Mejorar la seguridad con una planificación estratégica

La seguridad de la información y su gestión desempeñan una función especialmente relevante y estratégica para muchas organizaciones. La transformación de las tecnologías y el avance con las comunicaciones ha permitido automatizar y mejorar las actividades de negocio convirtiéndose en unos de los ejes centrales que lo sustentan.

Debido a la situación de pandemia, podemos destacar diferentes aspectos relevantes desde una posición tecnológica, por un lado, la aceleración de la transformación digital de las empresas para poder instaurar el teletrabajo, abordar la continuidad de negocio y continuar con la prestación de los servicios y, por otro lado, el aumento exponencial de ciberataques aprovechando la débil estrategia de seguridad de las organizaciones.

Es una realidad, que las compañías destinan menos recursos de los que deberían en impulsar la ciberseguridad de manera proactiva. Extraña paradoja, considerando que España es el noveno país más atacado del mundo analizando los datos proporcionados por el mapa en tiempo real de ciberamenazas de Kaspersky y que constantemente, aparecen publicaciones de empresas que sufren fuertes ciberataques de gran impacto porque el cibercrimen es un negocio muy lucrativo, con una tendencia creciente en los últimos años debido a que obtienen muchos beneficios, con lo que consiguen evolucionar los ataques a medida y consiguen nuevos “modus operandi” más agresivos.

Sin embargo, se sigue reduciendo el coste destinado a la mejora de seguridad quizás porque el campo de inversión es tan amplio que se pierde el foco de que aspectos concretos en seguridad se deben mejorar. Una posible manera de identificar las potenciales deficiencias de los sistemas de seguridad, sería invertir en la ejecución de un Plan Director de Seguridad, en adelante PDS.

Los PDS tienen como objetivo analizar el estado de la seguridad y su correspondiente nivel de madurez de las medidas de seguridad implantadas para detectar las deficiencias y proponer una planificación estratégica de seguridad en el tiempo, teniendo en cuenta los objetivos de la empresa a través de proyectos para garantizar un nivel de seguridad más adecuado a las necesidades del negocio y con ello, reducir los riesgos a los que está expuesta la organización. Este plan va a marcar las prioridades, los responsables y los recursos que se van a emplear para realizar una mejora de la seguridad.

Se destacan las siete fases principales para abordar el plan:

• Identificar el alcance y los objetivos estratégicos de la empresa. El alcance determinará la magnitud de los trabajos y también cuál será el foco principal de la mejora tras la aplicación del PDS. En esta fase será necesario el apoyo de la Dirección para que el proyecto esté alineado con estrategia de la empresa y se pueda disponer de suficientes recursos para poder garantizar el éxito del PDS.
• Identificar la situación actual mediante un análisis diferencial tomando como referencia un marco normativo de referencia, por ejemplo, para empresas privadas es muy recomendable seguir el estándar internacional ISO/IEC 27002 y para empresa pública en Esquema Nacional de Seguridad. La elección del marco de referencia será una decisión de Dirección sin verse influido los resultados del PDS. En esta evaluación inicial, se evaluarán aspectos técnicos, organizativos, regulatorios y normativos, entre otros y se identificará que controles o medidas de seguridad están implantados y el grado de madurez de estos.
• Realizar un análisis de riesgos mediante una metodología conocida como puede ser la marcada por la norma ISO/IEC 27005. Este análisis nos mostrará los riesgos más relevantes de la entidad y se buscará un plan de tratamiento acorde a los resultados obtenidos.
• Definir proyectos de Mejora de la Seguridad según los resultados que se hayan obtenido de los puntos anteriores, incluyendo para ello las tareas o acciones a realizar, que subsanen los hallazgos y riesgos detectados.
• Clasificar y priorizar los proyectos. Una vez identificadas las acciones, iniciativas y proyectos, se deben clasificar y priorizar estableciendo propósitos a corto, medio y largo plazo.
• Aprobar el plan director de seguridad. Este plan debe ser comprobado con los distintos departamentos que intervienen en los diferentes proyectos, de cara a comprobar si son viables las implementaciones, comprobar la mejor planificación para ellos, y también debe de ser revisado y aprobarlo por la Dirección de la organización.
• Implantar los proyectos en el tiempo marcado.

Siguiendo estas fases se obtiene el PDS, el cual marcará el camino personalizado a seguir para alcanzar el nivel de seguridad que la organización necesita, centrando los recursos y los esfuerzos en aquellos aspectos relevantes que han sido identificados a lo largo de las fases y que realmente necesitan una mejora de la seguridad.

Amparo Romero

Equipo Govertis

[1] Plan Director de Seguridad

[2] Ciberamenazas mapa en tiempo real

Medidas de protección de datos en las Administraciones Públicas: Convergencia con Esquema Nacional de Seguridad

El nuevo Reglamento Europeo de Protección de Datos (RGPD) recoge el Principio de Transparencia como un deber para la satisfacción de los derechos del interesado (Considerando 58 y artículo 12 RGPD), y el derecho a la información del interesado (Considerandos 60 a 62 y artículos 13 y 14 RGPD) con unas obligaciones concretas relacionadas con el deber de informar.

Nuevos retos en política de privacidad: Smartphones y APP

Desde los primeros terminales móviles que únicamente permitían realizar y recibir llamadas, así como mensajes de texto SMS (Short Message Service) o multimedia MMS (Multimedia Messaging Service), se ha pasado a un desarrollo exponencial de los mismos coincidiendo con el desarrollo de las redes 2G, 3G, 4G y, próximamente, 5 G que ha superado el concepto tradicional de teléfono móvil para pasar a denominarse teléfono inteligente o smartphone. Sus capacidades y funcionalidades han desbordado el concepto de teléfono móvil puesto que se asemejan más a las de un ordenador personal, lo que ha conllevado la aparición de nuevos riesgos para la privacidad y seguridad que deberán ser tenidos en cuenta por el Delegado de Protección de Datos DPO / DPD.

Las violaciones de seguridad en el Reglamento General de Protección de Datos RGPD

Una de las importantes novedades que introduce el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en adelante RGPD), que entrará en aplicación el próximo 25 de mayo de 2018 es la obligación de la notificación de las violaciones de seguridad.