Hoy es el Día Internacional de la Seguridad de la Información, una jornada instaurada para concienciar de la necesidad y la obligación de proteger la información que fluye y se almacena en la red
Desde 1988, a instancias de la ACM (Association for Computer Machinery), cada 30 de noviembre se celebra el Día Internacional de la Seguridad de la Información con el objetivo de concienciar, tanto a particulares como a organizaciones, de la necesidad y la obligación de proteger la información de sus sistemas. El día 2 de noviembre de ese 1988, por primera vez se propagó por la red un malware para plataformas múltiples —bautizado posteriormente como el Gusano de Morris y creado por un estudiante— que infectó al 10% de los equipos conectados entonces, evidenciando la necesidad de dotar a la red de medidas de protección para mantener a salvo la información.
Los primeros modelos de seguridad de la información digital se organizaban en parcelas de actuación inconexas, se construían de forma reactiva, tras sufrir algún ciberataque, y se planteaban según esquemas que no tenían en cuenta las particularidades de cada organización. La información se almacenaba, sobre todo, de forma física, siendo la digital puntual y excepcional, y por eso, los esfuerzos de seguridad de las organizaciones se concentraban en ese medio.
Desde entonces, el desarrollo de las telecomunicaciones y la transformación digital de las organizaciones han provocado que la información se concentre y almacene mayoritariamente en el entorno digital y que su seguridad solo pueda garantizarse a través de modelos evolucionados capaces de enfrentarse al complejo mundo de la ciberdelincuencia.
Para contar en la actualidad con un modelo de seguridad de la información eficiente, las organizaciones necesitan implantar un sistema de seguridad integral en el que todos los dominios estén conectados y actúen según planes conjuntos, que esté construido de forma activa y planteado según esquemas alineados con los objetivos y deberes de la organización: el modelo de Gobierno de Seguridad de la Información.
Los dominios del Gobierno de la Seguridad de la Información
La visión de Sothis sobre la seguridad de la información responde a un enfoque global que apuesta por el Gobierno de Seguridad de la Información, un modelo de gestión que integra los diferentes dominios relacionados con la seguridad para establecer en la organización una estrategia de seguridad de la información única y global, adaptada a sus necesidades y obligaciones y alineada con sus objetivos.
El modelo de Gobierno de la Seguridad de la Información completo y eficiente integra los siguientes dominios:
- Dominio estratégico: Servicios de consultoría, planes directores de seguridad, roles y responsabilidades —DPO, CISO…— y marcos de referencia normativos nacionales e internacionales.
- Dominio compliance: Soluciones para adecuar la gestión de la información y su seguridad a la normativa legal —tanto de obligado cumplimiento como de cumplimiento voluntario— aplicable a la organización, y a las certificaciones nacionales e internacionales que deba o tenga interés en obtener en función de su actividad y sus objetivos.
- Dominio de gestión de riesgos: Análisis de los riesgos a los que se encuentra expuesta la organización. Este es un dominio de gran peso dentro del modelo de Gobierno de la Seguridad de la Información, ya que la mayoría de las decisiones que se toman y las medidas que se implantan se determinan en función de las directrices que salgan de este dominio.
- Dominio operativo: Análisis de eventos y gestión de incidentes. Control y monitorización permanente del flujo y estado de la información de la organización, de forma que cualquier incidente de seguridad pueda ser detectado, comunicado, minimizado, anulado y analizado con posterioridad.
Con la integración de estos cuatro dominios en el Gobierno de la Seguridad de la Información se consigue cubrir todos los frentes de amenazas y una actuación coordinada.
El modelo del Gobierno de la Seguridad de la Información
Implantar un modelo de Gobierno de la Seguridad de la Información no solo es necesario para el correcto funcionamiento de la organización, sino que también es una exigencia derivada de la normativa legal. La información debe ser protegida por el interés de la organización y porque así lo exige la ley, de forma que el incumplimiento de dicha obligación lleva aparejado sanciones.
Por ello, el Gobierno de Seguridad de la Información propone un modelo integral de seguridad con una visión global en el que no se aborda ninguno de los dominios sin abordarse el resto, ya que es la única forma de garantizar la eficacia de la solución y el cumplimiento de las exigencias legales.
Así, por ejemplo, un modelo de seguridad de la información que no tenga integrado un dominio operativo con funcionamiento 24/7, dejará de identificar brechas de seguridad en los datos y, por lo tanto, el dominio compliance no tendrá constancia de ellas y la Agencia Española de Protección de Datos no será notificada, con el resultado de que el modelo fracasará y se perderá la oportunidad de minimizar o anular los efectos de la brecha de seguridad.
El servicio del Gobierno de Seguridad de la Información puede ser llevado a cabo por personal de la organización debidamente formado o puede ser un servicio externalizado, teniendo en cuenta que en, cualquiera de los dos casos, ha de ser implantado por un equipo experto y prestado por profesionales especializados en áreas específicas como el Derecho aplicado a las nuevas tecnologías, la ciberseguridad, el análisis de riesgos o la definición e implementación de procesos, entre otras.
La protección de la información es una necesidad que, a modo de círculos concéntricos, afecta primero al correcto funcionamiento interno de las organizaciones, después a la adecuada relación de la misma con sus socios, proveedores, colaboradores y clientes, y, por último, en el círculo más grande, a la propia red, que ha de mantenerse como un entorno seguro para transacciones y relaciones.
En Sothis, en especial nuestros equipos y profesionales dedicados a la seguridad de la información, nos sumamos hoy a la celebración de este día, conscientes de la importancia de su mensaje para construir un entorno digital seguro.