Evaluando nuestra ciberseguridad: la metodología C2M2
La ciberseguridad forma parte de nuestro día a día, y cada vez estamos más concienciados de que necesitamos proteger nuestra información y activos lógicos. Así, nos aseguramos de que podremos mitigar o incluso evitar incidentes de seguridad, y de que podremos continuar prestando nuestros servicios y recuperarnos más rápido ante desastres. Pero ¿cómo saber si lo que estamos haciendo es suficiente? ¿Cómo podemos saber que estamos adoptando un enfoque de seguridad adecuado? En este artículo presentamos la metodología C2M2, que nos permite evaluar la madurez de nuestra ciberseguridad de manera sencilla y compartir mejores prácticas. De esta manera, logramos un tejido empresarial y, en última instancia, una sociedad más seguros. ¿Qué es la metodología C2M2? La metodología C2M2, por sus siglas en inglés «Cybersecurity Capability Maturity Model», es un marco desarrollado por el Departamento de Energía de los Estados Unidos. C2M2 nos ofrece una estructura para evaluar la madurez y mejorar la ciberseguridad en infraestructuras críticas y organizaciones de todos los sectores y tamaños. De esta manera, nos aseguramos estar mejor alineados con normativas y estándares internacionales. Por ejemplo, la normativa NIST o la ISO27001. La metodología C2M2 está pensada para activos IT y OT, y los entornos en los que operan. Asimismo, debemos tener en cuenta que no integra o reemplaza otros enfoques, normativas o programas de ciberseguridad. Tampoco es parte de ningún marco legal, ni tiene espíritu regulador. Por el contrario, debemos entenderla como una herramienta corporativa más, destinada a mejorar nuestra resiliencia digital. ¿Cómo se estructura la C2M2? ¿Qué abarca? Este modelo se centra en áreas clave como la gestión de riesgos, la protección de activos, la detección de amenazas, la respuesta a incidentes y la recuperación. A través de sus diferentes apartados, medimos nuestra madurez en 10 grandes dominios: Gestión de activos. Gestión de amenazas. Gestión de riesgos. Gestión de la identidad y acceso. Monitorización y análisis de eventos. Respuesta a incidentes y continuidad. Proveedores y terceros Gestión del personal. Arquitectura de ciberseguridad. Gestión del programa de ciberseguridad. Como resultado, obtenemos un informe detallado del estado actual de nuestra ciberseguridad, que nos permite partir de una base sólida desde la que elaborar un programa de ciberseguridad adaptado a la situación y necesidades específicas de nuestra organización. ¿Cómo nos puede ayudar utilizar la metodología C2M2? El modelo puede usarse por empresas de cualquier sector, tamaño o industria, dentro del ámbito IT y OT. Dentro de éstas, puede resultar especialmente útil para: Guiarnos en la asignación de recursos y la gestión de riesgos. Los primeros son limitados, mientras que los segundos crecen cada año. En este sentido, la metodología C2M2 nos ayuda a priorizar acciones de cara a reducir tanto la posibilidad como el impacto de la materialización de amenazas. Ayudarnos a gestionar recursos organizacionales y controlar operaciones relacionadas con la ciberseguridad. La C2M2 nos dota de un marco de gestión mínimo que nos ayudará tanto en el día a día como ante eventos extraordinarios. ¿Qué beneficios aporta implantar la metodología C2M2 en nuestra organización? Este modelo nos aporta múltiples ventajas, tales como: Fortalecer la ciberseguridad de nuestra organización. Facilitar la evaluación efectiva y consistente de la madurez de nuestra ciberseguridad. Compartir conocimiento, mejores prácticas y referencias relevantes entre organizaciones para mejorar la ciberseguridad, a través de la anonimización y difusión de los resultados. Ello busca incrementar la seguridad del tejido empresarial en conjunto, y también nos permite medir nuestro nivel de madurez frente a nuestros competidores. Facilitar la priorización de acciones de mejora e inversiones en ciberseguridad. ¿Cómo te podemos ayudar desde Global Technology? Desde el departamento de GRC de Global Technology te ayudamos a medir y mejorar tu ciberseguridad basándonos en el modelo de análisis C2M2, tanto si lo que deseas es meramente conocer la robustez de tu seguridad, como si buscas un Plan Director de Seguridad que te ayude a identificar y priorizar acciones de mejora. Te acompañamos durante todo el camino y te asesoramos de forma integral para darte la solución que mejor se adapte a tus necesidades. Si quieres más información sobre cómo te podemos ayudar a implantar la metodología C2M2, contacta con nosotros y estaremos encantados de compartir contigo nuestra experiencia. Itxaso Iturriaga
Seguridad en infraestructuras críticas en España
Nuestro día a día está intrínsecamente conectado a las Infraestructuras Críticas. Desde la electricidad que alimenta nuestros hogares hasta el suministro de agua potable, el transporte que tomamos para ir al trabajo o los servicios de salud a los que acudimos al enfermar, dependemos de estas infraestructuras para satisfacer nuestras necesidades básicas y realizar actividades diarias. Ello supone que cualquier disrupción o incidente que éstas sufran tiene un impacto inmediato en nuestra calidad de vida, la economía y la estabilidad social. Por tanto, es esencial que se encuentren debidamente protegidas, de manera que podamos prevenir, evitar y mitigar daños. En el siguiente artículo, exploramos cómo podemos hacerlo, de acuerdo con la legislación vigente y las Guías de buenas prácticas del Centro Nacional de Protección de Infraestructuras Críticas (CNPIC). ¿Qué son las infraestructuras críticas? La Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas define en su artículo 2 qué debemos entender como “Infraestructura Crítica”: Son “las infraestructuras estratégicas cuyo funcionamiento es indispensable y no permite soluciones alternativas, por lo que su perturbación o destrucción tendría un grave impacto sobre los servicios esenciales”. En otras palabras, son las instalaciones, redes y sistemas que sustentan los servicios que mantienen las funciones sociales básicas, la salud, la seguridad, el bienestar social y económico de un país, o sus instituciones y Administraciones Públicas, y no hay posibilidad de que otra infraestructura las reemplace o cubra sus funciones en caso de interrupción o incidente. Las Infraestructuras Críticas pertenecen o están a cargo de un Operador Crítico designado como tal por la Comisión Nacional para la Protección de las Infraestructuras Críticas, y éste puede pertenecer al sector público o privado. ¿Qué sectores hay con infraestructuras críticas en España? Las Infraestructuras Críticas se clasifican entre 12 posibles sectores estratégicos, los cuales se consideran áreas laborales, económicas o productivas que mantienen las funciones sociales, salubres, de seguridad y bienestar básicas, o respaldan la autoridad estatal o seguridad del país. De acuerdo con el anexo único de la Ley 8/2011, los sectores estratégicos con Infraestructuras Críticas son los siguientes: Administración. Espacio. Industria nuclear. Industria química. Instalaciones de investigación. Agua. Energía. Salud. Tecnologías de la Información y las Comunicaciones (TIC). Transporte Alimentación. Sistema financiero y tributario. ¿Qué obligaciones legales tiene un operador crítico con una o más infraestructuras críticas a su cargo? El art. 13 de la Ley 8/2011 nos dice que los Operadores Críticos deberán, entre otros, elaborar el Plan de Seguridad del Operador (PSO), así como un Plan de Protección Específico (PPE) por cada Infraestructura Crítica bajo su control o propiedad. Esta obligación se repite en el art. 13 del Real Decreto 704/2011, de 20 de mayo, por el que se aprueba el Reglamento de protección de las infraestructuras críticas, el cual añade que deberán revisarse cada 2 años y cuando las circunstancias así lo ameriten debido a cambios sustanciales de los datos que contienen. Éstos deberán ser aprobados por el CNPIC. En este sentido, los principales instrumentos regulatorios que deberán tenerse en cuenta son los siguientes: Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas. Real Decreto 704/2011, de 20 de mayo, por el que se aprueba el Reglamento de protección de las infraestructuras críticas. Resolución de 8 de septiembre de 2015, de la Secretaría de Estado de Seguridad, por la que se aprueban los nuevos contenidos mínimos de los Planes de Seguridad del Operador y de los Planes de Protección Específicos. Guía de buenas prácticas para Plan de Seguridad del Operador (PSO) del CNPIC (voluntario). Guía de buenas prácticas para Plan de Protección Específico (PPE) del CNPIC (voluntario). Sin embargo, ello no obsta para que se deba considerar la normativa sectorial, autonómica o local específicas, y cualesquiera otras que resulten de aplicación. ¿Qué es un plan de seguridad del operador (PSO)? Un PSO es un documento estratégico que define las políticas generales del Operador Crítico para garantizar la seguridad del conjunto de sus instalaciones y sistemas bajo su propiedad o gestión. En este sentido, contiene los siguientes elementos: Política general de seguridad del Operador Crítico. Estructura societaria, administrativa y jerárquica del Operador. Identificación y descripción de los servicios esenciales prestados por Operador. Interdependencias y coordinación del servicio esencial y del Operador con Autoridades y terceros. Metodología de análisis de riesgo integral que se adopta para evaluar riesgos físicos y cibernéticos. Criterios para implementar las medidas de seguridad con las que cuenta el Operador. ¿Qué es un plan de protección específico (PPE)? Un PPE es un documento operativo en el que se definen las medidas concretas ya adoptadas y las que se adoptarán por parte del Operador Crítico con base en una evaluación de riesgos, en aras de garantizar la seguridad física y lógica de una Infraestructura Crítica concreta. Por tanto, contiene los siguientes elementos: Aspectos relacionados con la Política general de seguridad. Medidas organizativas, operacionales y técnicas con las que cuenta el Operador. Resultado del análisis de riesgos y Plan de Acción ¿Qué beneficios aporta contar con un plan de protección robusto? Adoptar planes de protección en nuestra organización nos aporta múltiples ventajas, entre las que podemos identificar las siguientes: Resiliencia operativa: Fortalece la capacidad de la organización para resistir y recuperarse de eventos adversos, asegurando la continuidad de los servicios esenciales. Gestión de riesgos: Facilita la identificación, evaluación y gestión proactiva de riesgos, permitiendo prever, disminuir o evitar la materialización de amenazas potenciales. Coordinación eficiente: Mejora la coordinación y colaboración entre diferentes entidades, incluyendo organismos reguladores, autoridades y otras partes interesadas, para abordar de manera efectiva las amenazas a la seguridad. Optimización de recursos: Permite asignar recursos de seguridad de manera más eficiente, centrándose en las áreas y activos más críticos para la organización. Respuesta rápida y efectiva: Facilita una respuesta rápida y efectiva ante incidentes o emergencias. Cumplimiento normativo: Ayuda a garantizar el cumplimiento de las normativas y regulaciones específicas del sector, evitando sanciones y asegurando la integridad legal de la organización. Protección
ISO 27701: La clave para la protección empresarial
La protección de datos personales es un pilar fundamental de nuestra seguridad y un derecho fundamental, de acuerdo con la Carta de los Derechos Fundamentales de la Unión Europea. Por tanto, una correcta implantación de un sistema de protección en nuestra empresa determinará nuestro cumplimiento normativo, nos evitará sanciones económicas y beneficiará nuestra imagen corporativa. En este sentido, resulta fundamental adoptar acciones suficientes y correctas, lo cual puede convertirse en un reto para muchas organizaciones. Por ello, en este post abordamos cómo hacerlo de acuerdo con un estándar internacional con reconocimiento global. ¿Qué es la ISO 27701? En primer lugar, debemos comprender qué son los datos personales. Según el Reglamento general de protección de datos (RGPD), son toda aquella información sobre una persona física identificada o identificable. En otras palabras, la información que nos permite saber quién es un individuo. Por ejemplo, su nombre, dirección, número de identificación, teléfono o cuenta bancaria, entre otros. Estos datos los podemos encontrar en los contratos y nóminas de nuestros empleados, en registros de clientes, en correos electrónicos y en otros muchos documentos que utilizamos en el día a día. Por su parte, la norma ISO 27701 es un estándar internacional que establece requisitos y orientación para que implantemos un Sistema de Gestión de la Privacidad de la Información. Aunque es de carácter voluntario, es muy recomendable implantarlo. Esto se debe a que se basa en RGPD y es conforme a la Ley de Protección de Datos Personales (LOPDGDD). Por tanto, si cumplimos con los requisitos de la ISO 27701, contaremos con pruebas que nos permitirán evidenciar ante clientes, partners y autoridades públicas que tratamos adecuadamente los datos de carácter personal de acuerdo con la normativa vigente. Está particularmente dirigida al sector privado. En tanto que se fundamenta en gran parte en el RGPD, resulta especialmente interesante para aquellas organizaciones de derecho privado que manejen datos de ciudadanos de la Unión Europea como parte de su actividad. Se exceptúa su aplicación en los casos recogidos en el art. 2.2. RGPD y LOPDGDD. Características de la norma La ISO 27701 es una extensión certificable de la ISO 27001 de Seguridad de la Información. En otras palabras, se parte del Sistema de Gestión de Seguridad de la Información (SGSI) que prevé la ISO 27001 para implantar esta norma, ya que en muchos casos toma los requisitos de la ISO 27001 y los complementa con controles específicos de privacidad de la información. Esta norma destaca por su enfoque holístico hacia la privacidad. Integra principios de la privacidad desde el diseño y responsabilidad activa, evaluando riesgos y asegurando transparencia en el manejo de datos personales. Se divide en cuatro capítulos: Capítulo 5: Requisitos de gestión sobre privacidad de la información. Éstos se refieren a las políticas, procesos y procedimientos corporativos cuyo objetivo es dirigir y controlar nuestra operativa diaria. Capítulo 6: Requisitos de seguridad sobre privacidad de la información. Éstos se centran en las medidas físicas y técnicas concretas que adoptamos para proteger la información. Capítulo 7: Requisitos adicionales para el responsable del tratamiento. Se considera responsable al individuo u organización que decide qué datos se recopilan, con qué propósito y cómo se utilizarán, así como las medidas de protección aplicables. Capítulo 8: Requisitos adicionales para el encargado del tratamiento. Un encargado trata datos personales, pero se limita a seguir las instrucciones que le da el responsable, sin decidir nada por él mismo. ¿Cómo se aplica en la protección empresarial? La flexibilidad propia de la normativa ISO hace imposible ofrecer un listado homogéneo de medidas que todas las empresas deban implantar para certificarse en la ISO 27701, ya que dependerá de las circunstancias específicas de cada una. Sin embargo, en términos generales, podemos señalar los siguientes elementos: Políticas y procedimientos específicos relacionados con la protección de datos, como: Política de protección y privacidad de datos Alusiones específicas al tratamiento de datos personales en procedimientos corporativos, tales como gestión de incidentes o gestión de soportes. Roles y responsabilidades específicos: Designación de un Delegado de Protección de Datos, en caso de que se cumplan los requisitos del art. 37 RGPD y art.34 LOPDGDD. Cláusulas de contractuales de protección de datos en las relaciones con terceros, como: Acuerdos de confidencialidad (NDA). Derecho de control de datos personales (ARCOPOL). Consentimiento para el tratamiento de datos Enfoque en la gestión del riesgo: Metodología documentada de análisis de riesgos relativos al tratamiento de datos personales. Criterios de valoración del riesgo. Evaluación del riesgo. Plan de tratamiento del riesgo. Declaración de Aplicabilidad de los Anexos A y B de la ISO 27701, justificándose debidamente tanto el cumplimiento, como la posible exclusión de los controles. Registro de Actividades de Tratamiento (RAT), donde detallemos cómo gestionamos y procesamos los datos, a menos que se nos aplique la excepción del art.30.5 RGPD. Acciones de formación y concienciación relativas a la protección de datos para nuestros empleados, tales como píldoras de concienciación sobre la transferencia segura de información o charlas formativas sobre los principios clave de RGPD. Medidas técnicas específicas: Pseudonimización, anonimización y enmascaramiento de datos. Cifrado de datos en reposo y en tránsito. Recuperación de datos personales en backups. Bloqueo de datos que ya no se estimen necesarios hasta el término del plazo de prescripción, salvo requerimiento judicial o administrativo. Auditorías de cumplimiento, donde un tercero independiente examine nuestro grado de cumplimiento, e identifique posibles mejoras a nuestro Sistema de Privacidad. ¿Qué beneficios nos aporta la ISO 27701? Adoptar la norma ISO 27701 en nuestra organización nos aporta múltiples ventajas, entre las que podemos identificar las siguientes: Cumplimiento normativo: Nos aseguramos de estar alineados con la normativa europea y española de protección de datos. Fomento de la confianza de clientes y posibles partners. Protección de la imagen y reputación de la empresa. Ahorro de tiempo y ventaja ante licitaciones: Nos facilita responder a los cuestionarios y funciona como garantía de cumplimiento de la protección de datos. Reconocimiento internacional: El certificado nos brinda reputación a nivel internacional, ya que está reconocido globalmente. ¿Cuáles son las
Navegando hacia la ciberseguridad: Mantén tu puerto protegido
Los puertos protegidos desempeñan un papel crucial en el comercio global, la seguridad nacional y el bienestar ciudadano. Por ello, es esencial garantizar su seguridad. En esta publicación, exploraremos los principales instrumentos en los que nos podemos apoyar para lograrlo. En este sentido, abordaremos primero la protección de las instalaciones portuarias y, después, nos extenderemos a la protección del puerto entero. Lo haremos siguiendo un modelo de gestión del riesgo basado en la evaluación y priorización de riesgos, y subsiguiente implantación de medidas de seguridad integral para conseguir un puerto protegido. 1. Evaluación de Protección de las Instalaciones Portuarias (EPIP) La EPIP es el primer paso que debemos dar para garantizar la protección de nuestro puerto. En ésta, evaluamos las amenazas y vulnerabilidades específicas de las instalaciones portuarias individuales. Esto implica identificar posibles riesgos y debilidades en la seguridad de esas instalaciones concretas, de las que derivan una serie de medidas recomendables para la instalación. Con ello como base, podemos elaborar PPIPs para mantener la integridad y la operatividad de la instalación. Generalmente, la EPIP se elabora por la Autoridad Portuaria competente y se revisa, como mínimo, cada 5 años. 2. Planes de Protección de las Instalaciones Portuarias (PPIP) Los PPIP son documentos estratégicos basados en los resultados de la EPIP y están diseñados para garantizar la seguridad de nuestras instalaciones portuarias individuales. Para ello, definimos medidas de protección concretas y específicas para afrontar los riesgos identificados, tanto de naturaleza procedimental, como técnica. Podemos dividir estos procedimientos y medidas de acuerdo con tres niveles: Nivel 1: Medidas mínimas de protección en todo momento. Nivel 2: Medidas de protección adicionales a implementar cuando aumente el riesgo de que ocurra un suceso que afecte a la protección marítima. Nivel 3: Más medidas concretas de protección durante un periodo de tiempo limitado cuando sea probable o inminente un suceso que afecte a la protección marítima, aunque no sea posible determinar el blanco concreto. Asimismo, en nuestro PPIP identificamos los medios de coordinación con autoridades y agencias de seguridad. Así podremos dar una respuesta pronta y efectiva ante las amenazas que nos encontremos. El Oficial de Protección de Instalación Portuaria que designemos elabora el PPIP y lo revisa cada 5 años, si no ha habido cambios sustanciales antes. Después, debemos enviarlo a través de SecurePort a la Autoridad Portuaria competente para que lo apruebe. 3. Evaluación de Protección de los Puertos (EPP) La EPP, al igual que la EPIP, es una evaluación de los riesgos y vulnerabilidades, pero amplía su alcance y se enfoca a la seguridad de todo el puerto. Por tanto, en ésta debemos incluir: Las peculiaridades de las distintas partes del puerto. Las zonas adyacentes al puerto que tengan una incidencia en la protección del puerto. La integración de las EPIPs que se encuentren dentro de los límites del puerto. En cualquier caso, debemos tener en cuenta que, si las amenazas provienen de dichas zonas adyacentes, tendremos que coordinarnos con los titulares y administraciones competentes en esas zonas para hacer la EPP. La responsabilidad de elaborar la EPP recae sobre la Autoridad Portuaria competente cada un máximo de 5 años. Después, ésta la remite al Ministerio del Interior para su aprobación. 4. Plan de Protección del Puerto (PPP) Para redactar el PPP nos basaremos en la EPP y estableceremos medidas concretas para proteger el puerto en su totalidad. Por tanto, incluiremos: Las peculiaridades de las distintas partes del puerto. La integración de los PPIPs que se encuentren dentro de los límites del puerto. Igual que en el caso de los PPIPs, deberemos dividir los procedimientos y medidas de protección de acuerdo con los tres niveles mencionados. Asimismo, identificaremos procedimientos de coordinación con otros planes de seguridad o emergencia del puerto, para asegurar una respuesta rápida y efectiva. El PPE debe elaborarse por la Autoridad Portuaria competente con una frecuencia mínima de 5 años. Mantén tu puerto protegido con Global Technology Ahora que ya sabes qué instrumentos te pueden ayudar a mantener tu puerto protegido o instalación portuaria, ¿cómo podemos ayudarte desde Global Technology? Nuestro equipo de GRC está especializado en el diseño integral de la seguridad marítimo-portuaria. Te apoyamos en la realización de EPIP, PPIP, EPP y PPP para garantizar que cumples con todas las disposiciones legales y reglamentarias pertinentes. ¿Pero cómo puedes cerciorarte de que tu puerto está protegido, desde una perspectiva más práctica? Un enfoque de seguridad integral, que incluya tanto el entorno lógico como el físico nos ayudará a reducir tanto la probabilidad como el impacto de sufrir ataques e incidentes. Por tanto, una tecnología eficaz, eficiente y adaptada a nuestras necesidades específicas puede incrementar de manera significativa nuestra seguridad. No obstante, no debemos olvidar que la tecnología no es infalible y que, en ocasiones, podemos dejar sin darnos cuenta puertas abiertas que los actores maliciosos no dudarán en aprovechar. Por tanto, también es necesario analizar la fortaleza de nuestras medidas de seguridad, y vigilar constantemente nuestros sistemas y activos. Desde Global Technology podemos ayudarte a mejorar la ciberseguridad de tu puerto desde la prevención, la detección temprana y la respuesta efectiva, todo ello asegurando el cumplimiento normativo. Para eso, nuestros expertos en Auditoría y pentesting te ayudarán a conocer el estado real de tus defensas. Por otro lado, nuestro equipo de Ciberprotección te ayudará a identificar qué herramientas de ciberseguridad se adaptan más a tus necesidades y las operarán para disminuir el riesgo de que sufras un ataque. Y, en caso de que un actor malicioso consiga romper tus defensas, nuestro SOC lo detectará gracias a su monitorización 24/7 y entrará en acción para mitigar los daños. Todo ello lo completamos acompañándote y apoyándote desde GRC para cumplir con la normativa aplicable a la seguridad y privacidad de la información, con base en estándares internacionales reconocidos a nivel global. Itxaso Iturriaga
ISO 27001: Clave en la seguridad de la información empresarial
En un mundo digital donde la seguridad de la información es vital, la ISO 27001 emerge como un aliado clave. En este artículo exploraremos cómo esta norma puede fortalecer tus defensas y aumentar la confianza de tus clientes en tu negocio. ¿Qué es la norma ISO 27001? La norma ISO 27001 es un estándar internacional de carácter voluntario, aunque muy recomendable por los motivos que más adelante exploramos, para la gestión de la seguridad de los datos. Su objetivo principal es proporcionarnos un marco efectivo para la protección de los activos de información. Para ello, parte de un enfoque de gestión del riesgo, de manera que podamos prever los incidentes y, si ocurren, mitigar sus consecuencias. Aunque está especialmente enfocada al sector privado, lo cierto es que puede beneficiarse de su implementación cualquier organización. La ISO 27001 nos ofrece dos tipos de medidas: Medidas de gestión: Éstas nos permitirán estructurar nuestras políticas y procedimientos, administrar nuestros recursos de manera eficiente y llevar un control actualizado de la operativa diaria de la empresa. Medidas de seguridad: Se trata de un listado de posibles medidas que están especialmente dirigidas a la protección de la información. Se dividen en cuatro categorías: Organizativas, personales, físicas y tecnológicas. De esta manera, aseguramos una cobertura integral de la seguridad. Si lo deseamos, la ISO 27001 nos da la posibilidad de certificarnos en su cumplimiento. Pero ¿qué ventajas nos aporta esta norma y su certificado? ¿y cómo podemos lograrlo? En los siguientes apartados te lo explicamos. ¿Qué beneficios tiene la ISO 27001? Ahora que conocemos qué es la norma ISO 27001, vamos a explorar qué ventajas nos trae su implantación y que nos certifiquemos en ella: Mejora de la gestión documental y de los activos de la organización: Gracias a la implantación de un sistema de gestión, en el día a día percibiremos una mejora significativa en el control de la operativa gracias a la estandarización de procesos y a la centralización de documentos. Disminución del tiempo de respuesta a incidentes y más pronta recuperación: Puesto que estaremos aplicando una metodología probada y consolidada a nivel mundial, gestionaremos mejor el riesgo tanto de manera preventiva como reactiva. Ello nos permitirá garantizar la continuidad de nuestro servicio incluso aunque estemos sufriendo un incidente de seguridad. Incremento de la imagen corporativa y mejora competitiva: La ISO 27001 goza de reconocimiento internacional, por lo que garantizará frente a posibles clientes e inversores nuestro compromiso con la seguridad. Además, podremos acceder a más oportunidades comerciales, ya que cada vez se solicita más algún sello de garantía a este respecto. ¿Cómo implementarmos la ISO 27001 en nuestra empresa? La implantación de la norma ISO 27001 puede dividirse en cuatro fases principales: 1ª fase: Planificación ¿En qué estado nos encontramos? ¿Qué nivel de madurez tiene nuestra seguridad? ¿Qué necesidades de protección tenemos y cómo podemos priorizarlas? ¿A qué riesgos específicos se enfrenta nuestra organización? Éstas son algunas de las preguntas que responderemos en esta primera fase. Con las respuestas, podremos empezar a crear un sistema confeccionado a medida para nuestra empresa. 2ª fase: Diseño e implantación En esta fase documentaremos los procedimientos de nuestra empresa y los implementaremos, así como las medidas de protección que hayamos seleccionado. Después, pondremos a prueba su efectividad. 3ª fase: Control y verificación Una vez que todo ha sido implantado, debemos cerciorarnos de que es útil, eficaz y eficiente. Para ello, monitorizaremos el sistema mediante indicadores y evaluaremos su adecuación a través de una auditoría interna. Los resultados se presentarán a Dirección y, si todo es correcto, ¡ya estamos listos para presentarnos a la certificación! 4ª fase: Auditoría y certificación Un auditor de una empresa certificadora acreditada nos someterá a evaluación y emitirá un informe. En caso de que encuentre alguna No Conformidad, contaremos con 30 días para solucionarla y, después, podremos obtener nuestro Certificado de Conformidad. El Certificado de Conformidad con la ISO 27001 tiene una validez de 3 años. Luego, tendremos que renovar nuestro certificado. Sin embargo, debemos que tener en cuenta que, puesto que se busca la mejora continua de la seguridad, tendremos auditorías parciales de manera anual. Éstas son más cortas y sencillas, pero igual de importantes para poder mantener nuestro certificado. ¿Cómo podemos ayudarte desde Global Technology? Desde nuestro departamento de GRC , te ayudamos a implantar la norma ISO 27001, diagnosticando el estado de seguridad de tu organización y acompañándote durante todo el proceso de implantación, desde la elaboración de procedimientos, hasta la defensa de la auditoría. Desde Global Technology te ofrecemos una asesoría integral y soporte técnico para la obtención de la certificación. Para ello, desde nuestro departamento de Ciberprotección te ayudamos a elegir qué solución técnica se ajusta más a tus necesidades, de manera que puedas cumplir con todos los requisitos de la norma necesarios. Además, nuestro SOC te permite monitorizar tus sistemas para poder identificar vulnerabilidades, y nuestro departamento de Auditoría y pentesting te ayuda a conocer la protección real de tus equipos. ¿Y si no estás seguro de querer certificarte aún? Podemos ayudarte a elaborar un Plan Director de Seguridad basado en la ISO 27001, de manera que conozcas la madurez de la seguridad de tu empresa y qué medidas es prioritario adoptar. Así, podrás saber cómo empezar tu andadura hacia la certificación, con una estimación económica de las medidas que necesita tu organización y sin presiones de plazos. Itxaso Iturriaga
SEGURIDAD ACTIVA Y PASIVA PARA LA PROTECCIÓN DE TUS DATOS
Las medidas de seguridad activa y pasiva son esenciales para la protección de nuestros datos en el entorno digital. Ello se debe a que la información en sí misma es un activo de gran importancia y el objetivo de numerosas amenazas. En este artículo, exploraremos ambos enfoques. ¿QUÉ SON LAS MEDIDAS DE SEGURIDAD ACTIVA? Las medidas de seguridad activa son aquéllas que previenen y detectan amenazas en tiempo real. Así, podemos impedir o asumir ataques externos. Entre éstas, podemos identificar las siguientes: Firewalls y antivirus: Los firewalls actúan como un muro de protección digital para bloquear amenazas. Los antivirus, por otro lado, identifican y eliminan software malicioso. Monitorización de eventos: Los sistemas de detección de intrusiones monitorean constantemente la red en busca de actividades sospechosas. Si detectan algo inusual, como un intento de acceso no autorizado, se generan alertas para que podamos actuar de inmediato. Escáner de vulnerabilidades: Se identifican los puntos débiles de la configuración de seguridad de un equipo y se crean parches para los agujeros de seguridad detectados. Auditorías de seguridad: Se evalúan las medidas de seguridad implementadas para identificar posibles vulnerabilidades, riesgos y deficiencias en la seguridad, así como priorizar posibles necesidades. De esta manera, podemos incrementar su efectividad y garantizar la protección de la información. Formación y concienciación: La formación en seguridad cibernética para empleados es crucial. Gracias a ella, los trabajadores son menos propensos a caer en trampas de phishing o cometer errores que puedan comprometer la seguridad. ¿QUÉ SON LAS MEDIDAS DE SEGURIDAD PASIVA? Por otro lado, las medidas de seguridad pasivas se centran en proteger los datos y sistemas tras un incidente de seguridad. Es decir, buscan minimizar el impacto de un percance ya ocurrido. Se trata, por tanto, de poner en marcha todos los mecanismos necesarios para recuperar la normalidad en el menor plazo de tiempo posible. Entre ellas encontramos: Copias de Seguridad: Realizar copias de seguridad periódicas de los datos críticos es fundamental. Así, si se produce un ataque o una pérdida de información, podemos restaurarlos fácilmente. Análisis forenses: La realización de estos análisis consiste en la revisión de información relevante de los equipos comprometidos, como los logs o la memoria. Así, podemos identificar el alcance del incidente y dar con posibles soluciones. ¿EN QUÉ SE DIFERENCIAN LA SEGURIDAD ACTIVA Y PASIVA DE LA INFORMACIÓN? Las medidas de seguridad activa y pasiva abordan diferentes aspectos de la seguridad de la información desde enfoques distintos. La principal diferencia radica en el momento en que entran en acción: Seguridad activa: Busca prevenir e identificar las amenazas antes de que causen daño para evitar que se materialicen en una intrusión o ataque. Por tanto, tiene carácter proactivo. Seguridad pasiva: Se implementa a largo plazo para minimizar el impacto de un incidente de seguridad una vez que ha ocurrido. En este sentido, actúa cuando un ciberataque ya ha ocurrido, centrándose en la respuesta y la recuperación. En consecuencia, tiene carácter reactivo. Es importante recordar que ambos tipos de medidas son complementarios y necesarios para una estrategia de ciberseguridad sólida. Así, la seguridad activa protege contra las amenazas en curso, mientras que la seguridad pasiva garantiza la recuperación y la continuidad de las operaciones en caso de un incidente. ¿POR QUÉ ES IMPORTANTE IMPLEMENTAR MEDIDAS EN CIBERSEGURIDAD? Hasta aquí, hemos identificado con qué herramientas o medidas contamos para proteger nuestra información, pero ¿por qué es tan importante implementarlas? Protección de datos sensibles: La información personal, financiera y empresarial se almacena en línea y, sin seguridad adecuada, puede ser robada o comprometida. Evitar pérdidas económicas: Un ciberataque puede resultar en daños financieros. Esto incluye gastos para remediar el ataque, pérdida de ingresos debido a la interrupción del negocio y posibles demandas de clientes o socios afectados. Preservar la reputación: Los hackeos exitosos pueden dañar la imagen de tu organización. Además, la confianza de los clientes puede ser difícil de recuperar y tener un impacto duradero. Continuidad del negocio: La ciberseguridad facilita que tu servicio continúe prestándose sin interrupciones graves, incluso en medio de amenazas cibernéticas. Esto es esencial para la estabilidad y el éxito a largo plazo. Cumplimiento legal: En último lugar, pero no menos importante, ha de tenerse en cuenta que la normativa de protección de datos requiere que las organizaciones protejan la información de sus clientes. Su incumplimiento puede dar lugar a sanciones significativas. ¿CÓMO PODEMOS AYUDARTE DESDE GLOBAL TECHNOLOGY? Global Technology está especializada en la seguridad integral de sus clientes. Para ello te ofrecemos nuestros servicios de ciberseguridad: Desde nuestro SOC, supervisamos y gestionamos en tiempo real tu seguridad, para prevenir, detectar, analizar y responder a incidentes de seguridad. Para ello, monitorizamos vuestros equipos y sistemas 24/7 y gestionamos vuestras vulnerabilidades. Nuestro equipo de Ciberprotección se encarga de implementar soluciones de ciberseguridad, como Firewalls, antivirus o sistemas antispam, entre otros, para minimizar el riesgo de sufrir incidentes de seguridad. También nos encargamos de su mantenimiento, de manera que no tengas que preocuparte de su actualización ni de la instalación de parches. Nuestro departamento de Auditoría y pentesting es especialista en detectar posibles brechas de tu infraestructura a través de hacking ético y, ante un incidente, llevan a cabo su análisis forense para encontrar la raíz de éste. Recopilan las evidencias siguiendo todos los procedimientos legales, de manera que puedas usarlas en un juicio. Si quieres integrar todas las soluciones de manera sistematizada, en una herramienta destinada a la seguridad de la información y enfocada en la gestión de riesgos, desde GRC podemos ayudarte a implantar un sistema de gestión de acuerdo con el estándar internacional ISO/IEC 27001 o el RD 311/2022, que regula el Esquema Nacional de Seguridad, todo ello de acuerdo con el GDPR y demás normativa de protección de datos. Ello te permitirá estandarizar procesos, y reducir tu tiempo de reacción y respuesta ante incidentes de seguridad. Itxaso Iturriaga
Cambios y novedades en la norma ISO/IEC 27001/2022 y su guía de desarrollo ISO/IEC 27002/2022
La norma ISO/IEC 27001 y, conforme a ella, su guía de desarrollo ISO/IEC 27002, proveen de un marco estandarizado para el establecimiento, implementación, mantenimiento y mejora de un Sistema de Gestión de Seguridad de la Información (SGSI) basado en las mejores prácticas nacional e internacionalmente reconocidas. En este sentido, adoptan un enfoque holístico y necesariamente adaptable a los cambios del entorno, para garantizar su eficacia y utilidad práctica. Es por ello que, con base en los cambios del contexto de la seguridad de la información derivados del avance tecnológico, el desarrollo de los servicios en la nube y las nuevas formas de gestionar los activos, servicios y procesos productivos se haya visto en la necesidad de introducir con su actualización 2022 una serie de modificaciones, especialmente pronunciadas en la norma ISO/IEC 27002. Modificaciones en la estructura de la norma Con base en estas modificaciones, se observa que la norma ISO/IEC 27001/2022 mantiene la misma estructura que su predecesora, conformada por siete capítulos que desarrollan a lo largo de sus capítulos cuatro al diez los requisitos normativos básicos para el establecimiento de un SGSI.Por su parte, la norma ISO/IEC 27002/2022 propone un nuevo enfoque organizativo para la gestión de los controles y requisitos de seguridad de la información, pasando de contar con catorce capítulos, treinta y cinco categorías y ciento catorce controles en su versión anterior, a agrupar sus actuales noventa y tres controles en cuatro categorías (organizacionales, personales, físicos y tecnológicos), acercándose de esta forma a la estructura del Esquema Nacional de Seguridad. Ello supone que algunos controles de su predecesora se han fusionado, otros se han suprimido y algunos otros de nueva creación han sido incorporados en respuesta a las necesidades de un contexto cambiante y en continuo desarrollo. Por ello, a continuación, nos centraremos en explicar los principales cambios y novedades que incorpora la versión 2022 de la norma. Nuevos controles ISO/IEC 27002/2022 Entre los nuevos controles incorporados, destacan los relativos al análisis de las amenazas, la gestión de los servicios Cloud, la reducción de la superficie de exposición y el desarrollo seguro de software. A continuación, se exponen una breve descripción de estos, aludiendo al número de control referenciado en la norma. Inteligencia de amenazas (control 5.7): alude a la necesidad de recolectar información sobre las amenazas que afectan a los sistemas de información con el objetivo de analizarlas y conocerlas, a fin de aprender de las mismas y prevenirlas. Seguridad de la información en el uso de servicios Cloud (control 5.23): establece la necesidad de implementar procesos para la adquisición, uso y gestión de los servicios Cloud. Filtrado de web (8.23.): se preocupa por la gestión de acceso a páginas web externas con el objetivo de reducir la exposición de los sistemas a contenido potencialmente malicioso. Codificación segura (8.28): fomenta el deber de establecer principios de codificación segura en los procesos de desarrollo de software. Controles fusionados respecto a la versión anterior Múltiples elementos y aspectos de la seguridad a los que se hacía referencia en controles separados en la normativa anterior se han fusionado en aras de simplificar su gestión. Aunque un análisis pormenorizado de todos estos cambios supera el alcance de este artículo, a continuación, se ofrecen algunos ejemplos que buscan evidenciar la razón lógica que ha propiciado dicha unificación de controles, en los que se identifican tanto los controles de la versión anterior, cómo el resultado de su fusión: Los controles para el inventario de activos y propiedad de los activos (8.1.1 y 8.1.2, respectivamente) se unifican bajo un control más amplio denominado 5.9. Inventario de la información y otros activos. El control sobre transmisión de la información (5.14.), unifica los anteriormente denominados políticas y procedimientos de intercambio de información (13.2.1), acuerdos de intercambio de información (13.2.2) y mensajería electrónica (13.2.3). Entrada física (7.2): unifica los anteriores controles físicos de entrada (11.1.2), y áreas de carga y descarga (11.1.6) El actual uso de criptografía (8.24), unifica la política de uso de los controles criptográficos (10.1.1) y la gestión de claves (10.1.2) Otros cambios significativos Se ha de destacar el énfasis que hace la nueva norma ISO/IEC 27002/2022 a la gestión de proveedores. En este sentido, se opta por un control mucho más exhaustivo centrado en la totalidad de la cadena de suministro para el análisis de las posibles lagunas de seguridad, reflejándolo en los siguientes controles: Seguridad de la información en relaciones con proveedores (control 5.19.). Seguridad de la información en acuerdos con proveedores (control 5.20.). Seguridad de la información en la cadena de suministro TIC (control 5.21.). Monitorización, revisión y cambio de la gestión en servicios de proveedores (control 5.22.). En conclusión, la actualización de la norma ISO/IEC 27001/2022 se adecúa al contexto actual de la seguridad de la información, proponiéndonos una estructura de gestión más similar a la que propone el Esquema Nacional de Seguridad. Ello favorecerá la integración de ambos marcos de referencia en las organizaciones y, por ende, facilitará su aplicación práctica, ya que ofrece una simplificación que sin duda busca fomentar su cumplimiento.Por ello, el área de GRC de nos ponemos a su disposición tanto para la implementación de Sistemas de Gestión de Seguridad de la Información desde sus inicios, como para la adecuación de su sistema de gestión a los nuevos criterios y requisitos normativos, de una manera eficaz y eficiente para su organización. Itxaso Iturriaga