Recientemente el BOE ha publicado el RD 43/2021 de seguridad de las redes y sistemas de información indicando así a las empresas esenciales la obligatoriedad de tener un Responsable de la Seguridad de la Información (RSI), también conocida como Chief Information Security Office (CISO), como la persona experta en la protección de los sistemas de información de las empresas, tendrá las competencias para elaborar y supervisar las políticas de seguridad y las medidas técnicas y organizativas a implantar en la organización.
Así pues, las empresas esenciales deben implementar un Sistema de Gestión de la Seguridad de la Información (SGSI) y es el Responsable de la Seguridad de la Información el encargado de operarlo y gestionarlo.
Actualmente existen diferentes normativas o marcos reconocidos que regulan un SGSI, como es la ISO/IEC 27001 o elEsquema Nacional de Seguridad (ENS) en el que certifican estas políticas y medidas técnicas y organizativas.
Para que haya una implantación de un SGSI garantizando la seguridad de la información de nuestros datos recomendamos:
- Sponsors internos: es importante el soporte total de la junta directiva que impulse todas las políticas y normas que se tendrán que aplicar, y sobre todo los costes que puede implicar aventurarse en un proyecto como éste.
- ¿A quién involucramos en el Comité de Seguridad TIC? Como será el encargado de tomar las decisiones trascendentales en materia de seguridad a la organización que afectarán a todo el organismo, es recomendable que sea un comité interdisciplinario con las diferentes áreas responsables de área haciendo énfasis en los departamentos legales, financieros, operación/producción, RRHH, seguridad física y obviamente, Informática.
- Elaborar una política de seguridad y normas de seguridad que sean personalizadas en la organización:
- Seguridad por Defecto: Los sistemas se configurarán para proporcionar las funcionalidades mínimas requeridas para que la persona y la organización alcancen sus objetivos.
- Cero Trust o Confianza cero: Todo elemento del sistema que no haya sido configurado y esté configurado por nosotros, deberá ser tratado como una amenaza.
- Mínimos privilegios: los usuarios y sistemas dispondrán de los mínimos privilegios y accesos para la operativa diaria, implementando los procesos de autorización necesarios para tareas fuera de los habituales.
- GAP Analisys, análisis de insuficiencias iniciales, debemos ser muy objetivos en este punto para evitar desviaciones y posibles sobre costes. Con este análisis tendremos una serie de tareas y proyectos a implementar y asignarlo correctamente a la persona adecuada.
- Definir una matriz RACI y establecer sesiones de controles trimestrales para el seguimiento de los proyectos identificados.
- Escoger un buen software y metodología de Gestión de Riesgos y formarse muy bien en éste, pues la estrategia a escoger para proteger nuestros sistemas, deben estar basada en los riesgos obtenidos.
- Seguridad integral en toda la organización: un SGSI se apoya en la comprensión y aceptación de las diferentes políticas y normas de seguridad por parte de toda la organización y trabajadores. Comunicarlas y hacerlas llegar de forma adecuada a todos los usuarios será la clave del éxito de este proyecto.
- Definir un buen calendario de auditorías técnicas y normativas para garantizar que las diferentes medidas y controles que se hayan ido implementando según el Plan, se mantienen y están en el grado de madurez requerido.
