Mario de la Fuente Tierea

Confidencialidad, disponibilidad e integridad son los tres pilares básicos sobre los que una organización desea construir una estructura fiable, robusta y eficaz, que pueda impedir y, en su caso, minimizar las nefastas consecuencias del éxito de un ciberataque.

La seguridad 100% no existe y los “malos” saben explotar las vulnerabilidades en los sistemas de cualquier empresa. Un dato que es refrendo de lo anterior se publicó en la edición digital de El País el 15 de noviembre de este año, según el cual hasta el pasado día 8 el Centro Criptológico Nacional gestionó 32.294 incidentes, 6.000 más que en todo el año pasado, y se prevé superar los 38.000 en 2018, lo que supondría un incremento, con respecto a 2017, de un 43,5%. De esos 38.000 ataques, el 2,8% son muy peligrosos o críticos.

Con un escenario como este, la tipología de los servicios que presta TIREA, los datos que discurren por nuestra red y los requerimientos que, en materia de seguridad, nos hacen llegar nuestros clientes, parece clara cuál debía ser nuestra postura ante tamaño desafío, y en esa línea se trabaja para que confidencialidad, disponibilidad e integridad sean un activo y un valor, tanto para TIREA como para el sector al que da servicio.

Haciendo nuestro el compromiso de las entidades para con los datos de sus clientes, ¿qué es lo que hemos dispuesto?:

  • Ciberseguridad como pilar de alcance transversal a toda la organización. La ciberseguridad no es algo incardinado, únicamente, en las áreas de Tecnología. Todas las áreas, en mayor o menor medida, son partícipes de las acciones puestas en marcha. De su implicación y convencimiento depende el éxito de estas.
  • Concienciación y formación. La divulgación y el conocimiento debe impregnar a toda la organización. Invertir en elementos tecnológicos de protección y securización es importante, pero de todos es sabido que las personas somos el eslabón más débil de la cadena. Boletines mensuales con información de interés, píldoras formativas a los empleados y política de lecciones aprendidas son algunas de las tareas ejecutadas.
  • Análisis de riesgos. Para saber a qué te enfrentas y qué contramedidas disponer, es vital la realización de un análisis de riesgos. Esta práctica, con cierto recorrido en TIREA al estar certificada en 27001 y disponer de un PCN (Plan de Continuidad de Negocio), se articula como básica. Es por ello que, recientemente, se ha realizado una comparativa entre nuestros controles y los indicados en el “Top 20 Security Controls for Effective Cyber Defense”, del CIS (Center for Internet Security).
  • Implantación de un SOC. Sin organización y control, todo lo programado puede diluirse en la ineficacia. Para minimizar ese “riesgo”, creamos un SOC u Oficina Técnica de Seguridad, que organiza, controla y verifica la eficacia de las medidas adoptadas. Control de vulnerabilidades, mejora de las guías de bastionado, políticas de Data Loss Prevention, etc. son algunas de las iniciativas llevadas a cabo.
  • Pruebas Periódicas del PCN. Probar el correcto funcionamiento del PCN se antoja imprescindible. De ahí que, periódicamente, se haya desarrollado un plan de pruebas que verifica que los procedimientos diseñados en materia de continuidad cumplen la finalidad para la que se crearon.

La preocupación del sector por la seguridad de su información es evidente. Nuestra misión como proveedor es colaborar a que el mensaje lanzado por nuestros clientes, hacia todas las partes involucradas en este proceso, sea de total tranquilidad. Somos consciente de que no existen fórmulas mágicas que reduzcan el riesgo a cero, pero no cejamos en nuestro empeño de que los ciberdelincuentes lo tengan, cada vez, más difícil.