Automatizaciones clave para la gestión de SI

La seguridad de la información se ha vuelto un tema tan vasto y con tantos aspectos por cubrir, que se hace necesario echar mano de todas las herramientas que nos faciliten su gestión. Las automatizaciones son muy útiles al respecto, pues hacen más efectivas las estrategias de defensa de la información, permiten responder ágilmente a los incidentes, nos recuerdan los compromisos del sistema de gestión, sirven para comunicar rápidamente las situaciones mientras ocurren, ayudan a medir los niveles de riesgos, coadyuvan a asignar responsabilidades, son un apoyo a la hora de cumplir con los SLA (acuerdos de niveles de servicios), entre otros.

La automatización integral es idónea para lograr dar respuesta a las soluciones veloces que esperan los consumidores. En cuanto a los trabajadores, les disminuye la carga laboral para que puedan enfocarse en asuntos que agreguen valor. Automatizar es una estrategia que nos lleva a la eficiencia.

Los gerentes de tecnologías de la información (TI) son los más versados en las automatizaciones y pueden ayudar a sus compañeros a comprender cómo sacar el máximo provecho de estas. Para ello es necesario que en la organización tengan en cuenta algunos conceptos fundamentales. Así se obtendrá la productividad deseada y se extraerá el máximo valor comercial de la automatización.

¿Automatizaciones para qué?

Puede que todos concibamos la nube como el lugar en internet donde encuentra la información, pero detrás de ese lugar hay activos físicos que debemos proteger contra la divulgación, transferencia, modificación o destrucción. Es decir, la seguridad de la información no solo atañe a los datos y a la interpretación de estos, sino también a los medios con que gestionamos el ciclo de vida de la información (creación, transferencia, almacenamiento, explotación y disposición final).

De acuerdo con la norma ISO/IEC 27005, la seguridad de la información es la protección contra la divulgación, transferencia y modificación no autorizada, ya sea accidental o intencional. En las organizaciones tenemos el objetivo de preservar la integridad, disponibilidad y confidencialidad de la información, puesto que los riesgos acechan constantemente. Según ISO/IEC 27000, el riesgo es el efecto de la incertidumbre sobre los objetivos. La palabra clave de esa definición es la incertidumbre, pues ante ella no contamos con información ni conocimientos sobre qué incidentes podrían ocurrir, qué consecuencias acarrearían esos incidentes y qué probabilidad hay de que sucedan. La incertidumbre se trata no saber dónde estamos y cómo lograremos los objetivos, si es que hay beneficios o amenazas en el horizonte. Para saber con qué nos encontraremos nos podemos servir de metodologías como las automatizaciones.

Componentes clave de las automatizaciones

• Requisitos legales y reglamentarios relativos a la seguridad de la información.
• Políticas generales y específicas para el trato con proveedores.
• Política de uso adecuado de los activos.
• Procedimientos de trabajo.
• Planes de tratamientos de riesgos.
• La gestión del cambio.
• Declaración de aplicabilidad de normas ISO.
• Compliance, en general.
• Seguridad de la información durante la continuidad del negocio.
• Dueños de riesgos.
• Activos de mayor valor y estrategias de defensa sobre esos activos, entre otros.

Riesgos

Los riesgos de seguridad de la información están asociados a que las amenazas exploten las vulnerabilidades de un activo o grupo de activos, y que eso cause daño a la organización. La mejor forma de precisar nuestra situación es la apreciación de riesgos, que permite saber si estamos poco, muy o medianamente expuestos. En este sentido, este es uno de los primeros elementos que necesitaremos automatizar y podemos clasificarlo como:

• Riesgos operativos: tienen que ver con las bases de datos, infraestructura, los diferentes dispositivos con los que interactúa un usuario, las aplicaciones, los sistemas con los que se procesa la información, los resultados de la organización sobre ventas, clientes, desarrollos del producto. En síntesis, la información que la empresa necesita para funcionar (documentos en físico o digitales), entre otros.
• Riesgos estratégicos: se refieren al contexto, requisitos de las partes interesadas (que nos permiten determinar riesgos y oportunidades para conseguir los resultados previstos, reducir los efectos indeseados para la organización y lograr la mejora continua).

Teniendo todo esto claro, y gracias a las automatizaciones, podemos precisar acciones de tratamientos de riesgos, que consisten en:

• Aceptar, transferir, mitigar o eliminar.

Las acciones requieren ser integradas a los procesos del SGSI, además debemos evaluar la eficacia de tales acciones. En todo este proceso la herramienta de automatización arrojará luces y nos hará el trabajo más llevadero.

Para finalizar, enfatizaremos que la apreciación de riesgos no se hace una sola vez en la vida, hay que llevarla a cabo cada vez que haya cambios en la organización, cuando haya incorporaciones de nuevos activos o exista algún incidente de seguridad de la información.

Software ERM ISOTools

ISOTools ERM es el software clave para la gestión integral de los riesgos corporativos de la organización. Gracias la automatización de procesos en la gestión de riesgos incrementará la eficiencia del área de riesgos, llevar una gestión integrada de todos los riesgos que pueden amenazar a la organización, identificarlos de forma más clara y aprovechar las oportunidades que se pueden derivar de los mismos.

Cumplimiento legal Seguridad de la Información

Evitar sanciones por quebrantar leyes no es la única razón para cumplir con los reglamentos y legislaciones en materia de seguridad de la información. Observar el entramado legal propicia una actitud transparente de la organización frente a diferentes partes interesadas, promueve la aplicación efectiva del sistema de gestión de seguridad de la información (SGSI), da un marco de referencia para verificar el cumplimiento de las regulaciones en materia de SI, apoya el mejor desempeño de la organización, entre otros.

Además, los ciudadanos cada día son más conscientes de la necesidad de preservar la confidencialidad, integridad y disponibilidad de la información, por ello esperan que las leyes respalden esa necesidad y evolucionen tan rápido como lo hace la tecnología. También esperan consumir productos y servicios que provengan de organizaciones capaces de cumplir con la ley.

Para lograr el cumplimiento de los requisitos legales requerimos activar un proceso que comprende de varios pasos:

• Identificar los requisitos legales: necesitamos contar con una metodología establecida para poder identificar cada requisito. Es importante investigar las leyes y regulaciones emitidas por los gobiernos regionales, nacionales, federales, estatales o locales. Luego requerimos leerlos, entenderlos, buscar el apoyo experto de personal calificado y mantenernos al tanto de los cambios, obligaciones o reglas divulgadas en medios oficiales.
• Establecer controles: ¿ya los directivos y/o responsables identificaron toda la legislación aplicable a sus organizaciones, para cumplir con los requisitos de su tipo de negocio? ¡Perfecto! Ahora es pertinente que se definan controles puntuales y se fijen responsabilidades individuales para cumplir estos requisitos.
• Documentar controles: los controles aplicables a los procesos, productos y servicios de la organización ameritan ser plasmados como información documentada. Hay que tener en cuenta que los requisitos pueden generar riesgos (cuando no sabemos cómo abordarlos o no se abordan oportunamente) y oportunidades (cuando se incorporan los requisitos legales a la línea de negocios como elementos diferenciadores) para la organización.
• Incluir y determinar en el alcance del SGSI los aspectos legales de las actividades, productos y servicios que debemos controlar.
• Demostrar capacidad y voluntad para cumplir los requisitos legales ante clientes internos y externos y partes interesadas.
• Mejora continua.

Requisitos de diferentes tipos

Los requisitos legales se usan como entradas de proceso y su seguimiento se considera una salida de proceso. Por eso es imperativo tener en cuenta los cambios que se produzcan en la organización, en cuanto a procesos, productos y servicios, y las legislaciones que se modifiquen o entren en vigor. Con esto no nos referimos únicamente a la Constitución del país en que la empresa mantenga operaciones, Código Penal, leyes, normas y decretos. También cuentan las licencias u autorizaciones, orientaciones, órdenes, reglas, sentencias de cortes de justicia o tribunales administrativos, requisitos de las partes interesadas relacionados con sus propios SGSI y que deberíamos cumplir o adoptar, acuerdos con comunidades y organismos públicos o clientes, requisitos de socios o accionistas, principios o códigos de cumplimiento voluntarios, obligaciones contractuales, normas atinentes a la industria y/u organización.

En Latinoamérica es moneda corriente el desfase entre las leyes en materia de seguridad de la información y el uso y manejo de información. Por lo tanto, hay delitos que no son reconocidos como tal y no son sancionados. En ese sentido, es posible suscribir protocolos propios e implementar estándares internacionales como la norma ISO/IEC 27001. Es aconsejable, además, mantenerse atentos ante la promulgación de decretos y la creación de disposiciones emitidas por reguladores.

Otros aspectos por considerar

A la hora de pensar en el cumplimiento legal no podemos omitir la existencia de condiciones anormales y situaciones de emergencia, como las que supuso el SARS COVID. Tras la pandemia surgieron normativas para regular, entre otras cosas, el teletrabajo y el acceso a los datos sensibles. Incluso hubo debates éticos sobre qué tan conveniente era divulgar al círculo cercano cuando una persona resultara contagiada.

En otro orden de ideas, destacamos la relevancia de la gestión de los procesos de SI internos y la identificación de aspectos de SI. Sin ello el cumplimiento legal no estaría completo, puesto que muchos de los requisitos están relacionados con aspectos de la seguridad de la información. Todos los requisitos deben ser tomados en cuenta cuando se establezca, implemente, mantenga y mejore continuamente el SGSI. Por último, consideramos que es imprescindible que desde la alta dirección se manifieste la firme voluntad de cumplir con los requisitos de SI en materia legal y recomendamos la estandarización, pues esta respalda los requisitos legales.

Software ISO 27001

La ISO 27001 para los Sistemas de Gestión de Seguridad de la Información es sencilla de implantar, automatizar y mantener con la Plataforma Tecnológica ISOTools.

Con ISOTools se da cumplimiento a los requisitos basados en el ciclo PHVA (Planear – Hacer – Verificar – Actuar) para establecer, implementar, mantener y mejorar el Sistema Gestión de la Seguridad de la Información, así como se da cumplimiento de manera complementaria a las buenas prácticas o controles establecidos en ISO 27002.

Este software, permite integrar la ISO 27001 con otras normas, como ISO 9001,
ISO 14001 y 45001 de una forma sencilla gracias a su estructura modular.