Inicio / Protege tu empresa / Blog / ¿Utilizas herramientas de certificación? Úsalas y asegúrate de que se cumplen tus medidas de seguridad

¿Utilizas herramientas de certificación? Úsalas y asegúrate de que se cumplen tus medidas de seguridad

Publicado el 12/07/2018, por INCIBE
¿Utilizas herramientas de certificación? Úsalas y asegúrate de que se cumplen tus medidas de seguridad

Seguro que son muchas las ocasiones en las que habrás valorado la necesidad de implementar ciberseguridad en tu negocio. Dado el gran volumen de información diaria que manejamos en una empresa, se hace imprescindible contar con mecanismos que aseguren la protección, tanto de los procesos, como de los datos. Sin embargo, ¿cómo podemos demostrar el compromiso con la ciberseguridad de nuestra organización?

Para planificar cómo implementar ciberseguridad debemos identificar en primer lugar el nivel de seguridad del que parte la organización. Después tenemos que plantear dónde queremos llegar, siempre alineados con la estrategia del negocio. Será necesario preguntarse: ¿qué quiero proteger?, ¿cómo llevaré a cabo la prevención?, ¿cuáles son los potenciales incidentes que podrían darse?, ¿cómo voy a reaccionar ante un incidente? Para concretar estas respuestas podemos hacer uso de herramientas que siguiendo normas y estándares internacionales nos guíen en el análisis y evaluación de riesgos y nos ayuden a implementar y controlar las medidas que se pongan en marcha. Este tipo de herramientas serán las que podrán servirnos para demostrar que contamos con un plan para gestionar la ciberseguridad en nuestro negocio.

¿A qué nos referimos cuando hablamos de herramientas de certificación?

Como en otros campos tecnológicos, en ciberseguridad existen un conjunto de estándares y normas internacionales que sirven de modelos para abordar distintos aspectos. En este caso, por ejemplo, la gestión de los servicios de tecnologías de la Información (ISO 20000-1), información y documentación (ISO 30301), la evaluación de riesgos (ISO 31000), la gestión de la seguridad (ISO 27001), la gestión de incidentes (ISO 27035), continuidad de negocio (ISO 22301), etc. Algunos de estos estándares son certificables, es decir, podemos hacer que una entidad externa verifique que las cumplimos.

Bajo el nombre de herramientas de certificación se agrupan en el Catálogo aquellas destinadas a facilitar el cumplimiento de las normas relacionadas con la seguridad, algunas de las cuales permitirán obtener una certificación. 

Estas herramientas dan soporte a la puesta en marcha de acciones orientadas al cumplimiento de estándares como por ejemplo: implementar políticas de seguridad, realizar análisis y evaluación de riesgos, implementar medidas de seguridad y análisis de vulnerabilidades. También sirven para la monitorización y verificación periódica del cumplimiento de las políticas establecidas, medidas de seguridad, etc. 

Grupos de herramientas que sirven para verificar el cumplimiento de estándares

Las herramientas de certificación tienen en común:

  • toman datos o recaban información de nuestra red o de nuestros sistemas interactuando con otros equipos o personas;
  • verifican y sirven para certificar uno o varios estándares de algún aspecto de la ciberseguridad o de las tecnologías de la información;
  • tienen una funcionalidad de reporting configurable para mostrar informes o cuadros de mandos.

Podemos agruparlas según el aspecto de la seguridad de los estándares que siguen en:

  1. Sistemas de Gestión de la Seguridad de la Información (SGSI). El SGSI es un conjunto de procesos para organizar la gestión de la seguridad de la información. Estas herramientas trasponen los controles de la norma ISO/SEC 27001 que es certificable. Nos ayudan a marcar prioridades, identificar responsables, recursos o medidas para mejorar el nivel de seguridad y a certificarnos. Sirven también para elaborar un Plan Director de Seguridad, aunque no nos planteemos una certificación. 
  2. Análisis de riesgos. Son herramientas que facilitan el cumplimiento e implantación de estándares en materia de gestión de riesgos de seguridad. Tienen la finalidad de ayudarnos a detectar los activos y procesos críticos, reconocer las potenciales amenazas y valorar los riesgos asociados. Con esta valoración podremos implementar medidas para tratar los riesgos con un enfoque de negocio.    
  3. Planes y políticas de seguridad. Son herramientas que permiten definir y priorizar un conjunto de procesos internos en materia de seguridad dirigidos a reducir los riesgos a los que está expuesta una organización hasta unos niveles que sean considerados aceptables, partiendo de un análisis de la situación inicial. 
  4. Normativa de seguridad. Son herramientas destinadas a facilitar el cumplimiento de otras normas en materia de seguridad o de tecnologías de la información para la obtención de certificados en esos estándares.

Recomendaciones generales

En cualquier empresa, sin importar el tamaño o el sector, es práctico desarrollar políticas de seguridad para, entre otros:

  • analizar y valorar los riesgos a los que podrían estar expuestos los sistemas de información;
  • difundir una cultura y compromiso de seguridad entre los empleados;
  • establecer los usos permitidos y seguros en el manejo de la tecnología (correo electrónico, móviles, almacenamiento,…)
  • gestionar los posibles incidentes;
  • establecer rutinas de gestión de la seguridad y verificar su cumplimiento de cara a minimizar cualquier riesgo de seguridad; y,
  • garantizar la continuidad del negocio.

El desarrollo de políticas debe estar basado en un adecuado análisis de riesgos de ciberseguridad, con un enfoque de coste-beneficio en la gestión de los mismos. Para iniciarte puedes utilizar la herramienta ¿Conoces tus riesgos?, y seguir la Guía de Gestión de riesgos: una aproximación para el empresario.

Todas las acciones anteriores pueden coordinarse en un Plan Director de Seguridad en el que quede claro cómo vamos a abordar la mejora en todas las áreas de ciberseguridad en base a la evaluación de riesgos: desde la formación o la contratación de servicios externos, pasando por el cumplimiento legal hasta llegar a las medidas más técnicas (cortafuegos, antivirus, móviles, wifi, web, etc.). Este Plan Director de Seguridad es el «embrión» para, más adelante valorar el certificar nuestro Sistema de Gestión de la Seguridad. 

A la hora de adecuar nuestro Plan a las normativas existentes para garantizar su cumplimiento, antes de implantar cualquier tipo de herramienta, será necesario realizar una consultoría previa.  Para ello, es útil contar con servicios de consultoría específicos debido a la complejidad que puede conllevar abordar este proceso de adecuación y cumplimiento de estándares. 

Implantar la ciberseguridad en la empresa es una tarea que requerirá un compromiso de toda la organización. Tendremos que partir de un análisis y conocimiento de cuál es la situación inicial y tener claro a dónde queremos llegar siguiendo la estrategia de negocio. Para conseguirlo tendremos que poner en marcha una serie de medidas, procesos y políticas, para lo cual podremos hacer uso de herramientas que nos ayuden a monitorizar y garantizar que se cumplen, para así lograr ese nivel de seguridad planteado e incluso, ¿por qué no?, poder certificarlo