Antes de la pandemia por el SARS-CoV-2 que actualmente amenaza al mundo; todas y todos los directores, gerentes, analistas y encargados de la seguridad de la información en las organizaciones comenzábamos a visualizar la necesidad de comenzar a gestionar los activos personales de los usuarios y usuarias de las organizaciones y, además, el realizar más allá del análisis de seguridad de la información hacia los inventarios de activos comunes y corrientes divididos en modelos clásicos conocidos como físicos y lógicos.
Extender el alcance a las entidades del ciberespacio y los inventarios que deberán de conformar a estas para su correcta gestión; era el reto para cualquier organización que comenzará a desvelar la penumbra que podía amenazar la delgada línea entre privacidad de la información, seguridad de la información y ciberseguridad.
En estos últimos años la información personal y la privacidad de los usuarios ha cobrado una gran relevancia y las organizaciones encargadas de emitir estándares han contribuido a esto mediante la publicación de normas como la “ISO/IEC 27701:2019 Técnicas de seguridad – Ampliación de ISO / IEC 27001 e ISO / IEC 27002 para la gestión de la información de privacidad – Requisitos y directrices”, con la cual y tomando como base rectora la ya muy conocida e implementada norma “ISO/IEC 27001:2013 Tecnologías de la información – técnicas de seguridad – sistemas de gestión de seguridad de la información – requisitos”, sin embargo, el mayor problema de una implementación habitual bajo este esquema es que la recomendación para evitar esfuerzos innecesarios es la implementación de un esquema de seguridad de la información como premisa para poder custodiar y salvaguardar la privacidad de la información.
Al día de hoy en que usted está leyendo este artículo, se tiene contemplada la próxima publicación de la norma ISO/IEC 27002, y con ello el cambio drástico que sujetará el propio nombre de esta. Sin embargo, la implementación de esta norma o la transición del marco de controles del aún vigente Anexo A al nuevo marco metodológico de simplificación de Ciberseguridad que manejará, hará que las empresas dirijan sus esfuerzos a un creciente alcance de más amplitud y con mayor aseguramiento de los objetivos de la organización.
La nueva norma ISO/IEC 27002 contempla “Seguridad de la Información, Ciberseguridad y Protección de la Privacidad” ya como premisa y controles para la implementación de la misma. A continuación, en este breve artículo de divulgación tocaremos las cinco entidades del ciberespacio y como pueden ser atendidas desde el modelo tradicional de seguridad de la información implementado en las organizaciones, pero, dirigido con un enfoque de privacidad de la información.
¡YA NO ES SUFICIENTE UNA POLÍTICA!
Las y los usuarios y sus dispositivos móviles en un modelo tradicional de controles de seguridad de la información el único recurso que poseen las organizaciones para gobernar la información en los dispositivos de propiedad de los usuarios es la creación de una política de seguridad de la información denominada: “Bring Your Own Device (BYOD)”, mediante la cual el sujeto es usuario en un acto de buena voluntad al tratamiento de la información de la organización, sin tratar de menos alterar la privacidad de la información del usuario.
Sin embargo, esta política no es garantía que la información en resguardo en el dispositivo del usuario no sufrirá ninguna alteración, manipulación no autorizada y, además, cuando el usuario se marche de la empresa no hay garantía alguna de que la información propiedad de la organización realmente sea borrada en su totalidad del dispositivo ajeno a la empresa.
Es por esto que no solo se deben de quedar en prácticas de gobierno y de implementación de políticas el resguardo de la información de la empresa, además, esta política debe de ir implementada de controles como una carpeta única y segura la cual esté protegida en la información de la organización y que esta pueda ser vigilada, el usuario proveerá únicamente permisos en esta carpeta dentro de su dispositivo móvil para poder realizar incluso borrado a distancia sólo de esta carpeta.
¿EN VERDAD SON PARTES INTERESADAS?
Cuando tratamos de seguir tocando el tema de las partes interesadas en la organización, cada vez son más las necesidades de que los contratistas y terceros que brindan servicios a nuestra organización realmente sean interesados en las necesidades de nuestra organización y no únicamente proveedores.
En realidad, aún existen proveedores de servicios que trabajan en el viejo modelo “servicio-pago-servicio”, sin embargo, algunos proveedores ya han evolucionado en el modelo de entrega de servicio a la metodología de cubrir las necesidades de la parte interesada.
Cuando hemos logrado encontrar un proveedor de servicio que ya cohesiona con nuestra organización y atiende a las necesidades más allá de las primordiales para mantener la ciberseguridad, esta relación no solo fructificará en un correcto manejo de la privacidad de la información, además, mantendrá un lazo de unión que podría ser bien dirigido a la sinergia institucional y brindar a las usuarias y usuarios de nuestra organización la privacidad tan requerida en estos momentos álgidos de conectividad global.
Sin embargo, no debemos de caer en otro vicio común que es la dependencia de los proveedores y no por tener la plena confianza en estos se debe dejar el monitoreo y revisión de sus indicadores a un lado, se deben implementar controles, mecanismos para monitorizar y medir correctamente y eficientemente a los proveedores y al ser ahora una parte interesada de nuestra organización reorientarlos como si fueran un área más de nuestra empresa.
EL OTRO LADO DEL FIREWALL
En un modelo tradicional de seguridad de la información la mayor parte de los controles implementados han sido diseñados para responder a las necesidades de los riesgos detectados, tal vez en algunas organizaciones con una madurez mayor por el tiempo de vida o las situaciones a las que han tenido que enfrentarse o el marco por el cual han tenido que regularse tendrán un modelo más predictivo y propositivo de escenarios de posibles riesgos. Sin embargo, esto aún en un modelo de ciberseguridad queda muy lejos de lo requerido para la protección de la privacidad de la información.
Cuando implementamos un firewall en una organización, la mayoría de las ocasiones lo hacemos porque debemos atender a las necesidades de conexión de una red segura que es la de nuestra organización a otra red que se pudiera considerar insegura como por ejemplo INTERNET, sin embargo, nunca atendemos la necesidad de implementar uno de estos dispositivos a una red considerada segura.
En un caso en el cual realizáramos la conexión de nuestra red considerada segura a otra red considerada segura, muy probablemente no utilizaríamos un dispositivo de este tipo, ya que un análisis de riesgos tradicional y pensado en la seguridad de la información no arrojaría un riesgo para realizar esta conexión. Sin embargo, cuando pensamos en el ciberespacio y en la ciberdelincuencia que puede atacar al ciberespacio, el análisis de riesgos nos arroja que las redes pueden ser vulneradas y convertirse de lugares seguros para nuestros activos de información a lugares peligrosos incluso en los mejores modelos predictivos.
Los controles que deberíamos comenzar a utilizar para mantener la privacidad de la información y la ciberseguridad deben también evolucionar y no solo conformarnos con la seguridad de conexiones que nos brinda un modelo tradicional de conexión de firewall, deberíamos ya de comenzar a pensar en la utilización de VPN´s, canales cifrados internos y, además, en segregación de información hacia los usuarios con el principio del menor privilegio.
En principio estos son algunos controles que sugiero evolucionar del modelo tradicional de seguridad de la información para atender las necesidades de un modelo de ciberseguridad y dirigido a la privacidad de la información, sin embargo, las expectativas y las necesidades de cada una de las organizaciones son distintas, pero, siempre deberán de ser apegadas a los marcos normativos que he mencionado.
Estas recomendaciones pueden ser reforzadas con un correcto levantamiento de información mediante un análisis de brechas enfocado a las normas ISO/IEC 27001, ISO/IEC 27701 y la norma ISO/IEC 27032.
Conoce al autor del Artículo
HÉCTOR PÉREZ Especialista en Seguridad de la Información y Ciberseguridad CISA, CEH, ECC-CEI, COBIT 5 Fundamentos, SCRUM, ITIL, DMC, DMA, ISO 9001 Auditor Líder, ISO 20000-1 Auditor Líder e Implementador Líder, ISO 27001 Auditor Líder e Implementador Líder, ISO 27032 Gerente Líder en Ciberseguridad, ISO 37001 Auditor Líder. |