La importancia de un Sistema de Gestión de Seguridad de la Información
Aunque a un ritmo menor de lo que nos gustaría, las organizaciones van madurando en materia de ciberseguridad y protección de su activo intangible más preciado; la información. Me cuesta creer que todavía haya organizaciones sin antivirus o sin cortafuegos ya que, por muy pequeña que sea una organización, hay una serie de medidas básicas de seguridad que sí o sí deberían estar presentes.
Por desgracia, en Córdoba, y seguro que, en muchas más regiones en España, hay todavía un gran número de organizaciones con un nivel bajo de madurez en materia de ciberseguridad, lo que se podría resumir en que están asumiendo un riesgo alto, o directamente ni siquiera son conscientes del riesgo al que están expuestas, lo que es todavía mucho más grave, ya que carecen un proceso de evaluación de riesgos.
En organizaciones con mayor madurez, podemos encontrar muchos más controles de seguridad implantados, no solo controles técnicos, sino también controles administrativos. Un ejemplo, es la capacitación y la concienciación de los empleados, fundamental para que éstos conozcan las amenazas más comunes a las que se pueden enfrentar, cómo detectarlas y cómo defenderse ante ellas. No hay que olvidar que los ciberdelincuentes utilizan la ingeniería social para intentar engañar a los usuarios vía correos electrónicos, suplantando cierta identidad, para que hagan clic en un enlace o se descarguen un archivo malicioso, por lo que es tan importante que los usuarios estén capacitados y concienciados.
En los últimos tiempos han sido muchas las organizaciones en Córdoba que se han visto afectadas por algún ciberataque. En la mayoría de los casos se trataban de incidentes de ransomware, y es que a los ciberdelincuentes les de igual si es una organización es privada o púbica, si la empresa es pequeña o grande (obviamente prefieren que sea grande), mientras haya un beneficio económico para ellos, el tamaño o naturaleza de la organización les es indiferente.
Y seguro que podemos encontrar más ejemplos de controles de seguridad presentes en las organizaciones, y operaciones que éstas llevan a cabo para proteger mejor sus sistemas de información, por ejemplo, los análisis de vulnerabilidades o las pruebas de intrusión. Pero ¿cómo se orquesta todo esto? ¿Por qué invertir parte del presupuesto en ciberseguridad en una prueba de intrusión en lugar de invertirlo en otra medida de seguridad? ¿Cómo sabe una organización que las medidas presentes son eficaces y eficientes?
En reuniones con diferentes organizaciones o en distintos foros que hemos organizado en Córdoba, siempre intento sacar esta cuestión, referente a cómo las organizaciones orquestan todas las actividades referentes a la protección de su información. Los antivirus están ahí presentes, los cortafuegos también, pero ¿es suficiente?
Un Sistema de Gestión de Seguridad de la Información (SGSI) puede ayudar a una organización a poner todo en orden y orquestar todas estas cuestiones. Como cualquier otro Sistema de Gestión (SG), como el de Calidad o Medio Ambiente, persigue el objetivo de obtener un mejor desempeño, de una manera diligente y ordenada. Como guía de buenas prácticas para la implantación de un SGSI en una organización, podemos tomar como referencia la Norma ISO/IEC 27001. Siempre recomiendo tomarla como referencia, independientemente que una organización quiera certificarse o no, pero ya puestos a montar un SGSI, ¿Qué mejor que hacerlo siguiendo un estándar internacional?
Sin entrar en detalles de las cláusulas de la Norma, y para que quede claro la importancia de contar con un SGSI en una organización, resumiré los aspectos más importantes y que espero que sirvan para convencer al lector de dicha importancia.
Para empezar, nos puede venir bien tener en mente la organización a tres niveles; Estratégico, Táctico y Operativo. Muchas organizaciones llevan a cabo operaciones de seguridad, que les ayuda a proteger su información, pero nos quedamos en el plan operativo. Lo ideal sería tener definida la estrategia de ciberseguridad de la organización, apoyarnos en tareas tácticas y de planificación para alcanzar los objetivos de seguridad marcados y finalmente ejecutar las operaciones necesarias que ayuden a alcanzar dichos objetivos.
El marco documental de seguridad nos ayudará a marcar, entre otras cosas, la estrategia de seguridad, a través de la política de seguridad de la organización. Se pueden acompañar con políticas de seguridad específicas para entrar en más detalle en ciertos ámbitos, como puede ser el teletrabajo, el uso aceptable de los activos, etc. Pero no solo de políticas se nutre nuestro marco documental de seguridad, tendremos que nutrirlo también de procedimientos, que expliquen paso a paso los procesos que se ejecutan para proteger la información de la organización. Incluso guías técnicas, para que los operarios les resulte más fácil llevar a cabo las tareas necesarias.
Una buena gestión de riesgos permitirá evaluar bien los riesgos a los que la organización pueda estar expuesta, así como identificar los proyectos que habría que ejecutar para dar respuesta a los riesgos identificados, como, por ejemplo, el despliegue de una solución de cifrado en los dispositivos móviles de los comerciales de una empresa, que tendría como objetivo mitigar o reducir el riesgo del uso de dispositivos móviles que contienen información sensible de la empresa.
La evaluación de riesgos permitirá a la organización priorizar sus proyectos de seguridad, y esto es clave para saber dónde invertir nuestro presupuesto de seguridad, ya que será una información muy útil para las personas que tienen que tomar las decisiones en este sentido.
Finalmente, hay que destacar la evaluación del desempeño. La organización definirá unos procedimientos de seguimiento del SGSI, para controlar que se están alcanzando los hitos y objetivos establecidos, controlando que las medidas implantadas son eficaces y eficientes. Para ello, y para aplicar la famosa “mejora continua”, será conveniente definir unas métricas que nos permitan ir midiendo en el tiempo y comparar, ya que como se suele decir, no se puede mejorar lo que no se mide.
En el Comité Regional de Córdoba, intentamos promover todas estas buenas prácticas en materia de ciberseguridad, ya que creemos firmemente que es la forma adecuada de gestionar algo tan importante como la seguridad de la información de una organización, y que toda organización, independiente de su tamaño o naturaleza debería de plantearse implantar un SGSI, obviamente con alcances alineados con las características y requisitos de seguridad de la organización.
Espero que este artículo, a modo de reflexión, ayude al lector a entender la importancia de contar con un SGSI en nuestras organizaciones.
Responsable del Comité de Córdoba de itSMF España