Las medidas tecnológicas en los sistemas de compliance (cumplimiento normativo)

Por Francisco Pérez Bes, secretario General del Instituto Nacional de Ciberseguridad de España (INCIBE)

1. Enfoque holístico de la ciberseguridad

A diferencia de aspectos relacionados con la seguridad física de nuestras instalaciones, cuando nos referimos a ciberseguridad no podemos hablar de empresas individualmente consideradas o entidades aisladas, sino que la ciberseguridad debe abordarse como un todo relacionado. Es decir, la ciberseguridad de los ciudadanos, empresas y Administraciones Públicas no es un problema de los intereses de la concreta entidad afectada por un ciberincidente, o de sus clientes o proveedores; antes al contrario, las consecuencias de un incidente de ciberseguridad a un individuo, sea persona física o jurídica nos afectan a todos.

No en vano, muchos de los denominados “ciberataques” persiguen infectar a las direcciones IP desde donde se conectan los usuarios empresas y ciudadanos, de manera que se consiga que aquellas pasen a formar parte de una red de ordenadores zombies, lo que comúnmente es conocida como una Botnet (red de bots). El funcionamiento de este tipo de redes permite a un tercero, en este caso el titular del sistema de comando y control que domina a esa red de ordenadores ahora infectados, a lanzar ataques automatizados y coordinados contra otras empresas y organizaciones. De ese modo, el titular de esa dirección IP puede estar participando sin querer, en una actividad ilícita consistente en un ciberataque masivo.

Por eso cabe insistir en que la ciberseguridad es cosa de todos, y que la protección comienza por uno mismo. Sólo cuando entendamos que la protección de nuestros sistemas debe abordarse alineadamente y en coordinación con el resto de operadores y agentes del mercado (pe., denunciando, cooperando, intercambiando información, etc.), estaremos en disposición de luchar eficazmente contra las ciberamenazas. En este sentido, la figura del compliance officer juega un importante papel, ya que por su conocimiento de la organización y de la normativa que le aplica, está en una inmejorable posición para impulsar, fomentar y controlar que las políticas de ciberseguridad de la empresa se aplican y se cumplen. No sólo para salvaguardar la responsabilidad de la persona jurídica (a priori razón de ser del responsable de cumplimiento), sino para conseguir que el desarrollo de una verdadera política de buenas prácticas pueda reportar a la organización una serie de beneficios tangibles, que puedan, incluso, reflejarse en aspectos relacionados con un reconocimiento a nivel de Responsabilidad Social Empresarial.

1. Medidas aplicables

La ciberseguridad de la organización debe abordarse desde un triple enfoque práctico. Esto es, a través de la implantación de medidas técnicas, organizativas y legales.

La combinación de todas ellas nos permitirá afrontar con garantías el reto de incrementar y reforzar los niveles de ciberseguridad de nuestra empresa, reduciendo, al mismo modo, los riesgos a los que puede enfrentarse una compañía que no disponga o no desarrolle este tipo de medidas de cumplimiento normativo.

En este caso concreto, debemos destacar la reciente aprobación de la Directiva NIS (Network Information Security), la Disposición Adicional novena de la Ley 34/2002, de Servicios de la Sociedad de la Información y del Comercio Electrónico (comúnmente conocida como LSSI), o el también reciente Reglamento europeo de Protección de Datos, las cuales ya incorporan preceptos claros y concretos sobre las obligaciones que tienen las empresas en el ámbito de la ciberseguridad.

• Dimensiones de la ciberseguridad de la información

Cuando hablamos de seguridad de la información hablamos de la protección frente a riesgos que puedan afectar a una o varias de sus tres principales dimensiones, esto es:

• Confidencialidad: la información solo tiene que ser accesible o divulgada a aquellos que están autorizados.
• Integridad: la información debe permanecer correcta e intacta, tal y como el emisor la originó, esto es, sin manipulaciones por terceros.
• Disponibilidad: la información debe estar siempre accesible para aquellos que estén autorizados.

Partiendo de que una de las principales labores del compliance officer será la de la gestión de riesgos, desde el punto de vista de las medidas tecnológicas de protección se hará preciso analizar cuál es la tecnología adecuada para proteger cada uno de los puntos indicados, ya que es importante identificar cuál es la tecnología idónea para cada ocasión y con cuál cubrimos cada uno de esos aspectos de cara a lograr un sistema robusto.

Por poner un ejemplo, una herramienta de cifrado nos va a permitir cubrir la seguridad de la confidencialidad. Mientras que la firma digital es una solución óptima para reforzar la integridad de la información que se pretende proteger. Pero la primera no tiene porqué ser eficaz para la segunda finalidad, o a la inversa.

1. La protección de la confidencialidad de la información

Para evitar riesgos de fuga o acceso inconsentido de terceros a la información confidencial de la empresa, es recomendable segregar la información entre las redes del propio sistema de la compañía. Además, el riesgo de violación de la confidencialidad también se reduce si la información está alojada en el área que le corresponde. Por poner un ejemplo práctico, la información financiera debería ser accesible desde la red del sistema que utilice el departamento financiero (y a lo mejor el comercial, si es preciso); si permitimos que se acceda a ella desde otras redes, el riesgo de acceso indeseado aumenta.

En línea con lo anterior, es fundamental la configuración adecuada de permisos de acceso, y su control y actualización periódica. Es decir, cada empleado debe tener un permiso para acceder a una determinada información, acorde a sus responsabilidades dentro de la organización, y nunca superior (salvo en el caso que excepcionalmente lo necesite y así se autorice temporal y expresamente). De lo contrario, podemos encontrarnos con un supuesto –a menudo habitual en empresas- donde cualquier persona tiene acceso a información muy sensible o de un alto grado de confidencialidad, lo que pone en riesgo grave la custodia de la misma.

En este mismo sentido, debe mantenerse una adecuada gestión de identidades, que garantice que los usuarios sólo pueden acceder a donde deben hacerlo, desterrando políticas de accesos universales o sin restricción, otrora habituales en algunas empresas por comodidad en la gestión de los permisos. No olvidemos que muchos de los conflictos que se producen en la actualidad en el mundo de la empresa provienen de filtraciones de información con origen en sus empleados, o aquellos otros que, por motivos de tamaño o de falta de control de los permisos de acceso, un ex empleado mantiene su contraseña de acceso a los sistemas, cuando no debería.

En cualquier caso, siempre deberán realizarse auditorías y control periódicas de los procesos de control de acceso a la información que tenga implementada la organización, hecho éste que, además, es imprescindible en aquellos casos en los que la empresa cuenta o pretende contar con una certificación de calidad externa, del tipo ISO 9001, 19600 o 27001.

1. Protección de la integridad de la información

Como se indicaba anteriormente, mantener incorrupta la información que se almacena, se trata o se difunde, es un aspecto esencial para toda organización. Por ejemplo, a nadie escapa la importancia que tiene el hecho de las decisiones que se toman en base a una determinada información o documentación sean fiables, en el sentido de tener la garantía de que la información sobre la que se basan no ha sido previamente manipulada. O, por citar algún otro ejemplo, que los mensajes que se comunican no son alterados durante el proceso de comunicación, de modo que pueda tener la certeza de que el mensaje que ha sido recibido por el destinatario es el mismo que fue enviado por su remitente.

A estos efectos, el cifrado de la información y de las comunicaciones se erige como un sistema idóneo para preservar la integridad de la información digital. De hecho, el Reglamento europeo de Protección de Datos ya se refiere a esta solución cuando, al regular las medidas que deben adoptarse en casos de fuga de información, el Considerando 83 señala lo siguiente:

“A fin de mantener la seguridad y evitar que el tratamiento infrinja lo dispuesto en el presente Reglamento, el responsable o el encargado deben evaluar los riesgos inherentes al tratamiento y aplicar medidas para mitigarlos, como el cifrado. Estas medidas deben garantizar un nivel de seguridad adecuado, incluida la confidencialidad, teniendo en cuenta el estado de la técnica y el coste de su aplicación con respecto a los riesgos y la naturaleza de los datos personales que deban protegerse. Al evaluar el riesgo en relación con la seguridad de los datos, se deben tener en cuenta los riesgos que se derivan del tratamiento de los datos personales, como la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos, susceptibles en particular de ocasionar daños y perjuicios físicos, materiales o inmateriales”.

Esta referencia al cifrado de la información, aparece de nuevo en los artículos 6.4.e), 32 y 34 del citado Reglamento europeo, concediéndole un relevancia muy destacable en aspectos tan graves como puede ser el de la fuga de información (leaks) o data breach.

Dentro de lo que son soluciones de cifrado fácilmente accesibles para empresas, pueden destacarse varias herramientas, algunas incluso gratuitas en algunas de sus versiones:

Por ejemplo, las redes privadas virtuales, comúnmente denominadas VPN (del inglés Virtual Private Network), que utilizan algoritmos de cifrado que garantizan que, gracias al establecimiento de una conexión virtual punto a punto, el mensaje que es objeto de comunicación sólo pueda ser leído por el emisor y el destinatario.

También podemos citar los protocolos de cifrado SSL o TLS (del inglés Secure Sockets Layer y Transport Layer Security, que permiten garantizar la confidencialidad del mensaje sobre el que se aplica esta solución.

O, la tecnología IRM (del inglés Information Right Management), que además ayuda a evitar perder la trazabilidad de un documento gracias a un sistema de permisos y de control de accesos que posibilita saber cuál ha sido la interactuación que un tercero ha podido tener con ese documento durante su ciclo de vida.

1. Protección de la disponibilidad de la información

A la hora de aplicar medidas tecnológicas en lo relativo a la disponibilidad de la información que se maneja por nuestra organización, podemos agrupar las soluciones en dos clases, dependiendo del momento en el que se empleen. Esto es:

1. Si la aplicación de estas herramientas tiene por objetivo el proteger la disponibilidad de la información antes de que se haya producido un incidente (es decir, siendo pro-activos y no reactivos), podemos destacar algunas soluciones de gran utilidad. Por citar algunas:
   1. Implementar un sistema de redundancia de equipos hardware (servidores, electrónica de red, cabinas de almacenamiento, corriente de alimentación…). Esto permite que se garantice la disponibilidad de la infraestructura, en el sentido de que se disponga de una especie de sistema alternativo llegado el caso de que el sistema habitualmente utilizado pueda verse comprometido. Al tener la información replicada, la disponibilidad de la misma puede tener lugar aún en el caso de que no estuvieran disponibles los sistemas principales.
   2. Redundancia de comunicaciones (varios canales de comunicación con varios proveedores): poder acceder a la misma información desde varios canales. Al haber canales redundantes se puede acceder a las comunicaciones a través de varias vías, y no de un único canal, lo que elimina el riesgo de indisponibilidad de acceso a la información almacenada en caso de que la infraestructura se vea afectada por cualquier tipo de incidente.

• Monitorización de los sistemas: los sistemas de monitorización de servicios (pe. NAGIOS) son instrumentos, algunos de código abierto, ampliamente utilizados porque velan por el normal comportamiento de los equipos (hardware) y servicios (software) que se especifiquen, alertando cuando el comportamiento de los mismos no sea el deseado.

1. Si se trata de identificar soluciones de carácter reactivo, esto es, una vez que haya podido producirse un incidente que ponga en peligro la disponibilidad de la información, la más habitual es la que se refiere a las copias de seguridad (conocidas como Back Ups) que lo que hacen es realizar una copia de la información con carácter periódico. De este modo, llegado el caso de que se sufra algún tipo de incidente que impida el acceso a la información (pe., una infección por ransomware que cifre todos los ficheros de la empresa y por lo que el cibercriminal nos pedirá un rescate), la copia de seguridad nos ofrecerá un duplicado de aquella, aunque sólo desde el momento en que tuvo lugar la última copia. No obstante, es esencial para cualquier entidad el diseñar un sistema de copias de seguridad, pues de otro modo se pone en grave riesgo la continuidad del negocio en caso de que se produjera cualquier incidente relacionado con el acceso a la información.

También cobra cada vez más importante el papel del proveedor de servicios en estos casos, donde es el contrato de prestación de servicios el que incluye (o permite incluir) cláusulas relacionadas con la garantía de la disponibilidad de la información del cliente, a través de los conocidos como SLA o Service Level Agreement, donde se regula, con carácter contractual, el nivel de compromiso del proveedor de servicios ante una situación que pueda afectar a este aspecto.

1. Protección de la seguridad de la información

Cada vez es más habitual que las empresas implementen sistemas de monitorización de su tráfico, por motivos de seguridad. Este tipo de sistemas permiten prevenir (IPS) o detectar (IDS) la intrusión inconsentida de terceros dentro del sistema a través de la valoración de una serie de parámetros que permiten alertar de ciertas anomalías en el flujo habitual o esperado del tráfico de la empresa.

También las soluciones más conocidas aportan valor dentro de lo que es la estrategia de protección y seguridad de la información corporativa. Véase, por ejemplo, el caso de los firewalls (que permiten establecer un catálogo de webs confiables de acceso desde la empresa), o los antivirus, que permiten bloquear amenazas conocidas.

Para otro tipo de amenazas, la solución habitualmente empleada es el del denominado Sand Box, gracias al cual ante un elemento desconocido (pe., un software ejecutable), se simula un entorno real donde se ejecuta el elemento no identificado para ver cuál sería su comportamiento. En el caso de que su comportamiento sea peligroso, se impide su ejecución dentro del sistema de la organización.

1. Diseño de una estrategia de ciberseguridad

Con carácter previo a una decisión empresarial que consista en la adquisición o desarrollo de soluciones y medidas de ciberseguridad o de protección de la información de que dispone la organización, es recomendable hacer un ejercicio previo al objeto de conocer en detalle qué información se tiene, cuál es su grado de sensibilidad e importancia para la empresa, o dónde está ubicada. Ya que sin ello, las decisiones que puedan adoptarse a la hora de reforzar la seguridad de los sistemas en una organización, que va a tener unas características y unas particularidades específicas, pueden ser erróneas y conllevar un coste evitable para la organización.

La Base de Datos de Gestión de la Configuración o Configuration Management Data Base (CMDB) es un repositorio de información donde se relacionan todos los componentes de un sistema de información, ya sean hardware, software, documentación, etc. (ITIL o ISO 20000). Tal herramienta permite a las organizaciones que la implementen, tener una visión global, completa y actualizada de una especie de mapa de activos donde se cataloguen los programas, terminales y otros elementos relacionados con los sistemas de información que posee la organización.

Tal documento, lejos de parecer caprichoso, dota a la organización de un conocimiento panorámico de la estructura y organización de los elementos tecnológicos de que dispone, lo que le va a permitir analizar y tomar decisiones estratégicas acerca de cómo debe reforzarse la seguridad de la información de la que es responsable la empresa u organización. Sin este análisis previo, se corre el riesgo de que los recursos y soluciones tecnológicas –de seguridad o de otro medio- que se implementen en los sistemas de la organización, sean ineficaces o no cumplan con los objetivos para los cuales fueron adquiridos o desarrollados.

Adicionalmente a ello, existen medidas de carácter organizativo y otras buenas prácticas, cuya adopción resulta más que aconsejable, no sólo por evitar o minimizar el riesgo de un incidente de seguridad más o menos grave, sino también pensando en la responsabilidad en que puede incurrir la empresa y sus administradores por no haber tenido el nivel de diligencia exigible en este tipo de casos.

Si nos referimos a políticas internas, el diseñar un procedimiento, de obligado cumplimiento para toda la organización, y controlado y auditado con carácter periódico, aporta robustez a la ciberseguridad de la organización: una política de rotación de contraseñas, la actualización de los equipos y de sus medidas de protección, y el principio de mínimo privilegio nos permiten avanzar en este campo. Todo eso nos puede llevar al diseño de un Plan Director de Seguridad donde se incluyan todas estas recomendaciones y actuaciones a llevar a cabo dentro de nuestra organización.

También las normativas de calidad nos ayudan a incentivar a la organización en la adopción de buenas prácticas, donde el desarrollo e implantación de un Sistema de Gestión para la Seguridad de la Información (SGSI) es un elemento muy positivo. En efecto, cada vez se adoptan con mayor habitualidad procesos de gestión para el diseño, implantación, mantenimiento de un conjunto de procedimientos para gestionar eficientemente la accesibilidad de la información, buscando asegurar la confidencialidad, integridad y disponibilidad de los activos de información, y  minimizando a la vez los riesgos de seguridad de la información.

1. Organismos de referencia para el compliance officer y herramientas disponibles

Todo compliance officer debe conocer los servicios que ofrecen tanto el Instituto Nacional de Ciberseguridad de España (INCIBE) como el CERT de Seguridad e Industria (CERTSI), operado por aquel.

El INCIBE es el organismo encargado de ejecutar las políticas públicas en materia de ciberseguridad en lo que se refiere a ciudadanos, empresas, red académica Iris e Infraestructuras Críticas, estas últimas a través del CERTSI. El INCIBE es una entidad dependiente del Ministerio de Industria a través de su Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información (SETSI), y su labor se centra en ofrecer servicios públicos de ciberseguridad a las empresas que lo necesitan (www.incibe.es y www.certsi.es) y a los ciudadanos, en este caso a través de la Oficina de Seguridad del Internauta (www.osi.es).

Estas entidades han ido desarrollando soluciones gratuitas, de gran valor para las empresas y los ciudadanos, cuyo uso e implantación en las organizaciones aportan un gran valor y nivel de protección para los usuarios. Entre las herramientas que mayor utilidad pueden ofrecer dentro de los planes de prevención cibernética de las empresas (el CERTSI tiene un carácter más reactivo), podemos destacar las siguientes:

1. CONAN Mobile: se trata de un software, en forma de aplicación (app) descargable en los terminales que usan sistema operativo Android. Este servicio realiza un análisis de las configuraciones de seguridad de los terminales móviles en los que esté implantado, y ofrece consejos y recomendaciones de configuración que permitan reforzar la seguridad de aquellos. El uso de esta app es especialmente recomendable para empresas que permiten el Bring Your Own Device (BYOD), entendido como supuestos en los que se utilizan terminales particulares indistintamente con fines personales y profesionales.
2. El Servicio Antibotnet: Gracias a este programa es posible conocer si la dirección IP desde la cual nos conectamos a Internet se encuentra comprometida por algún tipo de incidente de ciberseguridad que pueda hacer que forme parte de una red de ordenadores zombies. De ser el caso, la herramienta nos avisa y nos ofrece soluciones gratuitas de desinfección.

Kit de concienciación: a través de este servicio se pone a disposición de las empresas (especialmente PyMEs) una serie de actividades, consejos y materiales para que, de manera sencilla y gratuita, puedan implementarlas dentro de sus organizaciones. Destaca muy especialmente las tareas de concienciación entre los empleados, hecho éste que resulta fundamental en la lucha contra la ciberdelincuencia que afecta a empresas (pe., espionaje industrial, chantajes, fraude, etc.).