Se ha recorrido un largo camino desde los tiempos en los que, en algunas entidades, la aplicación de medidas de seguridad venía influenciada por aspectos, hoy en día ya superados, como podían ser directrices de directivos que priorizaban la comodidad de acceso a los sistemas de información al hecho de establecer requisitos de acceso (caducidad, complejidad, histórico, etc. en las contraseñas).
En este camino, la importancia de la tecnología en las entidades ha evolucionado de igual forma como también lo ha hecho la propia concienciación empresarial y los marcos normativos, desafortunadamente a raíz de escándalos financieros, desastres empresariales y otras situaciones no deseadas, en algunos casos. Aún situados en la actual coyuntura económica y con la limitación de recursos financieros, técnicos y humanos existentes, hoy en día no se duda de la importancia de aplicar medidas de seguridad, que los sistemas de información sustentan la empresa, y que sin ellos o que con un mal uso de ellos, la situación puede desembocar o suponer cuantiosas pérdidas y/o la finalización del negocio.
En esta evolución, tenemos un primer estadio, en el que se han elaborado normas y buenas prácticas que han configurado un know-how y han establecido un entorno de seguridad basado en la aplicación de un conjunto de medidas de seguridad. Algunos de los principales marcos normativos son:
- Reglamento de desarrollo de la LOPD
- Controles de la ISO 27002
- Marco COBIT
- Esquemas Nacionales de Seguridad y de Interoperabilidad
En este primer estadio, la aplicación de medidas de seguridad se concreta en partir de las medidas establecidas en alguna(s) norma(s), y en función de las características de las aplicaciones utilizadas, de la infraestructura técnica y del entorno existente en la entidad, los administradores y personal técnico aplican un subconjunto de medidas. Esto hace que la infraestructura de la empresa acabe configurando el mapa de medidas de seguridad aplicado. Este es el punto en el que muchas entidades actualmente se encuentran, en el que se aplican medidas de seguridad para cumplir con varias normativas, pero sin tener una visión global, sin coordinar todas estas medidas y, en muchas ocasiones, sin poder justificar la inversión necesaria o el nivel de protección que el negocio requiere.
Centrándonos en esta evolución en la aplicación de medidas de seguridad, en muchas ocasiones, la opinión más o menos fundada y preparada de un técnico acaba decidiendo sin la necesaria justificación empresarial o de negocio. En este punto creemos que está la clave para la asignación eficiente de los recursos y la aplicación adecuada de las medidas de seguridad para una entidad.
Desde BDO, en base a nuestra experiencia en trabajos de consultoría y auditoría, trabajamos con una metodología que incorpora aspectos clave que deben ser la base y que acaban configurando el mapa de medidas de seguridad a aplicar de forma personalizada para cada entidad:
Análisis de riesgos: El primer paso debe ser la realización de un análisis de riesgos donde se avalúe la criticidad de los datos en todas sus dimensiones (confidencialidad, integridad, autenticidad, disponibilidad y trazabilidad), y el resultado de este análisis conformará el mapa de puntos clave.
Ciclo de vida de los datos: Los trabajos no se deben basar en la reiterada aplicación de las mismas medidas o ‘recetas’. Se deben analizar todos los datos con los que trabaja la entidad, reunirse con las personas que los tratan, y analizar los diferentes puntos de entrada, salida y procesamiento de éstos. El riesgo no solo reside en aplicaciones informáticas, sino que en muchas ocasiones, es durante el ciclo de vida y a menudo fuera de los sistemas de información (en la recogida de los datos, traslados, envío a terceros, etc.) donde hay los puntos que esconden los mayores riesgos y es donde se deberían aplicar las medidas más urgentes y focalizar esfuerzos.
Actualización de la información: Hoy en día, cualquier análisis realizado tiene fecha de caducidad y hay múltiples factores que afectan dicha fecha y su valoración (despliegue de nuevos servicios/aplicaciones, cambios de proveedores, infraestructuras, etc.). Por este motivo, los resultados obtenidos deben ser fácil y periódicamente actualizables.
Marco único de control: La evolución y crecimiento del marco normativo actual (LOPD, ISO 27001, ISO 22301, ENS y ENI, ISO 9001, ISO 14000, Riesgos penales, Prevención de Blanqueo de capitales y financiación del terrorismo,…etc.) y el solapamiento de muchos controles, hace necesario una visión global y transversal para la optimización de recursos y la coherencia empresarial.
Herramientas de soporte: Todo este trabajo, sin el soporte de una herramienta de cumplimiento normativo, se hace sumamente difícil. La(s) herramienta(s) nos han de permitir gestionar eficientemente la documentación, realizar, y sobretodo mantener, de forma práctica y eficiente el análisis de riesgos, y facilitar el seguimiento del plan de acción con el objetivo de obtener el mayor cumplimiento en base al riesgo.
El marco normativo que se vislumbra en el horizonte, con el borrador del nuevo reglamento europeo de protección de datos como mejor ejemplo, avanzan en esta dirección y van un paso más allá cuando establece la obligación de realizar una evaluación de riesgos y de impacto en la privacidad, sin ni siquiera establecer un catálogo de medidas de seguridad a aplicar. Se delega dicha responsabilidad de seleccionar las medidas concretas a aplicar a las propias entidades, en función de los resultados del análisis realizado.
Todo ello nos lleva a confirmar nuestro enfoque BDO: una metodología consolidada, respaldada por herramientas de cumplimiento normativo donde se contemplen todos los datos de la compañía en sus diferentes dimensiones; y todo ello en base a un análisis de riesgos que muestre, de forma justificada, las medidas de seguridad más adecuadas a aplicar, aprovechando las sinergias, similitudes y convergencias entre normativas, y obteniendo así eficiencia y seguridad en un mayor cumplimiento normativo y aseguramiento del negocio con la inversión más ajustada.
