Capítulo 1: Una cuestión urgente
La seguridad de la información y la ciberseguridad es un tema de actualidad desde hace varios años, pero antes se consideraba un problema del que debía ocuparse el departamento informático junto con los habituales fallos de software. El creciente número de ataques de gran repercusión y sus consecuencias financieras y para la reputación han hecho que la cuestión adquiera una nueva importancia.
Existen varios tipos de amenazas con diferentes motivos. En el nivel más bajo, un ataque puede describirse mejor como vandalismo digital sin más motivo siniestro que perturbar por pura "diversión". Más allá de eso, los ataques pueden ser intentos de extorsión directa a la empresa, robo de datos de clientes -en particular financieros, que pueden utilizarse con fines delictivos-, espionaje comercial o industrial, robo de patentes e información sensible o simplemente un ataque malintencionado de un rival o un empleado descontento con el objetivo de causar el máximo trastorno. En el peor de los casos, cuando la organización presta un servicio vital como la producción y distribución de energía, servicios sanitarios, financieros, logísticos o de viajes, la amenaza suele dirigirse menos a la propia organización y más al público o al Estado.
Comprender cómo surgen las amenazas y desarrollar sistemas para hacerles frente es una tarea vital para cualquier organización.
Capítulo 2: La amenaza para la seguridad de la información
Un ciberataque rara vez surge de la nada -aunque pueda parecer exactamente eso- y los expertos sugieren que hay siete etapas antes de alcanzar el objetivo final del atacante. En primer lugar está el reconocimiento de la organización, que puede implicar dirigirse a un individuo con los llamados correos electrónicos de phishing. Cuanto más tiempo dediquen los hackers a obtener información sobre las personas y los sistemas de la empresa, más éxito tendrá el intento de pirateo.
Después de esto, los hackers intentarán infiltrarse en la red del objetivo utilizando diversos medios. En la fase de explotación, los hackers empiezan a recoger los frutos de preparar y llevar a cabo el ataque. Para ello, los atacantes se aseguran un acceso continuado a la red durante el tiempo necesario para lograr sus objetivos.
Una vez que tienen acceso ilimitado a toda la red y a las cuentas de administrador, disponen de todas las herramientas necesarias para la fase de mando y control. Es entonces cuando los hackers pueden bloquear a los usuarios de TI de una empresa de toda la red de la organización si lo desean, tal vez exigiendo un rescate para restaurar el acceso. La acción final o fase de objetivos da lugar a que los hackers logren cualquier objetivo que se propongan.
Capítulo 3: ¿Dónde están ahora las empresas?
En 2021, DNV llevó a cabo una encuesta para averiguar en qué punto del camino hacia un sistema de información seguro se encontraban las organizaciones. En 2015 se realizó una encuesta similar y la diferencia en las respuestas es intrigante.
Desde entonces, la seguridad de la información ha cobrado cada vez más importancia y los consejos de administración de las empresas han recibido muchos más conocimientos. Sin embargo, el número de organizaciones que declaran tener un sistema de seguridad de la información maduro o puntero sólo ha aumentado en torno a 4 puntos porcentuales. Más de la mitad (55%) aún se consideran en las primeras fases de madurez del sistema.
Dos de cada tres organizaciones consideran que disponer del personal adecuado para gestionar la seguridad de la información es el factor más importante. Las inversiones están pasando de ser técnicas a ser en personal. Proporcionar formación en seguridad de la información al personal se valora más alto entre las empresas en 2021. En los próximos tres años, dos de cada tres indican que los niveles de inversión en seguridad de la información serán iguales o superiores a los actuales.
Las empresas con un sistema certificado de gestión de la seguridad de la información son más sensibles y receptivas al cambio. Cerca del 80% afirma haber completado total o parcialmente el proceso de alineación para adaptarse al nuevo entorno digital. Estas organizaciones también parecen más receptivas a adoptar el modelo de "confianza cero", lo que significa que no confían en nadie y que todo el mundo necesita ser verificado.
No es sorprendente que muchas organizaciones consideren que los dispositivos móviles y las tecnologías innovadoras tienen un gran impacto en la ciberseguridad. Sin embargo, la IA todavía no se considera un factor de cambio, ya que sólo el 15% de los encuestados cree que puede desempeñar un papel importante.
Capítulo 4: Certificación para obtener el control
Lo más probable es que las organizaciones que aplican un enfoque estructurado a la gestión de la seguridad de la información ya estén certificadas conforme a una norma internacional reconocida o se encuentren en el buen camino hacia la certificación.
La certificación demuestra el compromiso de gestionar y proteger de forma proactiva los activos de información y garantizar el cumplimiento de los requisitos legales. ISO/IEC 27001 es la norma internacional más reconocida para los sistemas de gestión de la seguridad de la información y está diseñada para ser compatible y armonizada con otras normas ISO de sistemas de gestión.
Al igual que evolucionan las ciberamenazas, también lo hace la norma ISO. El 25 de octubre de 2022 se publicó una versión revisada de la norma (ISO/IEC 27001:2022). El principal cambio se refiere a los controles de seguridad y las orientaciones para ayudar a las empresas a generar confianza sobre cómo están trabajando para proteger los activos críticos de la empresa.
Las principales ventajas de la nueva versión para las empresas certificadas son que:
- Aborda nuevos escenarios y riesgos;
- Ayuda a comprender otras perspectivas de seguridad;
- Incluye aspectos de ciberseguridad y privacidad;
- Incluye nuevos controles para garantizar que no se pasen por alto nuevos escenarios y riesgos.
Capítulo 5: Mejora continua
Una de las características clave de un sistema de gestión de la seguridad de la información -certificado o no- es la comprensión de los riesgos más comunes y de cómo las trampas pueden variar según los sectores. Esto exige que las organizaciones se mantengan al día del panorama de amenazas en constante evolución y que adapten y desarrollen sistemas para afrontar y superar nuevos retos. En la práctica, las auditorías internas y externas periódicas pondrán de manifiesto los problemas. Sin embargo, la certificación por terceros proporciona una evaluación independiente del rendimiento del sistema de gestión y genera confianza interna y externa en la capacidad de la empresa para salvaguardar los activos de información críticos.
Además, mantener un sistema de gestión y su certificación es un viaje continuo. Más allá de la auditoría de certificación obligatoria una vez al año, los clientes de DNV obtienen acceso a herramientas digitales que permiten la autoevaluación del conocimiento individual y del desempeño del sistema de gestión, la evaluación comparativa del desempeño y la preparación para auditorías internas y externas de terceros. Con acceso diario a conocimientos y perspectivas de apoyo, las empresas están mejor preparadas para ajustar continuamente su panorama de riesgos, mejorar el sistema de gestión y medir el desempeño.
Capítulo 6: Resumen y principales conclusiones
En el actual entorno empresarial digital, todas las empresas están cada vez más expuestas a riesgos de seguridad de la información. El reconocimiento de que las amenazas a la seguridad podrían detener fácilmente las operaciones no es de extrañar que la ciberseguridad figure ahora en todas las agendas corporativas. Las organizaciones deben gestionar las amenazas actuales y prevenir los riesgos futuros para fomentar la confianza de las partes interesadas y minimizar el riesgo de pérdidas financieras y trastornos.
Quienes están detrás de los ciberataques evolucionan continuamente sus métodos y propósitos. Por ello, las organizaciones deben reconocer que el problema es dinámico y que los sistemas de gestión de la seguridad deben evolucionar paralelamente. La gestión de la seguridad de la información consiste en mitigar los riesgos a corto plazo, pero también es necesaria para crear resistencia a largo plazo.
La implantación de un marco estructurado sólido para identificar, gestionar y mitigar los riesgos, basado en los requisitos y directrices de la norma ISO/IEC 27001, impulsará la mejora continua y reforzará la continuidad de las actividades. Para obtener la certificación, el sistema de gestión debe implantarse de conformidad con los requisitos de la norma.
Como certificación de tercera parte acreditada, DNV puede ser su socio a lo largo de todo el proceso. Desde la formación pertinente sobre la norma hasta las herramientas de autoevaluación, evaluación comparativa y preparación de auditorías, pasando por el análisis de deficiencias y la auditoría de certificación propiamente dicha, nuestros expertos técnicos se comprometen a apoyarle durante todo el proceso.