AENOR 15 Ciberseguridad en cifras: El no disponen de una política de seguridad 65,9% de las empresas de más de 10 empleados 44% de las empresas no dispone de personal El destinado a la seguridad TIC 38,5% de las empresas adopta una actitud El proactiva tras un incidente de seguridad El de Plan de Continuidad de Negocio 60,6% de las pymes desconocen el concepto El 75% de las empresas que utilizan comercio electrónico como canal de venta no dispone de un sistema de gestión del fraude LOS DATOS de ellos no fueron diseñados y/o con-figurados para ello, quedando en oca-siones, una vez conectados, totalmen-te expuestos. Por otro lado, el surgi-miento imparable del IoT o Internet de las cosas en el ámbito doméstico (neveras, calefacciones, sistemas de riego, cámaras, cocinas, espejos inte-ligentes, domótica en general) conlle-vará grandes comodidades y ventajas, pero a la vez provocará que cualquier cosa conectada al IoT sea susceptible de ser atacada. Importancia de los sistemas de gestión Si disponer de un sistema de gestión resulta necesario para organizaciones de cualquier sector de negocio, dicha necesidad se hace aún más imprescin-dible en el ámbito de las TIC en ge-neral y en el de la ciberseguridad en particular. Los sistemas de gestión se basan en el ciclo PDCA lo que obliga a planificar lo que se va a hacer. En materia de ciberseguridad no todo se puede planificar. Por ejemplo, durante la neutralización de un ciberataque en tiempo real hay un alto componente de imprevisibilidad. Pero los métodos generales de actuación, intercepción y defensa deben estar establecidos y validados. Se necesita contar con los mejores recursos técnicos por un lado y, por otro, con un sistema de gestión extremadamente ágil que sea, a su vez, capaz de aprender casi en tiem-po real, fijando, mejorando y disemi-nando las prácticas que se han mos-trado eficaces y descartando el resto. Además de un sistema de gestión basado en la Norma UNE-EN ISO 9001 de calidad que se pueda aplicar de manera global a la organización y que dé respuesta a la necesidad obli-gatoria de combinar servicio y seguri-dad, resulta imprescindible la integra-ción de los requisitos incluidos en las Normas UNE-ISO/IEC 27001: 2014 Tecnología de la información. Técnicas de seguridad. Sistemas de Gestión de la Seguridad de la Información (SGSI), Requisitos, para lo que contamos con su nueva versión publicada en noviembre de 2014 y UNE-ISO/IEC 20000-1: 2011 Tecnología de la infor-mación. Gestión del Servicio. Parte 1: Requisitos del Sistema de Gestión del Servicio. Además, considerando la ve-locidad a la que cambian los escena-rios en materia de ciberseguridad (los cambios se suceden a una velocidad difícil de asimilar incluso por los pro-pios profesionales del sector) resulta necesario estar siempre en la punta de la lanza. Para ello, es necesaria una inversión en I+D+i, y la Norma UNE 166002 Gestión de la I+D+i: Requisi-tos del Sistema de Gestión de la I+D+i describe un sistema de gestión pa-ra las organizaciones que constituye una herramienta de gran utilidad en este campo. Asimismo, para poder reaccionar al ritmo al que se suceden los cambios, se dispone de una herramienta muy útil en las normas UNE-ISO 22301 y UNE-ISO 22313 que proporcionan un sistema de gestión para la continuidad del negocio. Éste proporciona a la or-ganización un marco para identificar las posibles amenazas y fortalecer su capacidad para afrontarlas, para ayu-dar a desarrollar un plan de continui-dad de negocio que garantice el fun-cionamiento de las organizaciones du-rante y después de las interrupciones. Como muestra de que las normas y estándares internacionales se adecúan a los tiempos que corren, la preocupa-ción por el ámbito de la ciberseguri-dad es una cuestión ya presente en la estrategia de los organismos de nor-malización. Desde hace un tiempo se está trabajando en documentos inter-nacionales que forman parte de la fa-milia de normas ISO 27000 de Ges-tión de la seguridad de la información con un enfoque orientado a dar apoyo a los nuevos escenarios derivados de actividades como la ciberseguridad. ◗ Ninguna organización a día de hoy puede permitirse el lujo de no gestionar de manera adecuada la ciberseguridad de su información corporativa y de sus infraestructuras tecnológicas NOTAS (1) Siglas en inglés de Bring Your Own Device (traiga su propio dispositivo): política empresarial en la que se permite a los empleados hacer uso de dispositivos per-sonales (smartphones, tablets, ordenadores) para acce-der a recursos de la empresa como correo electrónico, repositorios de información o aplicaciones corporativas. Fuente: Instituto Nacional de Ciberseguridad (INCIBE)
300
To see the actual publication please follow the link above