Sistemas de gestión para minimizar ciber amenazas
Aún existen muchas organizaciones que piensan erróneamente que la información que tienen y la que manipulan no es interesante para nadie. El aumento de la externalización de los servicios, el uso del cloud computing, la informática móvil, el teletrabajo obliga a gestionar de forma adecuada la ciberseguridad de su información corporativa y de sus infraestructuras tecnológicas.
Una breve definición de ciberseguridad sería el conjunto de políticas, herramientas, tecnologías, protecciones, formación y buenas prácticas dirigidas a proteger los activos de las empresas, organizaciones y usuarios del ciberentorno.
La ciberseguridad es multidisciplinar, con un gran componente tecnológico, extremadamente compleja y de muy amplio alcance ya que afecta a todo tipo de organizaciones, infraestructuras y administraciones. La ciberseguridad tiene en cuenta todo tipo de hardware, tanto industrial y profesional como el destinado al ocio y uso personal (equipos informáticos en general, cajeros automáticos, tabletas, teléfonos móviles, TPV, cámaras, firewalls, routers, PLC, smartphones , etc.); y en todo tipo de software y plataformas (sistemas operativos, software de control industrial, entretenimiento, multimedia, comunicaciones, control remoto, redes sociales, mensajería instantánea, etc.).
La ciberseguridad es multidisciplinar, con un gran componente tecnológico, compleja y de muy amplio alcance ya que afecta a todo tipo de organizaciones, infraestructuras y administraciones. Tiene en cuenta todo tipo de hardware, tanto industrial y profesional como el destinado al ocio y uso personal (equipos informáticos en general, cajeros automáticos, tabletas, teléfonos móviles, TPV, cámaras, firewalls, routers, PLC, smartphones , etc.); y en todo tipo de software y plataformas (sistemas operativos, software de control industrial, entretenimiento, multimedia, comunicaciones, control remoto, redes sociales, mensajería instantánea, etc.).
La ciberseguridad afecta muy especialmente, aunque no exclusivamente, a todos aquellos dispositivos conectados o conectables a Internet.
Actualidad y futuro de las ciberamenazas y ciberseguridad
Nadie duda de la importancia creciente de las ciberamenazas a través de la ciberdelincuencia, ciberespionaje, ciberguerra. Generan delitos vinculados con las nuevas tecnologías como robos de información, suplentaciones de identidad, hacking, ingeniería social o casos de ciberacoso.
Existe una escasa conciencia general del riesgo a ciberataques. El futuro de la ciberseguridad conllevará muchas sorpresas. En esta línea, se puede apuntar como muy probables las siguientes ciberamenazas:
- Más ciberdelitos. Hay que ser consciente de que existen factores (como la facilidad de delinquir a distancia y el anonimato, la ausencia de sensación de peligro) que hacen prever un aumento de los ciberdelitos. Algunos expertos aseguran que es mucho más económico robar un proyecto industrial o empresarial que emprenderlo desde cero. Y es mucho más cómodo, intentarlo con ataques informáticos que por medios físicos. Está controlado por el CCN.
- Aumento del malware. Cada vez existen más dispositivos móviles con apps. Muchas de las apps tienen nuevas funcionalidades y sofisticadas utilidades que acceden, manipulan y controlan información sensible sobre los usuarios. Toda esa información puede tener un gran valor. Las diferentes vías por las que se interconectan nuestros ordenadores y dispositivos móviles aumentan el riesgo de exposición al malware.
- Aumento de las actividades de ciberespionaje y ciberguerra. El aumento imparable del ciberespionaje y ciberguerra está originado por ser más económico el ciberespionaje que el espionaje tradicional.
- Aumento del cibersabotaje. Son evidentes los riesgos que ha introducido la conexión a sistemas de control industrial en Internet. Algunas de las ciberamenazas vinculadas con el cibersabotaje y ciberterrorismo son contra infraestructuras críticas, o ciberespionaje de sectores estratégicos.
Sistemas de Gestión de la Seguridad por la Ciberseguridad
Es necesario tener un sistema de gestión de la seguridad de la información y de la ciberseguridad. Aunque en ciberseguridad no todo puede planificarse. Es necesario tener un sistema de gestión basado en el ciclo de mejora continua (PDCA). Pueden ser útiles las siguientes normas:
- Implantar las buenas prácticas que propone el Instituto Nacional de Ciberseguridad (INCIBE)
- Norma ISO 9001 de calidad donde además de aplicarse de forma global a la organización dé respuesta a la necesidad de combinar servicio y seguridad (incluida la ciberseguridad), implantando una política de seguridad y teniendo en cuenta requisitos incluidos en otras normas como la ISO 27001 o la ISO 20000.
- Norma ISO 27001 y ENS sobre la gestión de la seguridad de la información (SGSI). La ISO 27001 proporciona un marco para identificar las posibles amenazas ya partir de un «Plan de continuidad de negocio» garantizar el funcionamiento de las organizaciones durante y después de interrupciones incluidas aquellas que estén provocadas por las ciberamenazas.
- Norma ISO 20000 Requisitos del Sistema de Gestión del Servicio, considerando que es necesario saber adaptar la ciberseguridad a las ciberamenazas en materia de seguridad tales como los pequeños casos de fraude vinculados con el comercio electrónico.
- Norma UNE 166002 sobre los Requisitos del Sistema de Gestión de la I+D+i, incluida la innovación, ayuda a adaptarse a los cambios constantes vinculados con las ciberamenazas y ciberseguridad, priorizando las inversiones en I+D+i necesarias.
- Normas ISO 22301 e ISO 22313 sobre Sistema de Gestión de la Continuidad del Negocio, ayudan a reaccionar al ritmo de que lleguen los cambios.