En este artículo, exploraremos el universo de los programas de Seguridad de la Información y por qué son esenciales en la actualidad.
Un programa de seguridad de la información es un conjunto estructurado de políticas, procedimientos, tecnologías y prácticas diseñadas para salvaguardar la confidencialidad, integridad y disponibilidad de los datos y sistemas de una organización. Es el faro que guiará a la entidad en materia de ciberseguridad.
Algunos de sus principales objetivos son alcanzar los siguientes aspectos:
- Confidencialidad: Garantizar que la información sensible solo esté disponible para aquellos que tienen permiso para acceder a ella, protegiéndola de divulgaciones no autorizadas.
- Integridad: Asegurar que los datos no sean alterados de manera no autorizada o inapropiada, manteniendo su precisión y fiabilidad.
- Disponibilidad: Garantizar que los recursos de información estén disponibles y accesibles cuando se necesiten, evitando interrupciones no planificadas.
- Autenticación y autorización: Verificar la identidad de los usuarios y garantizar que solo tengan acceso a los recursos adecuados según sus roles y responsabilidades.
- Auditoría y supervisión: Registrar y supervisar las actividades relacionadas con la seguridad de la información para identificar posibles amenazas o brechas de seguridad.
- Resiliencia y recuperación: Prepararse para eventos de seguridad, como ataques cibernéticos o desastres naturales, y establecer planes de recuperación para minimizar el impacto.
Para construir un programa de seguridad de la información efectivo, se deben tener en cuenta, entre otras, todas estas consideraciones:
- Evaluación de riesgos: Identificar y evaluar las amenazas potenciales y las vulnerabilidades en los activos de información de la organización.
- Definición de políticas y estándares: Establecer políticas y estándares de seguridad que reflejen los objetivos de seguridad y las mejores prácticas.
- Diseño de controles de seguridad: Implementar controles técnicos y organizativos que mitiguen los riesgos identificados, como firewalls, sistemas de detección de intrusiones y políticas de acceso.
- Educación y capacitación: Formar a los empleados y usuarios en prácticas seguras y concienciar sobre la importancia de la seguridad de la información.
- Pruebas y evaluación continua: Realizar pruebas de seguridad periódicas, como pruebas de penetración y análisis de vulnerabilidades, y ajustar el programa según sea necesario.
- Gestión de incidentes: Establecer un plan de respuesta a incidentes para abordar y mitigar de manera efectiva cualquier incidente de seguridad que ocurra.
- Mejora continua: Revisar y actualizar regularmente el programa de seguridad de la información para adaptarse a nuevas amenazas y tecnologías.
La construcción de un programa de seguridad de la información sólido es un proceso continuo y colaborativo que implica a toda la organización para garantizar la protección adecuada de los activos de información.
Pero a la hora de plantear un ejercicio partiendo de cero en una organización que no disponga de un plan previamente, en base a la literatura que he consultado en el pasado, me gusta abordarlo de la siguiente manera:
- Evaluación de niveles de madurez. Los modelos de madurez para la Seguridad de la Información sirven para evaluar el grado de desarrollo de la gestión de la misma frente a una escala de niveles, dentro de una organización. Permiten identificar mediante un valor discreto, el grado de sistematización de las prácticas de seguridad. Uno de los modelos más comúnmente utilizados es el CMMI (Capability Maturity Model Integration), que puede aplicarse a la gestión del desarrollo de productos y servicios, la gestión de compras, proveedores y externalización de servicios, o la gestión de servicios (similar a ITIL o ISO 20000). Mediante feedback offline, documentación y/o entrevistas con el personal, trataremos de evaluar en qué nivel de madurez se encuentran las diferentes funciones, categorías y subcategorías del framework de gestión del NIST (National Institute of Standards and Technology) CSF (Cybersecurity Framework) en dicha escala graduada. Dichas funciones son comunes a las organizaciones de cualquier sector, y permiten la adecuada ejecución y comunicación de actividades de ciberseguridad a lo largo y ancho de una compañía, desde la capa ejecutiva, a la de implementación y operaciones. Por ello, son más interesantes de cara a su consideración para elaborar un Programa de Seguridad de la Información que el estándar ISO 27001, por ejemplo.
- Análisis GAP. De manera general, un análisis GAP es una herramienta utilizada para identificar las diferencias entre el desempeño actual de una empresa y su desempeño potencial. El análisis se basa en la comparación de los resultados actuales de la empresa con lo que se considera un desempeño óptimo, y busca identificar las «brechas» o «gaps» que existen entre los dos. El objetivo del análisis GAP es ayudar a la empresa a mejorar su desempeño y alcanzar su máximo potencial. En la práctica, en el ámbito de la Seguridad de la Información se suele emplear asociado a un análisis de riesgos tecnológicos, para evaluar la distancia entre la situación objetivo a alcanzar, y la situación de partida a analizar. Suelo orientar el trabajo a intentar alcanzar un grado de madurez CMMI 3 en los servicios de ciberseguridad. El listón será el de una compañía que posee una serie de características que indican que tiene un proceso sólido y sistemático en su enfoque de la Seguridad de la Información. Esto se realiza mediante revisión documental, entrevistas y alguna prueba en campo si es necesario.
- Elaboración de propuesta de Programa de Seguridad de la Información. Referido como se indica arriba no a una agrupación de proyectos relacionados con un objetivo común, sino a un conjunto de políticas, procedimientos y prácticas que una organización implementa para proteger sus activos de información y garantizar la confidencialidad, integridad y disponibilidad de la misma. El ejercicio se realizará en base a conocimientos y experiencia previa (de fuentes bibliográficas o formación reglada), tratando de aportar un enfoque holístico en el que se incluirán:
- Estructura jerárquica. Posible diagrama de cajas tanto de gobierno IT como de riesgos de Seguridad de la Información, esquema interno de IT y relación CIO-CISO, y organización interna del área de Seguridad.
- Programa de seguridad. Incluyendo la descripción todas las nuevas funciones definidas incluidas en el Programa, su descripción y capacidades, necesidades formativas, así como un pseudo-business case cualitativo de impacto a nivel de negocio, reducción de nivel de riesgo y necesidades para abordar su implantación. Tendremos en cuenta el estado actual de madurez frente al deseado, a nivel de personas (recursos y formación), procesos y tecnología, elaborando si es necesario una propuesta más conservadora y otra más agresiva. En esta materia, nos inspiraremos en el framework NIST CSF para determinar ciertas capacidades troncales necesarias en todo programa, que moldearemos en base a los diferentes hallazgos identificados en secciones previas.
- Plan de proyectos. En esta sección, en base a los hallazgos identificados en la evaluación de niveles de madurez y el análisis GAP, así como de las necesidades que surjan derivadas del Programa de Seguridad de la Información definido, se recogerán diferentes iniciativas en proyectos de diversa índole. Dado que todo el análisis previo se aborda desde los planos técnicos, procedimentales, de recursos humanos, de Dirección o regulatorio, tendremos proyectos que aborden cambios estructurales o necesidades de gobierno (organizativos), implantación o mejora de controles lógicos (técnicos), o bien a nivel de políticas o procedimientos (procedimentales), relativos a regulación o estándares (normativos), o bien de corte estratégico, prioritarios o relacionados con el propio Programa de Seguridad de la Información en sí mismo (estratégicos). La propuesta y definición de los proyectos se hará en base a los inputs indicados, utilizando también conocimiento y experiencia previa, y tomando como referencia controles de seguridad como los incluidos en ISO 27002, ISO 27017, Esquema Nacional de Seguridad, o NIST SP 800-53.
De esta manera, tras un trabajo de un número variable de jornadas en función de la disponibilidad del personal y el tamaño de la organización, se dispondrá de un informe con una propuesta de Programa de Seguridad de la Información que incluya:
- Dónde se encuentra la entidad en estos momentos a nivel de ciberseguridad
- Fortalezas, debilidades y gaps
- Una propuesta de estructura funcional y de cómo provisionar y gestionar sus recursos a nivel de personas, procesos y tecnología
- Y por último un plan de acción con un programa de proyectos para alcanzar un nivel de madurez objetivo dado
Espero que te haya resultado de utilidad. Si en tu empresa necesitas soporte de un consultor para definir un Programa de Seguridad de la Información, puedes contactarme.
—
Suscríbete a nuestra newsletter para estar al tanto de las novedades, ofertas y promociones, y tener acceso libre a la Masterclass de ciberseguridad donde te contaremos todo acerca del por qué, qué es y cómo trabajar en ciberseguridad. Comparte con amigos o conocidos que puedan estar interesados en estos contenidos o nuestra formación.
Recuerda que tenemos disponible el formato de formación tradicional en nuestro curso de ciberseguridad GRC, o el de trabajo garantizado, en el que solo pagarás si encuentras trabajo, y lo harás de manera cómoda: ¡te ayudaremos a buscarlo!