Global Technology

Menú
Linkedin Youtube Instagram

Categoría: GRC

La huella de Carbono de una Organización

la huella de carbono

¿Qué es la huella de carbono? La Huella de Carbono es el cálculo de las emisiones de todos los gases de efecto invernadero (GEI) asociados a organizaciones, eventos o actividades, o al ciclo de vida de un producto expresada en toneladas de CO2 equivalentes. ¿Qué beneficios conlleva calcular tu huella de carbono en el ámbito de la ciberseguridad? En el creciente mundo digital, donde la ciberseguridad es imperativa, a menudo pasamos por alto su conexión intrínseca con la sostenibilidad ambiental. La relación entre la huella de carbono y las prácticas de seguridad cibernética es más profunda de lo que podríamos imaginar, afectando desde la infraestructura de centros de datos hasta la gestión de dispositivos electrónicos. A continuación, se especifican sus principales beneficios: Mejora de la imagen y elemento diferenciador: calcular la huella de carbono muestra responsabilidad ambiental, mejora la transparencia y credibilidad, y ofrece diferenciación competitiva. Además, integrar la ciberseguridad de manera integral refuerza la protección de datos ambientales, fortaleciendo la confianza y la reputación de la organización en un mundo empresarial consciente del impacto ambiental y la seguridad digital. Centros de datos sostenibles: los centros de datos, motores esenciales de la revolución digital, consumen enormes cantidades de energía. La eficiencia energética en estas instalaciones no solo es crucial para la seguridad de los datos, sino también para reducir la huella de carbono asociada. Estrategias de seguridad cibernética eficientes pueden influir en el consumo de energía, optimizando la relación entre seguridad y sostenibilidad. Desarrollo de software seguro: un software seguro no solo protege nuestros datos, sino que también puede impactar significativamente en la huella de carbono. Procesos de desarrollo y gestión de software eficientes minimizan la emisión de actualizaciones frecuentes, reduciendo así la necesidad de recursos adicionales y disminuyendo la huella ambiental asociada a la distribución de software. Dispositivos electrónicos: la fabricación y eliminación de dispositivos electrónicos contribuyen en gran medida a la huella de carbono. La seguridad cibernética puede influir en la duración de vida útil de estos dispositivos, afectando la cantidad de residuos electrónicos generados. Estrategias de seguridad que prolongan la vida útil de los dispositivos también contribuyen indirectamente a la sostenibilidad ambiental. Teletrabajo y movilidad: la creciente tendencia hacia el teletrabajo y la movilidad destaca la importancia de las infraestructuras de red seguras. Garant<izar la ciberseguridad en estas redes es esencial, pero también puede afectar el consumo de energía asociado con la transferencia de datos. Un enfoque equilibrado entre la seguridad y la eficiencia energética es crucial para la sostenibilidad en un mundo cada vez más conectado. Concientización para un futuro sostenible: la concientización y la educación en ciberseguridad desempeñan un papel fundamental en la creación de prácticas sostenibles. Al implementar buenas prácticas de seguridad, no solo reducimos la probabilidad de ataques cibernéticos, sino que también minimizamos la necesidad de respuestas reactivas que podrían aumentar el consumo de recursos. La educación en seguridad cibernética puede, de hecho, ser un catalizador para un futuro más sostenible. ¿Qué empresas se pueden ver obligadas a calcular su huella de carbono? Si bien se creó el Registro de huella de carbono a través del Real Decreto 163/2014, de 14 de marzo, su finalidad únicamente era la de recoger los esfuerzos de las organizaciones españolas en el cálculo y reducción de las emisiones de gases de efecto invernadero que genera su actividad. Siendo así, era de carácter voluntario. Sin embargo, con la entrada en vigor de la Ley 7/2021, de 20 de mayo, de Cambio Climático y Transición Energética, el cálculo de la huella de carbono de las empresas pasará de ser voluntario a obligatorio tras la Disposición Final Duodécima de esta ley. En este sentido, el Gobierno ha emitido un comunicado donde establece que a través del borrador del Real Decreto 165/2014 se plantea que las empresas afectadas por la Ley 11/2018, de 28 de diciembre, deberán calcular su huella de carbono y disponer de un plan de reducción. Por otro lado, diversas comunidades autónomas han desarrollado sus propios requisitos con el fin de que las organizaciones calculen de forma obligatoria su huella de carbono. Un ejemplo de esto es el Registro Balear y el Registro Canario. ¿Cómo se calcula? La huella de carbono que genera cada fuente de emisión es el resultado del producto del dato de consumo (dato de actividad) por su correspondiente factor de emisión: 𝐷𝑎𝑡𝑜 𝐴𝑐𝑡𝑖𝑣𝑖𝑑𝑎𝑑: es el parámetro que define el nivel de la actividad generadora de las emisiones de gases de efecto invernadero. Por ejemplo, cantidad de gas natural utilizado en la calefacción (kWh de gas natural). 𝐹𝑎𝑐𝑡𝑜𝑟 𝐸𝑚𝑖𝑠𝑖ó𝑛: es la cantidad de gases de efecto invernadero emitidos por cada unidad del parámetro “dato de actividad”. Por ejemplo, para el gas natural, el factor de emisión sería 0,202 kg CO2 eq/kWh de gas natural. En base a esta fórmula, existen varias metodologías para el cálculo de la huella de carbono (UNE-ISO 14064, GHG Protocol, etc.). ¿Qué datos son necesarios? Es necesario conocer, al menos, los datos de consumo de los combustibles fósiles (en las oficinas, maquinaria, almacenes, vehículos, etc.) y de electricidad para un año determinado, así como sus correspondientes factores de emisión. Adicionalmente, se puede incluir otras emisiones indirectas distintas a la electricidad como son los viajes de trabajo con medios externos, los servicios subcontratados como la gestión de residuos, etc. ¿Cuáles son las fases para calcular la huella de carbono? Las fases para el cálculo de la Huella de Carbono son: Escoger el año de cálculo. Establecer los límites de la organización y los operativos. Recopilar los datos de consumo (datos de actividad) de estas operaciones. Es conveniente acompañar el primer esfuerzo de cálculo de la huella con la implantación de un sistema de recogida de información. El objetivo es facilitar la tarea en años sucesivos y asegurar la calidad y exhaustividad de los datos. Además, estos datos deberán estar respaldados por facturas u otros. Realizar los cálculos multiplicando los datos de actividad por los factores de emisión. Una vez que se conoce cuánto y dónde se emite, reflexionar sobre los puntos

Cambios y novedades en la norma ISO/IEC 27001/2022 y su guía de desarrollo ISO/IEC 27002/2022

iso 27002

La norma ISO/IEC 27001 y, conforme a ella, su guía de desarrollo ISO/IEC 27002, proveen de un marco estandarizado para el establecimiento, implementación, mantenimiento y mejora de un Sistema de Gestión de Seguridad de la Información (SGSI) basado en las mejores prácticas nacional e internacionalmente reconocidas. En este sentido, adoptan un enfoque holístico y necesariamente adaptable a los cambios del entorno, para garantizar su eficacia y utilidad práctica. Es por ello que, con base en los cambios del contexto de la seguridad de la información derivados del avance tecnológico, el desarrollo de los servicios en la nube y las nuevas formas de gestionar los activos, servicios y procesos productivos se haya visto en la necesidad de introducir con su actualización 2022 una serie de modificaciones, especialmente pronunciadas en la norma ISO/IEC 27002. Modificaciones en la estructura de la norma  Con base en estas modificaciones, se observa que la norma ISO/IEC 27001/2022 mantiene la misma estructura que su predecesora, conformada por siete capítulos que desarrollan a lo largo de sus capítulos cuatro al diez los requisitos normativos básicos para el establecimiento de un SGSI.Por su parte, la norma ISO/IEC 27002/2022 propone un nuevo enfoque organizativo para la gestión de los controles y requisitos de seguridad de la información, pasando de contar con catorce capítulos, treinta y cinco categorías y ciento catorce controles en su versión anterior, a agrupar sus actuales noventa y tres controles en cuatro categorías (organizacionales, personales, físicos y tecnológicos), acercándose de esta forma a la estructura del Esquema Nacional de Seguridad. Ello supone que algunos controles de su predecesora se han fusionado, otros se han suprimido y algunos otros de nueva creación han sido incorporados en respuesta a las necesidades de un contexto cambiante y en continuo desarrollo. Por ello, a continuación, nos centraremos en explicar los principales cambios y novedades que incorpora la versión 2022 de la norma. Nuevos controles ISO/IEC 27002/2022 Entre los nuevos controles incorporados, destacan los relativos al análisis de las amenazas, la gestión de los servicios Cloud, la reducción de la superficie de exposición y el desarrollo seguro de software. A continuación, se exponen una breve descripción de estos, aludiendo al número de control referenciado en la norma. Inteligencia de amenazas (control 5.7): alude a la necesidad de recolectar información sobre las amenazas que afectan a los sistemas de información con el objetivo de analizarlas y conocerlas, a fin de aprender de las mismas y prevenirlas. Seguridad de la información en el uso de servicios Cloud (control 5.23): establece la necesidad de implementar procesos para la adquisición, uso y gestión de los servicios Cloud. Filtrado de web (8.23.): se preocupa por la gestión de acceso a páginas web externas con el objetivo de reducir la exposición de los sistemas a contenido potencialmente malicioso. Codificación segura (8.28): fomenta el deber de establecer principios de codificación segura en los procesos de desarrollo de software. Controles fusionados respecto a la versión anterior Múltiples elementos y aspectos de la seguridad a los que se hacía referencia en controles separados en la normativa anterior se han fusionado en aras de simplificar su gestión. Aunque un análisis pormenorizado de todos estos cambios supera el alcance de este artículo, a continuación, se ofrecen algunos ejemplos que buscan evidenciar la razón lógica que ha propiciado dicha unificación de controles, en los que se identifican tanto los controles de la versión anterior, cómo el resultado de su fusión: Los controles para el inventario de activos y propiedad de los activos (8.1.1 y 8.1.2, respectivamente) se unifican bajo un control más amplio denominado 5.9. Inventario de la información y otros activos. El control sobre transmisión de la información (5.14.), unifica los anteriormente denominados políticas y procedimientos de intercambio de información (13.2.1), acuerdos de intercambio de información (13.2.2) y mensajería electrónica (13.2.3). Entrada física (7.2): unifica los anteriores controles físicos de entrada (11.1.2), y áreas de carga y descarga (11.1.6) El actual uso de criptografía (8.24), unifica la política de uso de los controles criptográficos (10.1.1) y la gestión de claves (10.1.2) Otros cambios significativos Se ha de destacar el énfasis que hace la nueva norma ISO/IEC 27002/2022 a la gestión de proveedores. En este sentido, se opta por un control mucho más exhaustivo centrado en la totalidad de la cadena de suministro para el análisis de las posibles lagunas de seguridad, reflejándolo en los siguientes controles: Seguridad de la información en relaciones con proveedores (control 5.19.). Seguridad de la información en acuerdos con proveedores (control 5.20.). Seguridad de la información en la cadena de suministro TIC (control 5.21.). Monitorización, revisión y cambio de la gestión en servicios de proveedores (control 5.22.). En conclusión, la actualización de la norma ISO/IEC 27001/2022 se adecúa al contexto actual de la seguridad de la información, proponiéndonos una estructura de gestión más similar a la que propone el Esquema Nacional de Seguridad. Ello favorecerá la integración de ambos marcos de referencia en las organizaciones y, por ende, facilitará su aplicación práctica, ya que ofrece una simplificación que sin duda busca fomentar su cumplimiento.Por ello, el área de GRC de  nos ponemos a su disposición tanto para la implementación de Sistemas de Gestión de Seguridad de la Información desde sus inicios, como para la adecuación de su sistema de gestión a los nuevos criterios y requisitos normativos, de una manera eficaz y eficiente para su organización. Itxaso Iturriaga

Modificación de la ley PIC, primera actualización en más de diez años.

Ley PIC | Global Technology

La recientemente publicada Ley Orgánica 9/2022, de 28 de julio, que entra en vigor a partir del 29 de agosto del presente año, viene a establecer la primera modificación a la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas (Comúnmente conocida como «Ley PIC«), desde su entrada en vigor el 30 de abril de 2011. Dicha Ley Orgánica, por medio de su disposición final segunda, modifica el Artículo 13 de la mencionada Ley 8/2011, relativo al deber de colaboración de los Operadores Críticos con las autoridades competentes del Sistema de Protección de Infraestructuras Críticas para optimizar la seguridad de las mismas, y las obligaciones de dichos Operadores para dicho fin. En concreto, mediante la modificación de los apartados c) y d) de dicho artículo viene a determinar la obligación de los Operadores Críticos a acreditar tanto en el Plan de Seguridad del Operador, cómo en sus Planes de Protección Específicos la implantación de las medidas exigidas por la autoridad competente a través de la certificación oportuna.  Es decir, viene a realzar la importancia de la certificación de las medidas de seguridad implementadas tanto como la de la elaboración de los mismos planes. De este modo, se afianza la obligación de los Operadores Críticos a certificar sus Infraestructuras en aquellos estándares de referencia para la seguridad integral de estas. Con ello, la Ley PIC, se alinea con otras normativas legales que ya preconizan dicha obligatoriedad, tales como el Real Decreto 43/2021, de 26 de enero, por el que se desarrolla el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información; y el Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (ENS). Ambos en materia de seguridad de la información. Actualmente desconocemos cuál será el sistema de certificación o método aceptado para dar cumplimiento a estos requisitos legales, por lo que deberemos estar pendientes de las futuras indicaciones normativas y/o reglamentarias, al respecto. Además de las modificaciones anteriores, se añade una nueva obligación para los Operadores Críticos a través de la inclusión, en el mencionado Artículo 13, del nuevo apartado h) el cual establece la necesidad de … «Constituir un Área de Seguridad del Operador, de la manera que reglamentariamente se determine»…; de lo que se deduce la obligación de adecuación de sus estructuras organizativas al criterio de la seguridad integral establecido para las instalaciones de los Operadores Críticos. A nuestro entender, esta primera modificación de la Ley PIC vaticina la próxima y realmente necesaria, llegada de una actualización normativa para la seguridad de las Infraestructuras Críticas. Tal vez, con unos mayores niveles de exigencias en los criterios y requisitos de seguridad de estas y más orientada a procesos de certificación como lo es el caso del ENS. Desde el equipo técnico y comercial de Global Technology, manteniendo nuestro compromiso de servicio, realizamos seguimiento permanente de las actualizaciones legales y reglamentarias, con el objetivo de mantener informados a nuestros clientes y al público en general, sobre los cambios que puedan afectar la gestión de su instalación y organización. Del mismo modo, nos mantenemos al día de las exigencias y requisitos normativos para desarrollarlos en nuestros servicios; y asesorar así a nuestros clientes, incorporando soluciones de mejora, eficaces y eficientes, en beneficio de la gestión de su seguridad integral. Global TechnologySomos una compañía especializada en Seguridad, Ciberseguridad e Inteligencia empresarial, que mediante los últimos avances tecnológicos, garantizamos la seguridad y confianza que nuestros clientes necesitan. globalt4e.com

Esquema Nacional de Seguridad (ENS): necesidad, obligatoriedad, peculiaridades y beneficios

ENS Esquema Naciconal de Seguridad

La Importancia de la información y los sistemas TI En la actualidad, la información es una pieza clave e incluso vital para toda organización por ello hay que protegerla como un activo crítico para el desarrollo y la continuidad de la actividad empresarial. Es de vital importancia asegurar que la información esté disponible, actualizada, sea veraz y accesible para el personal autorizado siempre que se necesite. Un fallo en la seguridad que comprometa la información sensible de una empresa puede suponer graves perjuicios para esta y la seguridad de sus instalaciones. Como ejemplo, pensemos en una instalación portuaria, la filtración de algo tan simple como un cuadrante de turnos de guardias de seguridad y relevos, o del posicionamiento o estado de las cámaras de videovigilancia, puede suponer una enorme brecha para la seguridad física de la instalación, ya que proporciona pistas a los delincuentes que facilitan la intrusión sin ser detectados. Con la digitalización de la industria, y la evolución de las denominadas tecnologías de la información, los sistemas informáticos se han convertido en el motor que sustentan la gran mayoría de los servicios y cadenas de producción actuales y un fallo de disponibilidad en estos puede llegar a inutilizar la operativa de una gran organización e incluso hacerla colapsar. En este caso, no tenemos que pensar en sistemas críticos y complejos de alta seguridad de los que nos muestran en películas de acción en las que un fallo informático genera el fin del mundo. Siguiendo con el ejemplo anterior, pensemos en la cantidad de vehículos que acceden a un puerto a lo largo del día, un simple fallo en la gestión de accesos de vehículos a una instalación portuaria, que dificulte la circulación del tráfico, puede suponer un colapso de las vías de comunicación, no sólo de la instalación sino incluso de toda la ciudad que la alberga. A todo ello se suma el aumento exponencial de la ciberdelincuencia año tras año, y el desarrollo del cibercrimen y los ataques dirigidos a infraestructuras tanto públicas como privadas. Que además en los últimos meses se ha disparado en base al conflicto bélico entre Rusia y Ucrania, ya que las corporaciones organizadas del cibercrimen y los ciberdelincuentes aislado han utilizado la tesitura para enmascarar y aumentar en gran medida sus actividades delictivas. Necesidad y obligatoriedad En este contexto, la preocupación por los sistemas de información y la seguridad de los mismos es de vital importancia. En particular en el Sector Público y los organismos que lo componen como garante del bienestar de todos los españoles. En base a dicha preocupación, se hace necesaria una estandarización de los requisitos y pautas de seguridad para los sistemas de información y en virtud de ello una unificación normativa para la adecuación de este sector a unos adecuados niveles de seguridad. Por ello, tal y como establece la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, el Esquema Nacional de Seguridad, en adelante ENS, tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos en el ámbito del sector público. Esta la constituyen los principios básicos y requisitos mínimos que garanticen adecuadamente la seguridad de la información tratada; y como finalidad, la creación de las condiciones necesarias de confianza en el uso de los medios electrónicos mediante la aplicación de medidas que garanticen la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos. Dicha Ley es de obligado cumplimiento para los organismos que conforman el Sector Público. ¿Cuáles son los organismos que conforman el sector público? El artículo 2 de la mencionada Ley identifica los organismos que forman parte del sector público, entre los que se incluye el sector público institucional, según la cual, “tienen la consideración de Administraciones Públicas la Administración General del Estado, las Administraciones de las Comunidades Autónomas, las Entidades que integran la Administración Local, así como los organismos públicos y entidades de derecho público” …;y aquellas de derecho privado… “vinculados o dependientes de las Administraciones Públicas”. Por ello, con carácter genérico, a excepción de los casos con legislación específicas excluyente, toda entidad perteneciente al sector público y aquellas de derecho privado vinculadas o dependientes, bajo la aplicabilidad de la Ley 40/2015 tiene la obligación de adecuarse al ENS en base al Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica (mod. 04/11/2015). Siguiendo con nuestro ejemplo, en el Sector Portuario, las 28 Autoridades Portuarias que gestionan los 46 puertos de interés general, pertenecientes al Sistema Portuario español de titularidad estatal, como entidades vinculadas al Organismo Público Puertos del Estado, el cual se rige por su normativa específica, por las disposiciones de la Ley General Presupuestaria que le sean de aplicación y, supletoriamente por la Ley 40/2015; tienen la obligatoriedad de adecuarse al ENS. ¿Qué aporta el ENS? El ENS aporta un marco de gestión para la seguridad de la información a través de un enfoque integral y holístico, bajo la premisa de que la debilidad de un sistema la determina su punto más frágil. La adecuación de las organizaciones a la implementación de las medidas de seguridad preconizadas en este proporciona un aumento de los niveles de seguridad de la información desde el primer momento y un marco de trabajo para la mejora continua de la misma. Además, su certificación es una prueba de que la organización cumple con unos criterios mínimos de seguridad de la información y se adecúa a los requisitos legales, pudiendo ser, a parte de una mejora en el ámbito de la seguridad, una defensa ante posibles sanciones legales en caso de producirse incidentes de seguridad. Por otra parte, su cumplimento y certificación, también aporta un aumento de la confianza de partners, proveedores y clientes en la organización y mejora la imagen corporativa. La necesidad de proveer a las Administraciones Públicas de un Sistema de Gestión de la Seguridad de la Información estandarizado como lo es el ENS, viene determinada

Seguridad y Cumplimiento Normativo, simbiosis para un enfoque holístico de la seguridad

emfoque holistico de la seguridad

El presente artículo está dirigido a personal técnico y responsables en materia de seguridad que quieran dedicar unos minutos a reflexionar sobre el creciente peso del cumplimiento normativo en la gestión de riesgos y la resiliencia organizacional; y como este, afectan a la imagen corporativa y el desarrollo del negocio independientemente del sector en que se desempeñe la actividad profesional. Por ello, si no está familiarizado con los conceptos anteriormente expuestos, y es de su interés indagar en las necesidades de cumplimiento normativo para su negocio y sus interacciones con la seguridad del mismo, se le recomienda el artículo “Seguridad y cumplimiento normativo, juntos y necesariamente revueltos”, el cual aborda los temas que se exponen a continuación desde una perspectiva menos técnica y reflexiva, y con un carácter mayoritariamente explicativo. El objeto del presente artículo es profundizar, de la forma más escueta y somera posible, en la cada vez más evidente y necesaria interrelación entre la seguridad de las organizaciones y el cumplimiento normativo. A través de una breve introducción al desarrollo de la transformación conceptual que ha sufrido la seguridad en las últimas décadas, y cómo esta trasformación ha llevado a la concepción de la seguridad bajo un enfoque holístico que aglomera multitud de frentes de actuación en base a la demanda social y legal. Centrándonos posteriormente, en la preocupación por la seguridad de las corporaciones empresariales, y el cómo debe ser entendida la misma, analizando parte del conjunto de este enforque holístico de la seguridad, incluyendo, la seguridad física, la ciberseguridad y el cumplimiento normativo. Para ello, a través de algunos ejemplos, evidenciaremos cómo dicho enfoque, o la falta de este, puede influir de cara a minimizar los riesgos, mejorar la resiliencia organizacional y asegurar la continuidad del negocio. A lo largo de los años el concepto de la seguridad ha sufrido una importante evolución, en base principalmente a tres factores, el desarrollo tecnológico, la apreciación de los riesgos y su globalización; y la creciente preocupación social por la gestión de riesgos en demanda de su seguridad. Dichos factores han derivado en que la seguridad abarque cada vez más áreas de desarrollo, puesto que, se ha pasado de una concepción de la seguridad preocupada principalmente por la gestión de riesgos locales y el desarrollo e implementación de medidas de protección físicas a las instalaciones; a una visión de la seguridad, enfocada en la responsabilidad social.  Tras la evidente globalización de los riesgos y su afección a la sociedad como conjunto, apoyado en el desarrollo del enfoque de la seguridad humana (Informe sobre el desarrollo Humano, PNUD, 1994). Este desarrollo conceptual y cambio de paradigma se refleja a su vez en un continuo desarrollo legal y normativo que exige a las organizaciones una mayor preocupación por la gestión de riesgos y la seguridad. Podríamos decir entonces que la seguridad de las organizaciones, entendida como la correcta gestión de sus riesgos es, mayoritariamente, una demanda social reflejada en parte a través de la normativa legal y regulatoria. Esta es evidente cuando se ponen sobre la mesa conceptos tales como riesgo reputacional, imagen corporativa o reputación de marca, y cómo los incidentes de seguridad afectan considerablemente a estos generando un impacto directo sobre el desarrollo de negocio y, por ende, en la facturación de las organizaciones. Pues la merma de confianza en la organización hace que, desde una perspectiva puramente económica, el impacto de un incidente de seguridad no se limite únicamente al valor monetario de la recuperación de los activos afectados por el incidente, si no también, a los perjuicios a la facturación durante el mismo, y la perdida de beneficios derivados del detrimento la cuota de mercado a consecuencia de este. Además, de las repercusiones económicas derivadas de las posibles sanciones por incumplimiento legal, en caso de demostrarse que dicho incidente ha sido derivado de una falta de medidas de seguridad o, una mala aplicación de las misas. Cabe destacar, en materia de seguridad de la información y ciberseguridad, cómo desde la entrada en vigor de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, las repercusiones del incumplimiento legal y regulatorio se han multiplicado considerablemente. Así pues, si analizamos los datos de las sanciones emitidas por la AEPD en los últimos tres años, vemos como ha habido un creciente aumento en el número de sanciones y un importante endurecimiento en el importe económico de estas. Durante 2021 ha habido sanciones con importes mayores a la suma de los importes de las sanciones totales de los dos años anteriores. Tendencia que, realizando una breve comparativa con el contexto europeo en la materia, no cabe duda continuará aumentado. Por todo ello, se hace necesario para las organizaciones preocuparse por la seguridad para asegurar su continuidad de negocio y su posicionamiento en el mercado, en base a la gestión de sus riesgos, disminuyendo su vulnerabilidad y aumentando su resiliencia ante la afección de incidentes de seguridad y crisis reputacionales. Y es en base a asegurar dicha continuidad y posicionamiento empresarial en la que una concepción integral de la seguridad, desde una perspectiva holística, es primordial para la identificación y gestión de riesgos. Una perspectiva holística de seguridad significa proveer a la organización de los mecanismos necesarios para enfocar las distintas áreas de la seguridad como un todo, proveerla de una visión de conjunto que consiga identificar los riesgos que le afectan y sus interrelaciones, incluir la gestión de riesgos desde el diseño en cada uno de los proyectos de la organización; y mantener un equilibrio constante entre las medidas de seguridad físicas, la ciberseguridad y el cumplimiento normativo. Todo ello desde una perspectiva tanto económica, preocupándose por los beneficios para la organización; como ética, preocupándose por mantener los niveles de seguridad y el compromiso demandados por la sociedad. A priori, se puede pensar que este enfoque requiere una mayor inversión, pero lo que realmente requiere es un mayor análisis en el diseño de la seguridad, las medidas a implementar, su

Seguridad y Cumplimiento Normativo, juntos y necesariamente revueltos

seguridad y cumplimiento normativo | Global Technology

El objetivo del presente artículo no es otro que explicar de forma simple, resumida y para todos los públicos la cada vez mayor relación entre  la seguridad y el cumplimiento normativo de cualquier empresa o negocio. Así que, si está familiarizado con conceptos como resiliencia organizacional, desarrollo de negocio, continuidad, posicionamiento e imagen corporativa, le recomiendo el artículo “seguridad y cumplimiento normativo, simbiosis para un enfoque holístico de la seguridad” que trata estos temas de una manera más técnica y profunda. Si, por el contrario, ha escuchado alguna vez estos conceptos, pero no los tiene del todo claros, está usted en el lugar indicado. Para entender la creciente relación entre cumplimiento normativo, seguridad y el beneficio económico de nuestro negocio debemos comprender mejor qué abarca la seguridad, cómo se relaciona con el cumplimiento normativo y cómo afectan estos a nuestra empresa. Para ello, debemos hacernos una pequeña idea sobre a qué nos referimos cuando nos referimos a imagen corporativa, posicionamiento, continuidad del negocio o resiliencia organizacional de cualquier empresa. De una manera simple, se podría decir que la imagen corporativa es la idea que tienen los clientes, o posibles clientes, de un negocio y lo que hace, la calidad que perciben de sus productos o servicios. Esa imagen influye en la confianza que tienen las personas en cualquier empresa y definirá el valor que le dan respecto al de sus competidores o, dicho de otra forma, su posicionamiento en el mercado o en el sector que desarrolla la actividad empresarial. La imagen corporativa influye directamente en el valor de un negocio y sus servicios. Generalmente, una empresa que se percibe con mayor calidad de productos o mejores servicios vende mucho más. Por otra parte, cuando se habla de continuidad del negocio, se habla de la capacidad de las empresas para asegurar que su actividad se realizará de manera continuada en el tiempo; y para asegurar esa continuidad, las empresas necesitan diseñar estrategias e implementar medidas de seguridad frente a los imprevistos, incidentes o cualquier circunstancia que amenace esta, así como, estar preparadas para adaptarse a los cambios y retos que puedan surgir en su entorno. Dicho de otro modo, ser resiliente, es decir, tener la capacidad para enfrentarse a los riesgos, y adaptarse a los imprevistos y/o cambios del entorno de la mejor y más rápida forma posible para asegurar la continuidad de la actividad. El cumplimiento normativo en las empresas muchas veces es visto como algo secundario, de menor importancia, que genera gastos, acapara recursos y tiempo, y que aporta poco valor. Pero, es cada vez más evidente el impacto que tiene en las empresas y los beneficios que aporta. Se debe cambiar la percepción del cumplimiento normativo y pasar de verlo como un gasto a verlo como una inversión. Para ello, debemos tener clara, sin lugar a duda, la importancia y el impacto de este en el desarrollo del negocio y, por qué influye en su seguridad. Cuando se habla de seguridad, tradicionalmente se piensa en la seguridad física. En lugares y ubicaciones seguras frente al accesos de ladrones, en poner puertas seguras, barreras, alarmas, cámaras y todo para prevenir robos en el interior de un local. Pero la realidad, es que la visión de la seguridad ha cambiado considerablemente. Desde hace ya algunos años, la seguridad abarca muchas más acciones, preocupaciones y necesidades de las que se consideraban de manera tradicional.  La seguridad de las empresas va mucho más allá de proteger sus bienes frente al robo, la manipulación o, la destrucción de estos. Ahora, el objetivo de la seguridad pasa de centrarse en la búsqueda de la protección a, preocuparse por la implementación de todas las medidas necesarias para tratar los riesgos que amenazan el correcto funcionamiento de la actividad diaria de las empresas, para asegurar la continuidad del negocio. Entre las múltiples preocupaciones actuales de la seguridad, además de las medidas de seguridad física, se encuentran: la protección de la información relevante para la empresa, entendida como aquella información que si se conociese por personas ajenas a la empresa podría causar un daño a la misma; la protección de los sistemas y equipos informáticos o ciberseguridad, la protección frente a los cambios imprevistos que puedan ocasionar daños a la organización, la protección de la reputación de la empresa o imagen corporativa; y el cumplimiento normativo entre otros. Todas estas preocupaciones se entremezclan e interactúan de manera que, los riesgos que afectan a alguna de ellas causan a su vez repercusiones graves en las otras, afectando al correcto desarrollo de la actividad y causando daños o perdidas de oportunidades, que a su vez se traducen en pérdidas económicas. Uno de los factores que cada día más influye en la seguridad y el desarrollo de negocio de las empresas es el cumplimiento normativo. Independientemente del sector de actividad o el tamaño del negocio, el cumplimiento normativo está presente siempre en mayor o menor medida y puede marcar la diferencia entre el crecimiento empresarial o el cierre total de la actividad. Bien estructurado, el cumplimiento normativo puede ser un escudo que proteja a la empresa ante muchos riesgos y un salvavidas para el desarrollo de cualquier negocio. Por el contrario, mal gestionado, puede ser el arma que lo hiera y el ancla que lo frene o incluso lo hunda. A las empresas se les exige el cumplimiento de unas determinadas leyes para el desarrollo de su actividad, la mayoría de estas leyes cuentan con régimen sancionador en caso de incumplimiento. que se traducen en multas considerables, retirada de licencias, e incluso, cese de actividad, etc. Además, la competencia empresarial, y en muchos casos los clientes, exigen que las empresas cumplan con determinadas normas y buenas prácticas reconocidas que avalen y certifiquen que realizan su actividad de la mejor manera posible. Siendo percibidas las empresas con una mayor implicación y desarrollo del cumplimiento normativo, como aquellas de mayor calidad, los que les proporciona una mejor imagen corporativa, ofreciéndoles una ventaja competitiva frente al resto de empresas de su

Esquema Nacional de Seguridad, ¿obligatoriedad o buena práctica?

Esquema Nacional de Seguridad ENS Global Technology

¿Qué es el Esquema Nacional de Seguridad?, ¿Tengo la obligación de implementar el Esquema Nacional de Seguridad en mi organización?, ¿Me aplica?; y si me aplica, ¿Qué plazos tengo?; y si no estoy obligado, ¿Lo necesito realmente?, ¿Me interesa implementarlo? En el día a día de nuestro trabajo como consultores, cada vez más, nos encontramos con diversas organizaciones de múltiples tamaños y sectores, que se hacen este tipo de preguntas. Las siguientes líneas están destinadas a solventar algunas de estas cuestiones, a través de un escueto análisis sobre la normativa legal y regulatoria que gira en torno al Esquema Nacional de Seguridad. El Esquema Nacional de Seguridad (en adelante ENS) tiene su origen en el ámbito de la regulación normativa de las Administraciones Públicas. nace con el art. 42 de la Ley 11/2007, de acceso electrónico de los ciudadanos a los servicios públicos; y se materializó con la aprobación del RD. 3/2010, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, posteriormente modificado por el RD. 951/2015. El ENS constituye los principios básicos y requisitos mínimos requeridos para una protección adecuada de la información, es decir, establece las directrices para la correcta gestión de la seguridad de la información en su ámbito de aplicación. El ENS centra dicho ámbito de aplicación en las entidades del Sector Público, tal y como definía el art. 2 de la Ley 11/2007 las entidades y organismos que integraban el sector público. No obstante, dicha ley ha sido derogada en virtud de la vigente Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas. Tanto está ultima, como la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, recogen en su artículo 2. La definición y clasificación de los organismos que forman parte del sector público, ampliando esta definición al incluir como parte de este, al denominado sector público institucional, compuesto por cualesquiera organismos públicos y entidades de derecho, tanto público como privado, vinculadas o dependientes de las Administraciones Públicas; y las Universidades públicas. A su vez, el art. 156 de la Ley 40/2015 expresa la obligatoriedad por parte de las Entidades y Organismos Públicos que integran el Sector Público Estatal, de adopción y adecuación al Esquema Nacional de Seguridad y establece mediante su disposición adicional cuarta un plazo de tres años para la adecuación a esta normativa. Plazo que finalizó el 1 de octubre de 2018. Por otra parte, en el ámbito de la Protección de las Infraestructuras Estratégicas el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información, establece para los Operadores de Servicios Esenciales una serie de obligaciones de seguridad. Los requisitos para cumplir dichas obligaciones se desarrollan en el capítulo III del RD 43/2021. Así pues, concretamente en su Art. 6.5. Establece que, dichas medidas de seguridad tomarán como referencia las recogidas en el Anexo II del Real Decreto 3/2010, que desarrolla el ENS. Estando su plazo de desarrollo, adecuación y aplicabilidad supeditado a las exigencias de las autoridades competentes, designadas en función de cada sector estratégico. Entre los beneficios de que aporta la implementación del ENS para las Infraestructuras Estratégicas destaca la gran versatilidad que obtienen estas para la integración normativa con otros requisitos legales de obligado cumplimiento. Así pues, por ejemplo, en el ámbito de las Infraestructuras Críticas, el tener implementado un Sistema de Gestión de Seguridad de la Información (SGSI) en base al ENS, facilita enormemente la elaboración de los Planes de Seguridad del Operador (PSO) y los Planes de Protección Específicos (PPE) requeridos en el Art.13 apartados c) y d) de la Ley 8/2011, por la que se establecen medidas para la protección de las Infraestructuras Crítica. De igual modo, en el ámbito del Real Decreto 43/2021, por el que se desarrolla el Real Decreto-ley 12/2018, de seguridad de las redes y sistemas de información, el ENS cumple con los criterios y requisitos establecidos en dicha norma, facilitando la adecuación a sus requisitos. A su vez, también facilita el cumplimiento del Art. 32 del Reglamento (UE) 2016/ 679, de Protección de Datos Personales y su normativa de desarrollo.  Todo ello se ve reflejado en una disminución drástica en los tiempos de adecuación y los costes de implementación de estos y otros requisitos normativos. Independientemente de su obligatoriedad, las organizaciones a las que le es de aplicabilidad el ENS también tienen la obligación de exigir a sus proveedores de servicios que cumplan con al menos los mismos niveles de seguridad que se les exige a estas. Por tanto, la tendencia actual es exigir a dichos proveedores el cumplimiento de lo establecido en el ENS en materia de seguridad de la información e incluso su certificación. hecho que se hace cada vez más presentes en las licitaciones de las Administraciones Públicas. Por último, y no menos importante, cabe destacar que el cumplimiento del ENS corrobora el compromiso de las organizaciones con la seguridad de la información, y su certificación marca un valor diferencial respecto a la competencia. En la actualidad, dado el avance tecnológico, el desarrollo de la delincuencia y la constante preocupación por la ciberseguridad, está cada vez más presente el cumplimiento normativo en materia de seguridad de la información, siendo un símbolo de confianza y considerándose un valor añadido para cualquier tipo de organización. En resumen, el ENS es de obligado cumplimiento para las Administraciones Públicas, inclusive el denominado sector público institucional; de especial interés para las Infraestructuras Críticas y los Operadores estratégicos; y proporciona una gran ventaja táctica y competitiva para las organizaciones del sector privado. Global TechnologySomos una compañía especializada en Seguridad, Ciberseguridad e Inteligencia empresarial, que mediante los últimos avances tecnológicos, garantizamos la seguridad y confianza que nuestros clientes necesitan. globalt4e.com

ISO 27001: ventajas de estar certificados

Certificado ISO 27001, seguridad de la informacion | Global Technology

La ISO 27001 es una norma internacional de Seguridad de la Información que pretende asegurar la confidencialidad, integridad y disponibilidad de la información de una organización y de los sistemas y aplicaciones que tratan dicha información. Pero definamos qué son esos tres conceptos: Confidencialidad de la información: que sólo las personas autorizadas puedan acceder a ella Integridad de la información: garantizar que no ha sido manipulada de manera no autorizada. Disponibilidad de la información: que pueda ser accedida por las personas autorizadas en el momento en que lo necesiten. La ISO 27001 define, de manera genérica, cómo se planifica, implanta, verifica y controla un Sistema de Gestión de Seguridad de la Información, comenzando con la realización de un análisis de riesgos y, a partir de este, se va planificando e implementando la respuesta a los mismos hasta lograr su mitigación. La ISO 27001 es fundamental para gestionar la seguridad de la información en organismos y empresas independientemente de su tamaño, objetivos o estructura. La certificación de un Sistema de Gestión de Seguridad de la Información en la ISO 27001 es un proceso mediante el cual una entidad de certificación externa, independiente y acreditada audita el sistema, determinando su conformidad con la norma ISO/IEC 27001, verifica su grado de implantación real y cuál es su eficacia. Obtener una certificación ISO 27001 supone realizar: Diagnóstico de la situación inicial a través de entrevistas con los responsables de los departamentos implicados. Análisis de riesgos, de todo tipo, no solo de aspectos técnicos relativos a la seguridad en sí, sino también físicos, organizativos y legales. Diseño de un Plan de Acción con un cronograma de actuación. Elaboración de Políticas y Procedimientos que recojan fielmente los mecanismos a implementar para garantizar la seguridad de la información. Planificación de las auditorías tanto internas como externas de verificación y certificación. Ventajas de contar con un SGSI certificado en la ISO 27001 Reduce el riesgo de que se produzcan pérdidas o fugas de información en las organizaciones, así como que pueda corromperse al manipularla. Al ser un proceso de mejora continua, se hace una revisión constante de los riesgos a los que está expuesta la organización. Establece una metodología gracias a la cual se puede gestionar la seguridad de la información de forma clara y concisa. Implanta medidas de seguridad para que las personas autorizadas (y solamente las personas autorizadas) puedan acceder a la información. Otorga a la organización una garantía frente a clientes y socios estratégicos ya que muestra a la misma como un organismo preocupado por la confidencialidad y seguridad de la información que es depositada en la misma. Permite a las organizaciones continuar operando con normalidad en caso de producirse problemas importantes. Hace que la organización esté cumpliendo con la legislación vigente en materia de protección de datos (RGPD) y propiedad intelectual. Favorece una reducción de los costes al mejorar el funcionamiento de los procesos a través de políticas, procedimientos e instrucciones de trabajo. Se convierte en un elemento favorable para la empresa frente a la competencia, pues el contar con un SGSI le hace aumentar su imagen a nivel internacional. Facilita la homologación como proveedores. Cada vez más, se solicitan evaluaciones para homologar los proveedores a través de cuestionarios que contemplan aspectos como calidad, medio ambiente, cumplimiento legal o seguridad. Disponer de sistemas de gestión certificados facilita este proceso y ahorra pasar largas, ya que la certificación demuestra que el sistema ha sido auditado por un tercero Contribuye al incremento en la motivación del personal, ya que se desempeñan en una organización comprometida con la seguridad de la información. Reducimos el riesgo de tener un incidente de seguridad. La certificación no significa «riesgo 0» o «ausencia total de riesgo». Sí, significa disponer de una herramienta eficaz para poder identificar los riesgos y, así, minimizarlos y aumentar el nivel de seguridad. Además de todo lo anterior, si se llegara a producir un incidente, la certificación nos ayuda a minimizar los daños y contener los costes al haber diseñado un Plan de Continuidad de Negocio. Global TechnologySomos una compañía especializada en Seguridad, Ciberseguridad e Inteligencia empresarial, que mediante los últimos avances tecnológicos, garantizamos la seguridad y confianza que nuestros clientes necesitan. globalt4e.com

Procesos, políticas, procedimientos e instrucciones de trabajo

Politicas y procedimientos | Global Technology

Cuando trabajamos con certificaciones ISO o cualquier otra normativa en general, pero en particular aquellas que toman como base la ISO 9001 2015 de gestión de la calidad, se hace referencia a la gestión por procesos y se utilizan distintas herramientas y controles organizativos como pueden ser los procesos en sí, las políticas, los procedimientos y las instrucciones de trabajo o técnicas. Pero ¿sabemos cuáles son las diferencias entre ellos? Parecen tres conceptos muy similares que, de hecho, se confunden habitualmente, llamando instrucciones de trabajo a los procedimientos, o definiendo procedimientos como si fueran procesos en múltiples ocasiones. Qué es un Proceso de Negocio Si acudimos a la propia norma ISO 9001:2015 encontramos la definición del concepto de Proceso de Negocio: “Conjunto de actividades relacionadas o que interactúan, las cuales transforman elementos de entrada en resultados”. Aunque es una definición un tanto académica, podemos completarla indicando que un proceso es cualquier serie de actividades que se ejecutan secuencialmente para transformar un conjunto de entradas dadas en una salida (es decir, en un producto o servicio). Toda actividad o conjunto de actividades que se realizan en cualquier organización y utiliza recursos para obtener resultados puede considerarse como un proceso. En la definición de los procesos de negocio se debe recoger, desde el inicio del proceso, los responsables de cada una de las actividades, todos los flujos posibles (teniendo en cuenta cualquier posible alternativa que se “regulará” mediante tomas de decisión), las actividades concretas a realizar, los roles que ejecutan cada actividad, qué eventos que se producen a lo largo del proceso y la finalización del proceso. Qué es una Política Una Política es una declaración de alto nivel requerida por algún estándar de certificación (ISO, UNE, etc). Deben ser elaboradas y redactadas por la alta dirección de manera específica para cada organización y proceso de negocio, describiéndolos fielmente y detallando el compromiso de la alta dirección por alcanzarlo. Deberá revisarse cada cierto tiempo, actualizándolo con las circunstancias de la empresa y el mercado, debe ser conocido por todos los miembros de la empresa u organización. Qué es un Procedimiento Volviendo a la definición de la ISO 9001:2015, un procedimiento es: “la forma específica de llevar a cabo una actividad o un proceso”. Es decir, una vez definido un proceso que está recogido en una política concreta, debe especificarse mediante un procedimiento, la manera específica en que lo llevaremos a cabo, Los procedimientos son de obligado cumplimiento a nivel interno y son necesarios para implantar cualquier Sistema de Gestión de Calidad y puede ser necesarios varios para definir exactamente cómo se desarrollará e implementará un proceso de negocio. Normalmente se documentan (y es, además, lo recomendable en todos los casos pues facilita la continuidad de negocio), aunque puede darse el caso de que no se plasmen en papel. En qué consisten las Instrucciones de Trabajo Finalmente, las Instrucciones de Trabajo o Instrucciones Técnicas son documentos que describen de la forma más precisa y específica cómo se deben realizar ciertas tareas incluidas en los procedimientos. Suelen llegar a un nivel de detalle más elevado, contando, en innumerables ocasiones, con lenguaje técnico o comprensible solamente para las personas encargadas de realizar dichas tareas. Son, al igual que los procedimientos, generalmente de obligado cumplimiento. En el caso de que no lo fueran, ya no serían instrucciones sino una guía de trabajo. El equipo de Global Technology tiene gran experiencia en la gestión de procesos y en la elaboración tanto de políticas como de procedimientos e instrucciones de trabajo adaptados a todo tipo de compañías interrelacionando las diferentes áreas. Consiguen que se lleve a cabo una organización eficaz, evitando así dificultades en la ejecución del trabajo, por lo que es importante que estén lo más actualizados posible. Su elaboración se realizará llevando un orden cronológico y lo mas exacto posible, que cumpla con los objetivos del procedimiento desarrollándose a partir de ideas que nacen de consenso en las reuniones de equipo. Se categorizan en función del tipo de proceso y se les asigna una nomenclatura, tratando de que sean lo mas práctico posible, de forma que pueda facilitar su comprensión y aplicación operativa de los mismos. Global TechnologySomos una compañía especializada en Seguridad, Ciberseguridad e Inteligencia empresarial, que mediante los últimos avances tecnológicos, garantizamos la seguridad y confianza que nuestros clientes necesitan. globalt4e.com