Seguridad de la información para empresas: de lo simple a lo complejo.

Seguridad de la información para empresas: de lo simple a lo complejo.

Alex Komlev Alex Komlev

Alex Komlev

ICT Global Technical Hub Manager

Fecha de publicación: 7 abr 2022
Seguir 
Artículo publicado en FORUM CALIDAD Edición Nº 329 Marzo 2022

La seguridad de la información es el conjunto de medidas de protección integral de la información y la infraestructura, que permiten resguardar y proteger la información buscando mantener la confidencialidad, la disponibilidad e integridad de los datos. Las tareas de la seguridad de la información se reducen a minimizar los daños, así como a predecir y prevenir riesgos e impactos.

Los últimos avances tecnológicos se han convertido en una herramienta imprescindible para todas las organizaciones. Tanto los procesos utilizados hoy día por las empresas, como la información que manejan estas, han pasado de estar en medio físico a un medio electrónico, o dicho de otra forma, han pasado del formato papel al formato digital. Esta transformación ha significado mayor facilidad en cuanto a la accesibilidad, uso y manejo de dicha información, pudiendo ser consultada o tratada desde cualquier dispositivo digital (teléfono móvil, tabletas, ordenadores portátiles, etc), a través de Internet. En este contexto, la seguridad de la información y la protección de datos son un problema actual no sólo para las corporaciones multinacionales o las empresas de IBEX35, sino también de las pymes.

Este articulo trata de analizar el porqué de la importancia de protegerse nuestros datos de los piratas informáticos o hackers, y proporcionar principios básicos para construir un sistema de seguridad de la información que demuestre a las partes interesadas que mi empresa protege bien “los datos”.

¿Por qué es tan importante?

La información es una parte esencial para el desarrollo normal de una empresa.

Esta debe ser considerada como el mayor activo intangible de la empresa, con un gran valor para la organización. De forma periódica nos llegan noticias sobre brechas de seguridad, ataques masivos a empresas, robo de datos, y otros tantos delitos cibernéticos a lo largo de todo el mundo. Vivimos en un mundo digital, en el que a diario enviamos y recibimos datos de todo tipo, online, comprobamos los estados de cuentas, revisamos facturas, realizamos pedidos, compramos y vendemos a través de las páginas web, vemos películas, series, etc. Y sin embargo, a día de hoy seguimos pensando que el objetivo de los ataques cibernéticos son las grandes empresas, bancos, la administración pública, las páginas gubernamentales, etc. Desafortunadamente, no es así. Las estadísticas nos dicen que cada segundo en algún sitio del mundo ocurre un ciberataque. ¿Por qué damos por hecho que “a mi empresa esto no le pasará”?

El avance tecnológico ha contribuido a facilitar e incluyo simplificar muchos elementos de nuestra vida diaria. Ha favorecido y provisto de facilidades ciertos aspectos de nuestro negocio. Sin embargo, lamentablemente también ha traído consigo desafíos que no paran de generar preocupaciones a los directivos de todos los niveles.

En el mundo de las redes y las comunicaciones existen múltiples amenazas invisibles como los ciberataques, sabotajes, borrado y modificación de datos e información confidencial, etc. Esta casuística no sólo afecta a las grandes empresas u organizaciones con una gran infraestructura.  Hoy día ni las grandes empresas, ni los gobiernos, ni la pequeña empresa o personas físicas están exentas. Todos somos vulnerables ante un posible ataque informático.

Todo este contexto propicia la necesidad de contar con un SGSI (Sistema de Gestión de la Seguridad de Información) en nuestras empresas, basado en las normas internacionales de la certificación, que nos asistirá como guía para un correcta y óptima gestión de los riesgos informáticos.

Un SGSI está basado en tres pilares fundamentales de la información:

  • Confidencialidad: consiste en no permitir el acceso a la información a individuos, entidades o procesos no autorizados.
  • Integridad: es decir, la conservación de la exactitud de la información.
  • Disponibilidad: la posibilidad de acceder a la información y a sus sistemas de tratamiento, única y exclusivamente por aquellos usuarios autorizados cuando así lo requieran.

El riesgo cero no existe, por lo tanto, ninguna organización puede garantizar un nivel de protección absoluto. Sin embargo, con un Sistema de Gestión de Seguridad de la Información, conseguirá que los riesgos de la seguridad de la información sean conocidos, aceptados, gestionados y minimizados.

Cabe subrayar la importancia de los siguientes aspectos a la hora de implementar un sistema de gestión:

  • Amenazas diarias: nadie es inmune a los ataques masivos a sitios web, correos electrónicos de spammers y distribuidores de malware, phishing y virus. Regularmente aparecen nuevos tipos de ataques y esquemas fraudulentos. Esto significa que siempre deberemos tener presente algunas medidas preventivas simples, como puede ser el antivirus y las actualizaciones de software.
  • “Nueva” realidad digital: la pandemia nos trajo a muchas empresas nuevos modelos de trabajo como el “trabajo remoto o teletrabajo”. Este término se define como aquel trabajo que se lleva a cabo desde una ubicación, distinta de la oficina o la instalación principal donde el trabajador ha sido contratado. Para muchas empresas determinar e implementar este “nuevo espacio de trabajo” ha sido todo un reto. No todas las empresas han tenido los recursos suficientes para proporcionar conexiones seguras, comprar nuevos softwares o suministrar a los empleados equipos seguros. No obstantes muchas han sido las empresas que han optado por cambiar el modelo “clásico” por un modelo híbrido en el que los trabajadores pueden escoger entre trabajar desde casa o desde la oficina, o incluyo en espacios abiertos y compartidos.
  • Requisitos legales: uno de los requisitos legales es la protección de datos personales. Hace algo más de 4 años la Unión Europea (UE) actualizó su normativa en materia de protección de dato mediante el Reglamento General de Protección de Datos (RGPD). Este es de obligado cumplimiento y se aplica de forma general a todo tipo de entidades, desde autoridades y administraciones públicas, hasta la pequeña y mediana empresa, sin diferenciar si el tratamiento de datos tiene lugar dentro de la UE o fuera, siempre que afecte a ciudadanos europeos.
  • Factor humano: siempre ha habido, hay y probablemente habrá personas que no se tomen en serio los requisitos de seguridad. Las amenazas a la privacidad son mayoritariamente el resultado de ignorar las reglas, obviar consejos, el olvido o incluso el despiste de un empleado. Un simple error del usuario puede provocar un desastre informático a nivel empresa.

Claramente, cualquier empresa necesita una mínima protección en materia de seguridad de la información. Sin embargo, no todo el mundo está dispuesto a invertir coste y tiempo en la creación de un sistema de gestión de la seguridad de la información. Paradójicamente, por otro lado, tenemos aquellas empresas que disponen de los recursos necesarios, y sin embargo no los administran correctamente. Tanto un caso como el otro, son en ocasiones el resultado de mitos varios sobre los sistemas de seguridad de la información, que hoy, en este artículo nos gustaría desmentir:

Conceptos erróneos comunes:

  • Su alto precio: los sistemas de seguridad para grandes empresas generalmente se desarrollan de forma individual y cuentan con el soporte y respaldo de varios expertos. Sin embargo, todas las empresas necesitan ese tipo de protección. Existe la posibilidad de modalidades mucho más asequibles y económicas.
  • Seguridad completa. Uno de los errores más comunes es creer que conectando programas y herramientas de control, es más que suficiente para proteger nuestro negocio. Por desgracia no es así, ya que cualquier sistema necesitará de un mantenimiento y actualizaciones. “Configurar” y “relajarse” no funcionan en la seguridad de la información.
  • Son sólo softwares y máquinas. No, la seguridad de la información depende directamente de los usuarios, es decir de las personas que manejan la información. Tanto un becario como un empleado con antigüedad pueden descargar accidentalmente malware en un portátil de trabajo, divulgar información confidencial en redes sociales, olvidarse de cambiar una contraseña, etc. Por lo tanto, es necesario informar y formar sobre las reglas de seguridad de la información a todos los que están conectados y manejan datos de empresa, y verificar regularmente el cumplimiento de estas reglas y asegurar buenas prácticas.
  • Es muy difícil. Es cierto, proteger la información no es tarea fácil. Sin embargo, para un empleado “de a pie”, para un usuario común, no resulta tan difícil el control del email, o el no descargar nada “desconocido”, cambiar las contraseñas a tiempo (si el sistema no le avisa), etc. Del resto se encargará un especialista competente.

Existen muchos otros conceptos populares erróneos, como, por ejemplo, que el coste de la seguridad de la información no compensa el resultado final, o que los expertos y auditores de ciberseguridad son muy exigentes. Si comparásemos, por ejemplo, los costes que resultarían del parón de máquinas en una fábrica como resultado de un malware o del robo informático de la información secreta, con toda seguridad, los costes no nos parecerían tan altos. Además, hay que tener presente que cada empresa es única, y que por lo tanto se puede crear un sistema de gestión de seguridad de la información de acuerdo a las necesidades de esta empresa y sin costes desorbitados.

Sistema informático.

Cuando hablamos de sistemas informáticos debemos tener en cuenta que en cualquier sistema informático intervienen cuatro elementos principales, en los cuales debemos focalizar nuestra atención:

  1. Datos: cualquier información que puede ser leída, interpretada y compartida dentro o fuera de la empresa;
  2. Empleados: son los usuarios que manejan dichos datos y la información;
  3. Software: con qué herramientas informáticas se manejan estos datos internamente (sistemas operativos, apps, bases de datos etc.).
  4. Hardware: con qué o en qué sistema se procesan o se guardan estos datos (portátil, servidor, móvil etc.).

Los principios de creación de un sistema de seguridad.

Como ya he mencionado anteriormente, no todas las empresas pueden permitirse sistemas de gestión complejos y costosos. Sin embargo, existen principios generales, que siguiéndolos se lograría alcanzar unos niveles óptimos en cuanto a la de protección de información:

  • La importancia de los datos para el negocio. El primer paso es el análisis de todos los procesos del negocio, de las amenazas y la importancia de ciertos datos esenciales. Todo esto es necesario para lograr una correcta selección de las medidas de protección. Por ejemplo, una empresa en la que todos los empleados deben tener acceso a CRM. Esto significa que es necesario asegurar un nivel de protección preciso para cada usuario independientemente del tipo de conexión (presencial en la oficina, remotamente en casa de cliente etc.).
  • Cumplimiento legal. El segundo paso es la identificación, clasificación y selección de las leyes que aplican al negocio. Hay que tener en cuenta que existen diversos requisitos legales que deben cumplirse a nivel local y estatal (Ley 34/2002, Ley 24/2015, GDPR etc.). Es obvio que, si cumples con los requerimientos y directrices que marca la ley, tanto tus clientes, como colaboradores u otras partes interesadas confiarán más en tu negocio.
  • Simplicidad. En el proceso de implementación de un sistema de gestión, es vital simplificar todo lo posible. De esta forma se contribuye indirectamente a conseguir un trabajo más preciso, incrementar la comodidad del servicio, y ganar en tranquilidad de los empleados. Es necesario un equilibrio entre simplicidad y confiabilidad.

Todo esto puede parecer difícil, costoso, laborioso y fuera del alcance de una pequeña empresa, pero no es así.

El sistema informático de cualquier empresa, para ser considerado seguro debe ser íntegro y confidencial (accesible sólo para personas autorizadas), irrefutable (las acciones realizadas no se pueden negar) y tener buena disponibilidad (estable y disponible en el tiempo). Algunas de las medidas recomendadas por especialistas para evitar los ciberataques son:

  1. Proteger los equipos: servidores, portátiles, móviles: Nos referimos no sólo a la protección física sino también lógica. Cualquier activo informático debe ser completamente actualizado. Las clásicas actualizaciones “por defecto” del sistema pueden ser lago molestas, pero son fundamentales porque corrigen agujeros de seguridad. Además de las actualizaciones normales, cualquier activo informático debe tener instalado un antivirus o antimalware que a su vez deben estar actualizados.
  2. Contraseñas fuertes: de cuentas y aplicaciones: Nunca hay que usar contraseñas “simples” que contiene el nombre de nuestro hijo o pareja (alexey1234), ni la estación del año (primavera2022), ni tampoco contraseñas que sólo contengan números (123456) o letras (asdfg).  Es muy recomendable tener contraseñas distintas para diferentes aplicativos o cuentas incluso dentro de una empresa. Por supuesto no hay que utilizar las mismas contraseñas personales para las cuentas del trabajo. Y siempre hay que combinar números, letras mayúsculas, minúsculas y símbolos. De esta forma es mucho más difícil de hackearlas.
  3. Phishing: comprobar la autenticidad de enlaces y perfiles: Phishing o suplantación de identidad es actualmente una de la forma más sencilla de ciberataque, mediante la cual se intenta conseguir información confidencial de forma fraudulenta, normalmente a través del email. Hoy día, en las redes sociales hay millones de perfiles falsos que se crean para captar datos personales e información confidencial. Para evitar ser atacados existe lo que llamaríamos dos líneas de defensa. La primera es “técnica”, y la mayoría de las empresas ya las tienen instaladas. Son softwares específicos para la detección y eliminación de los correos fraudulentos. La segunda línea es el propio usuario, sus conocimientos y su comportamiento ante un correo electrónico desconocido.
  4. Contenido ilegal: software pirateado. Para ahorrar costes en ocasiones intentamos bajarnos e instalar los programas pirateados. Son muchas las páginas en internet que te ofrecen las opciones para descargarte un software “gratis”. Estos “chollos” son una fuente ideal para instalar programas maliciosos en tu sistema y facilitar un ataque. Recordad que incluso aunque la descarga sea legal es necesario comprobar previamente que el sitio web no es sospechoso.
  5. BackUp: copias de seguridad. Backup es una copia de los datos, archivos, o información sensible que se realiza periódicamente archivos. Hacer una copia de seguridad es fundamental para cualquier tipo de negocio. Pensemos que si sufrimos algún tipo de ataque (perdida o modificación) con un backup siempre podremos recuperar dicha información. Existen herramientas automáticas de backup que nos facilitar la tarea automáticamente, permitiéndonos olvidarnos de su realización, aunque obviamente esto no exime que debamos igualmente realizar pruebas y restaurar algunos ficheros para ver que el proceso de copiado funciona correctamente.
  6. Evitar dar datos personales: Son muchas ya las empresas en las que existe la prohibición de usar los datos de empresa, como por ejemplo el email, para registrarse en redes sociales o en páginas no relacionadas con el negocio. No es aconsejable facilitar datos personales en las redes, sólo cuando sea indispensable, evitando siempre dar datos personales completos (nombre, fecha de nacimiento, email, teléfono móvil etc.).
  7. Denuncias: comunicación con las autoridades. Siempre que nos encontremos con un contenido que no sea adecuado o con una página que pueda suponer un riesgo para el usuario lo mejor es denunciarlo a las autoridades competentes, encargados de este tipo de procesos. De lo contrario se está permitiendo que sigan siendo una amenaza para los usuarios del sistema cibernético.
  8. Cultura de la seguridad de la información: Independientemente del tipo de empresa, actividad, envergadura del proyecto, incluso presupuesto, es importante recordar que la seguridad de la información depende de cada uno de los empleados. Todas las anteriores son medidas básicas de protección de datos. Desde mi punto de vista lo más importante es crear una cultura interna de la seguridad de la información a través de la formación e información a todos los usuarios que tengan acceso a los sistemas internos de la empresa.

Primeras etapas de implementación

Está demostrado que todas las empresas obtienen un gran beneficio de la implementación de un SGSI, logrando el cumplimiento de la norma ISO 27001 y garantizando la seguridad de información.

A la hora de implementar un SGSI, la pregunta más común quizás sea “por dónde empiezo”. Pues bien, todo empieza por un análisis exhaustivo de brechas (en inglés gap-analysis) o auditoría técnica de vulnerabilidades (en inglés pentest). Este tipo de auditorias nos ayudan a identificar brechas o fisuras de seguridad en nuestro sistema, y conocer la forma del desempeño de los procesos en una organización en materia de seguridad de la información. El análisis nos mostrará la diferencia entre el desempeño actual y el deseado. Una vez hecho, el siguiente paso es hacer un análisis de impactos. Esta etapa tiene como objetivo proveer una base para identificar los procesos críticos para el negocio y la valoración del impacto y la prioridad. Con los resultados del análisis de brechas y del impacto al negocio, es posible establecer elementos básicos y necesarios para la implementación de un SGSI (por ejemplo, ISO/IEC 27001). Este análisis también ayuda a establecer los recursos financieros necesarios para alcanzar la implementación de SGSI.

La certificación del SGSI

Una vez implementado el sistema de gestión, hay que demostrar interna y externamente que la empresa tiene el sistema establecido/integrado. Y para ello existen varias herramientas como la certificación de las diferentes normas internacionales como por ejemplo la ISO27001.

La gestión de la seguridad de la información es un proceso cíclico, que incluye:

  • conciencia del grado de necesidad de proteger la información y el proceso de establecimiento de objetivos;
  • recopilación y análisis de datos sobre el estado de la seguridad de la información en la organización (pasado, presente, futuro);
  • evaluación de los riesgos de la información;
  • planificación de las medidas de tratamiento de riesgos;
  • implementación de mecanismos adecuados de control, distribución de roles y responsabilidades, capacitación y motivación del personal;
  • trabajo operativo para implementar medidas de protección;
  • monitorización del funcionamiento de los mecanismos de control;
  • evaluación de su efectividad y las acciones correctivas apropiadas.

 Según la norma ISO 27001, un sistema de gestión de la seguridad de la información (SGSI) es "una parte del sistema de gestión general de una organización, basado en la evaluación de riesgos del negocio, que genera, implementa, opera, revisa, mantiene y mejora la seguridad de la información". El sistema de gestión incluye la estructura organizativa, las políticas, la planificación, las responsabilidades laborales, las prácticas, los procedimientos, los procesos y los recursos.

La creación e implementación de un SGSI requiere el mismo enfoque que cualquier otro sistema de gestión y control (ISO9001, ISO27701 etc.). El modelo de proceso utilizado en ISO 27001 para describir el SGSI proporciona un ciclo continuo de estas actividades: planificar, hacer, verificar, actuar (PDCA).

La ISO27001 puede ser implementada en cualquier organización publica o empresa privada (ya sea pequeña o grande). La metodología PDCA es lo suficiente flexible para ser adoptada a cualquier tamaño o sector de empresa.

El proceso de mejora continua suele requerir una inversión inicial: documentación de actividades, formalización del enfoque de gestión de riesgos, definición de métodos de análisis y asignación de recursos. Estas medidas se utilizan para poner en marcha el “ciclo”. No tienen que completarse antes de que se activen las etapas de revisión. 

La primera etapa de planificación asegura que el contexto y el alcance del SGSI se establezcan correctamente, se evalúen los riesgos de seguridad de la información y se proponga un plan apropiado para manejar estos riesgos. A su vez, en la etapa de ejecución se implementan las decisiones identificadas en la etapa de planificación. Las etapas de revisión y acción refuerzan, corrigen y mejoran las soluciones de seguridad que ya han sido identificadas e implementadas. 

Las verificaciones o inspecciones técnicas se pueden realizar en cualquier momento y con cualquier frecuencia, dependiendo del negocio y la situación específica. En algunos sistemas, deben integrarse en procesos automatizados para garantizar una ejecución y una respuesta inmediatas. Para otros procesos, se requiere respuesta solo en caso de incidentes de seguridad, cuando se realizaron cambios en los recursos, así como cuando ocurrieron cambios en las amenazas y vulnerabilidades. Se necesitan revisiones o auditorías anuales o periódicas para garantizar que el sistema de gestión en su conjunto esté logrando sus objetivos. 

La mayoría de las empresas certificadas según ISO/IEC 27001, consideran que la certificación les ayuda en la gestión no solo de la seguridad de la información, sino también en la gestión de la privacidad y para dar cumplimiento al Reglamento General de Protección de Datos (GDPR) de la UE.

La necesidad de confianza y responsabilidad por la seguridad de la información está creciendo en la mente de los clientes, consumidores y otras partes interesadas. Las empresas deben contar con la competencia, los procesos y los sistemas adecuados y la norma ISO/IEC 27001 puede ser un buen punto para iniciar ese viaje.


Eva Subira Jimenez

DNV Iberia Sales Country Manager

2 años

Un artículo ameno y de fácil comprensión para todos!! Muy interesante!

Recomendar
Responder
1 reacción
Carlos Augusto Navarro Bilbao

DNV Lead Auditor. Sales Area Manager. DNV Key customer Manager. Enfocado en soluciones de sostenibilidad, ética y transparencia

2 años

Gracias Alex. Claro y entretenido además del fondo técnico que tiene Compartido!

Recomendar
Responder
1 reacción
Ver más comentarios

Inicia sesión para ver o añadir un comentario.

Más artículos de este autor