una etapa clave del proyecto, que no debe pasarse por alto. No dude en buscar o pedir testimonios de clientes para hacerse una idea clara del rendimiento y la fiabilidad de la herramienta, así como de las ventajas que ofrece a su empresa. Esto le dará una idea de la facilidad de uso de la herramienta, la calidad del servicio al cliente, la eficacia del seguimiento de los indicadores de rendimiento y el cumplimiento de la normativa, así como la capacidad de la herramienta para adaptarse a las necesidades de su empresa.

Hablemos de ello juntos, y un experto de Tenacy le dará una respuesta precisa a cada una de sus necesidades.