La gran cantidad de dispositivos conectados, los millones de datos originados cada minuto y, sobre todo, la posibilidad de analizar y utilizar esta información de diversas formas ha hecho que los datos se conviertan en una de las materias más valiosas y apreciadas del mundo.
Antiguamente los ataques informáticos más sonados iban dirigidos, en su mayoría, a grandes corporaciones. Sin embargo, la gran expansión tecnológica con la que las nuevas amenazas evolucionan ha propiciado que actualmente empresas de cualquier tamaño sean objetivo de los cibercriminales y, por ende, víctimas de numerosos incidentes de seguridad.
¿Qué es un Incidente de Seguridad?
Según el Glosario de Términos de Ciberseguridad facilitado por INCIBE, se entiende por Incidente de Seguridad: “Cualquier suceso que afecte a la confidencialidad, integridad o disponibilidad de los activos de información de la empresa, por ejemplo: acceso o intento de acceso a los sistemas, uso, divulgación, modificación o destrucción no autorizada de información”.
No cabe duda de que el paradigma de la seguridad en la red ha cambiado. Hasta no hace mucho tiempo, era relativamente sencillo sentirse protegido con un firewall y un sistema de copias de seguridad externalizadas. Sin embargo, hoy en día, los ataques cibernéticos son una amenaza real y esos modelos de protección deben renovarse. De hecho, según el Informe de Ciberamenazas y Tendencias del CCN-CERT IA.23/21 no solo se ha registrado un aumento más que notorio de incidentes de seguridad, sino que se ha visto aumentada la gravedad de estos.
Las organizaciones pueden sufrir un ataque cibernético en cualquier momento, pero las consecuencias podrán variar si se está preparado para ello o no. Los efectos para las organizaciones que no implementan medidas técnicas y organizativas de seguridad y que no disponen de políticas de concienciación y formación de sus empleados pueden ser muy peligrosas: desde interrupciones operativas hasta catástrofes irreversibles de un negocio. Laseguridades uno de los desafíos más importantes para las empresas y la sociedad.
¿En qué consiste un Sistema de Gestión de Seguridad de la Información?
En este contexto, entra en juego la necesidad de disponer en todas las organizaciones de un Sistema de Gestión de Seguridad de la Información entendido como el conjunto de políticas y procedimientos para gestionar la información de un sistema con el objeto de disminuir los riesgos a través de la implantación de controles de Seguridad de la Información. La clave está en que el sistema de gestión se vaya reinventando y adaptando a los nuevos cambios significativos que provengan desde dentro o fuera del entorno para mantener su adecuación y eficacia.
La Seguridad de los Sistemas de Información busca asegurar tres dimensiones fundamentales —además de abarcar otras propiedades como la autenticidad, trazabilidad y no repudio—:
- Confidencialidad: La información solo debe estar accesible a personal autorizado. Es lo que se conoce como need-to-know, que hace referencia a que la información solo debe estar a disposición de las personas, entidades o sistemas autorizados para su acceso.
- Disponibilidad: Capacidad de un servicio, un sistema o una información, de ser accesible y utilizable por los usuarios o procesos autorizados cuando éstos lo requieran.
- Integridad: Los datos transportados o almacenados deben ser exactos, asegurando que no se ha producido alteración, pérdida o destrucción, ya sea de forma accidental o intencionada, por errores de software o hardware o por condiciones medioambientales.
¿Qué medidas de seguridad pueden adoptarse?
El compromiso con la seguridad debe documentarse y definirse a través de una Política de Seguridad que sirva como marco de referencia para el establecimiento de los objetivos de seguridad. Para contribuir a este proceso es necesario desarrollar en toda compañía normativas y procedimientos que recojan las obligaciones de las personas trabajadoras en lo que respecta al tratamiento y Seguridad de la Información para poder anticiparse a las amenazas y definir una estrategia clara contando con planes de seguridad y planes de formación a los empleados.
Es posible conocer el nivel de seguridad en el que se encuentra una organización mediante un Plan Director de Seguridad que permita identificar su punto de partida y fijar un objetivo deseable con el objeto de mejorar la ciberseguridad, su eficacia y madurez.
Además, para la seguridad de toda empresa es primordial hacer un Análisis del Riesgo para identificar las amenazas que podrían afectar al negocio, la probabilidad de que se materialicen y el impacto que causarían, en aras de minimizar los riesgos. Tras ello, se habrán detectado los riesgos afecten para implantar las medidas de seguridad necesarias, pues la seguridad absoluta no existe y, por ende, siempre quedará un riesgo residual. Una vez conocidos los riesgos se podrán realizar planes de acción personalizados conforme a la naturaleza de la empresa.
Otro mecanismo que puede contribuir a la prevención de incidentes es contar con un Sistema de Gestión de Continuidad del Negocio para preparar a las organizaciones a actuar ante situaciones de emergencia, gestionar crisis o recuperarse de alguna situación crítica. Para ello, a través de un Plan de Continuidad de Negocio es posible identificar los elementos claves del negocio y determinar un plan de protección y recuperación en caso de incidente de seguridad que permita a una organización volver a la normalidad en el menor tiempo posible.
En todo caso, la implementación exitosa de cualquier plan de seguridad va aparejada a la seguridad legal. Para ello, se debe garantizar el cumplimiento de todas las normas que afectan a los Sistemas de Información a través de métodos tecnológicos. Al margen de posibles sanciones económicas, pérdida de clientes o daño reputacional, es trascendental cumplir legalmente con la ciberseguridad en cualquier organización porque servirá como medida generadora de confianza a través de la implementación de diversas normas, estándares y buenas prácticas (ISO 27001/27002, ENS, RGPD, LOPDGDD, NIST, COBIT, ITIL, etc.).
Toda empresa debe proteger los activos de su eslabón más débil. Esto es, se deben conocer los puntos débiles de toda organización para, en la medida de lo posible, eliminarlos o controlarlos. Se dice que el eslabón más débil en seguridad es el propio usuario. De hecho, la mayoría de los errores que se comenten en ciberseguridad se producen por desconocimiento o falta de atención. El principio del fallo seguro nos refiere que hay que estar alerta y preparado para no caer, al poder surgir un ataque en cualquier momento. Para ello, es importante realizar periódicamente análisis de vulnerabilidades a fin de detectar posibles debilidades y garantizar la aplicación de las medidas correctivas para evitar la explotación de dichos fallos que pueden afectar la integridad, disponibilidad y/o confidencialidad de la información de una compañía.
Conclusiones
El principal impedimento de garantía de Seguridad de la Información en las organizaciones es la ausencia de una cultura en este sentido. Es necesario que los usuarios incorporen buenas prácticas para salvaguardar la información y evitar formar parte del conjunto de víctimas de cualquiera de las amenazas, que buscan aprovecharse de las debilidades humanas.
Asimismo, también es importante entender cómo y por qué se producen los distintos actos delictivos y conocer cuáles son las herramientas que permiten hacer frente a una problemática que no tiene en cuenta fronteras y afecta por igual a todas las personas navegantes en la red.
Hoy en día, la sociedad en general es cada vez más dependiente de Internet y de las tecnologías de información, lo que la hace más vulnerable a las amenazas y a sufrir cualquier tipo de incidente de seguridad. El conocimiento, la difusión e implantación de cuantos medios sean necesarios para garantizar la Seguridad de la Información está en el alcance de las organizaciones.
La inversión en seguridad no debe considerarse como un gasto superfluo porque es la base necesaria para el desarrollo sostenido de todas las demás áreas estratégicas de una compañía. No permitamos que el desconocimiento o la falta de formación pueda convertirse en la destrucción definitiva de un negocio o en un daño reputacional irreparable.
