Agustín Lerma, nuestro especialista en ciberseguridad, nos explica cómo la norma ISO 27001 puede ayudar a garantizar la Seguridad de la Información en tiempo de nuevas amenazas.
Un sistema de gestión ISO es una herramienta capaz de gestionar los cambios que se producen en el contexto y el negocio de una organización y adaptar la respuesta de la organización a esos cambios. Este objetivo se consigue con el soporte de tres procesos, el de gestión del contexto (cambio) el de gestión de riesgo y oportunidades, y el de gestión de la mejora continua.
En el caso concreto de la gestión de la seguridad de información, un sistema de gestión es especialmente útil, dada la velocidad a la que se producen cambios y se identifican nuevas vulnerabilidades, amenazas y fortalezas.
En los últimos tiempos, hemos tenido cambios legislativos (GDPR, Esquemas nacionales de seguridad), nuevas vulnerabilidades (SolarWings), y nuevas amenazas (ramsonware) que han requerido de la modificación y adaptación de parcheo y controles nuevos, o la modificación de los existentes, para ser capaces de proteger con eficacia los activos de información de las organizaciones.
Pero todos estos cambios juntos, no han supuesto un cambio tan importante y con un impacto tan alto como las consecuencias derivadas de la gestión de la pandemia de COVID-19 a partir de marzo de 2020. Inicialmente, una pandemia global era una amenaza considerada desde el plano teórico, especialmente en continuidad de negocio, pero despreciada por irreal en la mayoría de los casos. Todo esto a pesar de que existen antecedentes, como la gripe de 1918, el síndrome de inmunodeficiencia adquirida, o la gripe aviar.
La seguridad de la información está más focalizada en la parte “ciber”, en las amenazas que afectan a las maquinas, al software o a los datos, más que en las personas y en el riesgo que les afecta. Esto a pesar de que las personas se consideran activos de información por sí mismas y además gestionan el resto de los activos de información. Antes de la pandemia, los únicos virus que se consideraban en seguridad de la información eran los virus informáticos, no los virus que afecta a los humanos.
Es bastante difícil considerar cómo una pandemia global puede afectar a la seguridad de la información, y lo cierto es que no lo ha hecho de una forma directa.
Lo ha hecho de una forma indirecta, puesto que las medidas de respuesta para proteger a las personas de la pandemia han supuesto una modificación de la estructura, configuración física de oficinas y centros de datos, y modo de acceso y gestión de los activos de información de la mayoría de las organizaciones del mundo.
La primera consecuencia de la pandemia de COVID-19, y de la necesidad de las organizaciones de seguir operando en una situación no vista hasta entonces (no disponibilidad de personas, por la propia enfermedad y por las limitaciones legales de desplazamiento impuestas por los gobiernos para limitar la expansión del virus), se activaron los planes de continuidad de negocio de las organizaciones, que consistieron principalmente en que las personas trabajasen desde casa, en vez de hacerlo en las oficinas, fábricas y locales de las organizaciones.
La segunda consecuencia ha sido una migración en masa de activos de información desde los servidores y CPDs de las organizaciones a servicios en la nube. Esto permite el acceso remoto desde cualquier parte del mundo (disponibilidad), pero deja en manos de los proveedores de estos servicios la seguridad de los activos de información.
Es decir, las organizaciones (de servicios) tienen ahora la estructura de TIC de la organización distribuida en decenas, centenares o miles de pequeñas localizaciones (una por empleado), no disponen de localización física única, y dependen de terceros para la gestión y seguridad de sus activos de información (nube). En el caso de organizaciones productivas, el modelo es mixto (remoto y presencial), pero la estructura administrativa y de TIC presenta las mismas características de dispersión.
Además, ya no tienen plan de continuidad de negocio, porque están en continuidad de negocio. Su ecosistema de negocio ha cambiado, y la mayoría de las medidas determinadas antes de esta nueva situación ya no sirven.
Con esta situación deberíamos de ser capaces de:
- Identificar las vulnerabilidades, amenazas, y oportunidades de esta nueva situación
- Considerar las nuevas amenazas que suponen que los empleados trabajen desde su casa (política de mesas limpias, control de routers, familiares y convivientes, fatiga por desconexión de empleados con la organización).
- Mejorar los controles que aplican a las comunicaciones (si no hay comunicaciones, el modelo distribuido no funciona)
- Revisar, actualizar e implementar controles aplicables a proveedores críticos (nube y comunicaciones) que afecten a la seguridad de la información.
- Establecer las condiciones de seguridad para los servicios de gestión de datos en la nube.
¿Cómo podemos hacerlo?
- Utilizando nuestro sistema de gestión de seguridad de la información ISO 27001 para gestionar el cambio, e identificar el riesgo y las oportunidades para adaptarnos a la nueva situación, y modificar o implementar controles (política de mesas limpias, bloqueo de pantalla, gestión de papel, limitar acceso a convivientes, control de routers, antivirus, etc.)
- Podemos añadir a nuestro sistema de gestión un módulo de control extendido ISO 27701 para proteger los datos de carácter personal, y un módulo de control extendido ISO 27018 si esos datos se alojan en la nube.
- En el caso de servicios generales en la nube, el módulo de control extendido ISO 27017 también nos proporcionara protección
En base a nuestra experiencia como auditores de seguridad de la información, podemos decir que las organizaciones que disponen de un sistema de gestión ISO 27001, han sido capaces de gestionar los cambios, el riesgo y las medidas de protección establecidas para la nueva situación derivada de la gestión de los efectos de la pandemia COVID-19, de una manera más rápida, eficaz y eficiente que las que no disponen de una herramienta de negocio como esta.
Incluso con la consideración de que esta situación de trabajo en remoto pueda ser revisada en el futuro por el uso de vacunas o medicinas, y se produzca una remisión de las restricciones, es difícil considerar una vuelta total a la “normalidad” previa a la pandemia en términos de seguridad de la información. Muchas organizaciones han incorporado el trabajo en remoto como una parte necesaria en su negocio.
El hecho de que España haya desarrollado una ley específica de “teletrabajo” puede reforzar la idea de que el trabajo en remoto ha llegado para quedarse y que debemos adaptar nuestra seguridad de la información a esta situación de forma permanente.