“El propósito del gobierno de la seguridad de la información, es garantizar que las instituciones están implementando, proactivamente, los controles apropiados de seguridad de la información para soportar de manera rentable su misión, mientras gestionan los riesgos que van apareciendo”
National Institute of Standars and Technology (NIST)
¿Sabes que no es lo mismo la seguridad informática, que la seguridad de la información?
No debemos confundir el término de seguridad de la información con el de seguridad informática.
El NIST, en su Publicación especial 800-12, define como “seguridad informática a la protección que se brinda a un sistema de información automatizado para alcanzar los objetivos aplicables de preservar la integridad, disponibilidad y confidencialidad de los recursos del sistema de información. Incluye hardware, software, firmware, información / datos y telecomunicaciones”.
La seguridad de la información, por el contrario, abarca además de los sistemas, también la información en cualquier soporte (electrónico, óptico o papel), los procesos, las personas y las instalaciones.
¿Conoces los riesgos a los que están expuestos tus activos informáticos?
Para conocer los riesgos a los que una organización está expuesta se utilizan las auditorias de seguridad de la información, que realizadas por expertos en el área, tienen como objetivo identificar, describir y valorar las vulnerabilidades a las que la plataforma de operaciones está expuesta, para poder así solventarlas con un nivel aceptable de seguridad. Las auditorias se basan en estándares internacionales de seguridad como por ejemplo los ISO 27002 o COBIT.
La plataforma operativa, además de las reglas de funcionamiento y/o de negocio, está conformada por:
- Personal de IT, servidores.
- Estaciones de trabajo.
- Equipos de telecomunicaciones.
- Redes, dispositivos de seguridad electrónica (CCTV) y de seguridad de la información (sistemas de detección y prevención de intrusiones, firewalls, consolas antivirus, etc.)
Una vez finalizada la auditoria, los auditores (que deben de ser especialistas en la tecnología involucrada en el estudio) elaboran los informes de resultados de la evaluación para los responsables de cada una de las áreas involucradas e interesadas en la operación del negocio. Estos documentos detallan las medidas preventivas y reactivas que han de aplicarse de acuerdo con las vulnerabilidades y el nivel de riesgo detectado.
¿Qué tipos de auditorías se pueden hacer?
Las auditorias las hay de muchos tipos, en función de quién la realiza y qué es lo que se revisará.
Por ejemplo, si las hace alguien que es parte de la organización se consideran auditorias internas. Si por el contrario son especialistas ajenos a la organización los que las llevan a cabo, entonces serán auditorias externas.
Según la materia de análisis, las auditorias pueden ser de revisión de la documentación, pasando por el funcionamiento del sistema, los servicios que lo soportan (ambientes Web o aplicaciones móviles), para finalmente adentrarse en los lenguajes de programación y código fuente.
La mayoría de los ataques informáticos no son detectados hasta que, por fuentes externas la organización, la víctima se entera que la información sensible contenida en su infraestructura ha sido publicada por hackers, está siendo subastada en el mercado negro o el ataque cifra o destruye la información de los medios de almacenamiento.
En este caso se puede realizar lo que se conoce como una auditoria “Post mortem” o análisis forense digital, cuya finalidad es explicar qué fue lo que sucedió, cuando sucedió y quién lo llevó a cabo. Esta auditoria analiza el rastro dejado por los atacantes y toda la información de la que el investigador forense disponga para la reconstrucción de los hechos.
¿Conoces las sanciones aplicables en por el incumplimiento de la legislación local en materia de protección de datos personales? ¿Y las regulaciones en materia de seguridad de la información?
En nuestro país la protección de datos está regulada por la Ley Orgánica de Protección de Datos (LOPD) que “tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales , las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal”. La LOPD establece también sanciones, que van desde los 900€ hasta los 600.000€, en función de la “gravedad del hecho” que se estime en cada caso concreto.
El 25 de mayo de este 2018 comienza a aplicarse también el Reglamento General de Protección de Datos (RGPD), directiva europea que afecta a todas las empresas de la Unión que trabajan con información personal de cualquier tipo. GDPR es una norma directamente aplicable, que no necesita trasposiciones, por ello, los responsables del tratamiento de los datos deben asumir que la norma de referencia es el GPDR y no las norma nacional (LOPD).
En el caso de España, GDPR modifica algunos aspectos del régimen actual y contiene nuevas obligaciones que deben ser analizadas y aplicadas por cada organización teniendo en cuenta sus propias circunstancias.
¿Cuál es el resultado de combinar un bajo presupuesto en tecnología, falta de capacitación a tu personal en temas de seguridad de la información, vulnerabilidades en los sistemas, lugares de trabajo informatizados conectados permanentemente a internet, grupos hackers y gobiernos con técnicas de intrusión sofisticadas?
Una mala gestión de la seguridad de la información deriva, no sólo en el incumplimiento de la normativa legal aplicable, sino también en la aparición de importantes brechas de seguridad que facilitan la aparición de ataques contra la organización.
Como venimos comentando, el nivel de cumplimiento de los estándares internacionales en materia de seguridad de la información deberá determinarse de acuerdo a cada organización o institución, en función de la criticidad de sus activos informáticos y la regulación a la que su mercado o industria está sujeta.
Para conseguir extraer el mejor resultado posible de una auditoria, se recomienda realizarla después de que se haya implementado un Sistema de Gestión de Seguridad de la Información (SGSI).
Si no se han desarrollado con anterioridad prácticas de seguridad de la información o algún esquema de gestión, lo más recomendable es arrancar el proceso con un análisis de brechas (GAP Análisis), que identifica de manera muy ágil, los problemas más relevantes de la compañía o institución para poder determinar así los controles que se deberán acometer como resultado de la definición del nivel de cumplimiento de los estándares.
Implementar controles de seguridad y auditarlos continuamente, tienen como resultado un incremento en la protección de tus activos de información.
Además facilita la construcción de un esquema de operación confiable y documentado, lo cual se verá reflejado en el incremento de la confianza de tus clientes y empleados; es decir, desarrollas una operación confiable, de la que se obtiene un un esquema de recuperación en caso de fallas y cumples con la normativa de protección de datos aplicable a temas de seguridad y gestión de activos informáticos.
¿Cuáles son las probabilidades reales de que tu organización pueda recuperarse en caso de un incidente de seguridad? ¿Y de seguir operando después de que el riesgo se materialice?
El riesgo de no efectuar auditorias periódicas sobre tus activos de información se traduce en un sin número de amenazas (hackers, malware…etc.) que podrían aprovechar las vulnerabilidades no gestionadas en los componentes (personas, sistemas, información…etc.) de tu plataforma de operaciones.
Estas actuaciones tienen un impacto directo en la confidencialidad, integridad y disponibilidad de la información de tu organización y no llevarlas a cabo conlleva, no sólo el incumplimiento de la ley, sino que también pueden acarrear sanciones económicas o incluso penales, que pueden traducirse en el cese de tu actividad empresarial.
