Red Seguridad 107

94 red seguridad cuarto trimestre 2024 entidades esenciales monográfico En las pymes es importante definir una matriz de roles y responsabilidades que permita identificar las necesidades de formación y las necesidades de ser- vicios externos. En el cuadro de abajo, se muestra un ejemplo ilustrativo de una matriz de roles y responsabilidades (R&R). Ciberresiliencia La implementación de la ciberresiliencia no puede ser una estrategia única para todas las organizaciones. Para que sea efectiva, las medidas de ciberseguridad deben ser escalables, adaptándose a la realidad operativa y al tamaño de la empresa. Las grandes empresas pueden dise- ñar sistemas de ciberseguridad modu- lares, que se ajusten a la expansión o contracción de sus operaciones. Un en- foque basado en el uso de tecnologías emergentes, como la inteligencia artifi- cial y el aprendizaje automático, puede ser particularmente útil para gestionar grandes volúmenes de datos y alertas de seguridad. Las pequeñas y medianas empresas, en cambio, pueden optar por soluciones de ciberseguridad en la nube y platafor- mas gestionadas que les permitan man- tener mayores niveles de seguridad sin los costes asociados a infraestructuras internas demasiado complejas. Las he- rramientas de gestión de riesgos adap- tativas son ideales para organizaciones que no pueden permitirse un enfoque personalizado, pero necesitan flexibili- dad ante las demandas regulatorias y de operación. Más allá de la normativa El cumplimiento de la Directiva NIS2 es esencial, pero no debe verse como el único objetivo. La verdadera ciberresi- liencia requiere ir más allá de las obliga- ciones normativas y adoptar un enfoque dinámico que permita a las organizacio- nes adaptarse proactivamente a las nue- vas ciberamenazas. Para lograrlo, las organizaciones de- ben promover una cultura de cibersegu- ridad transversal, donde no se trate solo el cumplimiento regulatorio, sino que se ponga el foco en crear una estructura que fomente la evolución continua de las capacidades de defensa, la adapta- ción a nuevos riesgos y la colaboración entre equipos internos y externos. En resumen, tanto las grandes empre- sas como las pymes deben diseñar una estrategia de ciberresiliencia que no solo les permita cumplir con las normativas, sino que asegure su capacidad de res- puesta ante un entorno de amenazas en constante cambio. La diferencia entre el cumplimiento normativo y la ciberresi- liencia efectiva radica en la capacidad de adaptación, escalabilidad y en cómo las organizaciones gestionan sus estruc- turas internas para proteger los servicios esenciales que proveen a la sociedad. Ejemplo ilustrativo de matriz de roles y responsabilidades en una pyme. / Fuente: CCI. Rol Responsabilidades Formación y capacidades necesarias Servicios externos complementarios Responsable de infraestructuras y ciberseguridad Definir la estrategia, gestionar riesgos, coordinar incidentes y supervisar políticas. Certificaciones (CISM, CISSP), liderazgo, y conocimientos en normativas. Auditorías de seguridad, consultoría de estrategia. Ingeniero de mantenimiento Gestionar la seguridad de dispositivos IoT, aplicar parches y actualizaciones. Conocimientos en ciberseguridad OT, seguridad de red y gestión de parches. Servicios de parcheo remoto y soporte de IoT. Supervisor de producción Monitorizar seguridad de operaciones y responder a alertas de sistemas SCADA. Capacitación en ciberseguridad industrial, SCADA y protocolos de respuesta. Monitorizaciónde amenazas y respuesta a incidentes. Gerente de IT Gestionar la infraestructura de red y protección de endpoints y datos. Certificaciones en administración de red (CCNA), gestión de sistemas y cloud. Soporte en gestión de infraestructuras y seguridad de red. Responsable de logística Proteger sistemas de gestión de la cadena de suministro y colaborar en la respuesta. Formación en seguridad de datos y protocolos de comunicación segura. Consultoría de seguridad de la cadena de suministro. Equipo de soporte administrativo Implementar políticas de acceso, autentificación y gestión de identidades. Capacitación en gestión de identidades y accesos, conocimiento básico de IAM. Servicios de autenticación multifactor y gestión de identidades. Proveedores de servicios en la nube Proveer y asegurar la infraestructura cloud, garantizar la disponibilidad y recuperación ante desastres. Conformidad con normativas (ISO 27001, SOC 2), certificaciones en seguridad cloud. Servicios de monitorización de seguridad, cumplimiento y soporte técnico.

RkJQdWJsaXNoZXIy MTI4MzQz