Por: Joan Sánchez Llerena [1]
El mundo interconectado de hoy ha traído nuevos desafíos para las empresas. Uno de ellos es el de la seguridad de la información. El valor de la información va más allá de las palabras escritas, los números y las imágenes. Los conocimientos, los conceptos, las ideas y las marcas son también ejemplos de activos intangibles que requieren protección contra diversas fuentes de riesgo, ya sean naturales, accidentales o deliberadas.
Las autoridades ya están atendiendo esta nueva realidad. Por ejemplo, la Superintendencia de Banca, Seguros y Administradoras Privadas de Fondos de Pensiones (SBS) ha aprobado el reglamento SBS No. 504-2021, Reglamento para la Gestión de Seguridad de la Información y la Ciberseguridad, que tiene por objetivo identificar los activos de información, analizar las amenazas asociadas a estos y formular medidas que buscan reducir la posibilidad de incidentes de seguridad de la información.
Esta norma, que está vigente desde el 19 de febrero del año pasado, aplica a bancos, financieras, microfinancieras, seguros y reaseguros, transporte de custodia, entre otros, incluyendo además entidades públicas como el Banco de la Nación, Cofide o el Fondo Mi Vivienda.
El reglamento se basa en la norma IS0 27001. No obstante, ésta puede ser utilizada como referencia para cualquier empresa que quiera salvaguardar sus activos de información. En ese sentido, compartimos a continuación los principales aspectos que contempla la norma:
1. Contexto:
Identificar en las operaciones de la compañía cuáles son los procesos internos o externos, sean ejecutados por clientes, empleados, proveedores u otros actores, en los cuáles hay un riesgo de pérdida de información estratégica de la compañía. A partir de ese primer diagnóstico, se determina el alcance del sistema de seguridad.
2. Liderazgo:
Tiene que haber un compromiso de la alta dirección con la seguridad de la información. La aplicación de la norma contribuye con la estrategia de negocio y al crecimiento de la compañía. Por ejemplo, un ataque de malwares puede generar que se deje de atender en los canales digitales. Por lo tanto, tener un plan de respuesta termina siendo fundamental para la continuidad de la operación.
3. Planificación:
Se identifica cuáles son los riesgos relacionados a la seguridad de la información a los que está expuesta la organización, y se establecen controles, que incluyen políticas, normas, procesos, estructuras organizativas y funciones de software y hardware.
4. Soporte:
Incluye, por un lado, la comunicación a través de canales adecuados de las políticas de seguridad, los objetivos, el conocimiento, los riesgos, etc. Además, requiere de una línea de base de lo que se espera que hagan las personas, la cual se utiliza para las auditorías y para registrar acciones, resultados y controles de seguridad de la información.
5. Operación:
Puesto en marcha el plan, la organización debe identificar nuevos riesgos ante cambios en sus operaciones. Solo para citar un par de ejemplos, puede haber cambios en las áreas o se pueden generar nuevos negocios, los cuales implican nuevos riesgos. Por lo tanto, es necesario establecer nuevos controles.
6. Evaluación de desempeño:
Se deben definir indicadores y medir la eficacia del sistema. Los indicadores pueden ser de resultados, como tener cero incidentes de seguridad de la información en el año; o de proceso, como tener 100 % de capacitación a todas las áreas involucradas en el sistema de gestión u obtener una certificación de la norma ISO 27001.
7. Mejora continua:
A partir de los hallazgos que se obtengan de las auditorías, se pueden identificar no conformidades, para que luego sean tratadas con un plan de acción.
Un sistema de gestión de la seguridad de la información apropiado, adecuado y eficaz proporciona a la dirección de la organización y a otras partes interesadas la garantía de que su información y otros activos asociados se mantienen razonablemente seguros y protegidos contra las amenazas y los daños.
______________________________________________________________________________
[1] Ingeniero de Sistemas con Diplomado en Gestión de Seguridad de la Información en SGS Academy, Programa de Especialización en Dirección de Proyectos en la Universidad del Pacifico. Auditorías de segunda y tercera parte (certificación) en la norma ISO/IEC 27001, criterios de Ciberseguridad y requisitos antisoborno.