Cómo hacer frente a los riesgos y amenazas en la era digital

En los últimos años la evolución de las Tecnologías de la Información y Comunicaciones (TIC) no ha cesado y su vertiginoso desarrollo ha sido de tal magnitud que la 4ª revolución industrial tecnológica y la transformación digital han impactado de forma profunda en las organizaciones, en las industrias y en la sociedad en general.

Y, mientras las organizaciones pensaban y abordaban su transformación digital, sucedió lo inesperado; casi como extraído junto de la mejor novela de ciencia ficción. Una terrible y demoledora pandemia global impactaba a todos los países del mundo: el COVID-19. Para intentar minimizar la propagación del coronavirus, los gobiernos han ido tomando diferentes medidas, como el confinamiento de la población en sus hogares, entre otras.

Este escenario ha obligado a tomar decisiones para dar continuidad a la actividad laboral, lo que en muchos casos ha acelerado la adopción de soluciones TIC en las organizaciones para que sus empleados puedan trabajar en remoto (teletrabajo) a través de herramientas colaborativas.

Sin embargo, esto ha generado a la misma velocidad nuevas amenazas y riesgos en los sistemas de información de las organizaciones, que deben ser correctamente gestionados para que la seguridad y privacidad de las organizaciones (empleados, clientes y stakeholders) se vean afectadas lo menos posible. Y al mismo tiempo ser productivos y eficaces, cumpliendo los objetivos de negocio.

Las empresas necesitan más que nunca trasmitir confianza plena sobre sus servicios y forma de actuar. A su vez, los compradores -desde los ciudadanos y consumidores a las grandes corporaciones e instituciones- necesitan confianza para la toma de decisiones. Sólo así es posible producir y poner en el mercado productos y servicios con la rapidez y seguridad que se  exige.

Pero los riesgos de una crisis sanitaria, junto con las restricciones de movilidad y medidas de confinamiento que los diferentes gobiernos han ido aplicando para evitar la expansión del COVID-19, son los que afectan directamente a las personas. Esta situación hace, entre otras cosas, que no puedan acceder a sus puestos de trabajo y deben desempeñar su actividad, en el mejor de los casos, desde sus casas.

En este contexto, existen una serie de riesgos y amenazas a los que los empleados y trabajadores se enfrentan cuando realizan teletrabajo y se utilizan herramientas colaborativas como:

• No utilizar dispositivos corporativos, y usar dispositivos personales (BYOD-Bring Your Own Device)
• No utilizar accesos seguros a los sistemas corporativos (VPN corporativas) en la conexión a la red con wifi doméstica.
• No realizar backup de la información en repositorios corporativos.
• No actualizar con los parches de seguridad conforme a las políticas establecidas por las áreas de TI de cada organización.
• Pérdida de confidencialidad y privacidad en las comunicaciones.

AENOR fiel a su propósito y decidido a ayudar a superar brechas de competitividad, como puede suponer la actual crisis sanitaria, define las denominadas plataformas de confianza, como agregadores de soluciones orientadas a las organizaciones o consumidores.

Concretamente, la Plataforma de Confianza TIC Fortalecer la Seguridad y Continuidad, se presenta como una solución a los riesgos TIC actuales y futuros, como parte del Ecosistema Digital de AENOR (concretamente, el modelo de gobierno y gestión de las TIC. (Ver figura 1). Su objetivo es proporcionar seguridad y confianza ante la actual o futuras crisis, así como la vuelta a la “nueva normalidad” con las garantías de resiliencia, continuidad y ciberseguridad en los sistemas y servicios de TIC.

La Plataforma de Confianza TIC propone tres soluciones (sistemas de gestión) relacionadas entre sí y basadas en normas internacionales ISO:

Resiliencia y Continuidad de Negocio con ISO 22301. El objetivo es la identificación de los procesos críticos de la organización (a través del BIA-Business Impact Analysis). Para ello, se consideran los tiempos máximos de recuperación, empleados, clientes, proveedores críticos y stakeholders para que, ante incidentes disruptivos, el comité de crisis tome las decisiones más adecuadas ejecutando los correspondientes planes de continuidad para no parar la actividad de la organización.

Ante escenarios como el generado por el COVID-19, donde los empleados no pueden acceder físicamente a sus instalaciones, es crucial disponer de un sistema de gestión como el basado en la Norma ISO 22301 que dote a la organización de los planes de continuidad que permitan a los empleados realizar su actividad de forma remota.

Ciberseguridad y teletrabajo seguros con ISO/IEC 27001 e  ISO/IEC 27002 y ENS (Esquema Nacional de Seguridad). A través del análisis y gestión de riesgos de los procesos de negocio/servicios de TI y sus activos de información, hardware y software, pretende aplicar un set de controles para mitigar dichos riesgos.

Es el caso del dominio A.6.2 Dispositivos móviles y teletrabajo (ENS – Art 21. y medidas como org.2; op.acc.7), donde la correcta aplicación del control garantiza la seguridad en dispositivos móviles y en las condiciones del teletrabajo. O el dominio A.13 Seguridad en las comunicaciones (ENS – medidas como mp.com.2 y mp.com.3), garantizando comunicaciones seguras a través de VPN, y asegurando la confidencialidad y privacidad de la información intercambiada con los sistemas corporativos. También los controles relacionados con la privacidad A.18.1.4 Protección de datos y privacidad de la información personal (ENS- medidas como mp.info.1). Además, dispone de los controles para la contingencia/continuidad, TIC lo que permite que la organización sea “ciberresiliente”.

Asimismo, hay que mencionar la gestión de incidencias de seguridad, que en estos tiempos se incrementan precisamente por los accesos remotos a los recursos corporativos.

Calidad, Disponibilidad y Continuidad de servicios TIC con ISO/IEC 20000-1. Su objetivo es la prestación de los servicios de TIC, como las herramientas colaborativas para el teletrabajo, garantizando su capacidad, disponibilidad y continuidad para el desempeño eficaz de la actividad de sus empleados y la relación con sus clientes.

Por ejemplo, los procesos de gestión de la capacidad (demanda actual y futura en relación con un servicio TIC como puede ser el escritorio remoto, videoconferencia o acceso a espacios compartidos), proceso de disponibilidad y continuidad del servicio TIC, o proceso de gestión de incidentes. Incluso el proceso de gestión de acuerdos de nivel de servicio con proveedores. Estos procesos son relevantes para garantizar la operación de los servicios TI de la organización.

[1] Datos obtenidos mediante técnica Delphi por expertos (equipo auditor TIC de AENOR).

En definitiva, estos tres sistemas de gestión basados en buenas prácticas ISO y que AENOR agrupa en la Plataforma de Confianza TIC Fortalecer la Seguridad y Continuidad, engloba los siguientes aspectos clave:

• Análisis, gestión y mitigación de los riesgos y ciberriesgos en las TIC de las organizaciones y sus controles/procesos para una protección (seguridad y privacidad) adecuada de la información, los servicios y sistemas de la organización.
• Ciclo de mejora continua (PDCA-Plan, Do, Check, Act), que como es sabido es el motor de la mejora continua orientado a objetivos de negocio.
• Gestión de incidencias de seguridad y de los servicios de TIC.
• Compromiso de la Dirección, que toma decisiones de acuerdo con la información que le proporciona los sistemas de gestión anteriores.
• Concienciación y formación a los empleados en materia de continuidad, ciberseguridad y servicios TIC. Hay que destacar que la privacidad y confidencialidad de la información en un entorno doméstico se puede garantizar gracias a la correcta aplicación de acciones de concienciación y formación de los empleados.

Y de forma particular en cada uno de estos sistemas de gestión se puede destacar:

• ISO 22301 - continuidad de negocio, el Business Impact Analysis (BIA), la gestión de crisis ante un incidente disruptivo y los planes de continuidad.
• ISO/IEC 27001 - ciberseguridad, la gestión de incidencias de seguridad.
• ISO/IEC 20000-1 – gestión de servicios de TI, los acuerdos de nivel de servicio, la gestión de incidencias, la seguridad y la disponibilidad/continuidad de los servicios TIC.

Asimismo, hay que destacar el reciente lanzamiento de la certificación de ISO/IEC 27701 de privacidad de la información, que complementa los requisitos necesarios en la certificación ISO/IEC 27001 con relación a la privacidad y protección de los datos de carácter personal. Se trata pues de una herramienta que ayuda a cumplir con los principios y obligaciones que impone la legislación en este ámbito.

Actualmente, más de 800 organizaciones certificadas por AENOR en sistemas de gestión como ISO 22301, ISO/IEC 27001 e ISO/IEC 20000-1 confían en estas herramientas para desempeñar sus actividades con resiliencia, calidad y seguridad en el ámbito TIC. Y es que se trata de aliadas imprescindibles para conseguir, por ejemplo, que el teletrabajo sea una realidad.

Pero hay que continuar alerta para que las nuevas amenazas y riesgos no impidan mantener la actividad laboral y empresarial. Y desde AENOR seguiremos muy atentos para aportar procesos que generen y devuelvan confianza a las organizaciones de hoy y a las del futuro. Es necesario conseguir que se estabilicen para que puedan continuar con la transformación digital abordada durante estos años.

Por último, no debemos olvidar retos que ya están sobre la mesa: blockchain, BigData y su relación con la Inteligencia Artificial, modelos matemáticos, datos y algoritmos que decidirán sobre cómo actuar ante una crisis como la actual y las que puedan venir.

Iberpay es la compañía española de servicios de pago que gestiona el sistema nacional de pagos (SNCE). Cumple una misión crítica y esencial al facilitar la circulación de fondos entre las cuentas corrientes bancarias de los diferentes bancos, facilitando y sosteniendo la actividad económica del país.

Para Iberpay, en su condición de infraestructura de pagos crítica y prestador de servicios esenciales, la protección de la información y el mantenimiento de la continuidad operativa de sus sistemas constituyen un reto estratégico de la máxima prioridad.

La implantación de las Normas ISO/IEC 27001 de Seguridad de la Información e ISO 22301 de Continuidad de Negocio y su posterior certificación con AENOR, hace ya ocho años, ha facilitado el cumplimiento de estos objetivos como base procedimental de los sistemas de gestión de la seguridad de la información y de la continuidad de negocio. Estos estándares proporcionan un enfoque integral para la gestión de los riesgos globales y de las capacidades de resiliencia, y son pilares fundamentales en la definición de la actual estrategia de ciberresiliencia y ciberseguridad de Iberpay.

Las ISO/IEC 27001 e ISO 22301 están integradas en la cultura de Iberpay y se aplican tanto en los procesos de gestión y de negocio del día a día de la compañía, como en proyectos de innovación tecnológica que Iberpay desarrolla en el ámbito del sector financiero.

El modelo organizativo y de gestión de la seguridad y la continuidad que aportan estas certificaciones ha sido de gran eficacia para afrontar, por ejemplo, la crisis del COVID-19 de manera que Iberpay ha seguido funcionando durante la pandemia con absoluta normalidad, prestando a las entidades financieras sus servicios a pleno rendimiento y avanzando en los proyectos planificados según lo previsto.

Iberpay fue pionera en el sector financiero europeo al obtener de la mano de AENOR la certificación ISO 22301 e ISO/IEC 27001, que la ha situado como compañía de referencia en este sector ofreciendo todos sus servicios con el aval de máxima garantía, calidad y confianza.

Se dice que la experiencia es un grado, frase utilizada cuando se quiere remarcar la importancia de tener experiencia, generalmente, en comparación con lo que supone solo un conocimiento teórico de una materia; y no hay mejor lugar para aplicarla que en la Continuidad de Negocio.

La experiencia acumulada tras años de trabajo continuo en el desarrollo de sistemas de Gestión de la Continuidad de Negocio y posteriormente para la obtención y mantenimiento de las certificaciones con AENOR, con un aumento progresivo del alcance y calidad, te enseña que la culminación no es solo la “consecución de la certificación”, sino dotar de una plena confianza en la capacidad de respuesta ajustada a los escenarios reales, con una comunicación ágil y adecuada, gracias al profundo conocimiento de la organización.

Este trabajo ha sido la base sólida sobre la cual ha se ha sustentado la empresa para afrontar con garantías la crisis provocada por el COVID-19 y que nos ha permitido, y sigue permitiendo, una adaptación a un entorno cambiante y hostil.

Se transmite una confianza interna donde la continuidad de negocio está bien asentada, implantada y operada, donde el personal conoce sus cometidos. Las reacciones de la empresa, del personal, de su tecnología y proveedores han sido rápidas y eficaces permitiendo la continuidad de las operaciones en una situación tan comprometida.

Esa confianza, a su vez, se transmite externamente a los clientes o socios, evidenciando un compromiso de garantía de continuidad de los procesos y servicios conforme a los Planes de Continuidad de Negocio revisados y certificados anualmente por AENOR de acuerdo con las Normas ISO 22301 Continuidad de Negocio e ISO/IEC 27001 de Seguridad de la Información protegiendo sus activos más importantes: la información de sus clientes y empleados, y la imagen corporativa.