La madurez es la clave en la seguridad integral corporativa
En el entorno empresarial actual, la seguridad integral es un factor crítico para el éxito y la sostenibilidad de cualquier organización. Sin embargo, alcanzar una seguridad efectiva no es un proceso instantáneo; requiere de un desarrollo progresivo conocido como «madurez en seguridad corporativa». Este concepto es fundamental para crear un entorno seguro, resiliente y capaz de enfrentar las amenazas emergentes. ¿Qué es la madurez en seguridad corporativa? La madurez en seguridad corporativa se refiere al grado de desarrollo y eficacia de las políticas, procedimientos y prácticas de seguridad dentro de una organización. Es un indicador de cuán bien una empresa ha integrado la seguridad en su cultura, procesos y operaciones diarias. Una organización madura en seguridad no solo implementa medidas de protección, sino que también evalúa, adapta y mejora continuamente sus estrategias de seguridad en respuesta a nuevos riesgos y cambios en el entorno. Niveles de la madurez en la seguridad integral La madurez en la seguridad integral se suele medir en varios niveles, que reflejan el progreso y la sofisticación de las prácticas de seguridad en una empresa: Inicial: la seguridad es reactiva y se implementa de manera ad hoc. No existen políticas ni procedimientos formalizados. Gestionada: se han establecido políticas básicas y procedimientos, pero su aplicación es inconsistente y no están bien integrados en las operaciones diarias. Definida: las políticas y procedimientos están formalizados y documentados. La seguridad comienza a integrarse en los procesos empresariales, y se realizan evaluaciones periódicas. Gestionada y medida: la organización monitoriza y mide de manera sistemática la efectividad de sus controles de seguridad, utilizando métricas para guiar las mejoras continuas. Optimizada: la seguridad es proactiva y está completamente integrada en la cultura y los procesos de la empresa. La organización utiliza tecnologías avanzadas y prácticas de vanguardia para anticipar y mitigar riesgos. Marco normativo en la seguridad integral Un marco normativo robusto es esencial para la madurez en la seguridad integral. Este marco proporciona las directrices y estándares que guían las prácticas de seguridad dentro de la organización. Algunas de las normativas más relevantes incluyen: ISO/IEC 27001: proporciona los requisitos para un sistema de gestión de la seguridad de la información (SGSI). NIST Cybersecurity Framework: ofrece un enfoque basado en prácticas recomendadas para gestionar y reducir el riesgo cibernético. RGPD (Reglamento General de Protección de Datos): regula la protección de los datos personales en la Unión Europea. Cumplir con estos y otros estándares no solo es una obligación legal, sino que también ayuda a las empresas a estructurar y mejorar continuamente sus estrategias de seguridad. Perfiles que intervienen en la madurez de la seguridad corporativa La madurez en seguridad corporativa es un esfuerzo colaborativo que involucra a múltiples perfiles dentro de la organización: Directores de Seguridad de la Información (CISO): responsables de desarrollar e implementar la estrategia de seguridad. Auditores de Seguridad: evalúan la efectividad de los controles de seguridad y aseguran el cumplimiento normativo. Ingenieros de Seguridad: diseñan y mantienen las infraestructuras de seguridad técnicas. Analistas de Riesgos: identifican y evalúan los riesgos potenciales para la organización. Personal de TI: implementan y gestionan las soluciones tecnológicas necesarias para proteger los activos de información. Cada uno de estos roles aporta una perspectiva y habilidades únicas que son cruciales para alcanzar y mantener un alto nivel de madurez en seguridad. ¿Cómo puede madurar tu empresa en su seguridad empresarial? Para avanzar en la madurez de la seguridad empresarial, las organizaciones deben seguir varios pasos clave: Evaluación inicial: realizar una auditoría completa de las actuales prácticas y políticas de seguridad para identificar las brechas y áreas de mejora. Desarrollo de una estrategia: crear una estrategia de seguridad alineada con los objetivos empresariales y los requisitos normativos. Capacitación y concienciación: educar a todos los empleados sobre la importancia de la seguridad y sus roles específicos en mantener un entorno seguro. Implementación de controles de seguridad: desplegar soluciones tecnológicas y procedimientos que aborden las vulnerabilidades identificadas. Monitoreo y mejora continua: establecer un sistema de monitoreo continuo y retroalimentación para ajustar y mejorar las prácticas de seguridad regularmente. En conclusión, la madurez en seguridad corporativa es un proceso continuo y esencial que permite a las empresas protegerse de manera efectiva contra las amenazas modernas. Al adoptar una cultura de mejora continua y cumplir con los marcos normativos establecidos, las organizaciones pueden asegurar un entorno más seguro y resiliente. María Teresa Vallés BoriConsultora de GRC
Desafíos actuales en ciberseguridad: Normativa Europea en Inteligencia Artificial
En el vertiginoso avance de la tecnología, la inteligencia artificial (IA) ha emergido como una fuerza transformadora en diversos sectores, desde la atención médica hasta las finanzas. Sin embargo, a medida que estas soluciones se vuelven omnipresentes, se ha establecido una nueva normativa Europea en inteligencia artificial para abordar aspectos cruciales como el cumplimiento normativo, la protección de datos y los temas de propiedad intelectual. Novedades regulatorias: la primera normativa Europea en inteligencia artificial El pasado mes de diciembre el Consejo y el Parlamento Europeo lograron un acuerdo provisional sobre el primer Reglamento de Inteligencia Artificial (IA). Este acontecimiento se origina en la propuesta de la Comisión Europea en 2021, que buscaba crear el primer marco regulador de la Unión Europea para la IA. Objetivos claves: seguridad, derechos ciudadanos e innovación La nueva ley de IA tiene dos objetivos fundamentales: garantizar la seguridad y el respeto de los derechos de los ciudadanos en el uso de sistemas de inteligencia artificial en la Unión Europea y fomentar la inversión y la innovación en este ámbito en Europa. Según el acuerdo, el reglamento entrará en vigor dos años después de su aplicación. Este reglamento se posiciona como la primera propuesta legislativa mundial sobre inteligencia artificial, potencialmente estableciendo un estándar global para la regulación de la IA en otras jurisdicciones. La ley clasificará los sistemas de IA en función de sus riesgos, imponiendo normas más estrictas a medida que aumenta el nivel de riesgo asociado. Principales aspectos de la normativa Europea en inteligencia artificial: definiciones y exclusiones claras El acuerdo provisional adopta la definición de sistema de IA propuesta por la OCDE, estableciendo criterios claros para distinguir estos sistemas de otros softwares más simples. Además, se especifica que el reglamento no se aplicará a áreas fuera del ámbito de aplicación del Derecho de la UE y no interferirá con las competencias de los Estados miembros en seguridad nacional, ni afectará a sistemas utilizados con fines militares o de defensa, investigación e innovación. Sistemas de IA de alto riesgo y prácticas prohibidas Se han establecido criterios horizontales de protección para determinar cuándo los sistemas de IA pueden causar daños significativos a la sociedad. Aquellos que presenten riesgos elevados estarán sujetos a requisitos y obligaciones específicos para acceder al mercado de la UE, mientras que el uso de sistemas con riesgos inaceptables quedará totalmente prohibido. Ejemplos de prácticas prohibidas incluyen la manipulación cognitiva conductual y el rastreo indiscriminado de imágenes faciales de internet. Protección de derechos fundamentales y transparencia El reglamento subraya la importancia de evaluar el impacto en los derechos fundamentales antes de introducir nuevos sistemas de IA en el mercado. Los modelos funcionales, sistemas de gran magnitud que abarcan diversas tareas, deben cumplir con obligaciones más específicas en términos de transparencia. Además, se destaca la obligación de los usuarios de sistemas de reconocimiento de emociones de informar a las personas expuestas a dicho sistema. Propiedad intelectual y patentes en IA La UE reconoce la importancia de abordar la propiedad intelectual en el contexto de la inteligencia artificial, especialmente cuando se trata de la creación de algoritmos avanzados y sistemas autónomos. La legislación busca clarificar y definir los derechos de propiedad intelectual en situaciones donde la contribución de sistemas de IA es significativa. En particular: Titularidad de las invenciones: se establecen directrices claras sobre quién posee los derechos de propiedad intelectual cuando se trata de invenciones generadas por sistemas de IA. La legislación fomenta un equilibrio justo entre los derechos de los creadores humanos y las contribuciones de la IA. Colaboración entre humanos y sistemas de IA: la normativa aborda específicamente los casos en los que la creación intelectual es el resultado de la colaboración entre humanos y sistemas de IA. Se busca garantizar una asignación adecuada de los derechos, incentivando la colaboración y la innovación conjunta. Protección de Datos en Conformidad con el RGPD En cuanto a la protección de datos, la UE refuerza las disposiciones existentes bajo el Reglamento General de Protección de Datos (RGPD) y las adapta para abordar los retos que plantea la inteligencia artificial. Las regulaciones incluyen: Transparencia y explicabilidad: se exige una mayor transparencia en el uso de algoritmos de IA, especialmente en situaciones que afectan a los derechos y libertades individuales. Además, se establecen requisitos para garantizar la explicabilidad de las decisiones automatizadas, permitiendo a las personas comprender y cuestionar las decisiones tomadas por sistemas de IA. Evaluaciones de impacto en la protección de datos: se insta a las organizaciones a realizar evaluaciones de impacto en la protección de datos cuando implementan sistemas de IA que pueden implicar un riesgo significativo para los derechos y libertades de las personas. Esto ayuda a anticipar y abordar posibles riesgos antes de la implementación completa. Normativas Globales y Coherentes para un Futuro Sostenible La UE ha destacado la importancia de una cooperación internacional sólida en el ámbito normativo de la IA. Busca trabajar de la mano con otros actores globales para establecer estándares comunes que fomenten la innovación, protejan los derechos individuales y aborden los desafíos éticos y de seguridad asociados con la inteligencia artificial. Global Technology y la normativa Europea en inteligencia artificial Global Technology puede ayudarte a cumplir con las normativas utilizando inteligencia artificial, gracias a nuestra experiencia especializada y profundo conocimiento de las regulaciones, en particular, las establecidas por la nueva normativa Europea en inteligencia artificial . Destacamos por la capacidad de integrar de manera efectiva tecnologías emergentes, garantizando soluciones flexibles y a la vanguardia de las exigencias regulatorias en constante evolución. Nos centramos en un enfoque transparente y ético, enfocado en la comprensión y explicabilidad de las decisiones automatizadas, así como nuestro compromiso firme con la privacidad y protección de datos conforme al RGPD. Estamos comprometidos con la excelencia y ofrecemos una colaboración proactiva con entidades regulatorias, asegurando que tu empresa esté a la vanguardia de la innovación cumpliendo con los más altos estándares normativos. María Teresa Vallés BoriConsultora de GRC
Visión global de la sostenibilidad y gobernanza de la ciberseguridad
La sostenibilidad y la gobernanza de la ciberseguridad, se han vuelto imprescindibles en la era en la que las tecnologías avanzan a un ritmo imparable. Vamos a descubrir cómo implementarlas de forma eficaz en cualquier ámbito o canal. ¿Qué es ESG? ESG son las siglas de «Ambiental, Social y Gobernanza» en inglés, que se refieren a los criterios utilizados para evaluar el desempeño de una empresa en áreas más allá de simplemente sus resultados financieros. Estos criterios se utilizan para medir el impacto y la sostenibilidad de una empresa en tres dimensiones clave: Ambiental (E – Environmental): se refiere a cómo una empresa gestiona sus impactos ambientales. Esto incluye prácticas relacionadas con la gestión de residuos, la eficiencia energética, las emisiones de gases de efecto invernadero. También la conservación de recursos naturales y la gestión de riesgos ambientales. Social (S – Social): se centra en cómo una empresa gestiona sus relaciones con empleados, clientes, proveedores y la comunidad en general. Incluye aspectos como la equidad laboral, la diversidad e inclusión, la salud y seguridad ocupacional, el respeto de los derechos humanos y las prácticas éticas en general. Gobernanza (G – Governance): se refiere a la estructura y procesos de toma de decisiones dentro de una empresa. Incluye la transparencia, la ética empresarial, la independencia del consejo, la gestión de riesgos y la rendición de cuentas. Una gobernanza de la ciberseguridad sólida asegura que la empresa sea gestionada de manera responsable y ética. GOBERNANZA DE LA CIBERSEGURIDAD: BENEFICIOS Las empresas que adoptan y cumplen con los criterios ESG pueden esperar una serie de beneficios significativos, incluyendo: Mejora de la reputación y la marca, atrayendo a consumidores y empleados que valoran la sostenibilidad. Acceso a capital a menores costos, ya que los inversores están cada vez más inclinados hacia empresas con sólidos desempeños ESG. Reducción de riesgos operativos y regulatorios a través de prácticas de gobernanza mejoradas. Oportunidades de innovación y acceso a nuevos mercados mediante la adopción de prácticas sostenibles. Mejora en la retención y atracción de talento, gracias a un fuerte compromiso con cuestiones sociales. Inversión sostenible: los inversores están cada vez más interesados en invertir en empresas que demuestren un fuerte desempeño en criterios ESG. La inversión sostenible busca no solo rendimientos financieros, sino también impactos positivos en el medio ambiente y la sociedad. Ciberseguridad y Gobernanza (G) La gobernanza empresarial incluye la toma de decisiones, la supervisión de la administración y la rendición de cuentas. La ciberseguridad es esencial para la gestión de riesgos en este ámbito, ya que las amenazas cibernéticas pueden tener impactos significativos en la gobernanza si no se gestionan adecuadamente. Resiliencia empresarial: la capacidad de una empresa para resistir y recuperarse de incidentes cibernéticos forma parte de su resiliencia empresarial. Ciberseguridad Y Social (S) La seguridad cibernética es fundamental para proteger los datos y la privacidad de los empleados, clientes y otras partes interesadas. La gestión efectiva de la seguridad cibernética contribuye a salvaguardar los derechos y la privacidad de las personas, aspectos sociales fundamentales en el marco ESG. Los incidentes de ciberseguridad pueden dañar la reputación de una empresa y la confianza de los clientes. Una gestión efectiva de la ciberseguridad contribuye a mantener la integridad y la reputación de la empresa, aspectos sociales clave en el contexto ESG. Efectos ambientales de las tecnologías (A) Si bien es menos evidente, las prácticas de ciberseguridad también pueden afectar los aspectos ambientales. A continuación, se desarrollan diversas dimensiones donde la ciberseguridad tiene un gran impacto sobre las cuestiones ambientales: Consumo de recursos energéticos: Centros de Datos: las operaciones de ciberseguridad a menudo dependen de centros de datos que consumen grandes cantidades de energía para su funcionamiento y refrigeración. La gestión eficiente de la ciberseguridad puede contribuir a reducir la demanda energética de los centros de datos, apoyando así prácticas más sostenibles. Impacto de incidentes cibernéticos en la cadena de suministro: los ataques cibernéticos exitosos a empresas y organizaciones pueden tener un impacto significativo en la cadena de suministro. Si los sistemas críticos que respaldan la producción y distribución de bienes y servicios se ven comprometidos, podría haber interrupciones que conduzcan a un uso ineficiente de recursos y una huella ambiental más grande. Tecnologías sostenibles y ciberseguridad: a medida que las organizaciones adoptan tecnologías más sostenibles, como la Internet de las cosas (IoT) para la gestión eficiente de recursos, la ciberseguridad se vuelve esencial. Asegurar estas tecnologías sostenibles es crucial para evitar posibles ataques que podrían tener consecuencias ambientales negativas. PRINCIPIOS BÁSICOS DE ACTUACIÓN Normas ISO: Algunos de los estándares reconocidos internacionalmente ayudan a establecer prácticas que respaldan los objetivos ESG: ISO 14001 – Gestión Ambiental: esta norma se centra en sistemas de gestión ambiental y puede ayudar a las organizaciones a identificar, gestionar, monitorear y mejorar sus impactos ambientales. ISO 26000 – Guía sobre Responsabilidad Social: proporciona directrices sobre cómo las organizaciones pueden operar de manera socialmente responsable, abordando aspectos como derechos humanos, prácticas laborales, medio ambiente, prácticas leales, y participación en el desarrollo de la comunidad. ISO 45001 – Seguridad y Salud Ocupacional: aborda la salud y seguridad en el trabajo, un componente importante de la responsabilidad social empresarial. ISO 37001 – Sistema de Gestión Antisoborno: ayuda a las organizaciones a establecer, implementar, mantener y mejorar un sistema de gestión antisoborno. ISO 22301 – Gestión de la Continuidad del Negocio: aborda la resiliencia organizativa y puede contribuir a la gestión de riesgos, lo cual es relevante para los criterios de gobernanza. ISO 27001 – Seguridad de la Información: contribuye a los criterios ESG mediante la gestión integral de riesgos, cultura de seguridad, cumplimiento legal y mejora continua. ESQUEMA NACIONAL DE SEGURIDAD: El Esquema Nacional de Seguridad (ENS) puede contribuir al cumplimiento de los criterios ESG (ambientales, sociales y de gobernanza) a través de diversas medidas y prácticas. Gobernanza: Transparencia y Ética: el ENS puede promover la transparencia en la gestión de la seguridad, asegurando que las instituciones y organizaciones operen éticamente y con responsabilidad. Participación: involucrar a partes interesadas en la definición y
Reglamento de Resiliencia Operativa Digital (DORA)
La normativa sobre Resiliencia Operativa Digital, conocida como reglamento DORA, representa un marco vinculante y completo establecido por la Unión Europea (UE) para la gestión de riesgos en el ámbito de las tecnologías de la información y la comunicación (TIC) en el sector financiero de la UE. DORA establece normas técnicas que las entidades financieras y sus proveedores de servicios tecnológicos críticos deben implementar en sus sistemas de TIC antes del 17 de enero de 2025. En este sentido las Autoridades Europeas de Supervisión (AES), estarán a cargo de las normas técnicas. Finalmente, serán las autoridades nacionales competentes las que deberán supervisar el cumplimiento y aplicación del Reglamento. Objetivos del reglamento DORA DORA persigue dos objetivos principales: Abordar de manera integral la gestión de riesgos asociados a las TIC en el sector de los servicios financieros. Armonizar las regulaciones sobre gestión de riesgos de las TIC que ya existen en los diversos Estados miembros de la UE. Antes de la implementación de DORA, la normativa en la gestión de riesgos de entidades financieras de la UE se centraba principalmente en asegurar que las empresas contaran con suficiente capital para cubrir riesgos operativos. Aunque algunos reguladores de la UE emitieron directrices sobre TIC y gestión de riesgos de seguridad, estas no eran aplicables de manera uniforme a todas las entidades financieras y a menudo se basaban en principios generales en lugar de normas técnicas específicas. La carencia de normativas comunitarias generó una complejidad para las entidades financieras al tener que lidiar con distintos requisitos establecidos por los Estados miembros de la UE. Con DORA, la UE busca establecer un marco universal para gestionar y mitigar los riesgos de las TIC en el sector financiero. La armonización de las normas de gestión de riesgos en toda la UE tiene como objetivo eliminar lagunas, superposiciones y conflictos que podrían surgir entre regulaciones dispares de distintos Estados de la UE. Un conjunto común de normas facilitaría el cumplimiento para las entidades financieras, al mismo tiempo que fortalecería la resistencia de todo el sistema financiero de la UE, asegurando que todas las entidades sigan las mismas pautas. Alcance y aplicación de DORA DORA se aplica a todas las instituciones financieras de la UE, abarcando tanto entidades financieras tradicionales como bancos, empresas de inversión y entidades de crédito, como a entidades no tradicionales como proveedores de servicios de criptoactivos y plataformas de crowdfunding. Es importante destacar que DORA también se aplica a algunas entidades normalmente excluidas de regulaciones financieras, como proveedores de servicios externos que suministran sistemas y servicios de TIC a empresas financieras, incluyendo proveedores de servicios en la nube y centros de datos. El reglamento también afecta a empresas que ofrecen servicios esenciales de información, como servicios de calificación crediticia y proveedores de análisis de datos. En resumen, el reglamento DORA será de aplicación a las siguientes entidades financieras: Entidades de crédito. Entidades de pago. Proveedores de servicios de información sobre cuentas. Entidades de dinero electrónico. Empresas de servicios de inversión. Proveedores de servicios de criptoactivos. Depositarios centrales de valores. Entidades de contrapartida central. Centros de negociación. Registros de operaciones. Gestores de fondos de inversión alternativos. Sociedades de gestión. Proveedores de servicios de suministro de datos. Empresas e intermediarios de seguros, reaseguros y seguros complementarios. Fondos de pensiones de empleo. Agencias de calificación crediticia. Administradores de índices de referencia cruciales. Proveedores de servicios de financiación participativa. Registros de titulizaciones. Beneficios de cumplir con el reglamento DORA Mejora de la resistencia frente a amenazas cibernéticas: un reglamento de resiliencia operativa digital puede ayudar a fortalecer las defensas contra ataques cibernéticos, protegiendo así la infraestructura tecnológica y los datos de la organización. Reducción del riesgo de interrupciones operativas: la resiliencia operativa digital implica la capacidad de mantener operaciones esenciales incluso en situaciones de crisis o desastres. Esto reduce la probabilidad de interrupciones en los servicios y contribuye a la continuidad del negocio. Cumplimiento normativo: adoptar prácticas y reglamentos de resiliencia operativa digital puede ayudar a las organizaciones a cumplir con regulaciones y estándares específicos relacionados con la seguridad cibernética y la protección de datos. Protección de la reputación: la implementación de medidas de resiliencia operativa digital puede ayudar a evitar violaciones de seguridad que podrían dañar la reputación de la organización. La confianza del público y de los clientes puede mantenerse mediante la adopción de buenas prácticas de seguridad digital. Eficiencia operativa: la resiliencia operativa implica una planificación proactiva y la capacidad de respuesta rápida ante incidentes. Esto puede mejorar la eficiencia operativa al reducir el tiempo de inactividad y acelerar la recuperación de eventos adversos. Innovación segura: fomentar la resiliencia operativa digital puede permitir que las organizaciones adopten nuevas tecnologías de manera segura. La innovación puede avanzar sin comprometer la seguridad de los sistemas y datos. Protección de la cadena de suministro: la resiliencia operativa digital también puede extenderse a la cadena de suministro, asegurando que los proveedores y socios comerciales cumplan con estándares de seguridad digital, lo que reduce los riesgos asociados con terceros. Requisitos de DORA DORA establece requisitos técnicos en cuatro áreas clave para entidades financieras y proveedores de TIC: Gestión de riesgos y gobernanza de las TIC: DORA responsabiliza al órgano de dirección de una entidad de la gestión de las TIC. Se espera que los miembros del Consejo de Administración, líderes ejecutivos y otros altos directivos definan estrategias adecuadas de gestión de riesgos, colaboren activamente en su ejecución y se mantengan al día en su conocimiento del panorama de riesgos de las TIC. Los líderes también pueden ser considerados personalmente responsables del incumplimiento de una entidad. Respuesta y notificación de incidentes: Las entidades cubiertas deben establecer sistemas para supervisar, gestionar, registrar, clasificar y notificar incidentes relacionados con las TIC. Dependiendo de la gravedad del incidente, las entidades pueden tener que informar tanto a los reguladores como a los clientes y socios afectados. Se requieren tres tipos de informes en casos de incidentes críticos: un informe inicial de notificación a las autoridades, un informe intermedio sobre los avances hacia la
La huella de Carbono de una Organización
¿Qué es la huella de carbono? La Huella de Carbono es el cálculo de las emisiones de todos los gases de efecto invernadero (GEI) asociados a organizaciones, eventos o actividades, o al ciclo de vida de un producto expresada en toneladas de CO2 equivalentes. ¿Qué beneficios conlleva calcular tu huella de carbono en el ámbito de la ciberseguridad? En el creciente mundo digital, donde la ciberseguridad es imperativa, a menudo pasamos por alto su conexión intrínseca con la sostenibilidad ambiental. La relación entre la huella de carbono y las prácticas de seguridad cibernética es más profunda de lo que podríamos imaginar, afectando desde la infraestructura de centros de datos hasta la gestión de dispositivos electrónicos. A continuación, se especifican sus principales beneficios: Mejora de la imagen y elemento diferenciador: calcular la huella de carbono muestra responsabilidad ambiental, mejora la transparencia y credibilidad, y ofrece diferenciación competitiva. Además, integrar la ciberseguridad de manera integral refuerza la protección de datos ambientales, fortaleciendo la confianza y la reputación de la organización en un mundo empresarial consciente del impacto ambiental y la seguridad digital. Centros de datos sostenibles: los centros de datos, motores esenciales de la revolución digital, consumen enormes cantidades de energía. La eficiencia energética en estas instalaciones no solo es crucial para la seguridad de los datos, sino también para reducir la huella de carbono asociada. Estrategias de seguridad cibernética eficientes pueden influir en el consumo de energía, optimizando la relación entre seguridad y sostenibilidad. Desarrollo de software seguro: un software seguro no solo protege nuestros datos, sino que también puede impactar significativamente en la huella de carbono. Procesos de desarrollo y gestión de software eficientes minimizan la emisión de actualizaciones frecuentes, reduciendo así la necesidad de recursos adicionales y disminuyendo la huella ambiental asociada a la distribución de software. Dispositivos electrónicos: la fabricación y eliminación de dispositivos electrónicos contribuyen en gran medida a la huella de carbono. La seguridad cibernética puede influir en la duración de vida útil de estos dispositivos, afectando la cantidad de residuos electrónicos generados. Estrategias de seguridad que prolongan la vida útil de los dispositivos también contribuyen indirectamente a la sostenibilidad ambiental. Teletrabajo y movilidad: la creciente tendencia hacia el teletrabajo y la movilidad destaca la importancia de las infraestructuras de red seguras. Garant<izar la ciberseguridad en estas redes es esencial, pero también puede afectar el consumo de energía asociado con la transferencia de datos. Un enfoque equilibrado entre la seguridad y la eficiencia energética es crucial para la sostenibilidad en un mundo cada vez más conectado. Concientización para un futuro sostenible: la concientización y la educación en ciberseguridad desempeñan un papel fundamental en la creación de prácticas sostenibles. Al implementar buenas prácticas de seguridad, no solo reducimos la probabilidad de ataques cibernéticos, sino que también minimizamos la necesidad de respuestas reactivas que podrían aumentar el consumo de recursos. La educación en seguridad cibernética puede, de hecho, ser un catalizador para un futuro más sostenible. ¿Qué empresas se pueden ver obligadas a calcular su huella de carbono? Si bien se creó el Registro de huella de carbono a través del Real Decreto 163/2014, de 14 de marzo, su finalidad únicamente era la de recoger los esfuerzos de las organizaciones españolas en el cálculo y reducción de las emisiones de gases de efecto invernadero que genera su actividad. Siendo así, era de carácter voluntario. Sin embargo, con la entrada en vigor de la Ley 7/2021, de 20 de mayo, de Cambio Climático y Transición Energética, el cálculo de la huella de carbono de las empresas pasará de ser voluntario a obligatorio tras la Disposición Final Duodécima de esta ley. En este sentido, el Gobierno ha emitido un comunicado donde establece que a través del borrador del Real Decreto 165/2014 se plantea que las empresas afectadas por la Ley 11/2018, de 28 de diciembre, deberán calcular su huella de carbono y disponer de un plan de reducción. Por otro lado, diversas comunidades autónomas han desarrollado sus propios requisitos con el fin de que las organizaciones calculen de forma obligatoria su huella de carbono. Un ejemplo de esto es el Registro Balear y el Registro Canario. ¿Cómo se calcula? La huella de carbono que genera cada fuente de emisión es el resultado del producto del dato de consumo (dato de actividad) por su correspondiente factor de emisión: 𝐷𝑎𝑡𝑜 𝐴𝑐𝑡𝑖𝑣𝑖𝑑𝑎𝑑: es el parámetro que define el nivel de la actividad generadora de las emisiones de gases de efecto invernadero. Por ejemplo, cantidad de gas natural utilizado en la calefacción (kWh de gas natural). 𝐹𝑎𝑐𝑡𝑜𝑟 𝐸𝑚𝑖𝑠𝑖ó𝑛: es la cantidad de gases de efecto invernadero emitidos por cada unidad del parámetro “dato de actividad”. Por ejemplo, para el gas natural, el factor de emisión sería 0,202 kg CO2 eq/kWh de gas natural. En base a esta fórmula, existen varias metodologías para el cálculo de la huella de carbono (UNE-ISO 14064, GHG Protocol, etc.). ¿Qué datos son necesarios? Es necesario conocer, al menos, los datos de consumo de los combustibles fósiles (en las oficinas, maquinaria, almacenes, vehículos, etc.) y de electricidad para un año determinado, así como sus correspondientes factores de emisión. Adicionalmente, se puede incluir otras emisiones indirectas distintas a la electricidad como son los viajes de trabajo con medios externos, los servicios subcontratados como la gestión de residuos, etc. ¿Cuáles son las fases para calcular la huella de carbono? Las fases para el cálculo de la Huella de Carbono son: Escoger el año de cálculo. Establecer los límites de la organización y los operativos. Recopilar los datos de consumo (datos de actividad) de estas operaciones. Es conveniente acompañar el primer esfuerzo de cálculo de la huella con la implantación de un sistema de recogida de información. El objetivo es facilitar la tarea en años sucesivos y asegurar la calidad y exhaustividad de los datos. Además, estos datos deberán estar respaldados por facturas u otros. Realizar los cálculos multiplicando los datos de actividad por los factores de emisión. Una vez que se conoce cuánto y dónde se emite, reflexionar sobre los puntos
Conoce la norma ISO 14001 y cómo proteger al medio ambiente
¿Qué es la norma ISO 14001? En el mundo empresarial actual, la gestión ambiental y la ciberseguridad son dos pilares esenciales que convergen para forjar una empresa sostenible y segura. La certificación ISO 14001, centrada en la gestión ambiental, y las medidas de ciberprotección forman un vínculo estratégico que no solo preserva la salud del planeta, sino también la integridad digital y la resiliencia operativa de la organización. Esta sinergia entre la ISO 14001 y la seguridad cibernética no solo fortalece la posición ética y sostenible de una empresa, sino que también protege sus activos digitales en un mundo interconectado. La norma ISO 14001 es una norma internacional que establece los requisitos para un sistema de gestión ambiental (SGA). Esta norma proporciona un marco para que las organizaciones desarrollen e implementen políticas y objetivos ambientales, teniendo en cuenta los aspectos legales y otros requisitos relacionados con el impacto ambiental de sus actividades. ¿Para qué sirve? En el panorama empresarial actual, la convergencia de la gestión ambiental y la seguridad de la información emerge como una estrategia sólida para empresas vanguardistas. La integración de sistemas ambientales, como la norma ISO 14001, con sistemas de protección de la información brinda un enfoque integral que no solo preserva la salud del entorno, sino que también resguarda los activos digitales críticos. A continuación, se exponen los principales beneficios de disponer de un sistema de gestión ambiental: Gestión integral de riesgos: identifica y gestiona riesgos ambientales. Resiliencia empresarial: mejora la capacidad de respuesta ante eventos ambientales. Protección de activos: asegura la gestión responsable de recursos y activos naturales. Cumplimiento normativo: garantiza el cumplimiento de regulaciones ambientales. Fortalecimiento de la reputación: demuestra compromiso con la sostenibilidad ambiental. Eficiencia operativa: optimiza procesos para reducir impacto ambiental. Concienciación y educación: incluye programas de concienciación ambiental. Mejora continua: fomenta la revisión y mejora constante de procesos. La implementación de la ISO 14001 no solo beneficia la gestión ambiental, sino que también contribuye a la seguridad integral, abarcando aspectos cibernéticos y físicos para fortalecer la resiliencia y sostenibilidad de la empresa. ¿Qué empresas se pueden ver interesadas? La versatilidad de la norma ISO 14001 permite su implementación en empresas de diversos tamaños y naturalezas. En particular, diferentes sectores encuentran beneficios significativos al adoptar un sistema de gestión ambiental, reflejo de su compromiso creciente con la responsabilidad corporativa. Sectores manufactureros, tecnológicos, de construcción, alimentación, energía, servicios, transporte, químico, farmacéutico, reciclaje, turismo, y telecomunicaciones hallan en esta normativa un marco robusto para gestionar y mejorar su desempeño ambiental de manera integral y coherente. La ISO 14001 se erige como un estándar que trasciende fronteras sectoriales, promoviendo prácticas ambientales sostenibles en la diversidad empresarial. Cómo certificarse en ISO 14001 La certificación ISO 14001 implica una serie de fases que deben seguirse de manera estructurada. A continuación, se detalla en 10 pasos como certificar con éxito un SGA: Evaluación inicial: realizar una evaluación inicial del sistema de gestión ambiental existente en la organización para identificar brechas y áreas de mejora. Establecimiento del sistema de gestión ambiental (SGA): desarrollar y documentar un SGA basado en los requisitos de la norma ISO 14001. Esto puede incluir la creación de políticas, procedimientos y la asignación de responsabilidades. Implementación del SGA: implementar el sistema de gestión ambiental en toda la organización, asegurándose de que todos los procesos y funciones estén alineados con los requisitos de la norma. Monitoreo y medición: establecer procesos para el monitoreo y medición de los aspectos ambientales, así como el desempeño del sistema de gestión. Auditorías internas: realizar auditorías internas regulares para evaluar la conformidad con la ISO 14001 y la efectividad del sistema de gestión. Revisión por la Dirección: la alta dirección debe realizar revisiones periódicas del sistema de gestión para asegurar su idoneidad, adecuación y eficacia. Auditoría de certificación: un organismo de certificación realiza la auditoría inicial para evaluar si el sistema de gestión cumple con los requisitos de la norma. Resolución de no conformidades: abordar y corregir cualquier no conformidad identificada durante la auditoría de certificación. Certificación ISO 14001: una vez resueltas las no conformidades, el organismo de certificación emite el certificado ISO 14001, verificando que la organización cumple con los requisitos de la norma. Mantenimiento y Mejora Continua: continuar con la monitorización, auditorías internas y revisiones de la dirección para mantener y mejorar continuamente el SGA. Global Technology y la protección ambiental En Global Technology nos enorgullece ser líderes en la implementación de sistemas de gestión ambiental basados en la norma ISO 14001. Somos una empresa comprometida con la sostenibilidad y el cuidado del medio ambiente. Como parte de nuestro compromiso con la responsabilidad social y la conservación del medio ambiente, hemos establecido una colaboración especial con TreeApp, una innovadora plataforma que se dedica a la reforestación global. Cada vez que en Global Technology firmamos un nuevo proyecto, nos comprometemos a plantar un árbol a través de TreeApp. Con esta iniciativa no solo buscamos compensar nuestra huella de carbono, sino que también tener un impacto positivo en la lucha contra el cambio climático y la conservación de los bosques en todo el mundo. Queremos marcar la diferencia y aportar nuestro granito de arena para asegurar un futuro más verde para las generaciones futuras. Nuestro enfoque hacia nuestros clientes se centra en la excelencia, la eficiencia y la sostenibilidad. Contamos con un equipo de expertos altamente calificados que comprenden las complejidades de la norma ISO 14001 y tienen una amplia experiencia en adaptarla a diversos sectores. Nos comprometemos a trabajar estrechamente con su equipo, personalizando soluciones que se alineen perfectamente con sus procesos y objetivos específicos. Desde la evaluación inicial hasta la obtención del certificado, le ofrecemos un camino transparente y eficaz. María Teresa Vallés BoriConsultora de GRC
Certificación en el ENS: Guía completa para cumplir la normativa
¿Qué es la Certificación en el ENS? En el siempre cambiante mundo digital, la seguridad de la información se ha vuelto fundamental, especialmente en el ámbito público en España. El Esquema Nacional de Seguridad (ENS) es un conjunto de normativas diseñadas para fortalecer la protección de los datos en el sector público español. Su objetivo es proporcionar un marco común de principios y requisitos para garantizar la protección efectiva de la información y los servicios digitales. ¿A quién le aplica? Todas las entidades del sector público en España están bajo la jurisdicción del ENS. Esto incluye desde el gobierno central hasta las administraciones locales. Además, abarca a organizaciones externas que colaboran con el sector público, como proveedores y otras entidades que manejan información sensible. Con la llegada del nuevo ENS regulado a través del Real Decreto 311/2022, cada vez es más común que la Administración Pública exija a sus proveedores el cumplimiento con este estándar. Las principales empresas que pueden verse sujetas al ENS son: Proveedores de tecnología y servicios informáticos: empresas que proporcionan sistemas, software o servicios informáticos al sector público. Empresas de outsourcing y consultoría: aquellas que ofrecen servicios de consultoría, externalización (outsourcing) de procesos, o gestionan servicios específicos para entidades gubernamentales. Empresas de telecomunicaciones: proveedores de servicios de telecomunicaciones que gestionan infraestructuras o servicios de comunicación para el sector público. Empresas de seguridad informática: compañías especializadas en ciberseguridad que colaboran con el sector público para proteger la información crítica. Proveedores de servicios en la nube (Cloud Computing): empresas que ofrecen servicios de almacenamiento en la nube o soluciones de infraestructura para entidades gubernamentales. Empresas de gestión documental: aquellas que se encargan de la gestión y almacenamiento seguro de documentos digitales y físicos para el sector público. Empresas de transporte y logística: en el caso de contratos con el sector público que implican información logística sensible. Empresas de energía y suministros críticos: si están involucradas en el suministro de servicios críticos para el funcionamiento del sector público. Requisitos para la Certificación en el ENS A continuación, detallamos en cinco pasos que puntos se deberían de cumplir con el fin de implementar un ENS con las máximas garantías: Plan de adecuación: Identificar el alcance del sistema: para identificar el alcance correctamente es necesario comprender la estructura organizativa, los procesos y servicios prestados e identificar los activos de la organización. Categorizar el sistema según niveles de seguridad: el ENS clasifica la seguridad de la información en niveles (BAJO, MEDIO, ALTO). Para categorizar, hay que identificar la importancia de los datos y la sensibilidad de los sistemas. Esta clasificación guía la aplicación de medidas de protección proporcionando un enfoque adaptado a la criticidad de la información y servicios digitales. Elaborar la Declaración de Aplicabilidad: la Declaración de Aplicabilidad (DA) en el ENS es un documento clave que identifica y documenta las medidas de seguridad que una organización aplicará según sus necesidades específicas. Incluye la evaluación de riesgos, la categorización de sistemas y define las medidas necesarias para garantizar la seguridad de la información. Es una herramienta esencial para adaptar las medidas del ENS a la realidad de cada entidad. Realizar el Análisis de Riesgos: el análisis de riesgos de seguridad de la información es un proceso sistemático para identificar, evaluar y gestionar posibles amenazas y vulnerabilidades que podrían afectar la confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad de los datos. Involucra la evaluación de activos, identificación de peligros, evaluación de vulnerabilidades y la determinación de la probabilidad e impacto de posibles eventos adversos. Este análisis es esencial para desarrollar estrategias efectivas y mitigar riesgos en entornos digitales. Implantación de la seguridad: Elaborar una hoja de ruta para implementar medidas técnicas: una vez desarrollado el punto anterior, será necesario elaborar e implantar el conjunto de políticas y procedimientos que alimentarán el sistema de gestión de seguridad de la información. Aprobar el Sistema de Gestión de la Seguridad de la Información: todo el sistema documental elaborado debe de ser aprobado por las partes implicadas con el objetivo de implantarlo con las máximas garantías. Declaración / Certificación de Conformidad: Categorías MEDIA o ALTA: Auditoría formal al menos cada dos años por un organismo independiente. Categoría BÁSICA: Autoevaluación al menos cada dos años. Informe sobre el Estado de Seguridad: Obligación de informar sobre el Estado de Seguridad mediante el proyecto INES. Vigilancia y Mejora Continua: Revisión continua de políticas, análisis de riesgos y medidas de seguridad. Ventajas de implementar el Esquema Nacional de Seguridad Gracias a la implantación del ENS en nuestra organización, se pueden apreciar una serie de ventajas: Protección de la información sensible: gracias a las medidas de seguridad reguladas a través del ENS, se garantiza la protección de la información sensible y crítica de cualquier organización. Gestión Integral de riesgos: facilita la identificación y gestión de riesgos relacionados con la seguridad de la información. Esto implica evaluar y abordar peligros potenciales y vulnerabilidades. Coordinación entre entidades: promueve la colaboración y coordinación entre diferentes entidades gubernamentales, empresas y sectores, lo que mejora la capacidad general para hacer frente a amenazas y riesgos cibernéticos. Cumplimiento normativo: ayuda a garantizar el cumplimiento de normativas y estándares nacionales e internacionales relacionados con la seguridad de la información. Concienciación y educación: el ENS incluye programas de concienciación y educación en seguridad cibernética para aumentar la cultura de seguridad de todos los trabajadores y usuarios. Intercambio de información: proporciona el intercambio seguro de información entre diferentes partes interesadas, lo que puede ser crucial para abordar amenazas de manera efectiva. Preparación para incidentes: el ENS establece procedimientos para la preparación, respuesta y recuperación ante incidentes de seguridad cibernética, minimizando el impacto de posibles violaciones de seguridad. Global Technology tu aliado en la certificación en el ENS En Global Technology, te acompañamos en todas las fases de adecuación para obtener eficazmente la certificación del ENS, independientemente del nivel de categorización del sistema. Si perteneces al sector público o eres un proveedor de servicios, no dudes en contactarnos. Estamos aquí para asegurarnos de que tu organización esté protegida en el mundo
Seguridad de los pagos online con la certificación PCI DSS
¿Qué es PCI DSS? El estándar PCI DSS (Payment Card Industry Data Security Standard) hace mención a una serie de requisitos de obligado cumplimiento cuyo objetivo es el de garantizar la seguridad de la información privada de los usuarios que disponen de tarjetas de crédito y/o débito. Los requisitos marcados por el estándar PCI DSS deben de cumplirse por todas aquellas empresas que manejan datos de titulares de tarjetas de pago. El nacimiento de esta normativa se debe a la gran cantidad de violaciones de seguridad y filtraciones de datos que se llevaron a cabo con las tarjetas de crédito y débito. De este modo, las principales marcas de tarjetas como American Express, Visa, Mastercard, Discover y JCB formaron el PCI SSC (Payment Card Industry Security Standards Council) en 2006 con el fin de crear un marco regulatorio que garantice la seguridad entre todas las transacciones realizadas a través de tarjetas de pago. Es importante destacar que el estándar PCI DSS no está contemplado dentro del marco jurídico de cada país, pero la obligación de cumplir con estos requisitos se puede ver reflejada a través de contratos entre comerciantes, bancos adquirientes y marcas de pago. Además, no cumplir con este estándar puede suponer el incumplimiento del Reglamento General de Protección de Datos (RGPD). ¿Qué establece esta normativa? El estándar PCI DSS es de aplicación para cualquier organización que pueda procesar, almacenar o transmitir datos de titulares de tarjetas de crédito o débito. Con el fin de determinar los requisitos que aplican a cada negocio de forma individual, PCI SSC creó un sistema de cuatro niveles para clasificar a las empresas en función de su tamaño y riesgo. Estos niveles de riesgo se basan en el número total de operaciones con tarjeta de pago que una organización realiza anualmente: Nivel 1: organizaciones que procesan más de 6 millones de transacciones al año. Nivel 2: organizaciones que procesan entre 1 y 6 millones de transacciones al año. Nivel 3: organizaciones que procesan entre 20.000 y 1 millón de transacciones al año. Nivel 4: organizaciones que procesan menos de 20.000 transacciones al año. Cómo implementar la normativa PCI DSS El estándar PCI DSS está compuesto por doce requisitos a cumplir, clasificados en 6 aspectos fundamentales: 1. Desarrollar y mantener una red segura. Instalar y mantener una configuración firewall para proteger los datos. No usar contraseñas del sistema y otros parámetros de seguridad predeterminados provistos por los proveedores. 2. Proteger los datos de los titulares de las tarjetas. Salvaguardar la información personal de los propietarios de las tarjetas. Cifrar los datos de los propietarios de tarjetas e información confidencial transmitida a través de redes públicas abiertas. 3. Establecer un programa de gestión de vulnerabilidades. Usar y actualizar regularmente un software antivirus. Desarrollar y mantener sistemas y aplicaciones seguras. 4. Implementar medidas sólidas de control de acceso. Limitar el acceso a la información únicamente a las empresas que lo necesiten. Asignar una identificación única a cada persona con acceso al sistema. Restringir el acceso físico a los datos solo a los propietarios de la tarjeta. 5. Monitorizar y testar regularmente las redes y los accesos. Rastrear el acceso a los recursos de la red y datos de los propietarios de tarjetas. Realizar pruebas periódicas en los sistemas y procesos de seguridad. 6. Mantener una política de seguridad de la información. Crear una política que contemple y mantenga actualizada los aspectos relacionados con seguridad de la información. Cómo certificarse en PCI DSS Para obtener la certificación bajo este estándar, será necesario definir una estrategia que cumpla con los requerimientos de aplicación en base al nivel asignado, así como disponer de las evidencias documentales que así lo avalen. En el caso de empresas que realicen grandes cantidades de transacciones, será necesario ejecutar una auditoría externa por parte de una entidad avalada por el PCI SSC. El resto de las organizaciones a las que no sea de aplicación la realización de una auditoría externa, únicamente será necesario llevar a cabo una autoevaluación. Independientemente del caso, será conveniente someterse a un escaneo trimestral de la red con el fin de asegurar un nivel alto de seguridad. Global Technology tu aliado para la protección empresarial Tal y como se ha desarrollado en los apartados anteriores, el estándar PCI DSS es de aplicación a: Comerciantes. Entidades emisoras. Procesadores. Proveedores de servicios de pago. Adquirente (institución que procesa pagos con tarjetas de crédito o débito). Además, si una empresa considera necesario formar parte del sistema de pago a través de tarjetas para prestar su servicio o trabajando con empresas que sí disponen de PCI DSS, también deberán cumplir con este requisito. Algunas de ellas son: Proveedores de servicios gestionados, en la nube o de centros de datos. Proveedores de infraestructura tecnológica. Servicios de alojamiento web. Proveedores de desarrollo de software. Servicio de externalización de personal (outsourcing). En estos casos, aunque el estándar PCI DSS no les pueda aplicar directamente, sí que podrían participar en las evaluaciones de sus clientes. Desde Global Technology te ayudamos en todas las fases para certificarte en el estándar PCI DSS. Gracias a su cumplimiento, obtendrás importantes beneficios como: Construir una reputación fundamentada en la transparencia y en la confianza ya que los clientes podrán procesas sus datos de pago de una forma segura. Controlar el riesgo de sufrir incidentes relacionados con la seguridad de la información. Al implantar los controles necesarios para salvaguardar los datos de pago, se reduce la posibilidad de sufrir cualquier tipo de riesgo, como por ejemplo, un ciberataque. Evitar sanciones derivadas de incumplimientos legales. Por ejemplo, el Reglamento General de Protección de Datos (RGPD). Si necesitas adaptar tu sistema de cobro con tarjeta a esta normativa, no dudes en contactar con nosotros. María Teresa Vallés BoriConsultora de GRC