Antonio Bernabé López CEO UnionSecurity

ISO 27002 y ciberseguridad en la empresa: del control a la formación del usuario

Hoy en día es difícil imaginarnos un mundo sin Internet. Desde compras o reservas, hasta el ocio y el trabajo, pasando por operaciones bancarias, nuestro mundo está conectado en todos los aspectos, y estos además son de lo más diversos. Con el crecimiento exponencial de las operaciones en la Red, la ciberseguridad se ha convertido en un requisito indispensable y al alza.

En ese sentido, las normativas ISO de calidad y los estándares preestablecidos han sido siempre un proceso fundamental para el ámbito empresarial. Vive a caballo entre la concienciación de los empleados y las buenas prácticas preestablecidas por una consultoría e implementadas y establecidas por la propia organización. Como bien sabrá el lector, estamos hablando especialmente de la certificación –tan querida para todos– ISO 27001. Pues bien, este año viene cargado de nuevos retos y, sin duda, uno de los más importantes para el ámbito empresarial será la ISO 27002.

Los controles de la norma ISO 27002 tienen la misma denominación que los indicadores de la ISO 27001. Sin embargo, la diferencia radica en el nivel de detalle realizado en la primera, al ser un proceso extenso con explicación lógica de los sistemas on premise (hardware y software) y a su vez muy veraz.

La diferencia está en que la ISO 27002 distingue entre los controles que son aplicables a una organización determinada y los que no lo son, mientras que la ISO 27001 exige la realización de una evaluación de riesgos sobre cada control para identificar si es necesario disminuirlos y, en caso de ser así, determinar hasta qué punto deben aplicarse.

Las preguntas que podemos hacernos son: ¿por qué existen ambas normas de forma separada?, ¿por qué no han sido integradas utilizando los aspectos positivos de cada una? Pues la respuesta es simple, por utilidad. Si fuera una única norma, sería demasiado compleja y extensa como para que fuera práctica.

Dentro del panorama tecnológico y de la información contrastable de la que ya disponemos (y no solo por organismos oficiales sino por toda la red…), el teletrabajo vino para quedarse y ninguna organización es consciente de los altísimos riesgos e ingentes cantidades de dinero que les puede costar no tener una auditoría personalizada de la ISO 27002.

¿Datos a salvo?

Siempre damos por hecho que nuestros datos están bien guardados, a salvo y a buen recaudo; pero si un usuario entra en la red local de su organización mediante VPN… podemos tener un problema grave, por no decir un problemón. Muchos trabajadores, por desconocimiento de los riesgos que asumen, entran en periódicos digitales a diario desde el ordenador corporativo, a sus cuentas bancarias, realizan compras rápidas en cualquier plataforma de venta online, etcétera. El 85 por ciento de estas personas no mira ni las páginas pop-up bloqueadas ni las cookies ni mucho menos la segmentación de la web visitada. Como diríamos coloquialmente, «to’palante». Con un ordenador corporativo, no sabes dónde te puedes encontrar un keylog, un troyan, un spyware o un ransomware (aparecen hasta en la sopa). Ya podemos tener implementada la última tecnología de antivirus con Inteligencia Artificial más cara del mundo, que si los ‘malos’ deciden entrar, ya buscarán cualquier puerto escucha o vulnerabilidad para conseguirlo.

En este escenario, las mayores aseguradoras a escala internacional se están poniendo de acuerdo para establecer las condiciones de pago en caso de una pérdida de información del asegurado debido a un ataque de cualquier nivel (en este caso no entra en jaque la catástrofe natural o medioambiental). Para proceder a la indemnización, estas entidades pedirán antes el informe ISO 27002 para su posterior peritaje como condición para desembolsar la cuantía que tenga estipulada en el seguro de responsabilidad civil de la organización.

La seguridad en la Red nunca va a existir por defecto en las organizaciones a no ser que se tomen medidas drásticas

Concienciación y formación

Durante la pandemia, muchos trabajadores tuvieron que trabajar desde sus casas y no todas las organizaciones estaban preparadas para ello. Por lo que llegó el boom del ciberdelincuente, que se frotó las manos y pensó: cuanta más gente, más exposición a Internet, más probabilidades de atacar y, como las organizaciones no ponen remedio, pues «blanco y en botella».

Nosotros tenemos la mirada puesta en el futuro, pero lamentablemente la seguridad nunca va a existir por defecto en las compañías/organizaciones a no ser que se tomen medidas drásticas o que se esté aplicando desde un primer momento.

En el presente, ese muro de contención también es imprescindible. Hoy en día, cualquier organización va a tener su información en un sistema digital y este tiene que estar protegido. Pero, ¿realmente tiene su empresa algo que lo demuestre y le proporcione la seguridad que necesita ante un ataque? UnionSecurity sí lo hace.

Esta protección de la seguridad pasa muchas veces desapercibida, pero es un pilar que sostiene nuestro día a día en España y el resto del mundo. Los profesionales que estamos dedicados a ello nos encargamos de estudiar e investigar los fallos en la seguridad y evitar que existan debilidades que los ciberdelincuentes puedan aprovechar.

Desde nuestra posición, destacamos la importancia de que las personas sean conscientes de lo vital que es la seguridad en la Red. Todo aquel que se ponga delante de un ordenador en una organización debe tener unas nociones básicas de ciberseguridad.

Los que trabajamos en este tipo de casos nos encargamos de anticiparnos e intentar que el daño sea el menor posible en caso de ataque. Pero tenemos que matizar que buena parte de esas amenazas se pueden solventar desde la cautela del propio usuario.

Poner el foco en la ciberseguridad es hoy más importante que nunca, porque va de la mano de absolutamente todas las tecnologías.

Aplicar filtros
Convocatoria 37ª edición Trofeos Internacionales de la Seguridad
Convocatoria 37ª edición Trofeos Internacionales de la Seguridad
Presenta tu candidatura para la 37ª edición de los Trofeos Internacionales de la Seguridad