En México cada vez son más frecuentes los incidentes relacionados con ciberterrorismo o ciberseguridad, las organizaciones públicas y privadas aún tienen una falta de conciencia; donde se minimiza el riesgo o se piensa que nunca pasará. La realidad es que todos estamos expuestos a estos ataques o amenazas de los piratas informáticos.

En el año 2017 PwC realizo una encuesta  que arrojó resultados contundentes de la falta de seguridad informática en las organizaciones en México, dentro de esos datos se obtuvo lo siguiente:

  • 87% de las empresas reconocen haber tenido un incidente de seguridad.
  • 44% de las empresas atribuyen los incidentes de seguridad a exempleados.
  • 41.5 % de datos de clientes comprometidos.
  • 42.1 de las empresas expresaron preocupación por los datos personales (privacidad de la información).
  • 3.87% del presupuesto de las áreas de TI se asigna a seguridad de la información.
  • La principal fuente de incidentes de seguridad en México se atribuye a los dispositivos móviles.
  • Una de cada 5 empresas no sabe si su programa de seguridad informática y privacidad están integrados.

Ante las graves consecuencias económicas, de imagen y confianza que provocan dichos ataques los gobiernos y empresas han puesto en marcha un conjunto de regulaciones locales y mundiales para que las organizaciones tengan las bases para la protección de sus activos informáticos e información sensible de sus negocios, clientes, proveedores y usuarios.

De tal forma que una de las principales formas de impulsar la Seguridad Informática es el “Cumplimiento Regulatorio”.

El Cumplimiento Regulatorio obliga a las organizaciones a mejorar la seguridad informática junto con las tecnologías de la información de manera general.

Retos del Cumplimiento Regulatorio

Los principales retos que se le presentan a las organizaciones con el Cumplimiento Regulatorio desde el punto de vista de la seguridad informática son los siguientes:

  • Ataques cada vez más sofisticados
  • Datos sin proteger
  • Aplicaciones y dispositivos vulnerables
  • Gestión de riesgos inexistente
  • Control y gobierno de identidades y accesos inexistente
  • Ambientes complejos y heterogéneos
  • Difícil detección, toma de acción e investigación de ataques informáticos
  • Recorte de presupuestos para seguridad informática
  • Ausencia de personal especializado en seguridad informática
  • Falta de visibilidad y procesos en seguridad informática

Algunas Regulaciones en México

Regulaciones comunes en México, por mencionar algunas; donde se tienen necesidades especificas de seguridad informática son las siguientes:

  • ISO 27001
  • PCI
  • LFPDPPP
  • Circular Única – CNBV
  • SPEI

Características Comunes de las Regulaciones

Por lo general las regulaciones cubren lo mismo, siendo las principales características:

  • Protección de la información
  • Cifrado de comunicación
  • Privacidad y protección de datos
  • Buenas prácticas de control de acceso y doble factor de autenticación
  • Definición clara de roles y separación de funciones
  • Seguridad operativa: protección perimetral, antimalware, antivirus, control de activos
  • Monitoreo de actividad, gestión de bitácoras, auditoría y trazabilidad
  • Buenas prácticas de seguridad en desarrollo de aplicaciones y operación de estas

El objetivo principal en cualquiera de las regulaciones es proteger los datos y activos de las empresas.

Estrategia para el Cumplimiento Regulatorio

De acuerdo con distintas empresas de consultoría y de fabricantes de software como Microfocus se recomienda de manera general que la estrategia para el “Cumplimento de Regulatorio” se divida en los siguientes 5 pasos:

  • Identificar
  • Analizar
  • Asegurar
  • Gobernar
  • Actuar

1.- Identificar

En esta fase se debe de identificar dónde se encuentra la información sensible y procesos que entran en el alcance de las regulaciones de las cuales se tiene necesidad de cumplir.

2.- Analizar

En esta fase se deben establecer políticas y definiciones al definir qué información debe de ser protegida, retenida, borrada o respaldada y quiénes son los usuarios de dicha información.

3.- Asegurar

En esta fase se debe de asegurar la información en distintos niveles:

  • Seguridad perimetral
  • Seguridad en la infraestructura
  • Seguridad aplicativa
  • Seguridad de datos

4.- Gobernar

En esta fase se debe de tener políticas para la gestión de casos, procesos y atención a peticiones de auditoría se debe de poder demostrar cómo protege la información, tener reportes de acceso y uso de la información.

5.- Actuar

En esta fase se debe de tener herramientas automatizadas para la detección y atención a brechas de seguridad.

En conclusión los ciberataques siguen creciendo, cada vez son más comunes y cualquiera puede ser víctima de ellos. Es una realidad que las organizaciones por más esfuerzos que se hagan nunca podrán estar protegidos al 100%.

Lo que si es un hecho; es que las organizaciones públicas y privadas que tomen conciencia de los riesgos que existen hoy en día al no proteger sus datos y activos; un camino sólido que les permitirá definir una estrategia adecuada de seguridad informática es tomar como base el “Cumplimento Regulatorio”.