EL ENFOQUE DE SEGURIDAD DE ISACA A LA PAR DE LOS CAMBIOS REGLAMENTARIOS QUE IMPULSA EL GOBIERNO

El Gobierno recién anunció el Proyecto de Ley de Ciberseguridad que será enviado al Congreso para adecuar las normas tras la entrada en vigencia de la convención de Budapest.

Mainsoft, empresa líder en Soluciones Informáticas y Consultivas viene trabajando con sus clientes hace más de 8 años apoyados por el Marco Cobit 5 de Seguridad de la Información y los diferentes Documentos CSX (Ciberseguridad) de (ISACA), quien recientemente liberó el documento de adecuación al GDPR (General Data Protection Regulation) sobre privacidad de datos para la Comunidad Europea y de fuerte apoyo al cumplimiento de la convención de Budapest.

En este breve documento presentamos el enfoque de ISACA al tema Seguridad de la Información y su bajada a la Ciberseguridad, lo que constituye el marco de trabajo de Mainsoft con sus clientes.

La Inseguridad de la Seguridad de la Información

 

En el paradigma donde hoy tienen que actuar las organizaciones, es un ambiente de creciente competencia global, sin proteccionismo y donde las barreras locales han sido superadas por las tecnologías y las comunicaciones.

Esto trae aparejado, como todo cambio, oportunidades y amenazas para los negocios. Que aprovechemos las oportunidades y que disminuyamos las amenazas va a depender fuertemente de la cultura organizacional que se logre desarrollar, así como la adecuada atención que se ponga en modelos de aseguramiento de la calidad, en la eficiencia de los procedimientos operativos y en el conocimiento del real desempeño de los recursos.

La información es un recurso clave para todas las empresas y desde el momento en que la información se crea hasta que es destruida, la tecnología juega un papel importante.

 

Las organizaciones pueden estar o no ordenadamente preparadas para enfrentar los peligros o amenazas latentes, constituyéndose este aspecto lo que se denomina vulnerabilidad la cual representa las debilidades que la organización presenta frente a cada una de las eventuales amenazas –entendiendo por estas el conjunto de los peligros internos y externos de diferente naturaleza a los que están expuestos los activos de información de la organización– que pueden llevar a: pérdida de credibilidad o imagen, pérdidas financieras, repercusiones legales, divulgación de información, pérdidas de clientes, chantaje y espionaje industrial o comercial y uso indebido de la tecnología de la información.

 

Los fracasos a menudo dramáticos de las empresas en materias de seguridad en los últimos años se deben, en gran medida, a su incapacidad de definir la seguridad y presentarla de una manera pragmática que sea comprensible y pertinente para todos los Interesados. Bajo este enfoque, ISACA propone la Seguridad como; “Asegurar que, dentro de la empresa, la información está protegida frente a usuarios no autorizados (confidencialidad), se resguarda de modificaciones indebidas (integridad) y se encuentra accesible cuando es requerida y solo a quien tiene autorización (disponibilidad)”.

 

Mucho se ha dicho, se dice y se dirá de los atributos de confidencialidad, integridad y disponibilidad de la información, pero la característica esencial de todo Sistema de Gestión de Seguridad de la Información (SGSI, como lo propone la ISO 27.001) es la independencia funcional con las áreas de negocio y tecnología, orientándose de manera pragmática en las siguientes dimensiones; Buena gestión, Mejores prácticas de industria, Sentido común en la adopción de las actividades que desarrollamos y Comunicación a los recursos humanos, que la seguridad es un problema de todos.

 

Ciberseguridad

 

Sólo recientemente, el ciberdelito y los ataques generalizados se convierten en un problema social, de forma opuesta a la antigua perspectiva técnica de hacking, cracking y contramedidas de índole puramente técnica. Los atacantes solo necesitan tener éxito una vez para penetrar en la empresa, mientras que las medidas de seguridad tienen que ser eficaces siempre y en todo momento, independientemente del método de ataque.

 

Si la Seguridad de la Información trata sobre la información en todos sus formatos (papel, digital, la propiedad intelectual en las mentes de las personas y las comunicaciones verbales o visuales), la Ciberseguridad está enfocada en la protección digital de todos los activos, como las infraestructuras de redes, aplicativos de negocios y la información que se procesa, almacena o transporta por los sistemas de información interconectados.

Es necesario pensar la Ciberseguridad como un componente de Seguridad de la Información. Independientemente de la amplitud y la forma de uso del término, la Ciberseguridad debe estar alineada con el resto de aspectos de la Seguridad de la Información en la organización, es decir un modelo gobernado y gestionado. Hablamos de Gestión y Gobierno de la Seguridad de la Información y por ende de la Ciberseguridad.

Implementar controles técnicos de prevención y detección ya no es suficiente. Mantener el nivel de seguridad deseado en la empresa y a su alrededor es un camino de mejora continua. La Ciberseguridad específicamente responde a un ciclo de vida continuo de; Preparar, Investigar, Remediar/responder y Transformar.

 

Si bien las tres primeras fases están estrechamente vinculadas a los ataques u otros incidentes de seguridad, la fase de transformación tiene una perspectiva mucho más amplia, la cual trata sobre la Gestión, el Gobierno y el Control de la seguridad y se define generalmente como “el avance del sistema general de directrices de gobierno, actividades de gestión, controles y otros elementos desde su estado actual al siguiente estado estable (objetivo), normalmente por medio de cambios controlados en determinadas partes y procesos, así como en otros componentes”.

                                

Para estar preparados para ser exitosos frente a las amenazas y vulnerabilidades críticas, la Ciberseguridad debe transformarse en un proceso de apoyo al negocio que esté alineado con el Gobierno, la Gestión de Riesgos y los acuerdos de Cumplimiento de la empresa (GRC).

 

El documento de ISACA COBIT 5 para la Seguridad de Información (2012) proporciona un Marco claro en esta materia, el que permite pensar la Seguridad de la Información y la Ciberseguridad holísticamente y dentro de un Modelo de Gestión y Gobierno, en el cual destacan;

 

  • Los procesos APO13 Gestionar la Seguridad, DSS04 Gestionar la Continuidad y DSS05 Gestionar Servicios de Seguridad brindan las directrices básicas sobre cómo definir, operar y monitorear un Sistema para la gestión de la seguridad general. En Ciberseguridad, la separación de Gobierno y Gestión es un principio importante, porque requiere múltiples niveles de segregación de funciones.
  • Normas y disposiciones dentro de la empresa tales como; ISO 27032 (Guías para la Ciberseguridad), ISO 27001, ISO 27002 o el estándar SP 800-53 del Instituto Nacional de Estándares y Tecnología de Estados Unidos (NIST), Controles Críticos de Seguridad como lo propone SANS Institute, Gobierno Empresarial de TI, como se define en COBIT 5 de ISACA, entre otros.
  • COBIT 5 define un conjunto de modelos de comportamiento y valores culturales que deben ser aplicados a la Gestión y Gobierno de la Ciberseguridad. Ello supone detectar las no conformidades con los modelos de comportamiento, en el alcance preventivo, y en reforzar la resiliencia organizativa contra los ataques y violaciones de seguridad, en el alcance reactivo.
  • Mientras que los ataques y las violaciones de seguridad pueden ser relativamente poco frecuentes, el nivel necesario de preparación es un requisito permanente y continuo. Como consecuencia de ello, el patrón de comportamiento del modelo en Ciberseguridad incluye todos los usuarios de TI y su respectiva comprensión de la Ciberseguridad.
Recent Posts