Todos sabemos que los ordenadores, el mobiliario de la oficina, los dispositivos móviles o los vehículos son algunos de los activos indispensables en las empresas, sin los cuales nuestra actividad diaria no sería posible. Si bien todos estos activos son remplazables en caso de rotura o perdida, no pasa lo mismo con otro activo muy importante también que es la información. Los datos que se gestionan en la empresa son quizá su activo máspreciado porque de ellos depende el correcto funcionamiento de la organización y, además, no pueden ser adquiridos en ningún mercado. Pensemos por ejemplo en las carteras de clientes, porfolios de productos o servicios, las patentes, y contratos, los planes de producción o los documentos de gestión, la mayoría de todos ellos ya en formato digital. Esta circunstancia es más evidente aún en el caso de las empresas de servicios donde el know-how está más asociado, si cabe, al conocimiento y el desempeño de los miembros de la organización. Por este motivo, los activos de información de la empresa deben ser protegidos adecuadamente y de forma proporcionada a su importancia para el negocio.
Ciberdelincuentes, empleados descontentos o errores humanos sin mala intención pueden ser el origen de un fallo de seguridad que ponga en riesgo la información de la empresa. A ello se une que diferentes servicios y tecnologías, como los dispositivos de almacenamiento externo, los servicios de almacenamiento en la nube, o incluso el correo electrónico, pueden suponer un riesgo grave para la seguridad de la información por su potencialidad de “estar involucrados” en fugas de información.
Se considera que la información es segura cuando al menos, cumple con estos 3 principios o requisitos fundamentales; si uno de ellos falla, se dice que se produce un fallo de seguridad:
- En primer lugar, la Disponibilidad, que hace referencia a que la información esté accesible en el momento en que sea necesario. Un ejemplo de falta de disponibilidad se daría cuando un ciberdelincuente ataca los servidores o los equipos de la empresa con un ransomware, que es un tipo de ataque que encripta la información y deja de estar accesible. Otro ejemplo sucede cuando la página web o la intranet corporativa se encuentran caídas.
- El segundo principio es el de la Confidencialidad que implica que la información sea accesible únicamente por el personal y los procesos autorizados. Un ejemplo de pérdida de confidencialidad sucede cuando nos roban o extraviamos una unidad de almacenamiento extraíble con datos privados y en la que no hemos aplicado medidas de cifrado.
- El tercer requisito es la Integridad que hace referencia a que la información sea correcta y esté libre de modificaciones y errores. Estos errores pueden ser provocados deliberadamente o a consecuencia de un fallo humano. Tenemos una falta de integridad, por ejemplo, cuando, alguien cambia los precios de nuestros artículos en nuestra tienda online.
Para empezar a proteger adecuadamente la información en una empresa de servicios, como en cualquier otra organización, lo primero que necesitamos es tener muy claros los objetivos que queremos alcanzar. Saber, por ejemplo, si nuestra intención es:
- Proteger el uso interno de la información a través de los diferentes procesos corporativos.
- Quizás nuestra prioridad sea protegernos frente a posibles ataques externos.
- Asegurar el intercambio de información con terceras organizaciones.
- Remediar posibles desastres, etc.
Hay muchas formas de protegernos y llevados por un afán de protección podemos correr el riesgo de llegar a perder el enfoque más adecuado para nosotros. Para evitarlo, la estrategia más adecuada será entonces la que se ciña mejor a los objetivos que nos marquemos previamente y serán ellos los que determinarán las prioridades a la hora de afrontar las acciones oportunas de protección.
Conocer exactamente qué tipo de información manejamos, dónde la tenemos almacenada y, lógicamente, cuánto vale para nosotros es el siguiente punto de paso. Para ello, lo habitual es realizar un inventario de nuestros activos de información – que es como se denomina a aquellos elementos capaces de almacenar, gestionar o transmitir información – en el que, además, le otorguemos a cada uno un valor. Estos activos de información se pueden clasificar de diferentes maneras:
- Software y aplicaciones corporativas como las BBDD de clientes el facturador, el correo electrónico, la página web, etc.
- Los servidores, tanto físicos como virtuales, que son las máquinas donde se alojan las BBDD, las páginas web y el resto de las aplicaciones.
- Ordenadores personales de los empleados.
- También los dispositivos móviles como tablets y teléfonos móviles
- La electrónica de red que es la que permite el flujo de la información, es decir, los routers y los switches.
- Igualmente, los procesos internos de la organización como son el diseño, producción, ventas, gestión de proyectos, atención al cliente, etc. Todos acceden y manejan información corporativa
- También las instalaciones físicas como son las oficinas de la empresa o los centros de proceso de datos propios o subcontratados guardan documentación.
- No podemos olvidar la propia documentación en papel que almacenamos en armarios o cajoneras.
- Y por supuesto las personas, que como decíamos antes, son el elemento clave y normalmente el más vulnerable en la cadena de la seguridad de la información.
Una vez que tenemos claro lo que tenemos y cuál es su valor para nosotros, el siguiente paso es identificar las amenazas que pueden poner en peligro nuestros datos, y esto habitualmente depende de la propia naturaleza de los activos que hemos visto ahora mismo: los riesgos asociados a las aplicaciones informáticas son muy distintos de los que pueden afectar a las instalaciones, y tienen poco que ver con los que pueden afectar a las personas, por ejemplo. Por tanto, cada tipo de activo tiene sus propias amenazas y así, debemos distinguir entre cuatro tipos diferentes:
- Desastres naturales como los terremotos, las inundaciones, los incendios, etc. que afectan principalmente a los activos de carácter físico.
- En segundo lugar, las amenazas de origen industrial como la contaminación mecánica o electromagnética, los cortes de suministro eléctrico, condiciones inadecuadas de temperatura o humedad, etc. que pueden afectar al correcto funcionamiento de los equipos
- También los errores y los fallos no intencionados de los usuarios y administradores de los sistemas que pueden generar escapes, la modificación o la destrucción accidental de nuestra información, entre otros muchos incidentes.
- Finalmente, los ataques intencionados que son los que buscan causar un perjuicio al propietario o generar un beneficio para el atacante: son ejemplos típicos de estas amenazas la manipulación de la configuración de los sistemas, el análisis de tráfico, la denegación de servicio, la suplantación de identidad, la extorsión y lo que se conoce con carácter general como ingeniería social que busca, mediante el engaño, que el propio afectado realice una acción lucrativa a favor del atacante sin que ni siquiera se aperciba de lo que está ocurriendo.
Una vez que ya conocemos la ubicación, la tipología y las amenazas que puedan poner en peligro nuestra información, lo siguiente es hacer un análisis de riesgos. Para ello existen distintas metodologías y marcos de utilizados internacionalmente, como son: COBIT 5, OCTAVE, NIST (USA), Mehari (Francia), CRAMM (UK), Basilea II, etc.; dependiendo del enfoque que se quiera utilizar, unas serán más adecuadas que otras. En España, la más extendida quizás sea la Metodología de Análisis de Gestión de Riesgos de IT, llamada MAGERIT por sus siglas, que es la propugnada por el Centro Criptológico Nacional y el Instituto de Ciberseguridad INCIBE. Lo esencial es que todas estas metodologías comparten una estructura similar basada en el análisis del impacto y de la probabilidad de ocurrencia de los distintos riesgos.
La combinación de los tipos de activos de información con sus respectivas amenazas es lo que se conoce como escenarios de riesgoy todos ellos deben ser valorados en términos de impacto y probabilidad para conocer el nivel de riesgo al que está sometida la información sensible de cada organización. El resultado de este análisis es lo que se conoce como Riesgo Inherente.
Para contrarrestar cada uno de estos riesgos se utilizan diferentes controles que se denominan contramedidas y de su nivel de implantación o madurez depende la atenuación de ese riesgo inherente a niveles aceptables. Esta reducción da lugar al llamado Riesgo Residual de la información. Estas medidas de mitigación pueden ser de diferentes tipologías, no todas son de carácter tecnológico como implantar firewalls, antivirus, copias de seguridad o gestionar la concesión de los permisos de acceso; también las hay de tipo organizativo como la determinación de responsabilidades, la segregación de funciones o las relacionadas con la formación y la capacitación de las personas. Otros controles, en cambio, tendrán un ámbito legal, como el cumplimento de la LOPD o un ámbito físico como la ubicación de los equipos y su vigilancia. La naturaleza de los controles a aplicar es muy variada y la mejor estrategia consiste en una combinación equilibrada de todas ellas.
Para continuar en este proceso de aseguramiento de la información sensible cada organización debe definir lo que se conoce como su apetito de riesgo, es decir, su nivel de tolerancia para asumir la posibilidad de que se puedan concretar los diferentes escenarios posibles. Este apetito de riesgo depende principalmente de la cultura de cada organización, pero también de otros factores como el volumen de recursos disponibles: cuanto menor sea el apetito, más exigente será la aplicación de controles y más bajo se situará el umbral de riesgo aceptable, lo que a su vez determinará el esfuerzo que habrá que realizar para proteger nuestra información. Por lo general, todos los riesgos que arrojen un valor superior al umbral aceptable deberán ser objeto de un plan de tratamiento que los reconduzca a valores por debajo de ese umbral. Como los recursos de las organizaciones son finitos, no hay más remedio que priorizar unos tratamientos frente a otros, y así encontramos que existen cuatro estrategias diferentes para afrontarlos los riesgos:
- La idónea sería eliminar el riesgo, está claro, pero como el riesgo “cero” no existe, es la más difícil de implantar a menos, por ejemplo, que se abandone la actividad que lo origina, y esto muchas veces significaría abandonar una parte de nuestra actividad productiva que no podemos permitirnos.
- Por tanto, la segunda estrategia es la más habitual, que es la de mitigar el riesgotodo lo posible hasta valores aceptables.
- En tercer lugar, cuando el coste de la mitigación es demasiado elevado o la probabilidad de que ocurra el incidente es remota se recurre a una transferencia o compartición de ese riesgo, por ejemplo, a través de los seguros.
- Por último, cuando el nivel de riesgo se sitúa por debajo del umbral aceptable o el coste de su mitigación es mayor que el beneficio esperado con su implantación, lo que procede es asumir ese riesgo y sus posibles consecuencias.
Como fuente de referencia de controles básicos que una empresa de servicios puede tener en cuenta para implementar la ciberseguridad, independientemente de su tamaño o sector, es recomendable adoptar las siguientes políticas de seguridad:
- En primer lugar, una Política de control de acceso a la información. Los empleados de la empresa deben tener acceso únicamente a la información mínima con la que puedan desarrollar su actividad laboral; esto es lo que se conoce como el principio de mínimo privilegio.
- En segundo lugar, una Política de copias de seguridad que establezca un procedimiento para realizar copias de seguridad de los activos de información de manera periódica.
- En tercer lugar, es recomendable establecer una Política de cifrado que regule la utilización de técnicas de encriptación para que la información solamente sea accesible por sus legítimos propietarios. Estas técnicas deben aplicarse tanto a la información que se encuentra en reposo en nuestra organización como a la información en tránsito o compartida, por ejemplo, en la web corporativa.
- En cuarto lugar,unaPolítica de borrado seguro tanto para la información en formato físico como en formato digital, establezca que una vez alcanzado el final de su ciclo de vida, la información deba ser destruida evitando que ninguna persona pueda recuperarla.
- Por otra parte, una Política de almacenamiento en la nube. Los servicios de almacenamiento en la nube pueden ser de gran ayuda para asegurar la disponibilidad, la integridad y la confidencialidad de la información, pero debe especificarse claramente bajo qué circunstancias y las responsabilidades de los distintos proveedores que intervengan en el proceso.
- Por último, implantar una Política de formación y concienciación es la clave para proteger el eslabón más importante en la cadena de la seguridad que son las personas que componen la empresa. Especialmente en las empresas de servicios, las personas son fundamentales en la relación con los clientes y en el intercambio de información que se realiza, tanto de forma presencial en la propia sede del cliente como a través de comunicaciones cruzadas o accesos compartidos a los repositorios de información.
Aplicando estas políticas, nuestros activos de información estarán mejor protegidos y además habremos dado un gran paso para estar preparados en caso de que surja algún incidente.
Como recomendación para completar un tratamiento eficaz de los riesgos relacionados con la seguridad de la información, decía antes que existen distintos marcos de trabajo y herramientas que pueden servir de ayuda. Entre todas ellas destaca el estándar internacional ISO 27001 de Seguridad de la Información. ISO son las siglas de Organización Internacional para la Estandarización, autora de otras normas “ISO” como la 9001 de Calidad o la 14001 sobre Medio Ambiente. A esta organización pertenecen la mayoría de los estados, y su finalidad es la de recopilar las mejores prácticas de diversos campos de actividad de las empresas y publicarlas en unas normas estructuradas, por un lado, a partir de un contenido común entre todas ellas, y por otro, en un contenido específico relacionado con cada aspecto a regular. Todas estas normas se inspiran en el ciclo de la mejora continua según el cual, se establece una dinámica permanente basada en cuatro fases:
- La primera fase es la de Planear los objetivos que se quiere alcanzar y los medios necesarios para llevarlos a cabo.
- En segundo lugar, está la fase de Hacer, en la que se ponen en práctica los planes que hemos diseñado en la fase anterior.
- En tercer lugar, la fase de Revisión permite el análisis de los resultados obtenidos para detectar las posibles desviaciones, y
- Finalmente, la cuarta fase es la de Corrección en la que ponen en práctica las acciones detectadas en la fase anterior.
Si mantenemos estas prácticas de forma continuada mediante la implantación de Sistema de Gestión de Seguridad de la Información, o SGSI, nos aseguraremos una mejora sostenible en las medidas de protección de nuestra información.
La mejora continua se asegura mediante una de las características principales de las normas ISO, que es precisamente el hecho de que son normas certificables internacionalmente y, por tanto, esta certificación en forma de un sello que hay que renovar periódicamente mediante un programa de auditorías, permite a las organizaciones adquirir una ventaja competitiva frente a otros actores de los mercados que compiten con ellas. En España la entidad certificadora de referencia es AENOR, de la que Prysma es su colaborador principal en la implantación y auditoría de Sistemas de Gestión basados en muchas de estas normas ISO.
A grandes rasgos, esta es la estrategia más recomendable para cualquier empresa, de servicios o de productos también, concienciada en la protección de su información interna y que quiera avanzar hacia un modelo de gestión adaptado a un contexto donde la seguridad de la información ocupa cada vez una posición más relevante.
Rafael Miranda Rivas
Gerente Seguridad de la Información de PRYSMA