Con el avance de las tecnologías, y la capacidad de administración de datos de cada compañía se hace necesario mantener procesos de seguridad en la información para garantizar la fiabilidad y confianza de cada una de las organizaciones. Es por ello que se debe realizar la gestión de ciberseguridad en la empresa

Cada empresa es responsable de administrar su seguridad y proveer a sus sistemas informáticos, la capacidad de repeler ciberataques o cualquier tipo de intrusión mal intencionada de piratas cibernéticos a su red con protocolos de ciberseguridad en la empresa.

Ingertec te acompaña en la implantación de normas de seguridad de la información (ISO 27001) y esquemas de seguridad (ENS) para trabajar con administraciones públicas que te ayudarán con el cumplimiento obligado del Reglamento general de protección de datos (RGPD).

¿Quién se encarga de la seguridad de los datos en tu empresa?

Es común encontrar cierta preocupación en las empresas en lo referente a la Seguridad de la información que tratan. Paradójicamente también es frecuente ver como existe una indefinición en cuanto a quién tiene la responsabilidad primera de gestionar la estrategia de ciberseguridad.

Habitualmente, las empresas poco maduras, o con poco presupuesto para dedicar a la gestión de la seguridad de la información se apoyan en el departamento de informática, en el mejor de los casos, partiendo del supuesto de que la práctica totalidad de los datos están digitalizados.

La estrategia en estos casos se basa generalmente en la adquisición de dispositivos de seguridad perimetral y antivirus en los servidores y puestos de trabajo. Esta estrategia ofrece una solución parcial al problema, quedando expuestas fuentes o flujos de información no digitalizados que también se han de asegurar.

Por ello y por lo poco eficaz de ese enfoque tan tradicional, en la actualidad, la seguridad de la información se está descentralizando de los departamentos de TI y aparecen nuevas maneras de afrontarla.

El Reglamento General de Protección de Datos (RGPD), de obligado cumplimiento, ya define la figura del Delegado de Protección de datos (DPD) como responsable que ha de funcionar de manera autónoma e independiente y que ha de reportar directamente a la alta dirección.

Adicionalmente, según RedHacking las empresas que se encuentran en una fase madura en seguridad de la información, suelen acompañar al DPD de la figura del CISO, añadiendo un enfoque de carácter más técnico y completando de esa manera la visión global relativa a la ciberseguridad.

De manera ideal, el CISO (Chief Information Security Officer) también debería reportar
directamente a la alta dirección, no obstante, es frecuente en pequeña y mediana empresa encontrarla bajo la dirección TI del CIO, restando quizás cierta independencia a su punto de vista.

Éstas dos figuras (DPD y CISO) se complementan perfectamente, ofreciendo el DPD habitualmente un perfil más cercano al jurídico y el CISO al técnico.

¿Qué herramientas o marcos normativos utiliza el CISO para desarrollar su misión?

El CISO necesita un hilo conductor para dar sentido a su misión, que no es otra que conseguir que los sistemas de información de la empresa no sean vulnerados.

El RGPD, que como hemos dicho ya deberían cumplir todas las empresas no es más que un primer paso en el camino. Para dar más sentido a este viaje hacia un sistema de información más seguro existen diferentes marcos normativos, que son de gran utilidad.

Todos ellos basados en la realización de análisis de riesgos y posterior tratamiento de vulnerabilidades detectadas.

No es el objetivo de este documento entrar en detalle en ellas, pero mencionaremos las dos principales a fecha de hoy.

ISO 27001
Ésta norma, no obligatoria, permite adaptar las empresas a un conjunto de buenas prácticas en seguridad de la información y evitar las posibles amenazas mediante un enfoque basado en análisis de riesgos.

Su objetivo es garantizar los pilares básicos de la seguridad TI, confidencialidad, integridad y disponibilidad de la información.

Esquema Nacional de Seguridad (ENS)
El ENS es de carácter obligatorio para todas las Administraciones Públicas y terceras empresas que estén vinculadas o dependan de ellas.

Además de las tres dimensiones mencionadas por la ISO 27001 el ENS añade dos nuevas que son autenticidad y trazabilidad.

Además de éstas dos normativas y marcos de trabajo seguro, existen muchas otras que de igual manera pueden ser de obligado cumplimiento o no en algunos sectores y que será necesario analizar en cada caso.

En cualquier caso, todas, como hemos dicho, se basan en un análisis de riesgos que deberá realizarse utilizando diferentes metodologías, que pueden ir desde una auditoría de sistemas formal a un hacking ético de infraestructura interna o externa de la empresa.

El CISO, las utilizará como patrón de trabajo o mapa de ruta que le acompañará en la definición de políticas de seguridad, protocolos, guías, etc. y le ayudarán en su objetivo final, que como hemos dicho, no es otro que intentar blindar el acceso no legítimo a la información que la empresa custodia.

Desde Ingertec podemos aportar toda nuestra experiencia al respecto y ayudar a DPD y CISO a escoger el marco de seguridad que mejor se adapte a sus necesidades, acompañándolos durante todo el proceso de adecuación y securización del ciclo de vida de los datos.