ÚLTIMAS NOTICIAS

ARTÍCULOS RECIENTES

Publicado el 19 octubre 2021

¿Por qué deben las empresas pensar en cambiar de un esquema de seguridad de la información a un esquema de ciberseguridad?

Antes de la pandemia por el SARS-CoV-2 que actualmente amenaza al mundo; todas y todos los directores, gerentes, analistas y encargados de la seguridad de la información en las organizaciones comenzábamos a visualizar la necesidad de comenzar a gestionar los activos personales de los usuarios y usuarias de las organizaciones y, además, el realizar más allá del análisis de seguridad de la información hacia los inventarios de activos comunes y corrientes divididos en modelos clásicos conocidos como físicos y lógicos.

Extender el alcance a las entidades del ciberespacio y los inventarios que deberán de conformar a estas para su correcta gestión; era el reto para cualquier organización que comenzará a desvelar la penumbra que podía amenazar la delgada línea entre privacidad de la informaciónseguridad de la información y ciberseguridad.

Ilustración 1 Covid 19

En estos últimos años la información personal y la privacidad de los usuarios ha cobrado una gran relevancia y las organizaciones encargadas de emitir estándares han contribuido a esto mediante la publicación de normas como la “ISO/IEC 27701:2019 Técnicas de seguridad – Ampliación de ISO / IEC 27001 e ISO / IEC 27002 para la gestión de la información de privacidad – Requisitos y directrices”, con la cual y tomando como base rectora la ya muy conocida e implementada norma “ISO/IEC 27001:2013.

Tecnologías de la información – técnicas de seguridad – sistemas de gestión de seguridad de la información – requisitos”, sin embargo, el mayor problema de una implementación habitual bajo este esquema es que la recomendación para evitar esfuerzos innecesarios es la implementación de un esquema de seguridad de la información como premisa para poder custodiar y salvaguardar la privacidad de la información.

Ilustración 2 Logo INTERNACIONAL DE NORMA ISO

Al día de hoy en que usted está leyendo este artículo, se tiene contemplada la próxima publicación de la norma ISO/IEC 27002, y con ello el cambio drástico que sujetará el propio nombre de esta. Sin embargo, la implementación de esta norma o la transición del marco de controles del aún vigente Anexo A al nuevo marco metodológico de simplificación de Ciberseguridad que manejará, hará que las empresas dirijan sus esfuerzos a un creciente alcance de más amplitud y con mayor aseguramiento de los objetivos de la organización.

La nueva norma ISO/IEC 27002 contempla “Seguridad de la Información, Ciberseguridad y Protección de la Privacidad” ya como premisa y controles para la implementación de la misma. A continuación, en este breve artículo de divulgación tocaremos las cinco entidades del ciberespacio y como pueden ser atendidas desde el modelo tradicional de seguridad de la información implementado en las organizaciones, pero, dirigido con un enfoque de privacidad de la información.

Ilustración 3 Seguridad

¡YA NO ES SUFICIENTE UNA POLÍTICA!

Las y los usuarios y sus dispositivos móviles en un modelo tradicional de controles de seguridad de la información el único recurso que poseen las organizaciones para gobernar la información en los dispositivos de propiedad de los usuarios  es la creación de una política de seguridad de la información denominada: “Bring Your Own Device (BYOD), mediante la cual el sujeto es usuario en un acto de buena voluntad al tratamiento de la información de la organización, sin tratar de menos alterar la privacidad de la información del usuario.

Sin embargo, esta política no es garantía que la información en resguardo en el dispositivo del usuario no sufrirá ninguna alteración, manipulación no autorizada y, además, cuando el usuario se marche de la empresa no hay garantía alguna de que la información propiedad de la organización realmente sea borrada en su totalidad del dispositivo ajeno a la empresa.  

Es por esto que no solo se deben de quedar en prácticas de gobierno y de implementación de políticas el resguardo de la información de la empresa, además, esta política debe de ir implementada de controles como una carpeta única y segura la cual esté protegida en la información de la organización y que esta pueda ser vigilada, el usuario proveerá únicamente permisos en esta carpeta dentro de su dispositivo móvil para poder realizar incluso borrado a distancia sólo de esta carpeta. 

Ilustración 4 Siglas BYOD

¿EN VERDAD SON PARTES INTERESADAS?

Cuando tratamos de seguir tocando el tema de las partes interesadas en la organización, cada vez son más las necesidades de que los contratistas y terceros que brindan servicios a nuestra organización realmente sean interesados en las necesidades de nuestra organización y no únicamente proveedores.  

En realidad, aún existen proveedores de servicios que trabajan en el viejo modelo “servicio-pago-servicio”, sin embargo, algunos proveedores ya han evolucionado en el modelo de entrega de servicio a la metodología de cubrir las necesidades de la parte interesada. 

Ilustración 5 servicios tercerizados

Cuando hemos logrado encontrar un proveedor de servicio que ya cohesiona con nuestra organización y atiende a las necesidades más allá de las primordiales para mantener la ciberseguridad, esta relación no solo fructificará en un correcto manejo de la privacidad de la información, además, mantendrá un lazo de unión que podría ser bien dirigido a la sinergia institucional y brindar a las usuarias y usuarios de nuestra organización la privacidad tan requerida en estos momentos álgidos de conectividad global. 

Sin embargo, no debemos de caer en otro vicio común que es la dependencia de los proveedores y no por tener la plena confianza en estos se debe dejar el monitoreo y revisión de sus indicadores a un lado, se deben implementar controlesmecanismos para monitorizar y medir correctamente y eficientemente a los proveedores y al ser ahora una parte interesada de nuestra organización reorientarlos como si fueran un área más de nuestra empresa. 

Ilustración 6 Proveedores para implementar un modelo Seguridad de la información

EL OTRO LADO DEL FIREWALL

En un modelo tradicional de seguridad de la información la mayor parte de los controles implementados han sido diseñados para responder a las necesidades de los riesgos detectados, tal vez en algunas organizaciones con una madurez mayor por el tiempo de vida o las situaciones a las que han tenido que enfrentarse o el marco por el cual han tenido que regularse tendrán un modelo más predictivo y propositivo de escenarios de posibles riesgos. Sin embargo, esto aún en un modelo de ciberseguridad queda muy lejos de lo requerido para la protección de la privacidad de la información. 

Cuando implementamos un firewall en una organización, la mayoría de las ocasiones lo hacemos porque debemos atender a las necesidades de conexión de una red segura que es la de nuestra organización a otra red que se pudiera considerar insegura como por ejemplo INTERNET, sin embargo, nunca atendemos la necesidad de implementar uno de estos dispositivos a una red considerada segura.

Ilustración 7 Firewall

En un caso en el cual realizáramos la conexión de nuestra red considerada segura a otra red considerada segura, muy probablemente no utilizaríamos un dispositivo de este tipo, ya que un análisis de riesgos tradicional y pensado en la seguridad de la información no arrojaría un riesgo para realizar esta conexión. Sin embargo, cuando pensamos en el ciberespacio y en la ciberdelincuencia que puede atacar al ciberespacio, el análisis de riesgos nos arroja que las redes pueden ser vulneradas y convertirse de lugares seguros para nuestros activos de información a lugares peligrosos incluso en los mejores modelos predictivos.

Los controles que deberíamos comenzar a utilizar para mantener la privacidad de la información y la ciberseguridad deben también evolucionar y no solo conformarnos con la seguridad de conexiones que nos brinda un modelo tradicional de conexión de firewall, deberíamos ya de comenzar a pensar en la utilización de VPN´s, canales cifrados internos y, además, en segregación de información hacia los usuarios con el principio del menor privilegio. 

Ilustración 8 protección cibernética

En principio estos son algunos controles que sugiero evolucionar del modelo tradicional de seguridad de la información para atender las necesidades de un modelo de ciberseguridad y dirigido a la privacidad de la información, sin embargo, las expectativas y las necesidades de cada una de las organizaciones son distintas, pero, siempre deberán de ser apegadas a los marcos normativos que he mencionado. 

Estas recomendaciones pueden ser reforzadas con un correcto levantamiento de información mediante un análisis de brechas enfocado a las normas ISO/IEC 27001, ISO/IEC 27701 y la norma ISO/IEC 27032. 

Conoce al autor del Artículo

Instructor Héctor PérezHÉCTOR PÉREZ
Especialista en Seguridad de la Información y Ciberseguridad
CISA, CEH, ECC-CEI, COBIT 5 Fundamentos, SCRUM, ITIL, DMC, DMA, ISO 9001 Auditor Líder, ISO 20000-1 Auditor Líder e Implementador Líder, ISO 27001 Auditor Líder e Implementador Líder, ISO 27032 Gerente Líder en Ciberseguridad, ISO 37001 Auditor Líder.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Artículos Relacionados

Capacitación

Protección y talento blindan su negocio

En un mundo interconectado donde la digitalización de los negocios prevalece, la rápida evolución de

Leer Más
Capacitación

Hackeo Ético y su relación con el ciberespacio

La confidencialidad es uno de los pilares fundamentales de la seguridad de la información; a

Leer Más
Capacitación

6 Datos sobre la ciberseguridad en México y el mundo

La Seguridad Cibernética es una práctica que debe estar integrada a la estructura organizacional de

Leer Más

¿CÓMO PODEMOS APOYARTE?
CUÉNTANOS MÁS

Nos agradará saber más de ti y de tus proyectos. Completa el siguiente formulario y muy pronto nos pondremos en contacto contigo.

0