Segurilatam 011

Segundo cuatrimestre 2019 41 artículo técnico Ciberseguridad 2. Análisis técnico de seguridad. El análisis técnico de la seguridad queda cubierto mediante la valoración del grado de implementación y madurez de los controles más relacionados con los sistemas de información empleados por la organización para almacenar y gestionar su información. La realidad del estado de seguridad de una organización se evidencia me- diante la comprobación y valoración de aspectos tales como si disponemos de antivirus y cortafuegos, la página web es segura, si la red está correctamente segmentada, que impida por ejem- plo que desde Internet sean visibles los equipos de los usuarios o los servidores internos o si existen controles de acceso físicos a las áreas con información sensi- ble: salas de servidores, despachos, área de Recursos Humanos… Debido a que se trata de un trabajo especializado, es habitual que la orga- nización opte por externalizar el análisis técnico de la seguridad. 3. Análisis de riesgos. Paralelamente al desarrollo de los traba- jos de auditoría, es necesario que reali- cemos un análisis de riesgos a los que está expuesta nuestra organización. El proceso para realizar un análisis de ries- gos consta de los siguientes pasos: 1. Identificar los activos de información de nuestra organización, cada uno de los cuales estará expuesto a unas amenazas determinadas y tendrá unas vulnerabilidades asociadas. Optimizado. El control se aplica de acuerdo a un procedimiento docu- mentado, aprobado y formalizado. Y su eficacia se mide periódicamente mediante indicadores. Análisis de cumplimiento. Para lle- var a cabo el análisis de cumplimiento y situación debemos realizar reuniones con el personal de los distintos departa- mentos de la organización para evaluar el cumplimiento de los controles de se- guridad implementados. Los estándares y normas internacio- nales en materia de seguridad de la información incluyen requisitos para implementar medidas de control de acceso físico y seguridad medioam- biental, por lo que será necesario lle- var a cabo una inspección in situ de las instalaciones. Registrar todos los problemas y evi- dencias que vayamos detectando, en relación a los requisitos de seguridad de aplicación y que están prefijados, en documentos que luego podamos contrastar y consultar. Y una vez que dispongamos de toda la información, debemos analizar los resultados, por ejemplo, del 0 al 5, según el modelo de madurez. Establecer los objetivos. Establecer cuáles son nuestros objetivos a cumplir en materia de ciberseguridad de la em- presa, lo que nos permitirá determinar los ámbitos a mejorar e identificar los aspectos en los que debemos focalizar nuestros esfuerzos. forma información). Por ello es impor- tante definir las responsabilidades sobre los activos de la organización: equipos informáticos, dispositivos móviles, apli- caciones, instalaciones, servicios e infor- mación. Esto nos facilitará hacer un se- guimiento de la ejecución de las iniciati- vas implementadas, así como del análisis y recogida de la información. Dichas res- ponsabilidades deben estar asociadas a perfiles específicos, ya sea una persona o un comité formado por varias personas. Valoración inicial. Realizar una va- loración preliminar de la situación ac- tual de la organización para determinar los controles (técnico, legal u organiza- tivo) y requisitos que son de aplicación. Por lo general, para los aspectos norma- tivos y regulatorios se toma como re- ferencia el estándar internacional ISO/ IEC 27002:2013, que reúne el código de buenas prácticas para la gestión de se- guridad de la información. El conoci- miento de esta norma es imprescindi- ble para el desarrollo adecuado de un PDS. No es necesaria la implementa- ción de todos los controles que se in- dican en la norma 27002:2013, sino sólo aquellos que sean de aplicación a nues- tra empresa. Modelo de madurez. A modo orien- tativo podemos partir de una escala de cinco niveles: Inexistente. No se lleva a cabo el control de seguridad en los sistemas de información. Inicial. Las salvaguardas existen, pero no se gestionan, no hay un proceso formal para realizarlas. Su éxito de- pende de la buena suerte y de tener personal de alta calidad. Repetible. La medida de seguridad se realiza de un modo totalmente in- formal (con procedimientos propios, informales). La responsabilidad es in- dividual. No hay formación. Definido. El control se aplica con- forme a un procedimiento documen- tado, pero no ha sido aprobado por el responsable de seguridad ni por el comité de dirección. Administrado. El control se lleva a cabo de acuerdo a un procedimiento docu- mentado, aprobado y formalizado.