¿Qué importancia tiene tener un Plan de Seguridad Informática actualizado?
Más allá de la obligatoriedad para cada entidad constituye la elaboración de su plan de seguridad informática, según el artículo 18 del Decreto 360 del año 2019 del Consejo de Ministros, sobre la seguridad de las tecnologías de la información y la comunicación y la defensa del ciberespacio nacional, éste es el documento que incluye, describe y aplica las políticas, medidas y procedimientos diseñados para esa organización a partir de los riesgos estimados, así como establece las responsabilidades de los diferentes actores que participan en su ejecución.
Asumir que tenerlo es suficiente para garantizar una gestión eficiente del sistema de seguridad informática resulta una idea en extremo idealista. Para que resulte verdaderamente efectivo debe ajustarse a las necesidades de protección de la organización, mantenerse actualizado, e implementarse en todas las áreas con tecnologías informáticas.
Un aspecto importante a tener en cuenta, es reconocer que el plan es un documento en constante renovación. Aquellos que se mantienen estáticos no responden a las necesidades reales de protección, posibilitan la existencia de vulnerabilidades y la aparición de brechas de seguridad en el sistema que pudieran ser aprovechadas por un atacante. Además, es casi seguro que no tienen en cuenta el nuevo marco regulatorio publicado en la Gaceta Oficial No. 45 Ordinaria del 4 de julio de 2019, e incluso anteriores.
Para ejemplificar con un tema de actualidad, dada la situación sanitaria causada por la COVID-19 se fomenta y recomienda el trabajo a distancia y el teletrabajo. Sin embargo, en pocas ocasiones se incluyen en los planes las medidas y procedimientos diseñados para el control del equipamiento que bajo este régimen se encuentra en los hogares de los trabajadores.
La Resolución 121 del Ministerio de Comunicaciones, que se publicó en 2017, establece las medidas básicas para configurar los servidores de correo electrónico que se deben implementar en las redes de datos del país, pero generalmente no hay procedimientos escritos que determinen cómo se implementan en su totalidad.
Peor suerte, en cuanto a conocimiento masivo, tiene la resolución 126/19 del mismo Ministerio, que aprueba el Reglamento que establece las medidas de control y los tipos de herramientas de seguridad que se implementan en las redes privadas de datos, inscritas en el Control Administrativo Central Interno del Ministerio de Comunicaciones. En pocos planes se menciona, a pesar de la robustez con que puede blindar a la red.
Por otra parte, aún con el mejor plan de seguridad implementado, puede materializarse alguna de las amenazas que fueron identificadas en el análisis de riesgos. En tal caso, es necesario evaluar la situación y determinar si la seguridad concebida tiene fallas, o si ha cambiado el escenario, y en consecuencia, casi siempre hay que restructurar el sistema de medidas y ajustar los procedimientos existentes. Quien no lo hace queda expuesto.
Como ha podido apreciar, son muchos los elementos a tener en cuenta en la confección y actualización del plan de seguridad informática. Si lo considera oportuno y necesario podemos brindarle nuestro apoyo. La experiencia de nuestros especialistas en la materia, unido al conocimiento de los suyos sobre los activos bajo su responsabilidad y las amenazas a las que se expone su sistema informático, puede resultar una alianza perfecta. Ponemos a su disposición nuestros servicios de elaboración y revisión de plan de seguridad informática. Contáctenos a través de la cuenta comercial@segurmatica.cu.
Asumir que tenerlo es suficiente para garantizar una gestión eficiente del sistema de seguridad informática resulta una idea en extremo idealista. Para que resulte verdaderamente efectivo debe ajustarse a las necesidades de protección de la organización, mantenerse actualizado, e implementarse en todas las áreas con tecnologías informáticas.
Un aspecto importante a tener en cuenta, es reconocer que el plan es un documento en constante renovación. Aquellos que se mantienen estáticos no responden a las necesidades reales de protección, posibilitan la existencia de vulnerabilidades y la aparición de brechas de seguridad en el sistema que pudieran ser aprovechadas por un atacante. Además, es casi seguro que no tienen en cuenta el nuevo marco regulatorio publicado en la Gaceta Oficial No. 45 Ordinaria del 4 de julio de 2019, e incluso anteriores.
Para ejemplificar con un tema de actualidad, dada la situación sanitaria causada por la COVID-19 se fomenta y recomienda el trabajo a distancia y el teletrabajo. Sin embargo, en pocas ocasiones se incluyen en los planes las medidas y procedimientos diseñados para el control del equipamiento que bajo este régimen se encuentra en los hogares de los trabajadores.
La Resolución 121 del Ministerio de Comunicaciones, que se publicó en 2017, establece las medidas básicas para configurar los servidores de correo electrónico que se deben implementar en las redes de datos del país, pero generalmente no hay procedimientos escritos que determinen cómo se implementan en su totalidad.
Peor suerte, en cuanto a conocimiento masivo, tiene la resolución 126/19 del mismo Ministerio, que aprueba el Reglamento que establece las medidas de control y los tipos de herramientas de seguridad que se implementan en las redes privadas de datos, inscritas en el Control Administrativo Central Interno del Ministerio de Comunicaciones. En pocos planes se menciona, a pesar de la robustez con que puede blindar a la red.
Por otra parte, aún con el mejor plan de seguridad implementado, puede materializarse alguna de las amenazas que fueron identificadas en el análisis de riesgos. En tal caso, es necesario evaluar la situación y determinar si la seguridad concebida tiene fallas, o si ha cambiado el escenario, y en consecuencia, casi siempre hay que restructurar el sistema de medidas y ajustar los procedimientos existentes. Quien no lo hace queda expuesto.
Como ha podido apreciar, son muchos los elementos a tener en cuenta en la confección y actualización del plan de seguridad informática. Si lo considera oportuno y necesario podemos brindarle nuestro apoyo. La experiencia de nuestros especialistas en la materia, unido al conocimiento de los suyos sobre los activos bajo su responsabilidad y las amenazas a las que se expone su sistema informático, puede resultar una alianza perfecta. Ponemos a su disposición nuestros servicios de elaboración y revisión de plan de seguridad informática. Contáctenos a través de la cuenta comercial@segurmatica.cu.
