Ciberseguridad en las empresas

La ciberseguridad o seguridad informática es el área de la informática que se enfoca en la protección de la infraestructura computacional y todo lo relacionado con esta, incluyendo la información contenida. Es decir, protege todos los datos de una empresa.

ISO 27001

La ISO 27001 regulariza todo el tema de la ciberseguridad, es una norma internacional emitida por la Organización Internacional de la Normalización y describe cómo gestionar la seguridad de la información en una empresa.

Puede ser implementada en cualquier tipo de organización y proporciona una metodología para implementar la gestión de la seguridad de la información. También permite que una empresa sea certificada; esto significa que una entidad de certificación independiente confirma que la seguridad de la información ha sido implementada en esa organización en cumplimiento con la norma ISO 27001.

La ISO 27001 se divide en 2 sectores: ‘Evaluación y tratamiento de riesgos’ e ‘Implementación de medidas de seguridad’. Todo ello se puede dividir en 6 pautas.

1.-Establecer un marco de gestión de riesgos

Se trata de definir las reglas que regirán la gestión de riesgos.

Se determina, entre otras cuestiones, quienes serán los responsables de las tareas de gestión, los métodos de estimación del impacto y la probabilidad de ocurrencia de los posibles riesgos.

En este sentido, una metodología de evaluación de riesgos debe abordar cuatro temas:

• Cómo serán los criterios de seguridad.

• Qué escala de riesgo se empleará.

• Cuál es el apetito de riesgo de la organización.

• La evaluación de riesgos basada en activos.

2.-Identificar los riesgos

La identificación de los riesgos que pueden afectar la confidencialidad, integridad y disponibilidad de la información, es la tarea más larga del proceso de evaluación y tratamiento de riesgos en ISO 27001. Se recomienda optar por un proceso de evaluación de riesgos basado en activos.

Desarrollar una lista de activos de información es un buen punto de partida. Será más fácil comenzar la labor a partir de una lista existente de copias impresas de información, archivos electrónicos, dispositivos móviles e intangibles, etc:

Mapeo de red

Individuación hardware

Escaneo hardware

Usos y costumbres de los trabajadores

3.-Analizar los riesgos

En primer lugar, se han de establecer las amenazas y debilidades de cada activo. Por ejemplo, la amenaza puede ser “el robo de un dispositivo móvil” y la debilidad asociada es que “no existe una política establecida con respecto al uso tales dispositivos”. Lo siguiente es asignar un impacto y un valor de probabilidad de acuerdo con los criterios que se hayan establecido en el paso 1.

4.-Evaluar los riesgos

En la evaluación se deberá medir cada uno de los riesgos frente a sus niveles predeterminados de aceptabilidad. Tras eso, se determinará qué riesgos serán abordados y se priorizará en qué orden.

5.-Seleccionar opciones de tratamiento de riesgos

En este punto, retomamos las cuatro opciones de la gestión de riesgos clásica, utilizada en gestión de la calidad, de la seguridad y salud en el trabajo o del medio ambiente:

• Evitar el riesgo eliminándolo por completo.

• Modificar el riesgo, poniendo en marcha controles de seguridad.

• Compartir el riesgo o trasladarlo a un tercero.

• Retener el riesgo, solo si se trata de un nivel aceptable.

6.-Compilar informes de riesgos.

La norma ISO 27001 requiere que la organización establezca un conjunto de informes sobre la evaluación de riesgos con fines de auditoría y certificación. Para cumplir con ese punto, dos informes resultan imprescindibles:

• Declaración de aplicabilidad: su propósito es crear una lista de verificación según lo recomendado por el Anexo A de ISO 27001. Además, con ella se pretende obtener documentación sobre si se ha establecido el control, si ha sido implementado o no y una justificación para su inclusión o exclusión.
• Plan de tratamiento de riesgos: describe cómo la organización planea gestionar los riesgos identificados en la evaluación de riesgos.

Nuevo escenario

La situación de confinamiento actual ha provocado un incremento notable en el uso de videollamadas, bien sea por motivos laborales, educativos o personales. Concretamente, en las últimas semanas, en España se ha duplicado el volumen de usuarios en videoconferencias. El uso intensivo de aplicaciones populares y el auge de nuevas plataformas vulnerables exige tomar unas medidas de seguridad adicionales para evitar brechas de seguridad o fugas de datos privados.

CONSEJOS POR UNA VIDEOLLAMADA “SEGURA”

• Asegurarse de que el programa o la aplicación que se usa, siempre esté en la última versión del software.

• Añadir siempre una contraseña a todas tus reuniones.

• Asegurarse de que todos tus amigos, familiares o resto de teletrabajadores tengan un programa antimalware (softwares de seguridad).

• No compartir ninguna ID de la reunión online.

• Bloquear la reunión una vez que haya empezado para evitar que alguien se una a ella.

• Asegurarse de que solo los usuarios autenticados puedan participar en las reuniones.

• Desactivar las «transferencias de archivos» para mitigar el riesgo de robo de información.

Nuestros compañeros de Cei Consultoría ofrecen un diagnóstico de ciberseguridad a las empresas. Solicítalo aquí.

Ayuda 'Ciberseguridad Industrial 2020'

El Gobierno Vasco tiene en marcha un programa de 'Ciberseguridad Industrial' en el que ofrecen subvenciones de hasta 18.000€ por empresa para protegerse de ciberataques. Es un programa dirigido a empresas industriales de la CAPV o de servicios técnicos (ligados al producto-proceso), así como las empresas que realicen tareas de diseño y montaje de productos industriales.

Nuestros compañeros de Cei Gestión de Subvenciones os pueden ayudar con toda la gestión de la subvención.