Por: Nicandro López Pompa -Desarrollo Comercial
Existen innumerables noticias, reportes y estadísticas sobre ciberataques y su impacto en los negocios, debido principalmente a la interrupción de sus procesos críticos que más están soportados por la tecnología. Todos concluyen que los ataques seguirán en aumento debido a las amenazas cada vez más frecuentes y dañinas, así como por la presencia de nuevas y mayores vulnerabilidades inherentes a las nuevas tecnologías.
Unos de los principales problemas que se han derivado por el avance de las tecnologías de información, son los delitos asociados al robo, manipulación y secuestro de información. Esto ha derivado que los propietarios y directivos de empresas consideren dichos problemas como un tema central para sus estrategias de negocio, no solo para su desarrollo, sino para su supervivencia.
Si bien es cierto, la mayoría de las empresas de todos tamaños y sectores tienes implementadas medidas de seguridad, no siempre se tiene claro su nivel de madurez. Estas medidas pueden ser desde la instalación de soluciones básicas, hasta arquitecturas de seguridad robustas, así como la definición y establecimiento de políticas y procedimientos de seguridad y la existencia de responsable (s) y/o área de la seguridad de información, a nivel estratégico, táctico y operativo.
Basados en nuestra experiencia de años, así como en referencias y normas de seguridad de información existentes, recomendamos adoptar el siguiente escalamiento que puede ser útil para las empresas que quieren incursionar en la seguridad, o bien, para aquellas que ya tienen implementadas diferentes medidas pero desean elevar su nivel de madurez, incluso certificarse:
Escalamiento para la seguridad de información
Cada una de las referencias tienen sus características particulares, pero también elementos comunes, lo que permite realizar un escalamiento natural en el nivel de seguridad de información como se muestra en la imagen. Aquí algunas de ellas:
CIS. Contempla 20 controles tecnológicos que se abren a 171 actividades de control, orientados principalmente a el área de TI. Es ideal para aquellas entidades que no tienen responsable de seguridad y que sólo cuentan con medidas básicas para proteger la infraestructura y la información. Es flexible y facilita el escalamiento, prácticamente desde cero, al contar con 3 niveles de madurez. https://www.cisecurity.org/
NIST. Tiene como base el Marco NIST de Ciberseguridad integrado por 5 funciones generales, 23 categorías y 108 subcategorías de control, que involucra a el área de TI y a las unidades de negocio. El marco está compuesto por algunos elementos de ISO27001, CIS, NIST SP 800-53, Cobit e ISA. NIST tiene además del marco, una serie de publicaciones que sirven de referencia para atender a detalle diferentes temas relacionados con la seguridad de información. Es para empresas que ya cuentan con un responsable de seguridad, con ciertas políticas y procedimientos de seguridad llevadas a la práctica, así como con soluciones tecnológicas para soportarla. https://www.nist.gov/
ISO27001. Es la norma de seguridad de información por excelencia y es certificable. Contempla 14 dominios, 35 objetivos de control y 144 controles, e involucra al área de TI, negocio, áreas operativas y gobierno, la cual se complementa con otras normas ISO como: 27002, 27005, 27032, entre otras. Es para empresas que ya tienen un responsable de seguridad operativa y responsable de la seguridad a nivel táctico y/o estratégico (Oficial de Seguridad y/o CISO), y que cuentan con estrategias, políticas y procedimientos de seguridad documentados y funcionando como un proceso, así como una arquitectura robusta para soportar el sistema de gestión.
ISO22301. Es una norma certificable y recomendable para definir e implementar un sistema de gestión para la continuidad de negocio y/o operativa. Implica realizar de inicio un análisis de impacto al negocio de riesgo de continuidad para la definición de estrategias, hasta definir y establecer planes de continuidad de negocio y de recuperación de desastres. Es recomendable para todo tipo de empresas que tienen cierto nivel de madurez de seguridad de información y desean mantener operando su negocio, aún en situación de contingencia.
ISO27701. Es una norma certificable y extensión de ISO27001, que permite con la implementación de controles adicionales, establecer un sistema de gestión de privacidad de información. Es una norma con alto nivel de especialización recomendable para empresas que desean o están obligadas a demostrar a diferentes partes interesadas, que cubren cualquier requerimiento para la protección de datos personales.
ISO20000. Se trata de una norma certificable que permite definir e implementar controles orientados a establecer un sistema de gestión de servicios. Esta norma contempla controles específicos y es recomendable para proveedores que ofrecen servicios relacionados con la tecnología y/o están obligados a demostrar a sus prospectos y clientes, que pueden continuar prestando los servicios ofrecidos.
Lo primero que debemos identificar y reconocer, es dónde estamos y en dónde queremos estar en el corto, mediano y largo plazo. Los elementos que sugerimos considerar para ubicarse desde dónde se podría empezar, son los siguientes:
- Tamaño de la entidad. Todo tipo de negocios se han visto afectados por ciberataques. Se sugiere destinar 10 a 15% del presupuesto de TI a la seguridad de información.
- Identificar sus procesos críticos, así como los riesgos tecnológicos y operacionales inherentes, considerando el posible impacto que pudiera sufrir la entidad en caso de interrupción de dichos procesos.
- Políticas y procedimientos. Qué tantas políticas y procedimientos de seguridad se tienen documentados y puestos en práctica, y si se considera a la seguridad como un proceso mas de la entidad.
- Infraestructura tecnológica. Considerar su tamaño y complejidad, si es propia o de terceros, física o en la nube, y si se tienen soluciones tecnológicas para respaldar la seguridad.
- Estructura organizacional. Considerar su tamaño y número de unidades de negocio, y si existe o pueden existir responsables de seguridad de la información a nivel estratégico, táctico y operativo.
- Nivel de concientización que tiene el personal sobre la seguridad y si se les hace responsables del manejo del posible mal uso de la información que obtienen, generan, procesan, resguardan y transmiten.
- Información y/o datos. Identificar y clasificar la información y/o datos sensibles, determinar el valor que tienen para el negocio y cómo se afectaría la operación en caso de que no se pueda preservar su confidencialidad, integridad y disponibilidad.
- Nivel de entendimiento e involucramiento de la Dirección y de los órganos internos sobre la seguridad de información y su apoyo a las iniciativas relacionadas, así como la rendición de cuentas.
- Regulación. A los sectores que les aplique alguna regulación (el qué) es imprescindible que adopten las prácticas referidas en su nivel más alto (el cómo) para orientar sus esfuerzos y recursos y facilitar su cumplimiento.