¿Conoces a alguien que perdió un documento en el que trabajo durante horas porque falló el USB donde estaba almacenado?¿Has oído alguna vez algo sobre un compañero al que han robado, o ha perdido un portátil o un móvil con información de tu empresa? ¿Estas preocupado por si esos «ciberdelincuentes» de los que hablan en la tele acceden a tus sistemas y los datos de tus clientes? Seguro que sí…
Si en tu empresa estáis preocupados porque este tipo de incidentes os puedan ocurrir donde podría verse afectado vuestro principal activo: la información, ya habéis dado el primer paso. Ahora solo tenéis que dar los siguientes.
Lo primero es conocer qué nivel de ciberseguridad hay en tu empresa, para a continuación, hacer una planificación de las mejoras necesarias. Esto es, a grandes rasgos, un Plan Director de Seguridad (PDS). Y ésta que comentamos es tal vez la tarea más importante a llevar a cabo para tener un PDS, ya que si no conocemos como estamos, nos costará mucho saber a dónde queremos llegar y cuáles son las acciones a desarrollar.
Un PDS puede ser, desde un folio con nuestros objetivos y los pasos a realizar para conseguirlos hasta un libro completo donde se definan políticas, controles y demás. La extensión del mismo depende de los recursos de la empresa. Es diferente si somos una micropyme a si somos una mediana empresa. En este post explicaremos a grandes rasgos cómo conocer nuestro estado actual en materia de ciberseguridad.
TAREAS PREVIAS
Antes de determinar nuestra situación actual, es necesario realizar una serie de actividades previas:
- Establecer el alcance que queremos que tenga el Plan Director de Seguridad. Por ejemplo podemos escoger como alcance, un único departamento (habitualmente el de TIC), un conjunto de procesos críticos, o unos sistemas específicos.Lo recomendable es determinar aquellos procesos de negocio y activos críticos para los procesos de negocio de la empresa, y utilizar éstos como alcance del PDS. De esta manera, la ejecución del PDS tendrá un impacto más positivo sobre la seguridad de la información de la organización.Así, uno de los procesos más críticos en las empresas es el proceso de facturación, aunque también los procesos de fabricación o comercial pueden ser el objetivo del Plan Director de Seguridad.
Este paso es de vital importancia si somos una pequeña empresa. En este caso, los recursos son más limitados y por tanto el alcance debe ser menor. Debemos siempre ajustarnos a nuestras necesidades y recursos.
- Definir quién es el responsable de que cada posible activo de información implicado: equipos informáticos, dispositivos móviles, aplicaciones, instalaciones (CPD), servicios e información.
De cara a la realización del Plan Director de Seguridad es recomendable definir los siguientes responsables:
- Responsable de Seguridad, puede ser una persona o un comité de varias personas. Será el encargado de coordinar todas las iniciativas puestas en marcha en materia de Seguridad de la Información.
- Responsable de Información, será el encargado de gestionar la información publicada en las diferentes redes sociales y medios de comunicación.
- Responsables de ámbito lógico, físico, legal y organizativo, en el caso de que pongamos en marcha iniciativas en dichos ámbitos. Por ejemplo, si vamos a tomar medidas legales para mejorar el nivel de ciberseguridad de la empresa, deberá existir un responsable del área Jurídica coordinado por el Responsable de Seguridad, garantizando así la correcta ejecución de las medidas.
Estos roles pueden ser desempeñados sin ningún problema por una misma persona si la empresa es pequeña. También puede ser necesario la contratación de un servicio de consultoría que acepte estos roles.
En caso de tener subcontratado el servicio de informática lo ideal es que sea nuestro proveedor quien nos prepare el Plan Director de Seguridad, siguiendo los pasos que indicamos en este artículo.
VALORACION DE LA SITUACIÓN ACTUAL
La norma ISO/IEC 27002:2013 reúne un Código de Buenas Prácticas para la Gestión de la Seguridad de la Información. El conocimiento de esta norma por parte del responsable de seguridad es imprescindible para el desarrollo adecuado de un Plan Director de Seguridad, ya que la evaluación de los aspectos normativos y regulatorios se suele realizar tomando como referencia dicho estándar.
Esta norma propone una gran cantidad de controles que se pueden implementar para solventar las posibles amenazas que pueden afectar a una empresa, pero no resulta tampoco necesaria la implementación de todos esos controles. Sólo aquellos que sean de aplicación a nuestra empresa.
Para determinar qué controles son necesarios para nuestra empresa, es recomendable seguir los siguientes pasos:
- Llevar a cabo una inspección física de las instalaciones de la compañía comprobando si se siguen las normas de seguridad físicas establecidas en los diferentes marcos legales.
- Realizar reuniones con el personal de los distintos departamentos de la organización que se encuentren dentro del alcance del PDS. El objetivo es evaluar el cumplimiento de los controles de seguridad que se indican en esta norma, actualmente implantados en nuestra empresa.La mayor parte de los controles corresponden al departamento TIC o área de informática, pero también es recomendable revisar los controles de los departamentos de Personal, Jurídico, Administración y Servicios Generales, en caso de existir.
- Es necesario registrar todos los problemas que hayamos detectado en estas dos fases en un documento formalque pueda ser contrastado y consultado a posteriori. Es necesario evaluar estos problemas en una escala entre 0 y 5 en función del riesgo provocado por ese problema y analizar los resultados.
Además de basarnos en entrevistas y percepciones, la realidad del estado de seguridad de una organización se evidencia mediante la comprobación y valoración de aspectos tales como:
- si nuestra página web es segura
- si la red está correctamente segmentada y se dispone de firewalls
- si disponemos de antivirus y cortafuegos
- etc.
Estas pruebas nos permitirán identificar deficiencias en la seguridad técnica de la organización, y a través de ellas, podremos comprobar la eficacia de los controles de seguridad lógica existentes en la organización: cortafuegos, antivirus, sistemas de detección de intrusos, niveles de parcheado, política de contraseñas, etc.
Al terminar este tercer paso, dispondremos de un documento que no deja de ser una auditoría del estado actual de la empresa. De esta manera seremos capaces de conocer el grado de seguridad de nuestra organización.
Por supuesto, el alcance de esta auditoría variará en función del ámbito de nuestra empresa. Una empresa que utiliza ampliamente el comercio electrónico para su negocio estará interesada en las políticas de buenas prácticas del uso del correo corporativo y menos en su seguridad física, mientras que una empresa que maneja información clínica de pacientes se centrará en conocer su nivel de seguridad ante incidentes de fuga de información (como los proceso de alta y baja de empleados, aumentar la cultura en seguridad o los controles de acceso, entre otros) y le dará menos importancia a los accesos físicos.
Como decíamos, el análisis técnico de la seguridad actual de la compañía se obtiene mediante la valoración del grado implantación de los controles más relacionados con los sistemas de información empleados por la organización.
Para visualizar de una forma rápida el nivel de cumplimiento en ciberseguridad de nuestra empresa podemos dibujar un gráfico en estrella. En el siguiente ejemplo, la línea roja representa el grado de cumplimiento actual, la línea naranja el objetivo de cumplimiento que tiene la empresa a largo plazo y, por último, la línea verde representa el nivel de cumplimiento óptimo.
Por último, se recomienda realizar estas auditorías técnicas tanto desde el exterior de la organización como desde el interior de la compañía. De este modo podremos ponernos en el papel tanto de un atacante interno, por ejemplo un empleado malintencionado, como en el de un atacante externo, por ejemplo un ciberdelincuente.
MEJORA, Sí, PERO CONTINUA
Una vez que conocemos cual el grado de implantación de la seguridad en nuestra empresa, el siguiente paso consiste en establecer cuáles son nuestros objetivos a cumplir en materia de ciberseguridad de la empresa, lo que nos permitirá determinar los ámbitos a mejorar e identificar los aspectos en los que debemos focalizar nuestros esfuerzos.
Una vez que sabemos nuestro estado actual en temas de ciberseguridad y cuáles son los objetivos a alcanzar, el único paso que nos queda para tener un Plan Director de Seguridad es determinar los proyectos necesarios para alcanzar esos objetivos marcados.
De nuevo debemos ser conscientes de nuestra capacidad de maniobra y no imponernos unos objetivos inalcanzables si no disponemos de un presupuesto suficiente.
Con esto, habremos avanzado mucho con respecto a las empresas que no consideran los ciberataques una amenaza. Estaremos en el buen camino, aunque debemos recordar que los ciberdelincuentes siguen estando ahí y siempre encuentran formas nuevas de realizar sus fechorías. Esto, no hay que olvidarlo, es un proceso de mejora continua tanto por su parte, como por la nuestra. ¡No dudes en emprenderlo!