Con ese marcado de información (“Solo para sus ojos”) nos viene a la cabeza las historias de espías, y en particular para los amantes del cine, más allá de la película de James Bond, la primera incursión cinematográfica de esta temática; me refiero a <<Ejecución de un espía>>.

Con una duración de apenas 32 segundos es uno de los grandes anónimos de la historia del cine, tanto que ni siquiera se recuerda el nombre del actor que lo interpreta. En un cortometraje fechado entre 1900 y 1902 , propiedad de la American Mutoscope & Biograph Co. En ese cortometraje podemos apreciar al primer espía de la historia del cine, o más concretamente su trágico final; fusilado por las fuerzas del ejército enemigo.

Mucho ha evolucionado el mundo desde aquellas fechas y mucho la tecnología, pero no así la necesidad de mantener a salvo la información confidencial. Ahora hablamos de ciberespionaje y cibermafias, como si de algo nuevo se tratara, cuando en realidad son los medios y no el objetivo, el que ha cambiado. Los estados, con sus intereses geopolíticos, destinan cada vez más recursos a robar información para desestabilizar a sus enemigos y a los aliados de estos, o para que sus empresas obtengan una posición preferente para así de forma indirecta elevar su influencia en el panorama mundial.

La Ciberseguridad se asocia cada vez más, no sólo a cuestiones empresariales o particulares , sino a Infraestructuras Críticas y a Servicios Esenciales, como garantes de la calidad de vida y de garantía del mantenimiento de los servicios del estado.

El Grupo de Calidad y Seguridad de AUTELSI, compuesto por un elevado numero de profesionales de diferentes ámbitos de la Ciberseguridad, con un espíritu de generosidad con su tiempo libre (si es que tienen tiempo libre) acaban de finalizar un trabajo en formato prontuario y en el que trasladan, por medio de pregunta-respuesta, mensajes claros de Ciberseguridad para todo tipo de empresa u organismo; sin importar el tamaño o el sector.

Algunas de las preguntas que nos han hecho responsables de sistemas y de negocio y a las que el grupo ha dado respuesta, son:

  • ¿El uso de las tecnologías siempre acarrean riesgos?
  • ¿Quién puede tener interés en atacarme?
  • ¿Existe una legislación europea en materia de seguridad de la informacióny ciberataques?
  • ¿Es necesario tener un departamento de seguridad?
  • ¿Es necesario disponer de un responsable de seguridad (CISO)?
  • ¿Si trabajo para la administración tengo obligaciones de ciberseguridad?
  • ¿Qué medidas debo tomar para tratar de evitar ataques?
  • ¿Cuál es el nivel de inversión adecuado?
  • ¿Cuáles son las medidas preventivas más eficaces en materia de ciberseguridad?
  • ¿Quién puede ayudarnos ante un ciberataque? ¿Qué organismos se encargan de la ciberdefensa (pública o privada, nacional o global) y pueden prestar su asistencia a las empresas ante un ciberataque?
  • ¿Dónde está el punto de equilibrio entre el desarrollo de negocio y la ciberseguridad?. ¿Se antepone la seguridad al negocio?

Una vez finalizado este trabajo prontuario, los expertos del grupo han analizado que temas, desde una perspectiva de gestión y de negocio, podría ser de interés para Directivos de empresas (asociadas o no). Los seis temas finalistas y candidatos a ser el tema del nuevo trabajo, han sido presentados en el XXX congreso de Autelsi, para que CIOs, CEOs y directivos de negocio, manifestaran su preferencia en base al interés que les suscitaba la temática planteada. La protección de la información empresarial ha sido el tema elegido.

Las empresas a través de la Digitalización de sus Negocios y de sus transformaciones constantes, va incorporando más y más datos ya sea de una forma estructurada (Bases de datos) o no estructurada (archivos como pueden ser documentos Word, presentaciones o hojas de datos,entre otros).

Esa generación de documentos se hace por cientos, cuando no por miles o millones (según el tamaño de la empresa y de la retención de estos que realice la misma).

Lo habitual, por desgracia, es no clasificar los datos, lo que impide que sepamos a través de su importancia y relevancia, cómo debemos tratarlos (difundirlos, copiarlos, almacenarnos y destruirlos).

La clasificación de Datos implica categorizar y/o estructurar datos en orden de importancia o relevancia, marcándolos con un valor de clasificación con una finalidad clara: protegerlos adecuadamente.

Al asignarle un nivel de confidencialidad del dato/documento, estamos fijando los cimientos para impedir el acceso no autorizado y que los documentos confidenciales sean exfiltrados (fugas de información). Adicionalmente nos permite establecer un criterio objetivo para a través de la monitorización detectar (preventiva o reactivamente) posibles violaciones de la confidencialidad.

El Grupo de Calidad y Seguridad, tras analizar y valorar diferentes temas que pudieran ser de interés en materia de ciberseguridad para sus asociados y tras escuchar la opinión de relevantes CIOs y CEOs asociados, trabajará en un documento a alto nivel que pueda ser utilizada por las organizaciones como una guía de aspectos a tener en cuenta para un clasificación exitosa de la información. Entre otros aspectos se tratarán:

  • Definir el propósito de la clasificación
  • Ciclo de vida de la información
  • Metodología
  • Categorías y criterios de clasificación
  • Tratamiento de la información categorizada a lo largo de su ciclo de vida
  • Organización, procesos y recursos tanto humanos como materiales para implantar con éxito el proceso

A lo largo de estos puntos se tratarán aspectos tales como la clasificación según la sensibilidad del dato, descubrimiento y clasificación automatizada como ayuda, el tratamiento durante el ciclo de vida según su sensibilidad, herramientas de prevención de fuga y limitación de acceso, procesos y procedimientos, entre otras muchas cuestiones importantes.

Frente a lo que pudiera parecer, por el titulo de este articulo y por la temática del trabajo, este no se clasificará como <<Solo para sus ojos>> sino que , una vez finalizado, esperamos que por su interés y alcance sea “De Difusión pública”.

Francisco Lázaro, CISO Renfe, Presidente del Grupo de Seguridad de AUTELSI.