Muchos de nosotros subestimamos la magnitud de la realidad que enfrentan las instituciones financieras (IFs) y grandes organizaciones ante los ciberataques. El último Informe de Investigación de Violaciones de Datos (DBIR) de 2023 de Verizon Business revela que 9 de cada 10 violaciones de datos tienen motivaciones financieras, situando a las instituciones financieras como uno de los blancos principales de este tipo de ataques.
Y no solo son los activos monetarios los que atraen a estos actores maliciosos, sino también, la gran cantidad de datos que manejan las IFs. La Información de Identificación Personal (PII) y otros datos de clientes actúan como minas de oro virtuales, con los atacantes buscando cualquier vía de explotación, ya sea a través del ransomware (secuestro de datos) o la venta ilícita de información en la dark web.
Existen Buenos Sistemas para Proteger los Datos
Aquí es donde cobra importancia un Sistema de Gestión de Seguridad de la Información (SGSI). Un SGSI es un conjunto de elementos diseñados para proteger la confidencialidad, disponibilidad e integridad de una colección de datos que, al combinarse y relacionarse, adquieren significado y pueden ser utilizados de otra manera para aprovecharse de una organización, sus clientes y proveedores.
Por ejemplo, conocer únicamente tu nombre completo por sí mismo no es necesariamente valioso con fines de explotación. Pero si tienen tu nombre, un número de identificación social, tu fecha de nacimiento y otra información, eso combinado podría ser utilizado para suplantar tu identidad, o incluso algo peor.
Eligiendo el Framework Adecuado
Como parte de la cadena de suministro de datos para muchas instituciones financieras y grandes organizaciones, en Modyo hemos implementado un Sistema de Gestión de Seguridad de la Información (SGSI) de acuerdo con estándares internacionales para proteger los datos de nuestros clientes y sus clientes.
Aprovechando nuestra experiencia implementando exitosamente un Sistema de Gestión de Seguridad de la Información y nuestro reciente logro de la certificación ISO27001, a continuación, compartiremos algunos de los desafíos y consideraciones que surgen al implementar un SGSI efectivo.
Cuando se trata de implementar un SGSI, la primera decisión crucial es seleccionar el framework apropiado. En este contexto, el ISO/IEC 27001 se destaca como un estándar ampliamente adoptado, reconocido por su enfoque integral en seguridad de la información. No obstante, las organizaciones deberían explorar diversas opciones, como NIST, COBIT o estándares específicos a su industria, para encontrar la mejor opción.
Esto se debe a que, a diferencia de lo que comúnmente se cree, no existe un único framework que se adapte universalmente a todas las organizaciones cuando se trata de gestión de seguridad. De hecho, la flexibilidad en la gestión de seguridad permite la adopción de múltiples frameworks, aprovechando sus componentes equivalentes y complementarios.
La clave está en elegir un SGSI que se alinee con las necesidades únicas de la organización, teniendo en cuenta contextos internos y externos, objetivos estratégicos, productos y servicios, así como el marco legal y regulatorio.
Un Framework de Seguridad Debería Adaptarse a tu Organización, No Al Revés
Es importante reconocer que el SGSI debe integrarse a la realidad comercial de la organización. El framework elegido debe ser adaptable, asegurando una alineación armoniosa con la estructura, operaciones y metas generales de la organización. En esencia, el SGSI se convierte en una solución personalizada, moldeada de manera dinámica para mejorar la postura de seguridad de la información de la organización.
Implementando tu propio SGSI
Una vez seleccionado el framework, es fundamental contar con el compromiso de los líderes. Esto implica asignar recursos humanos, técnicos y financieros para implementar el SGSI de manera eficiente.
Posteriormente, es necesario clasificar los activos de información y determinar los riesgos de seguridad de la información a los que estos activos están expuestos. Esto implica identificar las áreas y funciones donde hay una mayor probabilidad de que los riesgos se materialicen, así como evaluar el impacto potencial en la organización.
Determinando las Prioridades y el Valor
Existen diversas metodologías que ayudan a priorizar los activos de información según su valor (que no solo es financiero), tales como la clasificación de datos, la evaluación de riesgos y el análisis de impacto comercial. La priorización de datos es fundamental, ya que alinea los esfuerzos para proteger los activos más valiosos para la organización.
Esto facilita la creación de planes de acción para abordar los riesgos que afectan a estos activos, permitiendo así implementar controles, estrategias y medidas de seguridad apropiadas para reducir la probabilidad o impacto de los riesgos identificados. Dado que lograr un entorno sin riesgos es poco probable, lo importante es definir un nivel aceptable de riesgo para la organización, alineado con los objetivos comerciales. En el ámbito de la seguridad, esto se conoce como apetito de riesgo.
Desafíos en la Gestión de la Seguridad
La implementación de un SGSI conlleva sus propios desafíos. Algunos de los más comunes enfrentados por grandes organizaciones abarcan desde auditorías hasta un cambio en la cultura misma:
-
Cambio Cultural: La implementación de un SGSI implica un cambio cultural, promoviendo una mentalidad de seguridad en todos los niveles y asegurando que cada empleado esté al tanto y adopte las políticas y procedimientos de seguridad de la información.
-
Complejidad Tecnológica: Integrar tecnologías y controles de seguridad puede ser complejo, especialmente en organizaciones con una infraestructura tecnológica extensa y diversa, que puede estar distribuida en arquitecturas En Sitio - OnPremise, en Nubes Públicas o Privadas o incluso en ambientes “Multi-Nube”, en donde las estrategias de protección, buscan objetivos similares, pero se deben afrontar desde estrategias de control diferentes.
-
Cumplimiento Normativo y Regulatorio: Cumplir con los requisitos normativos específicos puede ser un reto, ya que las regulaciones cambian y pueden variar según la industria y la ubicación geográfica de la organización.
-
Evaluación de Proveedores: Evaluar y gestionar la seguridad de los proveedores es un desafío, especialmente cuando se trata de terceros que manejan información sensible y que pueden estar ubicados en diferentes geografías.
-
Auditorías y Certificaciones: Prepararse para auditorías, incluyendo las internas, externas y las realizadas por clientes y partes interesadas, exige una documentación meticulosa, alineación con normas de la industria y una comunicación proactiva para navegar con éxito por las complejidades del proceso.
Comprometiéndose con un enfoque sistemático para abordar estos desafíos, las organizaciones pueden construir y mantener un SGSI efectivo que proteja la información sensible tanto de la propia organización como de sus clientes, y contribuya al éxito a largo plazo de la entidad.
Finalmente, una vez que las estrategias y controles seleccionados se han implementado, es crucial verificar periódicamente su efectividad, asegurándose de que cumplan con los objetivos establecidos, revisando y ajustando según sea necesario.
Mantenimiento de tu SGSI
Mantener un SGSI basado en un framework como ISO 27001 implica una serie de responsabilidades continuas para garantizar su eficacia y cumplimiento con las normas establecidas. Las actividades clave incluyen la actualización de la documentación, la capacitación, y más:
-
Revisión y Actualización de Documentación: Se debe revisar y actualizar periódicamente la vigencia y pertinencia de las políticas, procedimientos, directrices y demás documentos que soporten el sistema, en función de los cambios en la organización, tecnología o regulaciones aplicables propias o de partes interesadas. Se debe también tener en cuenta la actualización de los registros de activos de información y las evaluaciones de riesgos, así como de la efectividad de los controles y planes de tratamiento seleccionados.
-
Gestión de Cambios: Es importante evaluar y gestionar cualquier cambio significativo en la organización, procesos o tecnología que pueda afectar la seguridad de la información, así mismo es necesario actualizar la documentación del SGSI para reflejar los cambios y garantizar la conformidad continua.
-
Concientización y Capacitación: Es necesario continuar y mantener vigentes los programas de concientización en seguridad de la información, para mantener a los colaboradores informados sobre nuevas amenazas y buenas prácticas de seguridad.
-
Monitoreo y Medición: Se deben realizar auditorías internas regulares para evaluar el cumplimiento del SGSI y su eficacia y medir el rendimiento del SGSI en función de los indicadores clave de rendimiento (KPI) establecidos.
-
Gestión de Incidentes: Resulta importante actualizar y perfeccionar los planes de respuesta a incidentes, así como analizar oportunamente cualquier incidente de seguridad que se haya presentado, y utilizar lecciones aprendidas para mejorar los controles y procesos.
-
Revisión y Evaluación: Con el fin de asegurarse que el SGSI continúe alineado con los objetivos estratégicos de la organización, es importante realizar revisiones, evaluar la eficacia y determinar oportunidades de mejora directamente con líderes de la organización.
-
Gestión de Proveedores: Se debe supervisar periódicamente la seguridad de los proveedores y asegurarse de que cumplan con los requisitos de seguridad establecidos.
-
Cumplimiento Legal y Regulatorio: Es necesario establecer actividades y responsables encargados de la monitorización continua de cambios en la legislación y regulaciones relacionadas con la seguridad de la información, con el objeto de dar cumplimiento a nuevas necesidades y requerimientos.
Estas tareas son esenciales para garantizar que el SGSI se mantenga robusto, relevante y efectivo a lo largo del tiempo, adaptándose a los cambios internos y externos que puedan afectar la seguridad de la información en la organización.
Gestionando la Madurez del Sistema
Una vez que tienes un SGSI en funcionamiento, este debería cambiar y evolucionar con el tiempo, adaptándose a tu organización. Un modelo de madurez de un SGSI actúa como un marco guía, permitiendo a las organizaciones evaluar sistemáticamente y mejorar sus capacidades de seguridad de la información.
Estos modelos ofrecen un camino estructurado para medir la madurez de los procesos y controles de seguridad, permitiendo a las organizaciones identificar áreas de mejora y establecer objetivos para avanzar hacia niveles de madurez superiores.
Se Trata de Mejorar con el Tiempo
Uno de los modelos de madurez comúnmente utilizados en el campo de la seguridad de la información es el "Modelo de Madurez de Seguridad de la Información" del Capability Maturity Model Integration (CMMI, por sus siglas en inglés). Aunque no fue diseñado exclusivamente para seguridad de la información, puede adaptarse para evaluar la madurez de los procesos de seguridad.
Los niveles en estos modelos representan una progresión hacia una mayor madurez en la gestión de la seguridad de la información. La implementación exitosa de un modelo de madurez brinda a las organizaciones una hoja de ruta clara para perfeccionar sus prácticas de seguridad y fortalecer su SGSI con el tiempo. Este viaje progresivo asegura una respuesta proactiva a las amenazas en evolución, demostrando un compromiso inquebrantable con sólidas prácticas de seguridad de la información.
Los Estándares Globales También Cambian y Se Adaptan
Las preocupaciones de seguridad evolucionan constantemente. Debido a esto, es crucial adaptarse a nuevas vulnerabilidades, amenazas y riesgos para garantizar la efectividad de los sistemas de gestión de seguridad, las mejores prácticas y los estándares de la industria.
Un Ejemplo de Fortalecimiento de la Gobernanza y la Resiliencia
Por ejemplo, la norma ISO 27001 fue actualizada en 2022, llevando a los organismos de certificación a través del proceso de acreditación para certificar la nueva versión. Si bien esta última versión mantiene la estructura de su predecesora (ISO 27001:2013), se han introducido cambios significativos en la clasificación y cantidad de controles de seguridad.
Se han añadido algunos controles, eliminado otros y fusionado algunos más, reduciendo la cantidad de 114 controles en la versión de 2013 a 93 controles en la nueva versión de 2022. Este cambio aborda las preocupaciones de seguridad en constante evolución, centrándose en ciberseguridad, inteligencia de amenazas y entornos en la nube, al tiempo que refuerza aspectos como la gobernanza y la resiliencia.
Un panorama de seguridad en constante evolución significa que, para contar con un SGSI efectivo, se requiere de un esfuerzo de mejora continua.
Nuestro Compromiso Continuo con la Seguridad de la Información
En Modyo, la seguridad es nuestra máxima prioridad. Como parte de nuestras estrategias continuas de protección tanto para nosotros como para nuestros clientes, implementamos medidas rigurosas, forjamos alianzas estratégicas y capacitamos constantemente a nuestro equipo. Nuestro Sistema de Gestión de Seguridad de la Información
está certificado bajo ISO/IEC 27001 y
cumple con SOC 2 Tipo 2. Esta combinación posiciona a Modyo de manera única como una plataforma frontend modular segura y de confianza, reafirmando nuestra postura en ciberseguridad. Esto es especialmente crítico para las organizaciones financieras y las grandes empresas que operan en entornos donde las violaciones de datos pueden tener repercusiones significativas, brindando tranquilidad a nuestros socios y clientes.
Si actualmente estás buscando una plataforma de frontend modular que pueda ayudarte a construir soluciones para aplicaciones web de cara al cliente, onboarding digital, soluciones financieras específicas y más, a través de canales digitales críticos que requieren una sólida seguridad, contáctanos y exploremos cómo la plataforma de Modyo puede ayudar a tu organización a construir soluciones mejores.