ciberseguretat - seguretat de la informació

Ciberseguretat per minimitzar les ciberamenaces

/ / Per

Sistemes de gestió per minimitzar ciberamenaces.

Encara hi ha moltes organitzacions que pensen erròniament que la informació que tenen i la que manipulen no és interessant per ningú. L’augment de l’externalització dels serveis, l’ús del cloud computing, la informàtica mòbil, el teletreball obliga a gestionar de forma adequada la ciberseguretat de la seva informació corporativa i de les seves infraestructures tecnològiques.

Una breu definició de ciberseguretat seria el conjunt de polítiques, eines, tecnologies, proteccions, formació i bones pràctiques dirigides a protegir els actius de les empreses, organitzacions i els usuaris del ciberentorn.

La ciberseguretat és multidisciplinari, amb un gran component tecnològic, extremadament complexa i d’un abast molt ampli ja que afecta a tot tipus d’organitzacions, infraestructures i administracions. La ciberseguretat té en compte a tot tipus de hardware, tant industrial i professional com el destinat a l’oci i ús personal (equips informàtics en general, caixers automàtics, tauletes, telèfons mòbils, TPV, càmeres, firewalls, routers, PLC, smartphones, etc.); i a tot tipus de software i plataformes (sistemes operatius, software de control industrial, entreteniment, multimedia, comunicacions, control remot, xarxes socials, missatgeria instantània, etc.).

La ciberseguretat afecta molt especialment, encara que no exclusivament, a tots aquells dispositius connectats o connectables a Internet.

Actualitat i futur de les ciberamenaces i ciberseguretat

Ningú dubte de la importància creixent de les ciberamenaces a través de la ciberdelinquència, ciberespionatge, ciberguerra. Generen delictes vinculats amb les noves tecnologies com robatoris d’informació, suplentacions d’identitat, hacking, enginyeria social o casos de ciberacòs.

Hi ha una escassa consciència general del risc a ciberatacs. El futur de la ciberseguretat es pot resumir en dues paraules: moltes sorpreses. En aquesta línia, es pot apuntar com a molt probables les següents ciberamenaces:

  • Més ciberdelictes. Cal ser conscient que hi ha factors (com la facilitat de delinquir a distància i l’anonimat, l’absència de sensació de perill) que fan preveure un augment dels ciberdelictes. Alguns experts asseguren que és molt més econòmic robar un projecte industrial o empresarial que emprenderlo des de cero. I és molt més còmode  intentar-lo amb atacs informàtics que per medis físics.
  • Augment del malware. Cada vegada hi ha més dispositius mòbils amb apps. Moltes de les apps tenen noves funcionalitats i sofisticades utilitats que accedeixen, manipulen i controlen informació sensible sobre els usuaris. Tota aquesta informació pot tenir un gran valor. Les diferents vies per les que s’interconnecten els nostres ordinadors i dispositius mòbils fan augmentar el risc d’exposició al malware.
  • Augment de les activitats de ciberespionatge i ciberguerra. L’augment imparable del ciberespionatge i ciberguerra està originat perquè és més econòmic el ciberespionatge que l’espionaje tradicional.
  • Augment del cibersabotatge. Són evidents els riscos que ha introduït la connexió a sistemes de control industrial a Internet. Algunes de les ciberamenaces vinculades amb el cibersabotaje i ciberterrorisme son contra infraestructures crítiques, o ciberespionatge de sectors estratègics.

Sistemes de Gestió de la Seguretat per la Ciberseguretat

És necessari tenir un sistema de gestió a l’àmbit d eles TIC en general i de la ciberseguretat en particular. Encara que en ciberseguretat no tot es pot planificar. Cal tenir un sistema de gestió basat en el cicle de millora continua (PDCA). En poden ser útils les següents normes:

  • Norma ISO 9001 de qualitat on a més d’aplicar-se de forma global a l’organització dongui resposta a la necessitat de combinar servei i seguretat (inclosa la ciberseguretat), implantant una política de seguretat i tenint en compte requisits inclosos a altres normes com la ISO 27001 o la ISO 20000.
  • Norma ISO 27001 sobre la gestió de la seguretat de la informació (SGSI). La ISO 27001 proporciona un marc per identificar les possibles amenaces i a partir d’un “Pla de continuïtat de negoci” garantir el funcionament de les organitzacions  durant i després d’interrupcions incloses aquelles que estiguin provocades per les ciberamenaces.
  • Norma ISO 20000 Requisits del Sistema de Gestió del Servei, considerant que cal saber adaptar la ciberseguretat a les ciberamenaces en matèria de seguretat com ara els petits casos de frau vinculats amb el comerç electrònic.
  • Norma UNE 166002 sobre els Requisits del Sistema de Gestió de la R+D+i, inclosa la innovació, ajuda a adaptar-se als canvis constants vinculats amb les ciberamenaces i ciberseguretat, prioritzant les inversions en R+D+i necessàries.
  • Normes ISO 22301 e ISO 22313 sobre Sistema de Gestió de la Continuïtat del Negoci, ajuden a reaccionar al ritme que arribin els canvis.

Recursos vinculats amb Ciberseguretat.