Durante los últimos años, la mayoría de los usos empresariales de la IA han estado relacionados con tareas de apoyo: redactar un correo, resumir una reunión, generar ideas, analizar un documento o responder una consulta. En todos esos casos, la IA actúa como un asistente: el usuario le pide algo, recibe una respuesta y decide qué hacer después.

Los agentes de IA van un paso más allá.

Un agente puede recibir un objetivo general y dividirlo en varias tareas. Puede decidir qué información necesita, qué herramienta debe utilizar y cuál es el siguiente paso más adecuado para avanzar hacia ese objetivo.

La diferencia principal está en la capacidad de acción.

Un asistente responde.
Un agente actúa.

¿Por qué se habla tanto de agentes de IA?

01

Modelos de IA capaces de entender lenguaje natural.

Esto permite que el usuario no tenga que dar instrucciones técnicas complejas. Puede expresar un objetivo en lenguaje común.

02

Acceso a herramientas y datos.

El agente puede conectarse a sistemas internos, bases de conocimiento, documentos, aplicaciones corporativas o APIs.

03

Capacidad de automatización.

El agente puede ayudar a completar tareas que antes requerían varios pasos manuales.

La combinación de estos tres elementos cambia la forma en la que una empresa puede utilizar la inteligencia artificial. Ya no hablamos solo de una herramienta para consultar información, sino de una capa capaz de ayudar a ejecutar procesos.

• Inés Aldea Blasco

El verdadero potencial de los agentes

Podemos ayudarte

La entrada Agentes de IA se publicó primero en 4Elitech.

La entrada Nace 4Elitech se publicó primero en 4Elitech.

La Huella de Carbono es el cálculo de las emisiones de todos los gases de efecto invernadero (GEI) asociados a organizaciones, eventos o actividades, o al ciclo de vida de un producto expresada en toneladas de CO₂ equivalentes.

¿Qué beneficios conlleva calcular tu huella de carbono en el ámbito de la ciberseguridad?

En el creciente mundo digital, donde la ciberseguridad es imperativa, a menudo pasamos por alto su conexión intrínseca con la sostenibilidad ambiental. La relación entre la huella de carbono y las prácticas de seguridad cibernética es más profunda de lo que podríamos imaginar, afectando desde la infraestructura de centros de datos hasta la gestión de dispositivos electrónicos. A continuación, se especifican sus principales beneficios:

• Mejora de la imagen y elemento diferenciador: calcular la huella de carbono muestra responsabilidad ambiental, mejora la transparencia y credibilidad, y ofrece diferenciación competitiva. Además, integrar la ciberseguridad de manera integral refuerza la protección de datos ambientales, fortaleciendo la confianza y la reputación de la organización en un mundo empresarial consciente del impacto ambiental y la seguridad digital.
• Centros de datos sostenibles: los centros de datos, motores esenciales de la revolución digital, consumen enormes cantidades de energía. La eficiencia energética en estas instalaciones no solo es crucial para la seguridad de los datos, sino también para reducir la huella de carbono asociada. Estrategias de seguridad cibernética eficientes pueden influir en el consumo de energía, optimizando la relación entre seguridad y sostenibilidad.
• Desarrollo de software seguro: un software seguro no solo protege nuestros datos, sino que también puede impactar significativamente en la huella de carbono. Procesos de desarrollo y gestión de software eficientes minimizan la emisión de actualizaciones frecuentes, reduciendo así la necesidad de recursos adicionales y disminuyendo la huella ambiental asociada a la distribución de software.
• Dispositivos electrónicos: la fabricación y eliminación de dispositivos electrónicos contribuyen en gran medida a la huella de carbono. La seguridad cibernética puede influir en la duración de vida útil de estos dispositivos, afectando la cantidad de residuos electrónicos generados. Estrategias de seguridad que prolongan la vida útil de los dispositivos también contribuyen indirectamente a la sostenibilidad ambiental.
• Teletrabajo y movilidad: la creciente tendencia hacia el teletrabajo y la movilidad destaca la importancia de las infraestructuras de red seguras. Garant<izar la ciberseguridad en estas redes es esencial, pero también puede afectar el consumo de energía asociado con la transferencia de datos. Un enfoque equilibrado entre la seguridad y la eficiencia energética es crucial para la sostenibilidad en un mundo cada vez más conectado.
• Concientización para un futuro sostenible: la concientización y la educación en ciberseguridad desempeñan un papel fundamental en la creación de prácticas sostenibles. Al implementar buenas prácticas de seguridad, no solo reducimos la probabilidad de ataques cibernéticos, sino que también minimizamos la necesidad de respuestas reactivas que podrían aumentar el consumo de recursos. La educación en seguridad cibernética puede, de hecho, ser un catalizador para un futuro más sostenible.

¿Qué empresas se pueden ver obligadas a calcular su huella de carbono?

Si bien se creó el Registro de huella de carbono a través del Real Decreto 163/2014, de 14 de marzo, su finalidad únicamente era la de recoger los esfuerzos de las organizaciones españolas en el cálculo y reducción de las emisiones de gases de efecto invernadero que genera su actividad. Siendo así, era de carácter voluntario.

Sin embargo, con la entrada en vigor de la Ley 7/2021, de 20 de mayo, de Cambio Climático y Transición Energética, el cálculo de la huella de carbono de las empresas pasará de ser voluntario a obligatorio tras la Disposición Final Duodécima de esta ley. En este sentido, el Gobierno ha emitido un comunicado donde establece que a través del borrador del Real Decreto 165/2014 se plantea que las empresas afectadas por la Ley 11/2018, de 28 de diciembre, deberán calcular su huella de carbono y disponer de un plan de reducción.

Por otro lado, diversas comunidades autónomas han desarrollado sus propios requisitos con el fin de que las organizaciones calculen de forma obligatoria su huella de carbono. Un ejemplo de esto es el Registro Balear y el Registro Canario.

¿Cómo se calcula?

La huella de carbono que genera cada fuente de emisión es el resultado del producto del dato de consumo (dato de actividad) por su correspondiente factor de emisión:

• 𝐷𝑎𝑡𝑜 𝐴𝑐𝑡𝑖𝑣𝑖𝑑𝑎𝑑: es el parámetro que define el nivel de la actividad generadora de las emisiones de gases de efecto invernadero. Por ejemplo, cantidad de gas natural utilizado en la calefacción (kWh de gas natural).
• 𝐹𝑎𝑐𝑡𝑜𝑟 𝐸𝑚𝑖𝑠𝑖ó𝑛: es la cantidad de gases de efecto invernadero emitidos por cada unidad del parámetro “dato de actividad”. Por ejemplo, para el gas natural, el factor de emisión sería 0,202 kg CO₂ eq/kWh de gas natural.

En base a esta fórmula, existen varias metodologías para el cálculo de la huella de carbono (UNE-ISO 14064, GHG Protocol, etc.).

¿Qué datos son necesarios?

Es necesario conocer, al menos, los datos de consumo de los combustibles fósiles (en las oficinas, maquinaria, almacenes, vehículos, etc.) y de electricidad para un año determinado, así como sus correspondientes factores de emisión. Adicionalmente, se puede incluir otras emisiones indirectas distintas a la electricidad como son los viajes de trabajo con medios externos, los servicios subcontratados como la gestión de residuos, etc.

¿Cuáles son las fases para calcular la huella de carbono?

Las fases para el cálculo de la Huella de Carbono son:

1. Escoger el año de cálculo.
2. Establecer los límites de la organización y los operativos.
3. Recopilar los datos de consumo (datos de actividad) de estas operaciones.
4. Es conveniente acompañar el primer esfuerzo de cálculo de la huella con la implantación de un sistema de recogida de información. El objetivo es facilitar la tarea en años sucesivos y asegurar la calidad y exhaustividad de los datos. Además, estos datos deberán estar respaldados por facturas u otros.
5. Realizar los cálculos multiplicando los datos de actividad por los factores de emisión.
6. Una vez que se conoce cuánto y dónde se emite, reflexionar sobre los puntos donde actuar para reducir las emisiones. Esto quedará reflejado en un plan de reducción que debería incluir las medidas que se prevé llevar a cabo, así como la cuantificación de la estimación de las reducciones que conllevarían. Es recomendable la inclusión de un cronograma en el plan.

Global Technology y la protección ambiental

Global Technology se destaca como la elección primordial para calcular la huella de carbono por varias razones fundamentales. Contamos con un equipo de expertos altamente calificados y tecnología innovadora que garantizan cálculos precisos y eficientes. Nuestro enfoque integral abarca desde emisiones directas hasta impactos ambientales indirectos. Destacamos por ofrecer soluciones personalizadas y adaptadas a las necesidades específicas de cada cliente, demostrando nuestro compromiso con la satisfacción del cliente. Además, nuestra transparencia en los procesos y certificaciones reconocidas en sostenibilidad refuerzan la credibilidad de nuestros servicios, asegurando a nuestros clientes un socio confiable en la gestión de su huella de carbono.

La entrada La huella de Carbono de una Organización se publicó primero en 4Elitech.

La norma ISO/IEC 27001 y, conforme a ella, su guía de desarrollo ISO/IEC 27002, proveen de un marco estandarizado para el establecimiento, implementación, mantenimiento y mejora de un Sistema de Gestión de Seguridad de la Información (SGSI) basado en las mejores prácticas nacional e internacionalmente reconocidas. En este sentido, adoptan un enfoque holístico y necesariamente adaptable a los cambios del entorno, para garantizar su eficacia y utilidad práctica. Es por ello que, con base en los cambios del contexto de la seguridad de la información derivados del avance tecnológico, el desarrollo de los servicios en la nube y las nuevas formas de gestionar los activos, servicios y procesos productivos se haya visto en la necesidad de introducir con su actualización 2022 una serie de modificaciones, especialmente pronunciadas en la norma ISO/IEC 27002.

Modificaciones en la estructura de la norma

  Con base en estas modificaciones, se observa que la norma ISO/IEC 27001/2022 mantiene la misma estructura que su predecesora, conformada por siete capítulos que desarrollan a lo largo de sus capítulos cuatro al diez los requisitos normativos básicos para el establecimiento de un SGSI. Por su parte, la norma ISO/IEC 27002/2022 propone un nuevo enfoque organizativo para la gestión de los controles y requisitos de seguridad de la información, pasando de contar con catorce capítulos, treinta y cinco categorías y ciento catorce controles en su versión anterior, a agrupar sus actuales noventa y tres controles en cuatro categorías (organizacionales, personales, físicos y tecnológicos), acercándose de esta forma a la estructura del Esquema Nacional de Seguridad. Ello supone que algunos controles de su predecesora se han fusionado, otros se han suprimido y algunos otros de nueva creación han sido incorporados en respuesta a las necesidades de un contexto cambiante y en continuo desarrollo. Por ello, a continuación, nos centraremos en explicar los principales cambios y novedades que incorpora la versión 2022 de la norma.

Nuevos controles ISO/IEC 27002/2022

Entre los nuevos controles incorporados, destacan los relativos al análisis de las amenazas, la gestión de los servicios Cloud, la reducción de la superficie de exposición y el desarrollo seguro de software. A continuación, se exponen una breve descripción de estos, aludiendo al número de control referenciado en la norma.

• Inteligencia de amenazas (control 5.7): alude a la necesidad de recolectar información sobre las amenazas que afectan a los sistemas de información con el objetivo de analizarlas y conocerlas, a fin de aprender de las mismas y prevenirlas.
• Seguridad de la información en el uso de servicios Cloud (control 5.23): establece la necesidad de implementar procesos para la adquisición, uso y gestión de los servicios Cloud.
• Filtrado de web (8.23.): se preocupa por la gestión de acceso a páginas web externas con el objetivo de reducir la exposición de los sistemas a contenido potencialmente malicioso.
• Codificación segura (8.28): fomenta el deber de establecer principios de codificación segura en los procesos de desarrollo de software.

Controles fusionados respecto a la versión anterior

Múltiples elementos y aspectos de la seguridad a los que se hacía referencia en controles separados en la normativa anterior se han fusionado en aras de simplificar su gestión. Aunque un análisis pormenorizado de todos estos cambios supera el alcance de este artículo, a continuación, se ofrecen algunos ejemplos que buscan evidenciar la razón lógica que ha propiciado dicha unificación de controles, en los que se identifican tanto los controles de la versión anterior, cómo el resultado de su fusión:

• Los controles para el inventario de activos y propiedad de los activos (8.1.1 y 8.1.2, respectivamente) se unifican bajo un control más amplio denominado 5.9. Inventario de la información y otros activos.
• El control sobre transmisión de la información (5.14.), unifica los anteriormente denominados políticas y procedimientos de intercambio de información (13.2.1), acuerdos de intercambio de información (13.2.2) y mensajería electrónica (13.2.3).
• Entrada física (7.2): unifica los anteriores controles físicos de entrada (11.1.2), y áreas de carga y descarga (11.1.6)
• El actual uso de criptografía (8.24), unifica la política de uso de los controles criptográficos (10.1.1) y la gestión de claves (10.1.2)

Otros cambios significativos

Se ha de destacar el énfasis que hace la nueva norma ISO/IEC 27002/2022 a la gestión de proveedores. En este sentido, se opta por un control mucho más exhaustivo centrado en la totalidad de la cadena de suministro para el análisis de las posibles lagunas de seguridad, reflejándolo en los siguientes controles:

• Seguridad de la información en relaciones con proveedores (control 5.19.).
• Seguridad de la información en acuerdos con proveedores (control 5.20.).
• Seguridad de la información en la cadena de suministro TIC (control 5.21.).
• Monitorización, revisión y cambio de la gestión en servicios de proveedores (control 5.22.).

En conclusión, la actualización de la norma ISO/IEC 27001/2022 se adecúa al contexto actual de la seguridad de la información, proponiéndonos una estructura de gestión más similar a la que propone el Esquema Nacional de Seguridad. Ello favorecerá la integración de ambos marcos de referencia en las organizaciones y, por ende, facilitará su aplicación práctica, ya que ofrece una simplificación que sin duda busca fomentar su cumplimiento. Por ello, el área de GRC de  nos ponemos a su disposición tanto para la implementación de Sistemas de Gestión de Seguridad de la Información desde sus inicios, como para la adecuación de su sistema de gestión a los nuevos criterios y requisitos normativos, de una manera eficaz y eficiente para su organización.

La entrada Cambios y novedades en la norma ISO/IEC 27001/2022 y su guía de desarrollo ISO/IEC 27002/2022 se publicó primero en 4Elitech.

Dicha Ley Orgánica, por medio de su disposición final segunda, modifica el Artículo 13 de la mencionada Ley 8/2011, relativo al deber de colaboración de los Operadores Críticos con las autoridades competentes del Sistema de Protección de Infraestructuras Críticas para optimizar la seguridad de las mismas, y las obligaciones de dichos Operadores para dicho fin.

En concreto, mediante la modificación de los apartados c) y d) de dicho artículo viene a determinar la obligación de los Operadores Críticos a acreditar tanto en el Plan de Seguridad del Operador, cómo en sus Planes de Protección Específicos la implantación de las medidas exigidas por la autoridad competente a través de la certificación oportuna.  Es decir, viene a realzar la importancia de la certificación de las medidas de seguridad implementadas tanto como la de la elaboración de los mismos planes. De este modo, se afianza la obligación de los Operadores Críticos a certificar sus Infraestructuras en aquellos estándares de referencia para la seguridad integral de estas.

Con ello, la Ley PIC, se alinea con otras normativas legales que ya preconizan dicha obligatoriedad, tales como el Real Decreto 43/2021, de 26 de enero, por el que se desarrolla el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información; y el Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (ENS). Ambos en materia de seguridad de la información.

Actualmente desconocemos cuál será el sistema de certificación o método aceptado para dar cumplimiento a estos requisitos legales, por lo que deberemos estar pendientes de las futuras indicaciones normativas y/o reglamentarias, al respecto.

Además de las modificaciones anteriores, se añade una nueva obligación para los Operadores Críticos a través de la inclusión, en el mencionado Artículo 13, del nuevo apartado h) el cual establece la necesidad de … «Constituir un Área de Seguridad del Operador, de la manera que reglamentariamente se determine»…; de lo que se deduce la obligación de adecuación de sus estructuras organizativas al criterio de la seguridad integral establecido para las instalaciones de los Operadores Críticos.

A nuestro entender, esta primera modificación de la Ley PIC vaticina la próxima y realmente necesaria, llegada de una actualización normativa para la seguridad de las Infraestructuras Críticas.

Tal vez, con unos mayores niveles de exigencias en los criterios y requisitos de seguridad de estas y más orientada a procesos de certificación como lo es el caso del ENS.

Desde el equipo técnico y comercial de Global Technology, manteniendo nuestro compromiso de servicio, realizamos seguimiento permanente de las actualizaciones legales y reglamentarias, con el objetivo de mantener informados a nuestros clientes y al público en general, sobre los cambios que puedan afectar la gestión de su instalación y organización.

Del mismo modo, nos mantenemos al día de las exigencias y requisitos normativos para desarrollarlos en nuestros servicios; y asesorar así a nuestros clientes, incorporando soluciones de mejora, eficaces y eficientes, en beneficio de la gestión de su seguridad integral.

La entrada Modificación de la ley PIC, primera actualización en más de diez años. se publicó primero en 4Elitech.

En la actualidad, la información es una pieza clave e incluso vital para toda organización por ello hay que protegerla como un activo crítico para el desarrollo y la continuidad de la actividad empresarial. Es de vital importancia asegurar que la información esté disponible, actualizada, sea veraz y accesible para el personal autorizado siempre que se necesite. Un fallo en la seguridad que comprometa la información sensible de una empresa puede suponer graves perjuicios para esta y la seguridad de sus instalaciones.

Como ejemplo, pensemos en una instalación portuaria, la filtración de algo tan simple como un cuadrante de turnos de guardias de seguridad y relevos, o del posicionamiento o estado de las cámaras de videovigilancia, puede suponer una enorme brecha para la seguridad física de la instalación, ya que proporciona pistas a los delincuentes que facilitan la intrusión sin ser detectados.

Con la digitalización de la industria, y la evolución de las denominadas tecnologías de la información, los sistemas informáticos se han convertido en el motor que sustentan la gran mayoría de los servicios y cadenas de producción actuales y un fallo de disponibilidad en estos puede llegar a inutilizar la operativa de una gran organización e incluso hacerla colapsar.

En este caso, no tenemos que pensar en sistemas críticos y complejos de alta seguridad de los que nos muestran en películas de acción en las que un fallo informático genera el fin del mundo. Siguiendo con el ejemplo anterior, pensemos en la cantidad de vehículos que acceden a un puerto a lo largo del día, un simple fallo en la gestión de accesos de vehículos a una instalación portuaria, que dificulte la circulación del tráfico, puede suponer un colapso de las vías de comunicación, no sólo de la instalación sino incluso de toda la ciudad que la alberga.

A todo ello se suma el aumento exponencial de la ciberdelincuencia año tras año, y el desarrollo del cibercrimen y los ataques dirigidos a infraestructuras tanto públicas como privadas. Que además en los últimos meses se ha disparado en base al conflicto bélico entre Rusia y Ucrania, ya que las corporaciones organizadas del cibercrimen y los ciberdelincuentes aislado han utilizado la tesitura para enmascarar y aumentar en gran medida sus actividades delictivas.

Necesidad y obligatoriedad

En este contexto, la preocupación por los sistemas de información y la seguridad de los mismos es de vital importancia. En particular en el Sector Público y los organismos que lo componen como garante del bienestar de todos los españoles. En base a dicha preocupación, se hace necesaria una estandarización de los requisitos y pautas de seguridad para los sistemas de información y en virtud de ello una unificación normativa para la adecuación de este sector a unos adecuados niveles de seguridad.

Por ello, tal y como establece la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, el Esquema Nacional de Seguridad, en adelante ENS, tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos en el ámbito del sector público.

Esta la constituyen los principios básicos y requisitos mínimos que garanticen adecuadamente la seguridad de la información tratada; y como finalidad, la creación de las condiciones necesarias de confianza en el uso de los medios electrónicos mediante la aplicación de medidas que garanticen la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos.

Dicha Ley es de obligado cumplimiento para los organismos que conforman el Sector Público.

¿Cuáles son los organismos que conforman el sector público?

El artículo 2 de la mencionada Ley identifica los organismos que forman parte del sector público, entre los que se incluye el sector público institucional, según la cual, “tienen la consideración de Administraciones Públicas la Administración General del Estado, las Administraciones de las Comunidades Autónomas, las Entidades que integran la Administración Local, así como los organismos públicos y entidades de derecho público” …;y aquellas de derecho privado… “vinculados o dependientes de las Administraciones Públicas”. Por ello, con carácter genérico, a excepción de los casos con legislación específicas excluyente, toda entidad perteneciente al sector público y aquellas de derecho privado vinculadas o dependientes, bajo la aplicabilidad de la Ley 40/2015 tiene la obligación de adecuarse al ENS en base al Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica (mod. 04/11/2015).

Siguiendo con nuestro ejemplo, en el Sector Portuario, las 28 Autoridades Portuarias que gestionan los 46 puertos de interés general, pertenecientes al Sistema Portuario español de titularidad estatal, como entidades vinculadas al Organismo Público Puertos del Estado, el cual se rige por su normativa específica, por las disposiciones de la Ley General Presupuestaria que le sean de aplicación y, supletoriamente por la Ley 40/2015; tienen la obligatoriedad de adecuarse al ENS.

¿Qué aporta el ENS?

El ENS aporta un marco de gestión para la seguridad de la información a través de un enfoque integral y holístico, bajo la premisa de que la debilidad de un sistema la determina su punto más frágil.

La adecuación de las organizaciones a la implementación de las medidas de seguridad preconizadas en este proporciona un aumento de los niveles de seguridad de la información desde el primer momento y un marco de trabajo para la mejora continua de la misma.

Además, su certificación es una prueba de que la organización cumple con unos criterios mínimos de seguridad de la información y se adecúa a los requisitos legales, pudiendo ser, a parte de una mejora en el ámbito de la seguridad, una defensa ante posibles sanciones legales en caso de producirse incidentes de seguridad.

Por otra parte, su cumplimento y certificación, también aporta un aumento de la confianza de partners, proveedores y clientes en la organización y mejora la imagen corporativa.

La necesidad de proveer a las Administraciones Públicas de un Sistema de Gestión de la Seguridad de la Información estandarizado como lo es el ENS, viene determinada por el deber de la administración a con los ciudadanos y su seguridad, así como a la interoperabilidad de los sistemas y soluciones adaptadas por cada uno de sus componentes en sus relaciones entre si y con sus órganos, organismos públicos y entidades vinculados o dependientes a través de medios electrónicos.

El objetivo de estos debe ser el de garantizar la seguridad de la información, la protección de los datos de carácter personal y la disponibilidad y continuidad de los servicios prestados.

¿Cuáles son los principios básicos del ENS?

El ENS establece seis principios básicos a tener en cuenta en la toma de decisiones en materia de seguridad, La seguridad integral, la gestión de riesgos, la prevención, reacción y recuperación ante incidentes, el establecimiento de la seguridad por capas en distintas líneas de defensa, la reevaluación periódica en virtud de la identificación de puntos de mejora; y la separación de funciones que permita ver la seguridad como una función diferenciada y respete el principio de independencia.

¿En que categorías o niveles se implementa el ENS?

La adecuación a los requisitos de seguridad del ENS se puede realizar en base a tres categorías, Básica, Media y Alta, en función del nivel de seguridad requerido por el Sistema de Información a proteger, las dos últimas son certificables y, por tanto, requieren de procesos de auditoría de certificación, mientras que, la categoría básica no requiere de certificación.

La Serie 800 de las Guías CCN-STIC de Seguridad de los Sistemas de Información y Comunicaciones, Del Centro Criptológico Nacional, proporcionan un marco de referencia para el correcto desarrollo y adecuación al ENS en cualquiera de sus categorías.

Consejos en la implementación de un Sistema de Gestión de Seguridad de la Información

A la hora de implementar un Sistema de Gestión basado en el ENS, cabe tener en cuenta algunas premisas de peso. El correcto desarrollo e implementación de un proyecto de adecuación al ENS en cualquier organización dependerá de la participación de todo su personal en la implementación y aceptación de los cambios operativos derivados del mismo. Por ello, la experiencia nos dice que es de vital importancia hacer partícipes del proyecto al personal en general informándoles y concienciándoles de la criticidad de este.

También es importante contar con el apoyo y la participación activa en el proyecto de los responsables y el equipo de sistemas ya que serán los encargados de implementar todas las medidas tecnológicas derivadas de la adecuación al ENS.

Debemos tener en cuenta que el éxito del proceso de implementación dependerá tanto de la implicación del personal implicado como del apoyo de la Dirección, pudiendo oscilar entre los tres y seis meses en el mejor de los casos.

En cuanto a los costes de implementación dependerán mucho del puto de partida del proyecto y de las condiciones en las que se encuentren los sistemas de información al inicio de los trabajos. Por ello, es recomendable realizar una auditoría previa de evaluación de conformidad, para valorar y priorizar las necesidades reales e identificar posibles gastos extraordinarios.

Global Technology ha participado en una infinidad de proyectos de adecuación al ENS de diversas organizaciones de múltiples sectores y tamaños, apoyándoles durante todo el proceso de diseño e implementación; y acompañándolos durante la certificación. Su equipo de profesionales cuenta con amplia experiencia en la gestión e implementación de proyectos de seguridad de la información basados tanto en el ENS como en muchas otras normativas de seguridad de la información de referencia nacional e internacionalmente reconocidas.

Global Technology pone a su disposición toda su experiencia de sus profesionales, para ofrecerle, de manera integral, los servicios necesarios para facilitar la adecuación de su organización al cumplimiento del Esquema Nacional de Seguridad en cualquiera de sus categorías, a través de proyectos a medida que priman la eficacia y eficiencia de los procesos, reduciendo de este modo los costes de implementación.

La entrada Esquema Nacional de Seguridad (ENS): necesidad, obligatoriedad, peculiaridades y beneficios se publicó primero en 4Elitech.

El objeto del presente artículo es profundizar, de la forma más escueta y somera posible, en la cada vez más evidente y necesaria interrelación entre la seguridad de las organizaciones y el cumplimiento normativo. A través de una breve introducción al desarrollo de la transformación conceptual que ha sufrido la seguridad en las últimas décadas, y cómo esta trasformación ha llevado a la concepción de la seguridad bajo un enfoque holístico que aglomera multitud de frentes de actuación en base a la demanda social y legal. Centrándonos posteriormente, en la preocupación por la seguridad de las corporaciones empresariales, y el cómo debe ser entendida la misma, analizando parte del conjunto de este enforque holístico de la seguridad, incluyendo, la seguridad física, la ciberseguridad y el cumplimiento normativo. Para ello, a través de algunos ejemplos, evidenciaremos cómo dicho enfoque, o la falta de este, puede influir de cara a minimizar los riesgos, mejorar la resiliencia organizacional y asegurar la continuidad del negocio.

A lo largo de los años el concepto de la seguridad ha sufrido una importante evolución, en base principalmente a tres factores, el desarrollo tecnológico, la apreciación de los riesgos y su globalización; y la creciente preocupación social por la gestión de riesgos en demanda de su seguridad. Dichos factores han derivado en que la seguridad abarque cada vez más áreas de desarrollo, puesto que, se ha pasado de una concepción de la seguridad preocupada principalmente por la gestión de riesgos locales y el desarrollo e implementación de medidas de protección físicas a las instalaciones; a una visión de la seguridad, enfocada en la responsabilidad social.  Tras la evidente globalización de los riesgos y su afección a la sociedad como conjunto, apoyado en el desarrollo del enfoque de la seguridad humana (Informe sobre el desarrollo Humano, PNUD, 1994). Este desarrollo conceptual y cambio de paradigma se refleja a su vez en un continuo desarrollo legal y normativo que exige a las organizaciones una mayor preocupación por la gestión de riesgos y la seguridad.

Podríamos decir entonces que la seguridad de las organizaciones, entendida como la correcta gestión de sus riesgos es, mayoritariamente, una demanda social reflejada en parte a través de la normativa legal y regulatoria. Esta es evidente cuando se ponen sobre la mesa conceptos tales como riesgo reputacional, imagen corporativa o reputación de marca, y cómo los incidentes de seguridad afectan considerablemente a estos generando un impacto directo sobre el desarrollo de negocio y, por ende, en la facturación de las organizaciones. Pues la merma de confianza en la organización hace que, desde una perspectiva puramente económica, el impacto de un incidente de seguridad no se limite únicamente al valor monetario de la recuperación de los activos afectados por el incidente, si no también, a los perjuicios a la facturación durante el mismo, y la perdida de beneficios derivados del detrimento la cuota de mercado a consecuencia de este. Además, de las repercusiones económicas derivadas de las posibles sanciones por incumplimiento legal, en caso de demostrarse que dicho incidente ha sido derivado de una falta de medidas de seguridad o, una mala aplicación de las misas.

Cabe destacar, en materia de seguridad de la información y ciberseguridad, cómo desde la entrada en vigor de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, las repercusiones del incumplimiento legal y regulatorio se han multiplicado considerablemente. Así pues, si analizamos los datos de las sanciones emitidas por la AEPD en los últimos tres años, vemos como ha habido un creciente aumento en el número de sanciones y un importante endurecimiento en el importe económico de estas. Durante 2021 ha habido sanciones con importes mayores a la suma de los importes de las sanciones totales de los dos años anteriores. Tendencia que, realizando una breve comparativa con el contexto europeo en la materia, no cabe duda continuará aumentado.

Por todo ello, se hace necesario para las organizaciones preocuparse por la seguridad para asegurar su continuidad de negocio y su posicionamiento en el mercado, en base a la gestión de sus riesgos, disminuyendo su vulnerabilidad y aumentando su resiliencia ante la afección de incidentes de seguridad y crisis reputacionales. Y es en base a asegurar dicha continuidad y posicionamiento empresarial en la que una concepción integral de la seguridad, desde una perspectiva holística, es primordial para la identificación y gestión de riesgos.

Una perspectiva holística de seguridad significa proveer a la organización de los mecanismos necesarios para enfocar las distintas áreas de la seguridad como un todo, proveerla de una visión de conjunto que consiga identificar los riesgos que le afectan y sus interrelaciones, incluir la gestión de riesgos desde el diseño en cada uno de los proyectos de la organización; y mantener un equilibrio constante entre las medidas de seguridad físicas, la ciberseguridad y el cumplimiento normativo. Todo ello desde una perspectiva tanto económica, preocupándose por los beneficios para la organización; como ética, preocupándose por mantener los niveles de seguridad y el compromiso demandados por la sociedad. A priori, se puede pensar que este enfoque requiere una mayor inversión, pero lo que realmente requiere es un mayor análisis en el diseño de la seguridad, las medidas a implementar, su eficiencia y eficacia.

La implementación de este enfoque requiere principalmente centrarse en dos objetivos operativos para la seguridad, el equilibrio entre las distintas áreas y la mejora continua. Es decir, de nada vale tener unas instalaciones con maquinarias de última generación protegidas por los mejores dispositivos del mercado en seguridad física y gestión de accesos vallados perimetrales, sensores, cámaras, etc., si el sistema de control que los gestiona está obsoleto y no cuenta con soporte técnico de seguridad, o si no tenemos un sistema de ciberseguridad que lo proteja frente a amenazas cibernéticas y cumpla con los requisitos legales. Por el contrario, tampoco sirve de nada grandes inversiones en equipos cibernéticos e implementaciones de CPDs, Firewalls, etc., si no atendemos a las condiciones de seguridad física de estos equipos, en habitaciones acondicionadas para ello, con elementos de resistencia al fuego, climatización, etc. De nada nos sirve tener una instalación con mil cámaras de seguridad en alta definición, si sólo tenemos una persona detrás del control de dichas imágenes; o implementar medidas de backups de los sistemas informáticos en el mismo entorno físico y cibernético que nuestro elemento principal; o almacenar los equipos de red en armarios de seguridad en las zonas de paso y dejar las llaves puestas en dicho armario. Puede parecer que este tipo de situaciones son una exageración, pero la realidad es que siendo honestos, si estamos atentos a nuestro alrededor es el día a día de muchas organizaciones. Por ello, un enfoque holístico de la seguridad, centrado en la equidad y la mejora continua debe tener en cuenta todos los aspectos de manera conjunta y priorizar las inversiones en seguridad de manera equitativa, previniendo gastos innecesarios, anticipándose a gastos futuros y adecuando las inversiones al cumplimiento normativo.

Por su parte, en lo que al cumplimiento normativo se refiere, en el ámbito de la consultoría nos encontramos día a día con organizaciones que basan la adjudicación de sus contratos únicamente en el criterio económico, decantándose por aquellos proveedores que implementan los sistemas de gestión de seguridad a un menor importe, el cual normalmente se reduce de las acciones necesarias para la implementación real de las políticas y procedimientos diseñados, la formación al personal y las acciones de concienciación. La realidad de dichas organizaciones suele ser que lo que reflejan sobre el papel dista mucho de su operativa real, y que las implementaciones de seguridad no llegan nunca a ponerse en práctica. Cuentan con procedimientos y procesos definidos que su personal desconoce y criterios de seguridad no aplicados en sus instalaciones. En estos casos, ante un incidente de seguridad, y una posible sanción, no vale únicamente con contar con las certificaciones vigentes, también se debe demostrar que esas certificaciones se sustentan con la operativa diaria y que el cumplimiento es real.

En conclusión, Las pérdidas económicas de un incidente de seguridad para una organización son la suma del coste del impacto del incidente en primera instancia, el detrimento de los posibles ingresos no percibidos por la pérdida de cuota de mercado y las sanciones derivadas de las consecuencias de un posible incumplimiento legal. La mejor forma de protegerse ante dichos incidentes es mantener un enfoque holístico de la seguridad que permita una simbiosis entre las diferentes disciplinas, sistemas y áreas que influyen en la misma para desarrollar los mecanismos necesarios para el diseño e implementación de planes de actuación y mejora continua en base a un modelo de equidad, eficacia y eficiencia que se adapte a las necesidades y posibilidades de cada organización.

Global Technology cuenta con profesionales, expertos en los diferentes ámbitos de la ciberseguridad, la seguridad de la información, la seguridad corporativa y el cumplimiento normativo, que conforman equipos de trabajo multidisciplinares, permitiéndole prestar a sus clientes servicios de seguridad integral que proporcionan dicho enfoque holístico a la seguridad corporativa, teniendo en cuenta los diferentes factores de riesgos en todos sus proyectos y ofreciendo soluciones adaptadas a sus necesidades.

La entrada Seguridad y Cumplimiento Normativo, simbiosis para un enfoque holístico de la seguridad se publicó primero en 4Elitech.

Para entender la creciente relación entre cumplimiento normativo, seguridad y el beneficio económico de nuestro negocio debemos comprender mejor qué abarca la seguridad, cómo se relaciona con el cumplimiento normativo y cómo afectan estos a nuestra empresa. Para ello, debemos hacernos una pequeña idea sobre a qué nos referimos cuando nos referimos a imagen corporativa, posicionamiento, continuidad del negocio o resiliencia organizacional de cualquier empresa.

De una manera simple, se podría decir que la imagen corporativa es la idea que tienen los clientes, o posibles clientes, de un negocio y lo que hace, la calidad que perciben de sus productos o servicios. Esa imagen influye en la confianza que tienen las personas en cualquier empresa y definirá el valor que le dan respecto al de sus competidores o, dicho de otra forma, su posicionamiento en el mercado o en el sector que desarrolla la actividad empresarial. La imagen corporativa influye directamente en el valor de un negocio y sus servicios. Generalmente, una empresa que se percibe con mayor calidad de productos o mejores servicios vende mucho más.

Por otra parte, cuando se habla de continuidad del negocio, se habla de la capacidad de las empresas para asegurar que su actividad se realizará de manera continuada en el tiempo; y para asegurar esa continuidad, las empresas necesitan diseñar estrategias e implementar medidas de seguridad frente a los imprevistos, incidentes o cualquier circunstancia que amenace esta, así como, estar preparadas para adaptarse a los cambios y retos que puedan surgir en su entorno. Dicho de otro modo, ser resiliente, es decir, tener la capacidad para enfrentarse a los riesgos, y adaptarse a los imprevistos y/o cambios del entorno de la mejor y más rápida forma posible para asegurar la continuidad de la actividad.

El cumplimiento normativo en las empresas muchas veces es visto como algo secundario, de menor importancia, que genera gastos, acapara recursos y tiempo, y que aporta poco valor. Pero, es cada vez más evidente el impacto que tiene en las empresas y los beneficios que aporta. Se debe cambiar la percepción del cumplimiento normativo y pasar de verlo como un gasto a verlo como una inversión. Para ello, debemos tener clara, sin lugar a duda, la importancia y el impacto de este en el desarrollo del negocio y, por qué influye en su seguridad.

Cuando se habla de seguridad, tradicionalmente se piensa en la seguridad física. En lugares y ubicaciones seguras frente al accesos de ladrones, en poner puertas seguras, barreras, alarmas, cámaras y todo para prevenir robos en el interior de un local. Pero la realidad, es que la visión de la seguridad ha cambiado considerablemente. Desde hace ya algunos años, la seguridad abarca muchas más acciones, preocupaciones y necesidades de las que se consideraban de manera tradicional.  La seguridad de las empresas va mucho más allá de proteger sus bienes frente al robo, la manipulación o, la destrucción de estos. Ahora, el objetivo de la seguridad pasa de centrarse en la búsqueda de la protección a, preocuparse por la implementación de todas las medidas necesarias para tratar los riesgos que amenazan el correcto funcionamiento de la actividad diaria de las empresas, para asegurar la continuidad del negocio.

Entre las múltiples preocupaciones actuales de la seguridad, además de las medidas de seguridad física, se encuentran: la protección de la información relevante para la empresa, entendida como aquella información que si se conociese por personas ajenas a la empresa podría causar un daño a la misma; la protección de los sistemas y equipos informáticos o ciberseguridad, la protección frente a los cambios imprevistos que puedan ocasionar daños a la organización, la protección de la reputación de la empresa o imagen corporativa; y el cumplimiento normativo entre otros. Todas estas preocupaciones se entremezclan e interactúan de manera que, los riesgos que afectan a alguna de ellas causan a su vez repercusiones graves en las otras, afectando al correcto desarrollo de la actividad y causando daños o perdidas de oportunidades, que a su vez se traducen en pérdidas económicas.

Uno de los factores que cada día más influye en la seguridad y el desarrollo de negocio de las empresas es el cumplimiento normativo. Independientemente del sector de actividad o el tamaño del negocio, el cumplimiento normativo está presente siempre en mayor o menor medida y puede marcar la diferencia entre el crecimiento empresarial o el cierre total de la actividad. Bien estructurado, el cumplimiento normativo puede ser un escudo que proteja a la empresa ante muchos riesgos y un salvavidas para el desarrollo de cualquier negocio. Por el contrario, mal gestionado, puede ser el arma que lo hiera y el ancla que lo frene o incluso lo hunda.

A las empresas se les exige el cumplimiento de unas determinadas leyes para el desarrollo de su actividad, la mayoría de estas leyes cuentan con régimen sancionador en caso de incumplimiento. que se traducen en multas considerables, retirada de licencias, e incluso, cese de actividad, etc. Además, la competencia empresarial, y en muchos casos los clientes, exigen que las empresas cumplan con determinadas normas y buenas prácticas reconocidas que avalen y certifiquen que realizan su actividad de la mejor manera posible. Siendo percibidas las empresas con una mayor implicación y desarrollo del cumplimiento normativo, como aquellas de mayor calidad, los que les proporciona una mejor imagen corporativa, ofreciéndoles una ventaja competitiva frente al resto de empresas de su sector en su entorno.

Independientemente de la mejora a la imagen corporativa y el posicionamiento de las empresas, el correcto desarrollo del cumplimiento normativo es la mejor forma de proteger a nuestra empresa, mejorar su seguridad y su resiliencia ante cualquier incidente. Y un escudo ante multas y sanciones por causas ajenas al control de estas, así pues, una empresa que desarrolla correctamente su actividad, integrando en sus procesos de gestión el cumplimiento normativo, puede estar asegurando la continuidad de su servicio y sus beneficios futuros con independencia de cualquier tipo de incidente. Pero para ello, dicho cumplimiento tiene que ser eficaz y real, no vale simplemente con que se sustente sobre el papel o con poseer las debidas certificaciones. A la hora de la verdad, ante cualquier conflicto o incidente, habrá que demostrar que los procedimientos de cumplimiento normativo están correctamente implementados y se tienen en cuenta en el día a día del desarrollo de la actividad. y ducha acción requiere concienciación, voluntad y tiempo para su implementación.

En muchas ocasiones, en consultoría nos encontramos con licitaciones, proyectos y solicitudes de ofertas, cuyo único criterio de aceptación es el precio, y empresas que ofrecen a los clientes el equivalente a un “llave en mano” de cumplimiento, que no son más que proyectos de documentación estandarizada que se adapta levemente a la estructura del cliente para que este pueda decir que cumple con la normativa de referencia. También, nos encontramos con empresas cuyo interés es únicamente obtener un certificado o cubrir expediente de un requerimiento legal con independencia de si se implementa o no correctamente el procedimiento en su organización.  La realidad de estos proyectos es que la mayoría de las veces son simplemente documentación de un archivo o un plan que no se tiene en cuenta en el día a día de la actividad empresarial y/o no se ejecutan las acciones que contemplan, son nada más un “parche normativo”. Esto se debe a que el coste más elevado del cumplimiento normativo recae sobre los procesos de adecuación e implementación operativa y en los casos en el que el único criterio es el valor económico, lo que se reduce es el tiempo de dedicación que requiere esta labor.

Cualquier persona, con unos mínimos conocimientos, puede escribir un plan, describir un procedimiento de trabajo o incluso adaptar un sistema de gestión a nivel documental a una empresa. La complejidad real proviene de implementar dicho plan en el día a día del trabajo de las personas, en concienciar a los trabajadores del por qué se debe realizar una tarea de una forma concreta, y por qué tras cinco, diez, veinte años o toda una vida realizando una acción, debe modificar sus forma de hacer las cosas, o incluso cómo convencer a la dirección de una empresa de modificar sus procedimientos de trabajo o de que inviertan en los equipos, sistemas, herramientas o elementos de seguridad necesarios para cumplir con la normativa que les aplica.

En definitiva, la seguridad y el cumplimiento normativo van y deben ir de la mano, y la correcta aplicación del segundo, no solo protege a la empresa, sino que la ayuda a ser percibida con mayor calidad y profesionalidad por sus clientes, a desarrollarse y posicionarse en el mercado y a obtener mayores beneficios. Global Technology cuenta con un equipo de consultores con bastante experiencia en la gestión e implementación de proyectos, preocupados y comprometidos con la labor que realizan, que orientan a nuestros clientes durante todo el proceso de implementación de los procedimientos necesarios para la adecuación de cualquier tipo de proyecto.

La entrada Seguridad y Cumplimiento Normativo, juntos y necesariamente revueltos se publicó primero en 4Elitech.

En el día a día de nuestro trabajo como consultores, cada vez más, nos encontramos con diversas organizaciones de múltiples tamaños y sectores, que se hacen este tipo de preguntas. Las siguientes líneas están destinadas a solventar algunas de estas cuestiones, a través de un escueto análisis sobre la normativa legal y regulatoria que gira en torno al Esquema Nacional de Seguridad.

El Esquema Nacional de Seguridad (en adelante ENS) tiene su origen en el ámbito de la regulación normativa de las Administraciones Públicas. nace con el art. 42 de la Ley 11/2007, de acceso electrónico de los ciudadanos a los servicios públicos; y se materializó con la aprobación del RD. 3/2010, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, posteriormente modificado por el RD. 951/2015. El ENS constituye los principios básicos y requisitos mínimos requeridos para una protección adecuada de la información, es decir, establece las directrices para la correcta gestión de la seguridad de la información en su ámbito de aplicación.

El ENS centra dicho ámbito de aplicación en las entidades del Sector Público, tal y como definía el art. 2 de la Ley 11/2007 las entidades y organismos que integraban el sector público. No obstante, dicha ley ha sido derogada en virtud de la vigente Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas. Tanto está ultima, como la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, recogen en su artículo 2. La definición y clasificación de los organismos que forman parte del sector público, ampliando esta definición al incluir como parte de este, al denominado sector público institucional, compuesto por cualesquiera organismos públicos y entidades de derecho, tanto público como privado, vinculadas o dependientes de las Administraciones Públicas; y las Universidades públicas.

A su vez, el art. 156 de la Ley 40/2015 expresa la obligatoriedad por parte de las Entidades y Organismos Públicos que integran el Sector Público Estatal, de adopción y adecuación al Esquema Nacional de Seguridad y establece mediante su disposición adicional cuarta un plazo de tres años para la adecuación a esta normativa. Plazo que finalizó el 1 de octubre de 2018.

Por otra parte, en el ámbito de la Protección de las Infraestructuras Estratégicas el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información, establece para los Operadores de Servicios Esenciales una serie de obligaciones de seguridad. Los requisitos para cumplir dichas obligaciones se desarrollan en el capítulo III del RD 43/2021. Así pues, concretamente en su Art. 6.5. Establece que, dichas medidas de seguridad tomarán como referencia las recogidas en el Anexo II del Real Decreto 3/2010, que desarrolla el ENS. Estando su plazo de desarrollo, adecuación y aplicabilidad supeditado a las exigencias de las autoridades competentes, designadas en función de cada sector estratégico.

Entre los beneficios de que aporta la implementación del ENS para las Infraestructuras Estratégicas destaca la gran versatilidad que obtienen estas para la integración normativa con otros requisitos legales de obligado cumplimiento. Así pues, por ejemplo, en el ámbito de las Infraestructuras Críticas, el tener implementado un Sistema de Gestión de Seguridad de la Información (SGSI) en base al ENS, facilita enormemente la elaboración de los Planes de Seguridad del Operador (PSO) y los Planes de Protección Específicos (PPE) requeridos en el Art.13 apartados c) y d) de la Ley 8/2011, por la que se establecen medidas para la protección de las Infraestructuras Crítica. De igual modo, en el ámbito del Real Decreto 43/2021, por el que se desarrolla el Real Decreto-ley 12/2018, de seguridad de las redes y sistemas de información, el ENS cumple con los criterios y requisitos establecidos en dicha norma, facilitando la adecuación a sus requisitos. A su vez, también facilita el cumplimiento del Art. 32 del Reglamento (UE) 2016/ 679, de Protección de Datos Personales y su normativa de desarrollo.  Todo ello se ve reflejado en una disminución drástica en los tiempos de adecuación y los costes de implementación de estos y otros requisitos normativos.

Independientemente de su obligatoriedad, las organizaciones a las que le es de aplicabilidad el ENS también tienen la obligación de exigir a sus proveedores de servicios que cumplan con al menos los mismos niveles de seguridad que se les exige a estas. Por tanto, la tendencia actual es exigir a dichos proveedores el cumplimiento de lo establecido en el ENS en materia de seguridad de la información e incluso su certificación. hecho que se hace cada vez más presentes en las licitaciones de las Administraciones Públicas.

Por último, y no menos importante, cabe destacar que el cumplimiento del ENS corrobora el compromiso de las organizaciones con la seguridad de la información, y su certificación marca un valor diferencial respecto a la competencia. En la actualidad, dado el avance tecnológico, el desarrollo de la delincuencia y la constante preocupación por la ciberseguridad, está cada vez más presente el cumplimiento normativo en materia de seguridad de la información, siendo un símbolo de confianza y considerándose un valor añadido para cualquier tipo de organización.

En resumen, el ENS es de obligado cumplimiento para las Administraciones Públicas, inclusive el denominado sector público institucional; de especial interés para las Infraestructuras Críticas y los Operadores estratégicos; y proporciona una gran ventaja táctica y competitiva para las organizaciones del sector privado.

La entrada Esquema Nacional de Seguridad, ¿obligatoriedad o buena práctica? se publicó primero en 4Elitech.

Pero definamos qué son esos tres conceptos:

• Confidencialidad de la información: que sólo las personas autorizadas puedan acceder a ella
• Integridad de la información: garantizar que no ha sido manipulada de manera no autorizada.
• Disponibilidad de la información: que pueda ser accedida por las personas autorizadas en el momento en que lo necesiten.

La ISO 27001 define, de manera genérica, cómo se planifica, implanta, verifica y controla un Sistema de Gestión de Seguridad de la Información, comenzando con la realización de un análisis de riesgos y, a partir de este, se va planificando e implementando la respuesta a los mismos hasta lograr su mitigación.

La ISO 27001 es fundamental para gestionar la seguridad de la información en organismos y empresas independientemente de su tamaño, objetivos o estructura.

La certificación de un Sistema de Gestión de Seguridad de la Información en la ISO 27001 es un proceso mediante el cual una entidad de certificación externa, independiente y acreditada audita el sistema, determinando su conformidad con la norma ISO/IEC 27001, verifica su grado de implantación real y cuál es su eficacia.

Obtener una certificación ISO 27001 supone realizar:

• Diagnóstico de la situación inicial a través de entrevistas con los responsables de los departamentos implicados.
• Análisis de riesgos, de todo tipo, no solo de aspectos técnicos relativos a la seguridad en sí, sino también físicos, organizativos y legales.
• Diseño de un Plan de Acción con un cronograma de actuación.
• Elaboración de Políticas y Procedimientos que recojan fielmente los mecanismos a implementar para garantizar la seguridad de la información.
• Planificación de las auditorías tanto internas como externas de verificación y certificación.

Ventajas de contar con un SGSI certificado en la ISO 27001

• Reduce el riesgo de que se produzcan pérdidas o fugas de información en las organizaciones, así como que pueda corromperse al manipularla.
• Al ser un proceso de mejora continua, se hace una revisión constante de los riesgos a los que está expuesta la organización.
• Establece una metodología gracias a la cual se puede gestionar la seguridad de la información de forma clara y concisa.
• Implanta medidas de seguridad para que las personas autorizadas (y solamente las personas autorizadas) puedan acceder a la información.
• Otorga a la organización una garantía frente a clientes y socios estratégicos ya que muestra a la misma como un organismo preocupado por la confidencialidad y seguridad de la información que es depositada en la misma.
• Permite a las organizaciones continuar operando con normalidad en caso de producirse problemas importantes.
• Hace que la organización esté cumpliendo con la legislación vigente en materia de protección de datos (RGPD) y propiedad intelectual.
• Favorece una reducción de los costes al mejorar el funcionamiento de los procesos a través de políticas, procedimientos e instrucciones de trabajo.
• Se convierte en un elemento favorable para la empresa frente a la competencia, pues el contar con un SGSI le hace aumentar su imagen a nivel internacional.
• Facilita la homologación como proveedores. Cada vez más, se solicitan evaluaciones para homologar los proveedores a través de cuestionarios que contemplan aspectos como calidad, medio ambiente, cumplimiento legal o seguridad. Disponer de sistemas de gestión certificados facilita este proceso y ahorra pasar largas, ya que la certificación demuestra que el sistema ha sido auditado por un tercero

• Contribuye al incremento en la motivación del personal, ya que se desempeñan en una organización comprometida con la seguridad de la información.
• Reducimos el riesgo de tener un incidente de seguridad. La certificación no significa «riesgo 0» o «ausencia total de riesgo». Sí, significa disponer de una herramienta eficaz para poder identificar los riesgos y, así, minimizarlos y aumentar el nivel de seguridad.

Además de todo lo anterior, si se llegara a producir un incidente, la certificación nos ayuda a minimizar los daños y contener los costes al haber diseñado un Plan de Continuidad de Negocio.

La entrada ISO 27001: ventajas de estar certificados se publicó primero en 4Elitech.