Compliance en Ciberseguridad

Next Article

Relación entre evasión y moral tributaria

D.C.F., M.H.D., E.D.F., L.D. y C.P.C. Martha Elizabeth López Vázquez.

Presidenta de la Comisión de Compliance

Doctora en Ciencias de lo fiscal, Licenciada en Derecho, Maestrante en Compliance por la Universidad de Nebrija, Madrid, España.

Es un hecho que la tecnología de la información desempeña un importante papel como soporte en la mayoría de los procesos de negocio de las organizaciones actuales. En ese contexto, se hace obligatoria la existencia de procedimientos y políticas que garantice el cumplimiento de la normativa aplicable en materia de privacidad y de seguridad de la información.

El compliance en ciberseguridad está conformado por un conjunto de mecanismos y acciones tendientes a proteger la seguridad de la información en las empresas, el objetivo del compliance en ciberseguridad asegurar el cumplimiento de las disposiciones, normativas, legales y éticas de las empresas entorno a la seguridad de la información como un activo fundamental en las empresas.

Seguridad de la información

La seguridad de la información se define como “el conjunto de medidas preventivas y reactivas con el fin de resguardar y proteger la información de las organizaciones”. Esto implica el cumplimiento de los principios de confidencialidad, integridad y disponibilidad de la información.

Con el avance de la tecnología, el cloud computing, el “internet de las cosas” (IoT) y el big data, la seguridad de la información se convierte en una tarea muy complicada, en donde los sistemas que protegían las redes y los equipos de la empresa ya son insuficientes. Las amenazas que hacen vulnerables los sistemas corporativos de las organizaciones son infinitas, por lo que se requiere que éstas inviertan mayor presupuesto en tecnología para hacer frente a dichos ataques.

Aún así, no es posible que una empresa pueda realizar una inversión en seguridad de manera que alcance un nivel de riesgo “0”, siempre habrá un riesgo residual. Todo depende del apetito de riesgo de la compañía y de los recursos que esté dispuesta a invertir en equipos, antivirus, firewalls, etc. Por otra parte, esto hace necesario que haya personas o unidades con cierto grado de especialización en materia de seguridad de la información, dentro de las empresas.

Estas personas o unidades, a grandes rasgos, son las encargadas de definir y ejecutar las políticas de seguridad de la información de la empresa y vigilar que las medidas de seguridad aplicadas sean las adecuadas y suficientes, o de lo contrario, analizar en qué se pueden mejorar para estar acordes con los cambios tecnológicos.

Tradicionalmente, la función de seguridad de la información se asocia al departamento de TI, sin embargo, es la propia organización la que debe determinar quién la llevará a cabo, puede ser también, por ejemplo, el área de gobierno, riesgo y compliance, o el área que lleva las certificaciones de cumplimiento.

En el ámbito de la seguridad de la información es esencial analizar el contexto tanto interno como externo de la organización. En el contexto interno se consideran todos los elementos, subsistemas y condiciones internas de la organización, así como las actividades que desarrolla. En este contexto se clasifica la tecnología utilizada. La actividad desarrollada por la empresa es un factor fundamental para tener en cuenta en lo referente a la seguridad de la información.

El contexto externo, o entorno, se refiere al conjunto de grupos, agentes e instituciones con los que interactúa la organización, es decir, con los que establece relaciones, no sólo de naturaleza económica, sino de cualquier tipo. En este contexto también se incluyen las normativas aplicables a la actividad que desarrolla la organización.

En materia de seguridad de la información hay tres cuestiones básicas que se deben considerar y que comentaremos de manera breve, en razón de la extensión de este artículo, se trata de: Planes directores de seguridad, Sistemas de gestión de seguridad de la información y Sistemas de gestión de continuidad de negocio.

Planes Directores de Seguridad

Uno de los objetivos del Plan director de seguridad es el análisis del grado de seguridad de la organización, para que en base a ese análisis se establezcan las acciones correctivas de manera que se garantice un nivel óptimo de seguridad de acuerdo con sus procesos y necesidades de negocio y a los recursos que disponga.

Todo ello en base a la concientización de que cualquier vulneración de información puede desencadenar graves consecuencias para la empresa, considerando que las amenazas informáticas provienen constantemente tanto desde fuera de la organización, tales como denegación de servicio, virus y/o malware, que intentan apoderarse de información de forma ilícita; como también ataques internos por empleados descontentos que provocan daños intencionados a la organización, o por acciones realizadas por desconocimiento u omisiones involuntarias que pueden provocar graves problemas a la organización.

Un Plan Director de Seguridad requiere una correcta planificación y tener en cuenta una serie de factores que determinarán el éxito del mismo, entre los que podemos mencionar:

a) Definir el alcance del proyecto, acorde a las necesidades y recursos.

b) Tamaño de la empresa.

c) Sector en el que desarrolla su actividad y el grado de automatización.

d) Entorno legislativo, considerando la legislación general y sectorial aplicable.

e) Naturaleza de la información que maneja: gran cantidad de datos personales o datos especialmente sensibles.

f) Organización de la empresa, su estructura, recursos humanos, instalaciones y en general los activos que tiene para protegerse de manera eficiente.

Es representativo de un Plan director de seguridad: el desarrollo e implementación de una política de seguridad, establecimiento de una política de uso de las herramientas y recursos que la empresa pone a disposición del empleado, mejora de los procedimientos de gestión de usuarios, adecuación a la normativa de protección de datos, plan de formación y concientización.

Sistema de Gestión de Seguridad de la Información

El concepto clave de un SGSI consiste en el diseño, implantación y mantenimiento de un conjunto de políticas y procesos dirigidos a gestionar con eficiencia el acceso y tratamiento de la información, con el fin de asegurar la confidencialidad, integridad y disponibilidad de los activos de información minimizando los riesgos de seguridad a que están expuestos.

La base normativa de un SGSI es la serie ISO/IEC 27000 y más específicamente la Norma ISO/IEC 27001 que es la norma que expone los requisitos necesarios para la correcta implantación de un SGSI. En ella se especifican “los reque- rimientos para establecer, implementar, operar, revisar, mantener y mejorar un sistema de gestión de seguridad de la información documentado dentro del contexto de los riesgos comerciales generales de la organización”.

Como sucede con todas las normas ISO, la implementación de un SGSI debe ser realizada bajo el modelo PDCA o ciclo de Deming: Planificar, Hacer, Verificar, Actuar (Plan, Do, Check, Act).

Sistemas de Gestión de Continuidad de Negocio

Una de las principales preocupaciones de la dirección de cualquier empresa es garantizar la continuidad del negocio a pesar de la ocurrencia de circunstancias adversas para la empresa, es decir, poder seguir operando y ofreciendo sus productos y servicios a pesar de una contingencia. Esa garantía depende de haber sabido identificar, de forma clara, los procesos vitales para el negocio, y los recursos requeridos para mantener un nivel aceptable de operación de dichos procesos a través de una serie de planes que se ponen en marcha en caso de contingencia, tales como:

• Plan para la selección de estrategia de continuidad. Estrategias para proteger la continuidad de las operaciones críticas.

• Plan Operativo de Contingencia TI. Establecimiento de los elementos de la organización que pueden resultar afectados por la contingencia y la forma de afrontarlos.

• Plan de Formación. Instruir al personal sobre la importancia de la continuidad del negocio y las acciones a llevar a cabo.

• Plan de Actualización. Que el sistema se encuentre al día en todo momento.

• Plan de Recuperación. Recuperación de los procesos de negocio críticos en caso de materializarse una contingencia.

• Plan de Gestión de la Crisis. Metodología para afrontar, de forma sistemática y homogénea una situación de posible crisis.

Como ya hemos comentado al principio de este artículo, la seguridad de la información tiene como objetivo garantizar la confidencialidad, la integridad y la disponibilidad de la información.

La confidencialidad implica la protección contra el tratamiento no autorizado o ilícito.

La integridad consiste en proteger la información de la pérdida, destrucción o daño accidental.

La disponibilidad significa que se tienen que tomar las medidas necesarias para que la información esté disponible en el momento que se requiera.

Garantizar la seguridad de la información en las organizaciones, es un requisito normativo esencial. En ese sentido se debe considerar el sector en que se desenvuelve la organización, si se manejan datos a gran escala, o si corresponden a áreas sensibles, tales como datos personales de menores de edad, genéticos, biométricos, de salud, financieros, relativos a la religión, raza, preferencias sexuales, etcétera. Se deberán tomar en cuenta esos aspectos, para determinar la normatividad aplicable, ya sea de carácter general o sectorial.