La digitalización es un hecho irrenunciable para cualquier organización pública o privada. La tecnología está permitiendo abordar la transformación de numerosos procesos, alcanzando una significativa mejora de competitividad y de eficiencia, así como una notable reducción de costes.
Sin embargo, la incorporación de la tecnología y, muy especialmente, la utilización de Internet, han obligado a las organizaciones a hacer frente a nuevos desafíos. Las organizaciones están dedicando numerosos esfuerzos para salvaguardar los sistemas de información de las amenazas cibernéticas.
Las entidades públicas y privadas se están viendo obligadas a adoptar un conjunto de medidas de seguridad para proteger la información sensible, con el fin de garantizar su disponibilidad, integridad y confidencialidad. Esta es una labor de enorme transcendencia como se desprende del hecho de que son muchos los sectores en los que son de aplicación normas que exigen el cumplimiento de determinados controles de seguridad informática.
Reglamento Europeo de protección de datos.
Uno de los aspectos fundamentales que tienen que observar las organizaciones es el tratamiento de los datos personales que puedan almacenar. Para regular este proceso se ha desarrollado en Europa el Reglamento Europeo de Protección de Datos (GDPR, en sus siglas en inglés), convirtiéndose en norma de referencia y de obligado cumplimiento para todas las organizaciones. El GDPR establece que se deben implementar controles de seguridad adecuados para proteger los datos personales contra posibles violaciones o brechas de seguridad. El GDPR exige, igualmente, que las organizaciones implementen medidas técnicas y organizativas apropiadas para este fin.
ISO/IEC 27001.
La ISO/IEC 27001 es un estándar internacional emitido por la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC) que establece los requisitos para un Sistema de Gestión de la Seguridad de la Información (SGSI). Este estándar proporciona un marco para gestionar de manera efectiva y sistemática la seguridad de la información, con el objetivo de proteger la confidencialidad, integridad y disponibilidad de la información.
La /IEC 27001 es ampliamente reconocida y utilizada por organizaciones de todo tipo y tamaño en todo el mundo, y su implementación puede ser certificada por organismos de certificación acreditados.
Esquema nacional de seguridad.
En España, se ha desarrollado el Esquema Nacional de Seguridad (ENS) como marco regulatorio para garantizar la protección de la información y los servicios electrónicos en el sector público.
De manera muy similar a lo establecido por la ISO-27001, entre los objetivos del ENS están el asegurar que la información manejada y los servicios prestados por las administraciones públicas estén adecuadamente protegidos. Para ello, en la norma se definen un conjunto común de medidas de seguridad que deben implementarse en todas las administraciones públicas. Todo ello encaminado a promover la evaluación y mejora continua de la seguridad de la información.
Otras normas sectoriales.
Junto con estas normas de ámbito generalista, existen otras que son de aplicación en sectores concretos que dada su relevancia económica y social requieren de un control exhaustivo de los procesos que implementan. Estos son algunos ejemplos:
- PCI-DSS (Payment Card Industry Data Security Standard): esta norma fija un conjunto de estándares de seguridad definidos para proteger la información de las tarjetas de pago y prevenir el fraude asociado con su uso. Esto se traduce en un grupo de requisitos que las organizaciones deben implementar para asegurar el adecuado tratamiento de la información.
- HIPAA (Health Insurance Portability and Accountability Act): es una ley federal de los Estados Unidos, que establece estándares para proteger la información médica y de salud personal. La HIPAA se diseñó para asegurar la portabilidad y continuidad de la cobertura del seguro de salud, así como para reducir el fraude y el abuso en el sector de la salud. También incluye disposiciones para la protección de la privacidad y la seguridad de la información de salud.
- TISAX (Trusted Information Security Assessment Exchange): es una norma de seguridad de la información específica para la industria de la automoción. Fue desarrollada por la Asociación Alemana de la Industria Automotriz. Su objetivo principal es proporcionar un estándar común de seguridad de la información para todos los que participan en la cadena de suministro de la industria de este sector.
Como se puede observar, todas estas normas tienen como nexo común la protección de la seguridad de la información a través del establecimiento de mecanismos adecuados. La correcta implementación se verifica en las auditorías periódicas a las que están sometidas las organizaciones sujetas a este cumplimiento normativo.
Durante el desarrollo de las auditorías es habitual que los auditores soliciten evidencias que demuestren la correcta implementación de estos mecanismos de seguridad como, por ejemplo: la política de cambio de contraseñas, la gestión de usuarios, la gestión del acceso a los servicios, la actividad registrada en el firewall, los registros de la herramienta antimalware, la retención de los eventos de seguridad, la detección de ciberataques, etc.
Contribución clave del CyberSOC.
establecer numerosos mecanismos de seguridad. Esta circunstancia desencadena nuevos Para alcanzar el grado de cumplimiento exigido en las distintas normas, las organizaciones deben procesos que deben atender las organizaciones como, por ejemplo, la revisión de los eventos de seguridad que registran las herramientas de seguridad. La realización de esta tarea de manera independiente resulta prácticamente imposible de abordar de manera continuada.
Suplir esta carencia ha sido posible gracias al desarrollo de los Centros de Operaciones de Cibereguridad, más conocidos a través de sus siglas en inglés como CYBERSOC o SOC. Éstos contribuyen de manera esencial al cumplimiento normativo a través de las tareas que tiene encomendadas:
- Monitorización continua y registro de eventos de seguridad: el SOC se apoya en el SIEM (Sistema de Gestión de Información y Eventos de Seguridad) para monitorizar de forma continua la actividad que se genera alrededor de los activos de los sistemas de información. El SIEM centraliza los eventos de seguridad de las diferentes fuentes de eventos y, tras su tratamiento, puede generar alertas de seguridad. El SIEM, además, cumple con la función de almacenar y retener estos eventos durante el tiempo exigido por los estándares normativos. De esta manera, se asegura que los datos relevantes están disponibles para auditorías y revisiones.
- Detección y Respuesta a Incidentes: la normas que rigen en materia de ciberseguridad exigen a las organizaciones que tengan capacidad para detectar y responder a incidentes. Los equipos que integran un CYBERSOC proporcionan estas capacidades mediante el uso de tecnologías avanzadas, como el SIEM, y un conjunto de procesos definidos para identificar y responder rápidamente a incidentes de seguridad.
- Gestión de vulnerabilidades: ciertas normativas, como la PCI-DSS, hacen especial hincapié en la gestión de vulnerabilidades. Así, esta norma exige que se realicen análisis periódicos de vulnerabilidades y pruebas de intrusión. El SOC participa activamente en estos procesos, realizando los análisis de vulnerabilidades, identificando y priorizando aquellas que deban ser mitigadas a través de los planes de remediación. Así mismo, supervisa la correcta aplicación de los parches de seguridad.
Si bien éstas son las tareas con las que de forma más evidente un SOC contribuye al cumplimiento normativo de las organizaciones, no hay que dejar de lado otras igualmente relevantes para alcanzar este objetivo.
Otras normativas relevantes en CYBERSOC.
- Inteligencia de Amenazas o Ciberinteligencia: el SOC recopila y analiza información de inteligencia sobre amenazas para anticipar y prevenir posibles ataques. Como resultado del tratamiento de la información registrada el CYBERSOC genera informes útiles para la toma de decisiones en el ámbito de la seguridad de los sistemas de información.
- Políticas y Procedimientos de Seguridad: el SOC es un colaborador cualificado en el proceso de desarrollo, implementación y mantenimiento de las políticas y procedimientos de seguridad. La visión global que posee del estado de la seguridad de los sistemas de información le permite aportar información de valor para que estos se adapten a las normativas aplicables.
- Concienciación de los usuarios: el SOC puede liderar la realización y seguimiento de programas de concienciación a los usuarios de la organización en materia de ciberseguridad, con el fin de que estos estén alineados con las exigencias normativas.
En resumen, un CYBERSOC es un actor con un papel protagonista para el aseguramiento del cumplimiento normativo y de las regulaciones aplicables en el sector, colaborando muy activamente con la organización para alcanzar el objetivo.
Global Technology dispone de un CYBERSOC formado por un equipo experto de analistas en ciberseguridad, que opera con herramientas que cumplen con los requisitos establecidos por las distintas normas de referencia. Los analistas del CYBERSOC tienen una amplia experiencia acompañando a las organizaciones en los procesos de auditoría, aportando las evidencias y registros solicitados por los auditores.
Responsable de SOC en Global Technology