La protección de los datos siempre ha sido y será una de las grandes necesidades de respeto a la privacidad de las personas tanto físicas como morales. En México, desde 2010, contamos con nuestra Ley Federal de Protección de Datos Personales en Posesión de los Particulares, cuyo objetivo es promover el respeto a los derechos de los dueños de los datos.
Pero este instrumento legal es insuficiente sin un compromiso verdadero para dar un tratamiento adecuado a cada activo de información, sobre todo, tomando en cuenta que la digitalización además de beneficios conlleva el riesgo inminente de vulnerar la seguridad de los datos, principalmente en los sectores críticos como el financiero.
En fecha reciente, la Comisión Nacional Bancaria y de Valores (CNBV) reconoció que en lo que va de 2022, se han detectado 28 incidentes de ciberseguridad en diferentes entidades financieras, que van desde el acceso con dispositivos electrónicos a cajeros automáticos y envío de información de clientes por correo electrónico, hasta acontecimientos de intrusión a la infraestructura, entre otros.
Por ello, es fundamental implementar herramientas con reconocimiento internacional como el estándar ISO/IEC 27001, que certifica a los Sistemas de Gestión de Seguridad de la Información (SGSI), cuyo eje central es proteger la confidencialidad, la integridad y la disponibilidad de la información en cualquier organización pública o privada y, más aún, este año, en el que se espera una nueva versión, tras 9 años de no actualizarse, siendo los últimos 3 de gran trascendencia por la acelerada transformación digital impulsada entre otras cosas, por la pandemia de Covid-19.
Recordemos que un SGSI es un conjunto de políticas, procedimientos, procesos y sistemas cuya finalidad es gestionar los riesgos de la información tales como ataques informáticos, fugas o violación de datos.
Ahí radica la importancia de estas adecuaciones, que comenzaron a ser visibles desde febrero cuando se publicó el estándar ISO/IEC 27002:2022, el cual proporciona un conjunto de controles de seguridad de la información, entre los cuales está la protección de datos, basada en la Regulación General de Protección de Datos, y la Ciberseguridad, directamente relacionada con el Framework del Instituto Nacional de Estándares y Tecnología (NIST, por sus siglas en inglés).
Las principales actualizaciones del estándar 27002:2022 son 11: Inteligencia de amenazas; Seguridad en el uso de servicios de la nube; Preparación de las TIC para la continuidad del negocio; Supervisión de seguridad física; Gestión de la configuración; Eliminación de información; Enmascaramiento de datos; Prevención de fuga de datos; Actividades de monitoreo; Filtrado web, y Codificación segura.
En ese sentido se espera que la actualización del estándar ISO/IEC 27001, proyectado para octubre o noviembre de este año, se centre en los procesos de gestión basados en los nuevos controles. Y es que, con un Sistema de Gestión de la Seguridad de la Información bien implementado, las organizaciones pueden planificar y seleccionar los controles adecuados de acuerdo con los riesgos de seguridad reales; implementar y operar los controles necesarios; verificar y evaluar la eficiencia y la eficacia del SGSI y actuar, para realizar los cambios que requieran, además, de mantener al máximo el desempeño así como el rendimiento de su SGSI.
Si bien ninguno de estos estándares internacionales son obligatorios, el cumplimiento de ellos da certeza razonable de la seguridad de la información y otorga a las organizaciones capacidades de ciber resiliencia, para recuperarse de forma rápida y eficaz de los ciberataques, en la que los CIOs deben poner especial atención, dada la importancia de implementar estrategias no sólo de prevención sino también para recobrar de manera pronta los servicios de su organización y así reducir la gravedad del impacto económico y reputacional.
Manuel Moreno, Security Sales Enablement Director en IQSEC.
