Red Seguridad 093

88 red seguridad segundo trimestre 2021 opinión La inversión en ciberseguridad crece- rá este año entre un ocho y un 20 por ciento, según la fuente que se consulte. No es una cifra nada desdeñable, pero dado el creciente número de incidentes que llegan a nuestros ojos y oídos cada día, podemos pensar que quizás no re- sulte suficiente. No obstante, lo que deben plantearse las organizaciones es si esas inversiones son canalizadas de la forma más eficien- te. Ya en 2019, el reputado Instituto Po- nemon publicó un informe titulado The Cybersecurity Illusion: The Emperor Has No Clothes , en el que, a pesar del conti- nuo aumento, la mitad de las compañías se declaraban incapaces de determinar si están obteniendo todo el valor de las inversiones realizadas. Pues bien, el conocimiento de uno mismo es fundamental para poder ac- tuar sobre los aspectos que tienen que mejorarse. Y disponer de una métrica fiable es la única manera de poder com- probar si las actuaciones realizadas con- tribuyen realmente a esa mejora. En términos de ciberseguridad, pro- bablemente no haya ningún sistema tan completo y fiable como es la calificación que desde hace varios años estamos gestionando en Leet Security. En una ocasión, alguien de una gran compañía de telecomunicaciones de este país nos dijo que en ninguna de las auditorías y certificaciones recibidas hasta la fecha habían tenido que mostrar tal cantidad de evidencias como las que le solicitamos en la evaluación de sus servicios de Data Center Virtual. Somos conscientes de ello, y en realidad esta es la única forma de asegurarnos de que cubrimos todo lo que puede afectar a la seguridad. Y aun más. Con la misma métrica aplicada en momentos sucesivos, se puede constatar la evolución de las ca- pacidades de ciberseguridad, tanto en la preparación ante los ataques que con seguridad llegarán, si es que aún no lo han hecho, como en la recuperación, en el caso de sufrir algún tipo de incidente. La calificación se convierte así en una herramienta que permite comprobar si esas inversiones están aportando el va- lor esperado. Pero nos encontramos en un entor- no cambiante, en el que las métricas no pueden permanecer estáticas. Y por eso hemos publicado la versión 3.0 de la metodología y marco de controles. Por supuesto, mantiene la filosofía y la estructura de cinco niveles, en las tres dimensiones de: confidencialidad, inte- gridad y disponibilidad. Pero hemos in- corporado muchas de las cosas que se han mostrado importantes desde la úl- tima actualización. A modo de resumen destacamos lo siguiente. Privacidad La publicación del Reglamento General de Protección de Datos y su posterior trasposición y desarrollo legislativo ha traído mucha cola y algunas cuantiosas sanciones (es una pena que el régimen sancionador sea el principal incentivo para la adopción de medidas). Pero con todo ello, sigue existiendo una carencia en la definición de las medidas de segu- ridad organizativas y técnicas que deben aplicarse y demostrarse, que debiendo ser las adecuadas, no están explicadas en ninguna parte. Por esto hemos tomado como refe- rencia un marco de privacidad que, aun alineado con estas normativas, sí esta- blece medidas específicas y palpables, como es el NIST Privacy Framework, que hemos incorporado enriqueciendo nuestro referencial. Esto nos permite, adicionalmente a la calificación, esta- blecer unos criterios para verificar el cumplimiento de estos principios, y jun- to con el nivel de ciberseguridad, aña- dir un “calificador complementario” de privacidad, cuando se ha comprobado su implantación. Algo que resultará de suma utilidad tanto para responsables como para encargados del tratamiento de datos personales. Teletrabajo Desde el mes de marzo del pasado año, el teletrabajo (y las videollamadas) Ciberseguridad 3.0 A lfonso P astor Socio Director Delivery de Leet Security