Gestión de la Ciberseguridad vs Ciberseguridad Gestionada

Dos términos o conceptos que, aparentemente parecen ser y significar lo mismo, pero que cuentan con matizaciones que albergan sus sutiles diferencias, dependiendo del punto de vista y del modelo de gestión por la empresa haya apostado.

La gestión de la ciberseguridad consiste en un modelo de protección determinado por la estrategia integral de una organización, con el fin de proteger todos sus sistemas, infraestructura, datos y activos de información contra riesgos y amenazas (contra ciberriesgos y ciberamenazas).

Esto implica un proceso completo y reiterativo de revisión, recogida de necesidades, determinación de alcance, definición, planificación, implementación, test, supervisión y mejora continua de políticas, procedimientos, herramientas, servicios, soluciones y tecnologías de ciberseguridad.

La seguridad gestionada, efectivamente, parece ser lo mismo, entendida como un modelo de manejo de la ciberseguridad, centrado en ofrecer también protección integral a los sistemas y datos de la organización.

Entonces, ¿son lo mismo, o solo lo parece? A priori, sí, son lo mismo, en cuanto a que comparten los mismos objetivos. Sin embargo, cuando hablamos de “seguridad gestionada” como tal, entendemos algo más que no forma parte de la gestión de la seguridad: la subcontratación de algunas, o todas, las tareas de ciberseguridad, a proveedores externos expertos (en general en ciberseguridad y/o en particular especializados en determinados aspectos de ella).

Es decir, el matiz diferencial radica en que cuando hablamos de ciberseguridad gestionada hablamos de que la organización no se encarga de su propia ciberseguridad, sino que lo hace un tercero, mientras que, cuando hablamos de la gestión de la ciberseguridad, en la inmensa mayoría de los casos, la organización es la que se encarga de su propia ciberseguridad, parcialmente o en su totalidad y con apoyo parcial, o no, de terceros.

Quizá esto se pueda entender mejor poniéndonos en la situación en la que preguntamos a una empresa cosas como: “Y, vosotros, ¿Qué modelo de gestión de la ciberseguridad seguís?”, o “¿Quién se encarga de la gestión de vuestra ciberseguridad?”. Quizá esa sea la clave diferencial, el Modelo de Gestión de la Ciberseguridad que se lleva a cabo, interno (Departamento de IT y especialistas en la materia que son plantilla de la empresa), o externo (contratación de colaboradores, subcontratación, outsourcing).

La gestión de la ciberseguridad por parte de la organización pone en sus manos el control directo sobre las políticas y procesos de ciberseguridad, adaptándolos a sus necesidades específicas, aunque suponga un mayor esfuerzo y coste en términos de recursos internos especializados y formación continua.

La ciberseguridad gestionada delega esa responsabilidad y control en la experiencia especializada de proveedores externos, reduciendo la carga de trabajo del equipo interno y siendo más rentable, aunque genere dependencia y limite la capacidad de personalización. Los proveedores de servicios de ciberseguridad gestionada ofrecen además monitorización en tiempo real, detección de amenazas, respuesta a incidentes y asesoramiento experto, entre otros "pluses” adicionales.

Por su puesto es perfectamente viable (e incluso apropiado y sano en muchas ocasiones si es viable) la convivencia de ambos modelos en un Modelo Mixto o Modelo Híbrido, donde la organización decide vincular determinados aspectos de su ciberseguridad a un tercero (o varios), mientras otros se tratan internamente por las razones que sea.

¿Cuál de ellas es mejor? ¿Cuál de los tres modelos de gestión es el más apropiado, eficiente y rentable? Dependerá de cada caso, de cada empresa, de sus necesidades, de su sensibilidad hacia la delegación, de su core business, de su sector, de su dimensión, de sus recursos, de sus objetivos, de sus clientes o tipos de clientes, de si se trata de una empresa con productos, servicios o actividades críticas o no, de sus finanzas, de sus inversores, del consejo.

Internalizar brinda mayor control y adaptabilidad, pero puede ser costoso y requerir una inversión significativa en talento especializado.

Externalizar puede ser más rápido, eficiente y rentable y proporcionar acceso a conocimientos especializados, pero implica una dependencia externa y una posible falta de adaptabilidad.

Por ese motivo, en la mayoría de las ocasiones, la mejor opción generalmente es un enfoque mixto que mantenga la gestión de ciberseguridad internamente, contando al mismo tiempo con servicios gestionados de ciberseguridad externos.

La gestión interna de la ciberseguridad (internalizar), tiene sus ventajas:

• Control interno donde la empresa tiene lleva directamente las riendas de las estrategias y medidas de ciberseguridad implementadas.

• Adaptabilidad, ya que permite una mayor flexibilidad y personalización a las necesidades y características especiales de la empresa debido al know-how o conocimiento interno de la organización.

• Know-how o conocimiento interno, que permite desarrollar conocimientos especializados (knowledge) dentro de la organización.

Pero, la gestión interna de la ciberseguridad (internalizar), también tiene sus desventajas:

• Mayor esfuerzo para la empresa, en términos de organización, capacidad, procesos, tiempos y recursos (con su dimensionamiento, gestión y formación).

• Coste e inversión elevada en comparación con el modelo alternativo, ya que requiere de la búsqueda contratación de talento especializado, la incentivación que evite fuga de talento, las tecnologías y soluciones adoptadas y el reciclaje, capacitación o formación continua especializada de dicho personal.

• Limitaciones en el acceso a recursos especializados que pueden interferir en la captación de expertos y especialistas por parte de empresas recursos medianas, pequeñas, o con escaso presupuesto.

• Complejidad para mantenerse al día como para ser capaces de proteger eficientemente debido al abrumador volumen diario de nuevas amenazas emergentes, nuevas técnicas, la infinidad de vectores de ataque, tendencias, nuevas vulnerabilidades, parches y actualizaciones de seguridad que aplicar, etc.

Por su parte, la ciberseguridad gestionada, cuenta con las siguientes ventajas:

• Puede llegar a ser más rápido, eficiente y rentable.

• Capacidad de delegación de actividad y responsabilidad que reduce la carga de trabajo del equipo interno de IT, o lo libera de tareas, permitiéndoles focalizarse en las que sí deben atender.

• Reducción de costes en comparación con el mantenimiento de un equipo interno de expertos y especialistas o la asunción de parte de estas tareas por el equipo IT sin capacidad ni conocimientos específicos.

• Acceso a expertos y especialistas que no siempre se puede llegar a lograr con la gestión interna.

• Acceso a conocimientos especializados que provienen del acompañamiento, servicio y soporte de verdaderos expertos.

• Proactividad que viene de la mano del conocimiento experto y de consistir en un servicio monitorizado, casi siempre en 24x7.

Aunque, la ciberseguridad gestionada, también tiene sus desventajas:

• Dependencia externa, debida al grado de delegación y confianza en un tercero para su ciberseguridad.

• Pérdida de control por parte de la empresa al dejar todo, o parte, en manos de un tercero.

• Posible peligro, afecciones o ataques focalizados en la cadena de suministro (terceras partes) que pueden llegar a suponer y derivar en problemas de ciberseguridad, privacidad y confidencialidad a la organización.

• Incumplimiento normativo o legal que afecte a la organización y se traduzca en problemas de reputación, sanciones, o multas, cuando su proveedor no cuenta con una determinada certificación, o incluso cuando cuenta con ella peor se produce algún incumplimiento puntual.

• Posible falta de flexibilidad, adaptabilidad y limitación en las personalizaciones al tratarse de personal externo quien gestiona, sin el 100% del conocimiento de la organización, accesos, permisos y aspectos inherentes a servicios gestionados concretos de terceros, sus características y las herramientas que éstos empleen.

• Posible falta de coordinación y alineación, al no conocer o comprender perfectamente el proveedor los procesos u operaciones internas.

En resumen, la gestión de la ciberseguridad ofrece control interno y adaptabilidad, pero a menudo con mayores costos y desafíos en cuanto a recursos, mientras que la ciberseguridad gestionada ofrece acceso a expertos y enfoque proactivo, pero podría implicar dependencia externa y limitaciones de personalización.

La elección entre ambos modelos dependerá de las necesidades, recursos y tolerancia al riesgo de cada empresa.

Y, tú, ¿por cuál de ellas te decantas para tu empresa?

Quizá necesitéis la ayuda de servicios profesionales de ciberseguridad como los que ofrecemos en Zerolynx: Servicios de Ciberseguridad.

Si lo prefieres, contáctanos y hablamos.

Íñigo Ladrón Morales, Redactor de contenidos para Zerolynx.

La seguridad del dato como eje estratégico e integral de la ciberseguridad corporativa

La seguridad del dato, continuidad de negocio y la resiliencia, son aspectos fundamentales que deben de ser considerados transversales y ejes vertebrales de la estrategia de ciberseguridad corporativa de las empresas.

Garantizar la seguridad de la información en (y de) las empresas, es crítico. La cada vez más amplia cantidad de datos que se manejan y la dependencia sobre ellos de las tecnologías de la información, hacen que la protección de los datos deba ser prioritaria.

Para lograr una seguridad efectiva, es esencial comprender y aplicar los cinco pilares de la seguridad de la información:

1. Confidencialidad.
2. Integridad.
3. Disponibilidad.
4. Autenticidad.
5. Legalidad.

Estos pilares son fundamentales para garantizar que los datos estén protegidos contra fallos y ciberamenazas, tanto internas como externas.

Veamos en detalle cada uno de los pilares de la seguridad de la información.

La confidencialidad garantiza que los datos o información (de cualquier tipo, pero especialmente aquella que es sensible y privada) se mantengan protegidos y a salvo de quienes no deban tener acceso a ella.

Por otro lado, dicha información, además de no estar accesible a usuarios sin permisos, debe estar oculta para ellos, protegiendo así la confidencialidad, previniendo fugas de información y/o violaciones de privacidad.

Existen multitud de mecanismos para garantizar la confidencialidad de los datos y su protección, pero veamos alguno de ellos con el objetivo de poder tomar medidas al respecto:

• Establecimiento de controles de acceso en varias capas que, mediante un robusto sistema de autenticación de los usuarios y autorización segmentada a determinados niveles de información, permitan determinar y aplicar los permisos que tienen los usuarios autorizados sobre la información disponible y denegar al mismo tiempo el acceso a quienes no los deben de tener.

• Cifrando o encriptando la información, para que esta no sea legible o comprensible por quien no debe y pueda interceptarla en alguno de sus estadios (en reposo o en tránsito), garantizando así que, aunque un usuario pudiese “acceder” a ella, le sea imposible entenderla o descifrarla.

• Aplicando políticas de privacidad que todos los empleados de la empresa deben entender y aplicar de forma escrupulosa, garantizando así la confidencialidad de la información.

Poniendo en marcha mecanismos como estos (y otros), incrementaremos en nivel de protección de la información sensible en nuestra organización, evitando o minimizando al máximo posible su grado de exposición a riesgos y amenazas.

Esto, a su vez, redundará en una mejor imagen corporativa, reputación de la empresa, mejorando sus objetivos de negocio, favoreciendo el cumplimiento normativo, evitando sanciones e incrementando la confianza entre clientes, socios, colaboradores, partners, proveedores, etc.

La integridad de la información hace referencia a que los datos no han sido modificados ni alterados, de forma no autorizada (intencionada o no) por un usuario o sistema, garantizando de este modo que ésta sea precisa y fiable.

Entre muchos otros, algunas acciones o mecanismos para proteger la integridad de los datos, pueden ser los siguientes:

• Usando firmas digitales mediante las cuales se pueda corroborar que la información firmada es la original, no ha sido alterada y, por tanto, no tiene cambios ni cualquier tipo de modificación desde su creación y/o almacenamiento y firma.

• Estableciendo un sistema de control de versiones que permita hacer un férreo seguimiento de todos y cada uno de los cambios que sufre la información en su ciclo de vida, pudiendo analizar cada una de las versiones que han tenido lugar y los cambios asociados a cada una de ellas (realizados en ese momento), e incluso (como en el caso del software), poder volver a versiones anteriores de la información (estadios anteriores al actual) y sus correspondientes cambios.

• Realizando auditorías de datos para abalizar la información existente, detectar posibles cambios no autorizados en los datos y mantener un registro de las modificaciones realizadas.

Aplicando este tipo de mecanismos, conseguiremos un elevado nivel de confiabilidad en la información (datos fiables y confiables), que aportarán precisión y fiabilidad a la hora de su análisis y toma de decisiones.

Por otro lado, esto aportará un aceptable nivel de protección sobre la información, evitando ataques, o incluso evitando que los ataques fructíferos puedan aprovechar la información accedida o robada (modificándola o alterándola para lograr otros objetivos).

La disponibilidad consiste en garantizar que los datos estén siembre disponibles y accesibles, cuando sea necesario.

Existen muchos mecanismos para garantizar que la información esté disponible. Veamos alguno de ellos:

• Contando con backups o copias de seguridad que mantengan a buen recaudo la información, en copias seguras versionadas, con el objetivo de recuperarlos en ese estado cuando sea necesario (caída de sistemas, daño o corrupción de la información, modificaciones indebidas de la información, robo y borrado de datos, cifrado de la información por un ransomware, etc.).

• Manteniendo un modelo de redundancia de datos que permita tener la información duplicada en dos (o varios) repositorios a fin de evitar perderla y garantizar la continuidad de negocio en caso de interrupciones y/o fallos.

• Realizando una monitorización continua que chequee el estado de los datos, y alerte en caso de posibles problemas sobre ellos.

Como hemos comentado, estas iniciativas redundarán en una garantía de continuidad de negocio, que mantendrá la actividad empresarial en funcionamiento incluso en casos de incidente, ciberincidente o situaciones complicadas.

La autenticidad de la información nos garantiza que ésta proviene de una fuente confiable, de quien dicen ser o provenir y no han sido falsificada por el camino, evitando así la suplantación de identidad.

Veamos algunos de los posibles mecanismos para fortalecer la autenticidad de la información:

• Implantando y aplicando métodos robustos de autenticación que nos permitan identificar usuarios, así como sus privilegios, a través de contraseñas seguras, perfilado, configuraciones, roles, sistemas de autenticación de doble factor (2FA), sistemas de autenticación de múltiple factor (MFA), biometría, SMS, etc.

• Utilizando firmas electrónicas que corroboren la autenticidad de documentos, los datos e información que contienen, y de las transacciones realizadas con dicha información.

• Mantener un registro de eventos que almacene y contemple toda la actividad relacionada con todos y cada uno de los diferentes conjuntos de datos y sus “movimientos”, pudiendo conocer en todo momento quién ha accedido a ellos y qué cambios ha realizado.

De este modo, nos protegeremos del ciberfraude, evitando atacantes donde se falsifiquen los datos o a través de los cuales los ciberdelincuentes puedan realizar suplantación de identidad con las que se hagan pasar por usuarios legítimos para lograr sus objetivos. Por otro lado, esto también nos ayudará a protegernos frente a la suplantación de la imagen, identidad y marca de nuestra empresa.

La legalidad se refiere al cumplimiento de leyes, normativas y regulaciones existentes que apliquen a la gestión de datos y de todo su ciclo de vida. Estas, en la mayoría de los casos, son de obligado cumplimiento y conllevan sanciones legales y económicas en caso de incumplimiento.

Algunos posibles mecanismos de cumplimiento de la legalidad en materia de privacidad y protección de datos, podrían ser los siguientes:

• Preparación y certificación respecto al cumplimiento y sello de conformidad con leyes y normativas al respecto, como el GDPR / RGPD (Reglamento General de Protección de Datos), la LOPD (Ley Orgánica de Protección de Datos), la LOPDGDD (Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales), la HIPAA (Ley de Portabilidad y Responsabilidad de Seguro de Salud de Estados Unidos) etc., dependiendo de cual nos aplique de forma prioritaria.

• Realización de auditorías frecuentes, tanto internas como externas, que garanticen la conformidad y el cumplimiento con las leyes y regulaciones en materia de protección de datos y privacidad que nos apliquen.

• Gestión de documentación que demuestre el cumplimiento de leyes, normativas y regulaciones al respecto.

Con ello evitaremos, en primer lugar, proteger la información aplicando medidas normalizadas y estandarizadas, pero también evitar sanciones y multas por no conformidades e incumplimientos. Del mismo modo, esto repercutirá en una buena imagen de la empresa y la confianza en la misma.

Como vemos, garantizar la seguridad de la información, de los datos, no es algo que sea especialmente trivial, sino que lleva su complejidad, máxime cuando va ligada al concepto de continuidad de negocio.

Ambos, son elementos estrechamente relacionadas y podríamos decir que hasta indivisibles. Una estrategia de ciberseguridad sólida debe incluir ambas piezas para garantizar que la empresa pueda resistir y recuperarse de ciberincidentes (lo que conocemos como resiliencia o ciberresiliencia).

Por esta razón, deben trabajar conjuntamente, buscando como tándem que son, las mismas capacidades, así como actividades para lograr objetivos finales comunes:

• La protección contra amenazas, evitando ciberincidentes y ciberataques que interrumpan las operaciones.

• El cumplimiento legal de las normativas y regulaciones requeridos a las empresas para la protección de datos y la aplicación de planes de continuidad de negocio.

• El mantenimiento de la operatividad que asegure que la empresa pueda continuar funcionando incluso después de un ciberincidente.

• La inmediata recuperación que reduzca al máximo el tiempo de inactividad y la pérdida de datos en caso de ciberincidente.

• La creación y aplicación de planes de continuidad de negocio que permitan a la empresa seguir funcionando en situaciones de crisis.

• La respuesta a incidentes / ciberincidentes que parta de una definición y establecimiento de procedimientos claros a aplicar en caso de ciberincidente con los que se pueda restaurar la integridad de los datos y minimizar el impacto operativo.

Con todo ello, será posible afrontar los retos para garantizar una resiliencia operativa empresarial aceptable (seguridad de los datos + continuidad de negocio) y un gap mínimo de interrupción de la operativa de negocio en situaciones adversas.

A este panorama y retos de protección de la información se enfrentan las empresas, todas las empresas, ya sean microempresas, pequeñas, medianas, grandes o enormes corporaciones, aunque a cada una les aplique de un modo diferente y las soluciones y regulaciones a aplicar, puedan variar entre ellas.

Las pequeñas empresas pueden optar por soluciones de seguridad más simples, tener aproximaciones quizá algo más laxas en algunos puntos respecto a las regulaciones en este ámbito y externalizar ciertas funciones para las que no tienen capacidad ni recursos.

Las grandes empresas requerirán de infraestructuras y soluciones más complejas, un cumplimiento normativo más férreo y equipos cualificados, especializados y profesionales, tanto internos como externos.

¿Necesita tu empresa ayuda con servicios de protección de la información y cumplimiento normativo, como los que ofrecemos en Zerolynx: Servicios de Ciberseguridad.

Si lo prefieres, contáctanos y hablamos.

GRC, resiliencia y servicios de Análisis de Cumplimiento Normativo

 

El panorama actual al que las empresas se tienen que enfrentar en materia de seguridad, privacidad y ciberseguridad, es complejo y dicha complejidad crece exponencialmente con el tiempo.

Si ese, junto con la protección y prevención, es uno de los puntos sobre sobre los que las empresas deben poner foco, no lo es menos el cumplir con los requisitos normativos al respecto.

Quizá todas no (aunque convendría que sí) pero, dependiendo de su actividad, sector al que se dedican, tamaño, tipo de clientes, etc., muchas empresas estarán obligadas a cumplir con determinadas normativas, directivas, reglamentos, regulaciones y leyes. Y, en caso de no cumplir con ellas, además de estar expuestas a posibles incidentes, podrán verse afectadas por sanciones y multas por dicho incumplimiento.

El objetivo final es la seguridad, la protección, la prevención y la resiliencia. Por ese motivo, la regulación en materia de protección de datos, seguridad y ciberseguridad es clave y se ampara en la necesidad de implementar robustos sistemas de GRC (Gobierno / Gobernance, Riesgo / Gestión del Riesgo / Risk Management y Cumplimiento / Compliance) en las organizaciones afectadas.

Pero, ¿conocemos las normativas que podrían afectar o aplicar en nuestra empresa? ¿Sabemos si tenemos obligatorio cumplimiento de las mismas o sólo a nivel de recomendación? ¿Sabemos si las cumplimos y en qué grado las cumplimos? Y, si no las cumplimos, o no al 100%, ¿sabemos qué tenemos que hacer para cumplirlas?¡Quizá haya que ponerse a ello lo antes posible!

Pero, en términos de Gobierno, Riesgo y Cumplimiento (GRC) respecto a la ciberseguridad, ¿de qué estamos hablando exactamente? Hablamos del establecimiento, implementación y gestión de determinadas políticas, procedimientos, recursos, modos de funcionar, servicios, controles, tecnologías, etc., en nuestra empresa, con las que poder garantizar que cumplimos con los principales marcos normativos internacionales de seguridad.

Existen multitud. Pero centrándonos en marcos o normas relativas a la ciberseguridad y a la protección de datos, entre las cuales podríamos identificar las siguientes (entre muchas otras):

• ISO/IEC (International Standarization Organization), y concretamente, la norma ISO 27001, que se focaliza en garantizar la seguridad, confidencialidad e integridad de los datos en los sistemas digitales que los procesan.

• NIST (Instituto Nacional de Estándares y Tecnología).

• CIS (Centro de Ciberseguridad), que ofrece controles críticos de seguridad para la prevención y mitigación de ciberamenazas.

• Directivas NIS y NIS2 (Network and Information Security), directiva europea para garantizar la seguridad en las redes y sistemas TI de la Unión Europea.

• ENS (Esquema Nacional de Ciberseguridad), que establece la política de seguridad para el uso de medios electrónicos en la Administración Pública (afectada y obligada y las empresas que trabajen con ella).

• RGPD / GDPR (Reglamento General de Protección de Datos), para el establecimiento de normas de protección de los derechos y libertades en lo que a los datos personales respecta.

• LOPDGDD (Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales), que viene a -sustituir a la antigua LOPD (Ley Orgánica de Protección de Datos) y trata de ser la equiparación de la RGPD al ordenamiento jurídico español.

• LSSICE (Ley de Servicios de la Sociedad de la Información y comercio Electrónico), que regula cómo deben ser los servicios TI y las contrataciones electrónicas.

La adhesión a estas normativas no solo es un requisito legal en muchos casos, sino que también es esencial para proteger los activos digitales de la empresa y la confianza de los clientes.

Por tanto, la evaluación del cumplimiento normativo es el primer paso en el proceso de consecución de un buen modelo GRC en materia de privacidad y ciberseguridad.

Esto implica un análisis exhaustivo por parte de expertos de las prácticas de seguridad y privacidad de la empresa, teniendo en cuenta los requisitos establecidos por los marcos normativos aplicables a cada caso.

En dicha tarea, los analistas revisan las políticas y procedimientos existentes en la organización, identifican vulnerabilidades y brechas de seguridad, y, con todo ello, determinan acciones de mejora y/o correctivas para incrementar el cumplimiento al mayor nivel posible.

Tras una concienzuda evaluación del cumplimiento normativo por parte de expertos, la empresa debe realizar una serie actividades recomendadas, con el fin de garantizar la adecuación técnica al cumplimiento normativo en materia de ciberseguridad, correspondiente al framework que haya sido analizado.

Digamos que el ejercicio o servicio profesional se compone de dos fases. La primera de ellas la auditoría del estado actual y la segunda de ellas la consultoría. El asesoramiento técnico profesional y experto, es vital, orientando sobre las medidas específicas que una organización concreta debe tomar para cumplir con los requisitos normativos.

La implementación de medidas para alcanzar un buen nivel de GRC, implica:

• Configuración y administración de sistemas de seguridad.

• Concienciación, educación y capacitación del personal en las políticas de seguridad.

• Implementación de controles y medidas técnicas de seguridad.

• Definición y aplicación de un Plan de Respuesta a Incidentes.

• Definición y puesta en marcha de una nueva estrategia y de consultorías periódicas.

Como decíamos, cada empresa, dependiendo de su sector, mercado, tipo de clientes, volumen, etc., tendrá sus propias necesidades y desafíos particulares y únicos en el ámbito de la ciberseguridad y la privacidad.

Esto es lo que hace necesario que, cada una de ellas, cuente con estrategias de consultoría y acción personalizadas, adaptadas 100% a las casuísticas específicas de cada empresa, con un enfoque particular para abordar ausencias detectadas y diseñar soluciones convenientes ajustadas a las circunstancias particulares de cada organización.

Las empresas no cuentan con un equipo experto dedicado a esto, por lo que subcontratan este tipo de servicios especializados de ciberseguridad y ciberinteligencia, como los que ofrecemos en Zerolynx: GRC, Análisis de Cumplimiento Normativo y Adecuación Técnica para el Cumplimiento Normativo.

¿Quieres que averigüemos si tu empresa cumple con la/s normativa/s que le pueda/n afectar y, si no cumple, indicarte qué debes hacer para cumplir?

Puedes ampliar detalles sobre nuestros servicios visitando la página de Zerolynx

Si lo prefieres, contáctanos y hablamos.

¿El término "GRC" te suena a chino?

¿Tu empresa cumple con las normativas, leyes, reglamentos y estándares en materia ciberseguridad y protección de datos?¿Sabes si está obligada a cumplir con ellas, o con alguna de ellas en concreto, debido a la actividad y el sector en el que se enmarca la organización?

Si eres una empresa te conviene tener muy claros estos tres conceptos, y aplicarlos en el día a día del desarrollo de la actividad de la compañía, en lo que se refiere a su organización y gestión:

• Gobierno corporativo o gobernanza: es el conjunto de principios, normas y procedimientos que establecen cómo deben funcionar los diferentes órganos de la empresa (los órganos de gobierno) para dirigirla y gestionarla.

• Riesgos: es la probabilidad de que ocurra una situación no deseada que tenga un impacto o produzca un daño, tanto en una empresa como en cualquier otro ámbito.

• Cumplimiento: es la acción por la que se desempeñan, implementan y llevan a cabo debidamente, diferentes medidas, normas, o leyes, establecidas de antemano, específicamente destinadas al sector y tejido productivo de la empresa.

Pensando en el mundo digital, en el terreno de las Tecnologías de la Información (TI, IT, TIC), teniendo en cuenta estas definiciones, los tres conceptos se trasladan de forma similar:

• Gobierno TI o Gobierno IT: es el conjunto de principios, normas y procedimientos que establecen y rigen cómo deben funcionar los diferentes sistemas de información, para que éstos den servicio y se alineen con el negocio y la estrategia corporativa.

• Riesgos: probabilidad de que ocurra una situación no deseada que, en el caso las tecnologías de la información, consistirá en un incidente informático, o ciberincidente, que puede producir un impacto negativo en el negocio, e incluso que este se tenga que detener.

• Cumplimiento o “compliance”: consiste en la conveniente implementación y cobertura de estándares, frameworks, reglas, reglamentos, decretos y leyes que, en materia de sistemas digitales, tecnologías de la Información, seguridad, privacidad y ciberseguridad, se deben llevar a cabo en la empresa, de forma recomendable e incluso obligatoria.

Algunas normas, normativas, estándares, regulaciones y leyes de las que seguro has oído hablar, en lo que a materia de IT y ciberseguridad se refiere, pueden ser:

• RGPD/GDPR (Reglamento General de Protección de Datos).

• LOPD (Ley Orgánica de Protección de Datos).

• LOPDGDD (Ley Orgánica de Protección de Datos y Garantías de los Derechos Digitales).

• LSSICE (Ley de Servicios de la Sociedad de la Información y Comercio Electrónico).

• LGC (Ley General de Comunicaciones).

• LGT (Ley General de Telecomunicaciones).

• ENS (Esquema Nacional de Seguridad).

• NIST (Marco de Ciberseguridad del National Institute of Standards and Technology).

• CIS (controles del Center for Internet Security).

• SGSI (Sistema de Gestión de la Seguridad de la Información).

• ISO 27001 (norma o estándar internacional para el establecimiento de un SGSI).

• ISO 27701 (norma o estándar internacional para la gestión de la privacidad y el cumplimiento del RGPD).

• ISO 22301 (norma o estándar internacional para la gestión de la continuidad de negocio).

En cualquier caso, conviene aclarar que las leyes son de obligado cumplimiento, mientras que los estándares de la industria, las normas y las normativas, son recomendaciones y referencias para favorecer el cumplimiento la gestión y el cumplimiento legal.

Pero, ¿Cómo saber si estamos obligados a cumplir con alguna de ellas? La respuesta no es “blanco o negro”. Depende de muchas cosas y de cada caso, de cada empresa, de cada tipo de empresa, de a qué se dedique, de cómo lo haga y de qué tipo de activos de información gestione o manipule, cómo lo haga y el grado de sensibilidad o confidencialidad de los mismos, si comercializa online (si tiene tienda online), en qué país resida y/u opere, etc.

Y, por otro lado, ¿Cómo podemos saber si ya cumplimos, o no (y qué puede faltar para conseguirlo), con determinadas normativas, reglamentos y leyes? En este caso, lo primero es analizar la situación, conocer el estado de los sistemas, procesos, activos y recursos al respecto. Esto se consigue mediante la realización de auditorías, de cumplimiento normativo o legal, específicas para cada caso.

Una vez realizada la auditoría, estaremos en condiciones de cumplirlas basándonos en el establecimiento de determinados controles, actividades o acciones sobre los elementos que se hayan identificado como no conformidades de cumplimiento en el caso que nos ocupe.

En el caso de nuestro servicio de GRC, nos encargamos tanto de la gobernanza, como de la gestión de riesgos, como del cumplimiento, haciendo lo siguiente:

• En base a las necesidades y los objetivos que se establezcan, realizamos un análisis de la situación, desde el punto de vista del grado de madurez en ciberseguridad con el que cuenta la empresa.

• Se determina un objetivo de grado de madurez que lograr y, por ende, el alcance y la planificación de actividades.

• Se define el modelo de GRC a implantar basado en el marco normativo deseado.

• Se determinan los mecanismos y herramientas a utilizar.

• Se prepara y entrega un informe con el modelo de GRC implantado y recomendaciones.

• Presentación de resultados.

¿Quieres que auditemos tu empresa con respecto al cumplimiento en materia de ciberseguridad?

Puedes ampliar detalles sobre nuestros servicios de Servicios GRC visitando la página de Zerolynx.

Si lo prefieres, contáctanos y hablamos.