Los ciberataques se han convertido en una pandemia. Cada día ocurren millones de ciberataques a organizaciones de todo tipo (empresas grandes y pequeñas, instituciones, asociaciones y fundaciones, etc.).
Ataques que en el pasado podían causar algún pequeño inconveniente, hoy en día generan problemas mayúsculos en dichas organizaciones debido a la dependencia, cada vez mayor, de los sistemas informáticos y de los datos que contienen.
Es prioritario, entonces, gestionar de forma apropiada la ciberseguridad en las organizaciones, independientemente de su tamaño o actividad.
Tradicionalmente, los riesgos de ciberseguridad se han considerado riesgos que debía gestionar el departamento de tecnologías de la información (TI) de las organizaciones. Por tanto, eran riesgos de TI.
Sin embargo, la digitalización de las empresas y de sus procesos de negocio ha colocado a la informática en el centro de todos sus procesos, de forma que los riesgos de ciberseguridad son ahora riesgos operacionales.
Un riesgo operacional es aquél que puede provocar pérdidas debido a errores humanos, procesos internos inadecuados o defectuosos, fallos en los sistemas y como consecuencia de acontecimientos externos.
Actualmente, se utiliza la informática para absolutamente todas las gestiones administrativas (como facturación, nóminas, comunicaciones con los clientes, recepción de pedidos a través de la web, gestión de cobros y pagos, acceso a banca online, petición de materiales, etc.), pero también para las tareas productivas, especialmente en sectores que manejan mucha información de sus clientes, como las asesorías, consultoras, tramitadoras de expedientes, servicios cloud, etc.
En este contexto, un incidente como por ejemplo, que una persona abra un correo fraudulento, se infecte el equipo con un virus y luego se propague al resto a través de la red, no va a causar, como en el pasado, un problema leve, sino que puede paralizar totalmente los procesos productivos de la empresa, suponiendo un grave problema que se incrementará exponencialmente cuanto más tiempo esté la empresa parada. Esto provocará el retraso de los procesos productivos y se incumplirán los contratos con los clientes, generándose caos y cuantiosas pérdidas económicas.
Debido a esto, las entidades necesitan ahora, más que nunca, proteger sus sistemas informáticos para evitar ciberincidentes y contener los daños que puedan causar.
Si la paralización de las actividades de una empresa debido a un incidente tiene un grave impacto en las actividades de la organización, esto se ve multiplicado exponencialmente si lo que se ha vulnerado es información que los clientes han depositado en esa empresa (por poner algunos ejemplos: un despacho de abogados, una asesoría, una empresa de ingeniería, un data center, etc.). En general, el daño es mayúsculo para cualquier empresa que almacene información facilitada por sus clientes.
Este problema se puede incrementar si los equipos afectados tienen datos personales, ocasionándose entonces una brecha de seguridad que habría que notificar a la Agencia Española de Protección de Datos (AEPD), pudiéndose acarrear serias sanciones y pérdida de confianza ante clientes, accionistas y socios, con sus consecuentes costes económicos.
En este caso, la empresa tendría que notificar a sus clientes el incidente ocurrido para que ellos, como responsables del tratamiento, comuniquen la brecha de seguridad a la AEPD y, en caso de ser necesario, a los titulares de los datos afectados.
Por supuesto que un incidente de este tipo ocasionaría un grave problema, no solo a la empresa que alberga la información, sino a todos sus clientes, produciéndose un importante deterioro en la credibilidad y confianza de dichos clientes y supondría, con toda seguridad, una pérdida importante de clientes (proporcional el daño causado).
Como hemos visto en estos escenarios, es necesario, por tanto, ofrecer una confianza y seguridad a los clientes que van a alojar o facilitar información. Y para esto la implantación y certificación de un SGSI según la ISO 27001 es la forma idónea.
¿Quieres conocer como desarrollar una Auditoría de Ciberseguridad y Protección de Datos?
Descarga este completo eBook y conoce los detalles
La ciberseguridad es la protección de la información que se encuentra en formato digital, tanto aquella que se encuentra almacenada, como aquella que se encuentra en tránsito y a lo largo de todo su ciclo de vida (recogida o generación, registro, utilización, comunicación y destrucción).
Pero para proteger esta información deben protegerse los servidores, los equipos informáticos, los portátiles, las tabletas, los móviles, los soportes externos, los sistemas electrónicos, las redes y los datos (archivos o bases de datos) de los ataques o accidentes que puedan producirse.
Esta protección puede dividirse en las siguientes categorías:
Seguridad de los servidores y equipos. Se implantan medidas de seguridad para proteger los sistemas informáticos (sistema de identificación y autenticación, cifrado de los datos, antimalware, etc.).
Seguridad de las aplicaciones. Se enfoca en mantener el software y los dispositivos libres de amenazas que puedan comprometer los datos que manejan las aplicaciones desde la etapa de diseño.
Seguridad operativa. Determina los permisos de los usuarios para acceder a una red y los procedimientos establecidos para acceder, almacenar o compartir información.
Seguridad de las comunicaciones. Determina los protocolos de comunicaciones seguros que deben utilizarse, especialmente en el acceso remoto a la información.
Gestión de los soportes de información. Establece la protección que deben tener los soportes removibles (discos duros externos, por ejemplo), incluyendo su almacenamiento y destrucción segura.
Gestión de la seguridad con los proveedores. Establece los requisitos de seguridad aplicables a los proveedores y los contratos que deben establecerse.
Copias de seguridad. Define la información de la que debe existir un respaldo, la periodicidad del mismo, la ubicación y los procedimientos para recuperar la información en caso de una pérdida de la misma.
Gestión de eventos e incidentes de seguridad. Establece la forma en la que se van a comunicar y gestionar los eventos e incidentes que se produzcan, así como los responsables de su resolución.
Gestión y formación del personal. Incluye las cláusulas de confidencialidad que debe firmar, la formación que se le debe proporcionar y las penalizaciones por realizar prácticas prohibidas o poco recomendables.
Cumplimiento legal. Establece los requisitos legales que deben cumplirse en función de la información que se maneja y los sistemas que se utilizan (protección de datos personales, propiedad intelectual, etc.).
La recuperación ante desastres y la continuidad de negocio. Definen la forma en que una organización responde ante los incidentes graves de ciberseguridad y cómo recuperar sus operaciones lo antes posible.
El reto que tienen que afrontar las organizaciones es el de proporcionar una adecuada protección a la información que manejan, ya sea propia o de terceros.
Particularmente, deben asegurarse de que han identificado de forma apropiada los riesgos a que está expuesta la información y los sistemas que se utilizan (servidores, equipos, portátiles, aplicaciones, redes, etc.), así como a gestionar dichos riesgos de forma proporcionada, sostenible y efectiva. Para eso nos puede ayudar la ISO 27001.
La ISO 27001 es la Norma internacional para establecer un Sistema de Gestión de la Seguridad de la Información (SGSI). Proporciona un marco robusto que se puede adaptar a organizaciones de todo tipo y tamaño para proteger la información que maneja esa organización.
Las organizaciones más expuestas a los riesgos relacionados con la seguridad de la información (especialmente aquellas que manejan o alojan información de terceros) eligen cada vez más implementar un SGSI que cumpla con la Norma ISO 27001.
El propósito central de un SGSI según la Norma ISO 27001 es proporcionar protección a la información sensible o de valor en una organización. La información sensible incluye la información personal de empleados, clientes, proveedores, pacientes, etc. La información de valor incluye la propiedad intelectual de creaciones de la organización, datos financieros, datos operativos, código fuente del software, datos comerciales, registros legales, etc.
Un SGSI según la ISO 27001 protege las dimensiones más relevantes de la información:
Confidencialidad: que a la información solo tengan acceso las personas o entidades autorizadas.
Integridad: que la información no sufre manipulaciones no autorizadas, de forma que se mantiene veraz y completa.
Disponibilidad: que la información está disponible para su uso cuando se necesita.
Los riesgos en la seguridad de la información generalmente surgen debido a amenazas que pueden dañar los activos que almacenan, procesan, transmiten, protegen o controlan el acceso a la información, lo que da lugar a incidentes de seguridad de la información.
Los activos en este contexto suelen ser las personas, los sistemas informáticos, las redes de comunicaciones y la infraestructura.
Un incidente de seguridad de la información puede provocar que la información sea accedida por alguien no autorizado (pérdida de la confidencialidad), que sea manipulada (pérdida de la integridad) o que se pierda o no esté accesible (pérdida de la disponibilidad).
En seguridad de la información, los riesgos se gestionan realizando una evaluación de los riesgos a que están expuestos los distintos activos y la implantación de una serie de controles o medidas de seguridad para mitigar dichos riesgos hasta un umbral aceptable.
La Norma ISO 27001 especifica los requisitos para el establecimiento, implementación, mantenimiento y mejora continua de un Sistema de Gestión de la Seguridad de la Información (SGSI) en el contexto de la organización. La ISO 27001 también incluye los requisitos para la apreciación y el tratamiento de los riesgos de seguridad de la información a medida de las necesidades de la organización. La ISO 27001 es aplicable a todas las organizaciones que quieran tener un SGSI, cualquiera que sea su tamaño o naturaleza.
La seguridad de la información y la ciberseguridad está cobrando una especial relevancia en las organizaciones debido a los ciberataques que se están produciendo.
Ya no es cuestión de si tendremos, o no, una brecha de seguridad, sino que cuando la tengamos podamos actuar rápidamente y limitar su impacto, pues es cuestión de tiempo verse afectado un incidente así. Para esto hace falta un SGSI.
La adopción de la Norma ISO 27001 es cada vez más común como base para implantar un SGSI en las organizaciones.
La implementación de un SGSI basado en la ISO 27001 tiene unos beneficios claros para las organizaciones, que podemos dividir en tres áreas:
Comercial: tener implementado un SGSI que esté certificado por una entidad independiente (la Certificadora) va a proporcionar a la organización una ventaja competitiva respecto a su competencia. Los clientes están expuestos a riesgos importantes en relación a la seguridad de la información, haciendo que la certificación ISO 27001 sea un requisito muy valorado en la presentación de ofertas. Si su cliente está certificado en ISO 27001, elegirá trabajar solo con proveedores certificados, que sean fiables y sean capaces de cumplir con los requisitos contractuales. Un SGSI acorde a la ISO 27001 es clave para mantener y aumentar los ingresos comerciales.
Operacional: El enfoque de la ISO 27001 fomenta el desarrollo de una cultura interna que está atenta a los nuevos riesgos que surgen con la aplicación de las tecnologías y tenga un enfoque coherente para enfrentarlos. Esto hace que las interrupciones en las operaciones de la organización se minimicen y se sepa cómo actuar en caso de que ocurran un incidente grave.
Tranquilidad: Muchas organizaciones tienen información crítica para sus operaciones, o almacenan información crítica de sus clientes. Disponer de un SGSI efectivo y robusto permite a la gerencia administrar sus riesgos y dormir tranquilos, sabiendo que no están expuestos a sanciones, interrupción de sus actividades, interrupciones del negocio o impactos significativos en su reputación. La implementación de un SGSI basado en la ISO 27001 proporciona esta seguridad.
La ISO 27001 como base para establecer un SGSI es un estándar reconocido internacionalmente y su cumplimiento se puede verificar de forma independiente (obteniendo así, la Certificación ISO 27001), mejorando notablemente la imagen de la organización y dando confianza a los clientes.
Los pasos para que una organización se certifique en la Norma ISO 27001 son los siguientes:
Implantar un SGSI según los requisitos marcados por la ISO 27001. Para esto se utiliza también la Norma ISO 27002 que es un Código de prácticas para los controles de seguridad de la información, donde se detallan los controles que hay que implantar y recomendaciones para su implantación.
Contactar con una Entidad Certificadora para que realice una auditoría del SGSI implantado y otorgue, en su caso, el Certificado ISO 27001 correspondiente.
La certificación obtenida será válida por 3 años, realizándose, por parte de la Certificadora, auditorías anuales de cumplimiento del SGSI implantado bajo la ISO 27001.
Contacta con nosotros para realizar la implantación de un SGSI basado en la ISO 27001.
Disponemos de los mejores profesionales y herramientas para que la implantación sea todo un éxito y la certificación esté asegurada.