Recentment el BOE ha publicat el RD 43/2021 de seguretat de les xarxes i sistemes d’informació indicant així a les empreses essencials l’obligatorietat de tenir un Responsable de la Seguretat de la Informació (RSI), també coneguda com Chief Information Security Office (CISO), com a la persona experta en la protecció dels sistemes d’informació de les empreses, tindrà les competències per elaborar i supervisar les polítiques de seguretat i les mesures tècniques i organitzatives a implantar a l’organització.
Així doncs, les empreses essencials han d’implementar un Sistema de Gestió de la Seguretat de la Informació (SGSI) i és el Responsable de la Seguretat de la Informació l’encarregat d’operar-lo i gestionar-lo.
Actualment existeixen diferents normatives o marcs reconeguts que regulen un SGSI, com és la ISO/IEC 27001 o l’Esquema Nacional de Seguretat (ENS) en el qual certifiquen aquestes polítiques i mesures tècniques i organitzatives.
Perquè hi hagi una implantació d’un SGSI garantint la seguretat de la informació de les nostres dades recomanem:
- Sponsors interns: és important el suport total de la junta directiva que impulsi totes les polítiques i normes que s’hauran d’aplicar, i sobretot els costos que pot implicar aventurar-se en un projecte com aquest.
- A qui involucrem en el Comitè de Seguretat TIC? Com serà l’encarregat de prendre les decisions transcendentals en matèria de seguretat a l’organització que afectaran a tot l’organisme, és recomanable que sigui un comitè interdisciplinari amb les diferents àrees responsables d’àrea fent èmfasi amb els departaments legals, financers, operació/producció, RRHH, seguretat física i òbviament, Informàtica.
- Elaborar una política de seguretat i normes de seguretat que siguin personalitzades a l’organització:
- Seguretat per Defecte: Els sistemes es configuraran per a proporcionar les funcionalitats mínimes requerides perquè la persona i l’organització assoleixin els seus objectius.
- Zero Trust o Confiança zero: Tot element del sistema que no hagi sigut configurat i estigui configurat per nosaltres, haurà de ser tractat com una amenaça.
- Mínims privilegis: els usuaris i sistemes disposaran dels mínims privilegis i accessos per a l’operativa diària, i s’implementaran els processos d’autorització necessaris per a tasques fora dels habituals.
- GAP Analisys, anàlisis d’insuficiències inicials, hem de ser molt objectius en aquest punt per evitar desviacions i possibles sobre costos. Amb aquest anàlisis tindrem una serie tasques i projectes a implementar i assignar-ho correctament a la persona adequada.
- Definir una matriu RACI i establir sessions de controls trimestrals per al seguiment dels projectes identificats.
- Escollir un bon software i metodologia de Gestió de Riscos i formar-se molt bé en aquest, doncs l’estratègia a escollir per a protegir els nostres sistemes, han d’estar basada en els riscos obtinguts.
- Seguretat integral a tota l’organització: un SGSI es recolza en la comprensió i l’acceptació de les diferents polítiques i normes de seguretat per part de tota l’organització i treballadors. Comunicar-les i fer-les arribar de la forma adequada a tots els usuaris serà la clau de l’èxit d’aquest projecte.
- Definir un bon calendari d’auditories tècniques i normatives per garantir que les diferents mesures i controls que s’hauran anat implementant segons el Pla, es mantenen i estan en el grau de maduresa requerit.