Ciberseguridad como parte de los procesos en colaboradores y usuario

La ciberseguridad siempre ha sido necesaria y su consideración en los procesos empresariales y/o servicios públicos, en mayor o menor medida, se debía a la protección propia del negocio y de los servicios prestados. Así, aquellas organizaciones que pretendían implantar y garantizar la información estudiaban y recurrían a estándares de buenas prácticas en materia de seguridad de la información, como por ejemplo  normativas ISO −internacionalmente reconocidas− u otras de referencia. Pero en el contexto actual de digitalización avanzada no podemos quedarnos en que la ciberseguridad es algo recomendable o tan solo una buena práctica. Esto ya es impensable. La ciberseguridad debe formar parte inseparable de nuestros procesos y servicios.

Los sistemas de información de las organizaciones interactúan cada vez más con tecnologías propias de los ciudadanos. La automatización de nuestros procesos, así como la interacción con los propios ciudadanos, ha pasado a formar parte de nuestro día a día. Y, por ende, no solo debemos proteger los entornos empresariales y los servicios públicos, sino que hemos de añadir y considerar el uso de diferentes tecnologías por parte de los ciudadanos como parte final del proceso. Es más, en muchos casos, esos dispositivos son la parte final del proceso o del servicio prestado al ciudadano y lo retroalimentan de forma continuada en el tiempo.

Asimismo, las amenazas ya no se circunscriben, principalmente, a entornos empresariales. Su afectación puede incidir directamente sobre nuestros clientes y causarles graves perjuicios. O bien pueden ser una vía de entrada más de acciones maliciosas en nuestros sistemas de información.

Derechos fundamentales

Por otro lado, los derechos fundamentales de los ciudadanos también se han visto expuestos considerablemente ante esta revolución tecnológica, lo que requiere de una mayor regulación legislativa. Ya no debemos considerar la ciberseguridad como algo recomendable, sino que la propia normativa nos está exigiendo implantar la ciberseguridad como parte de nuestros procesos y servicios prestados a los ciudadanos. Por tanto, nuestros empleados y colaboradores son parte necesaria y fundamental para garantizar la seguridad de la información e implantar ciberseguridad de forma implícita en cualquier proceso empresarial.

Lógicamente, cuantas más tecnologías implicadas en los procesos, habrá proporcionalmente una mayor exposición y probabilidad de ocurrencia de amenazas de las que debemos protegernos. No en vano, los ciberataques han pasado a ser un elemento habitual y su protagonismo está en un primer nivel en nuestras sociedades. Por ello, debemos preparar a nuestros usuarios y colaboradores para proteger la información tratada, anticipar escenarios amenazantes, responder de forma adecuada y, en caso de desastre, recuperarse de la forma más rápida y mejor posible.

Elementos de ciberseguridad

Visto lo anterior, cabe preguntarse ¿cómo podemos incluir de manera efectiva la ciberseguridad en los procesos en los que intervienen nuestros usuarios y colaboradores? No nos queda otra: Es estrictamente necesario acudir a la implantación de estándares de referencia, incluir en los procesos herramientas de ciberseguridad y, fundamentalmente, formar a nuestros empleados y colaboradores para salvaguardar la información y utilizar las herramientas de forma adecuada.

Por lo tanto, lo primero es incluir la ciberseguridad en nuestros procesos y facilitar herramientas seguras de trabajo que tengan implantados diversos elementos. Entre otros, los siguientes:

• Incluir ciberseguridad en el diseño. Todo activo de información que vaya a incorporarse en nuestros procesos deberá ser analizado previamente, evaluar sus riesgos e incorporar ciberseguridad por defecto.
  Desarrollar de forma segura. Aplicar buenas prácticas y acudir a metodologías de desarrollo seguro durante el ciclo de vida del desarrollo del software. Si este último es adquirido a terceros, habría que evaluar si disponen de garantías suficientes o de certificados de confianza.
• Analizar el contexto de la organización y el proceso en el que interviene el empleado o colaborador. Evaluar el contexto en el que se mueven los procesos, sus amenazas, nuestras debilidades y las normas sectoriales de aplicación.
• Mantener los sistemas de información. Adquirir software homologado, garantías de actualización de vulnerabilidades en el tiempo, seguir las instrucciones de los fabricantes y aplicar las actualizaciones necesarias.
• Monitorizar los equipos. Los equipos y terminales de usuario deben encontrarse monitorizados respecto a posibles amenazas que afecten a la disponibilidad, la confidencialidad y la integridad de los mismos.
  Minimizar el tratamiento de información personal y/o definir procesos de disociación. Debemos procurar utilizar la información estrictamente necesaria para la ejecución adecuada del proceso. Cuanta más información tratada, más riesgos; incluso si podemos disociar la información de manera que no identifique personas, mejor.
• Incorporar procesos que garanticen la resiliencia ante desastres. Los empleados y colaboradores deben disponer de herramientas adecuadas y procedimientos de respuesta eficaz ante desastres.
• Usar técnicas de cifrado. Para evitar fugas de información, el empleado y/o colaborador debe disponer de técnicas de cifrado para su uso en las comunicaciones y sistemas de almacenamiento.
• Controlar los accesos a la información y conectar solo con redes de comunicaciones confiables. Proporcionar herramientas de acceso seguro, como por ejemplo mecanismos de doble factor de autenticación, uso de claves electrónicas, etc. Implantar entornos seguros de intercambio de información con terceros colaboradores.
• Elaborar normativas de manera eficaz. Toda organización debe disponer de un cuerpo normativo exigible y eficaz para sus empleados y colaboradores. Es importante la inclusión de registros, métricas e indicadores en la normativa para evaluar que realmente se cumple y que no queda en papel mojado.