Skip to content

Compliance IT

Ya es de sobra conocido por todos que los ciberataques son uno de los riesgos más importantes para las empresas desde hace varios años. El fraude, hacking, virus, fugas y robos de información, phishing, espionaje industrial, dengación de servicio, son ataques dirigidos a los sistemas de información de las empresas.

Existen diferentes normas internacionales que definen como establecer un sistema de gestión de los sistemas de información (SGSI) y en cierta medida protegernos así de estos ciber-riesgos, la más conocida es la ISO 27000 y siguientes. Por otro lado tenemos la protección especial de los datos de carácter personal. El reglamento 1720/2007 recoge una serie de medidas de seguridad a cumplir en función del nivel de sensibilidad de los datos de carácter personal. El nuevo Reglamento General de Protección de Datos (RGPD), indica que se deberán adoptar las medidas de seguridad en función del riesgo, la tendencia de protección parece dirigirse hacia sistemas de gestión de riesgos como la norma ISO, no obstante veremos como se adapta este RGPD en España, pero todo parece indicar que seguirán vigentes las medidas del Reglamento 1720/2007.

En cualquier caso en este artículo voy a comentar de manera breve cómo adoptar un sistema de gestión de seguridad de la información, en función del cumplimiento de la normativa de protección de datos, incluido dentro de lo que podríamos denominar el compliance IT de una empresa. En este Compliance IT podrían incluirse otras materias como las relativas a LSSI, propiedad intelectual o firma electrónica. Haré una pequeña mención a la protección en caso de un ataque de denegación de servicio.

Toma de conciencia de la dirección

Es muy importante que la dirección sea consciente de la necesidad de proteger su información puesto que es uno de sus activos más importantes. De no hacerlo, las principales consecuencias podrían ser:

  • Perjuicios en la reputación y la imagen de marca
  • Perdidas de activos de información, atentado a la confidencialidad
  • Indisponibilidad del sistema informático
  • Riesgo financiero, por las consecuencias previas o por incumplimientos normativos

Organización Interna

El equipo de gestión de riesgos se hará cargo de los relativos a la seguridad de la información. Este se asegurará de mantener actualizado el funcionamiento del sistema de información y tomará las decisiones pertinentes junto a la dirección. Deberá tener un calendario de reuniones periódicas y previsto un procedimiento de urgencia.

Este equipo debe estar compuesto por varios miembros (o equipos en función del tamaño empresarial):

  • Un responsable de seguridad capacitado para coordinar la seguridad entre los diferentes departamentos. Será el encargado del cumplimiento de las normas internas y externas. Organizará todas la actuaciones y se mantendrá actualizado de las novedades legislativas. Asegurará la formación de los empleados y se relacionará con las autoridades externas (comunicación de brecha de seguridad).
  • Un responsable experto en IT de carácter técnico. Podrá determinar el origen de las brechas de seguridad o ataques, identificar sus consecuencias, reparar y mejorar el sistema.
  • Un especialista de comunicación, para controlar las consecuencias en caso de crisis de reputación.
  • Un abogado experto en derecho IT que controlara la legalidad de todas las actuaciones y defenderá los intereses de la empresa.

Algunas funciones podrán ser adoptadas por la misma persona.

Análisis de amenazas y riesgos

La finalidad es realizar un análisis que permita plasmar los flujos de información, incluyendo un mapa del sistema de información, soportes, aplicaciones, activos, red y documentación. Una vez establecidos podremos evaluar las amenazas que en función de la probabilidad de ocurrencia y riesgo puedan explotar una vulnerabilidad, comprometiendo la confidencialidad, integridad o disponibilidad de la información.

Más allá de la propia protección de la información como activo intangible de la empresa. Las leyes de protección de datos obligan a las empresas a tomar una serie de medidas de seguridad adecuadas en función del riesgo e incluso a la realización de evaluaciones de impacto.

Medidas organizativas, legales y técnicas

Importante en primer lugar la formación del personal envuelto en el tratamiento de datos de carácter personal o información sensible, además de difundir y comunicar una política de utilización de información en el seno de la empresa, con el fin de sensibilizar a todos los empleados. Se debe crear una cultura de buena utilización de los recursos TIC.

Por supuesto, para cumplir con la legislación no hay que olvidar cumplir con los deberes de información a afectados y firmar contratos de encargado de tratamiento.

Se puede establecer un canal de denuncia, que entre otros ilícitos permita la comunicación de los relacionados con la seguridad de la información.

Internamente, las medidas adoptadas por la empresa serán obligatorias para todos los empleados y deberán ser exigidas a sus encargados de tratamiento, al igual que a los prestadores de servicios de software

Más allá del riesgo detectado, existen una serie de medias de seguridad obligatorias en función del nivel de los datos de carácter personal establecidas en el Reglamento 2007/1720. Las principales medidas que se podrían adoptar, teniendo en cuenta que algunas serán obligatorias en función de los datos, son las siguientes:

  • Autentificación de usuarios (control de accesos a sistemas informáticos con contraseñas robustas modificadas periódicamente).
  • Control de acceso físico y al sistema de información mediante la creación de perfiles y autorizaciones de acceso.
  • Seguridad en los puestos de trabajo y en soportes, física y lógica.
  • Realización de copias de seguridad y planes de continuidad.
  • Regular el mantenimiento de los sistemas informáticos.
  • Sistema de gestión de incidencias y registros de actividad en los sistemas de información. Registros de acceso y entrada y salida de documentación.
  • Seguridad específica en servidores y aplicaciones, por ejemplo para evitar inyecciones de códigos SQL.
  • Respeto de los plazos de conservación de la información.
  • Cifrado, anonimización y seudonimización de la información.

¿ Y cómo protegernos de un ataque de denegación de servicio?

En la práctica es un gran número de peticiones de acceso a un servidor a través de su dirección IP con el objetivo de colapsarla. Si esto ocurre en nuestra empresa se podría paralizar toda su actividad administrativa, productiva o detener el funcionamiento de nuestro e-commerce.

Esto puede evitarse por ejemplo con:

  • Sistemas de detección y prevención de intrusión (IDS y IPS). Estos sistemas buscan detectar una actividad anormal de las conexiones a la red, alertando cuando se realiza un número desproporcionado de solicitudes.
  • Antivirus, antispam y antibot, que detectan los ficheros utilizados para la realización de este tipo de ataques.
  • Actualización de todos los software para evitar fallos de seguridad

Gestión de fallo de seguridad y mejora del sistema

En caso de que nuestro sistema haya fallado, y los datos personales se hayan visto comprometidos, el RGPD exige ahora la comunicación de esta incidencia al responsable del fichero, a las autoridades pertinentes y a los afectados. Debemos contar con un plan de gestión de crisis y reputación.

Debe existir un procedimiento que permita identificar el problema para minimizar las perdidas, resolverlo y poner en marcha todas las medidas para evitar que se reproduzca.

El sistema de gestión de protección de datos debe ser constantemente revisado, mejorado y auditado.

Asociado a los riesgos detectados en el análisis inicial, se puede someter a la empresa a tentativas de intrusión y ataques contra su sistema de información, “Hacking ético”.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

w

Conectando a %s