Seguridad al máximo nivel en Ecna: Esquema Nacional de Seguridad

• Ecna,Tecnología
• No hay comentarios

Hoy es un día muy especial para todo el equipo de Ecna y queremos compartirlo con vosotros y vosotras. ¡Ecna ha conseguido el Esquema de Seguridad Nacional (ENS) en su nivel medio!

Como desarrolladores de software, en Ecna siempre hemos tenido especial sensibilidad respecto a la seguridad en el ámbito digital. Velamos tanto por la seguridad de nuestros sistemas, nuestro software y nuestra información como por la de nuestros clientes.

Para dejar patente nuestro compromiso, llevamos años obteniendo certificaciones que atestigüen la implicación de Ecna con la seguridad. Hace ya muchos años que contamos con la ISO 9001, la norma sobre gestión de la calidad con mayor reconocimiento del mundo. Más recientemente, hemos conseguido la ISO 27001, relativa a los procesos que afectan a la seguridad de nuestros datos, así como a la seguridad física y lógica de nuestros sistemas. Esta certificación la renovamos año a año, para asegurarnos de que nuestros datos siguen estando a salvo.

Este año, y no sin esfuerzo, Ecna ha obtenido el Esquema Nacional de Seguridad. Este certificado supone un nuevo hito que refuerza nuestro compromiso con la seguridad de la información y la protección de datos en todos nuestros procesos, tanto en infraestructura como en desarrollo. A continuación, os contamos todos los detalles relacionados con esta certificación:

Seguridad de la Información

La Seguridad de la Información es un concepto amplio de seguridad que abarca medidas destinadas a proteger la información y los datos de valor a través de medidas de seguridad, reducción de riesgos y control de amenazas que se originen tanto desde dentro como desde fuera de la organización.

El concepto de seguridad de la información no debe ser confundido con el de Seguridad Informática, ya que este último solo se encarga de la seguridad en el medio informático, pero la información puede encontrarse en diferentes medios o formas, y no solo en medios informáticos.

Ciberseguridad se fundamenta en la protección de los activos de información, a través del tratamiento de amenazas que ponen en riesgo la información procesada, almacenada  y transportada por los sistemas de información que se encuentran interconectados.

¿Cómo afecta la seguridad de la información al negocio?

La información es un activo muy importante dentro de la empresa. Existen activos tangibles e intangibles:

• Ordenadores
• Know-How
• Telefonía móvil
• Reputación

En 2021 se implantó la versión ISO 27001. Es una norma que marca una serie de requisitos y pautas para que la empresa gestione su seguridad de la información de modo efectivo, con un enfoque muy marcado hacia la mejora continua.

Dimensiones de seguridad

La Confidencialidad es la propiedad de prevenir la divulgación de información a personas o sistemas no autorizados, es decir, se refiere a que únicamente acceda a la información las personas que cuenten con la debida autorización.

La Integridad es la propiedad que busca mantener los datos libres de modificaciones no autorizadas. Es decir, garantizar la exactitud de la información tal cual fue generada, sin ser manipulada o alterada por personas o procesos no autorizados.

La Disponibilidad es la característica, cualidad o condición de la información de encontrarse a disposición de quienes deben acceder a ella, ya sean personas, procesos o aplicaciones.

Principales amenazas

Algunas cifras:

• Cada 10 segundos un nuevo dispositivo es víctima de Ransomware o secuestro digital.
• Una de cada dos víctimas de ciberataque vuelve a ser atacada con éxito en menos de un año.
• Ya en 2020 aumentó un 54% el número de robos de identidad digital.
• El 69% de las variantes de malware está dirigido a dispositivos con sistemas Windows.
• Las variantes de malware aumentan un 50% cada año.
• Las estafas de Phishing aumentaron en 2022 un 667%.
• En 2021, el coste medio en España de un ciberataque fue de 105.000€, duplicando el de 2020.
• El 2023, el coste medio global de una vulneración de datos fue de 4 millones de euros.

Dependiendo del objetivo, modus operandi y herramientas que utilice, estos son los principales motivos de un ciberataque:

1. Instalación de programas no deseados (malware tipo virus, spyware, adware…)
2. Secuestro de datos, dispositivos o pérdida de información (mediante Ransomware).
3. Filtración de contraseñas en la Dark Web (obtenidas con fuerza bruta o Phishing).
4. Monitorización de la conexión, la huella digital y control del dispositivo.
5. Robo de dinero, blanqueo de capitales o financiación del terrorismo.
6. Secuestro de cuentas de usuario o cuentas bancarias.
7. Espionaje industrial o inteligencia competitiva.
8. Modificación de datos e información crítica.
9. Denegación de servicio.

Los vectores de ataque son canales usados por los cibercriminales para atacar a sus víctimas. Los más utilizados son los siguientes:

1. Clicar un enlace: emails, archivos, webs o redes sociales
2. Clicar una imagen:
3. Descargar o abrir archivos: ventanas emergentes, banners publicitarios, emails o archivos.
4. A través de ingeniería social, engañando o manipulando a las víctimas.

En todos ellos es imprescindible que se dé un error o negligencia por parte del usuario. Una parte fundamental de cualquier sistema ERES TÚ.

En función del tipo de ciberataque y de la víctima, éstas son las consecuencias más graves:

1. Infección a otros dispositivos conectados a la misma red o externos.
2. Disminución de la confianza de tu entorno, otros usuarios o clientes.
3. Crisis reputacional personal o empresarial.
4. Posibles repercusiones legales.
5. Reducción de la productividad.
6. Pérdida de información.
7. Perjuicio económico.
8. Pérdida de tiempo.

Documentación y procedimientos principales

La Política detalla el compromiso de Ecna y su dirección respecto al Sistema de Gestión de la Calidad y el SGSI.

• Garantizando la satisfacción de clientes.
• Creando una cultura de calidad y salvaguarda de la información.
• Enfoque en mejora continua de los sistemas.

La Normativa Interna desarrolla los principios marcados por la Política y define las medidas de seguridad y directrices básicas aplicable al SGSI. Marca las pautas y obligaciones de cara a garantizar el uso adecuado de los activos.

La Clasificación de Información marca las pautas para realizar la correcta clasificación de la información de Ecna, su etiquetado y tratamiento. Énfasis en la confidencialidad.

• Interno:
  • Información del sistema de gestión y de proyectos, siempre que esta no sea confidencial.
  • Accesible por parte del personal interno y proveedores en función de sus funciones y responsabilidades.
• Confidencial:
  • Información económica, comercial y de personas físicas y jurídicas que no esté clasificada como interna.
  • Accesible por parte de la Dirección y Administración (en el caso de las personas empleadas y candidatas).
• Público:
  • Toda la documentación externa no relativa a personas físicas ni jurídicas.
  • Accesible por cualquier persona.

El procedimiento de Gestión de incidentes detalla las directrices y fases para gestionar los incidentes de seguridad. A nivel usuario se destacan los canales de comunicación para notificar debilidades y potenciales incidencias.

¿Hacia dónde nos dirigimos? ISO27:2022 y Esquema Nacional de Seguridad

Para la obtención del Esquema Nacional de Seguridad, estos serían los siguientes principios básicos:

1. Seguridad como proceso integral.
2. Gestión de la seguridad basada en los riesgos.
3. Prevención, detección, respuesta y conservación.
4. Existencia de líneas de defensa.
5. Vigilancia continua.
6. Reevaluación periódica.
7. Diferenciación de responsabilidades.

En cuanto a los requisitos mínimos, serían los siguientes:

1. Organización e implantación del proceso de seguridad.
2. Análisis y gestión de los riesgos.
3. Gestión de personal.
4. Autorización y control de los accesos.
5. Protección de las instalaciones.
6. Adquisición de productos de seguridad y contratación de servicios de seguridad.
7. Mínimo privilegio.
8. Integridad y actualización del sistema.
9. Protección de la información almacenada y en tránsito.
10. Prevención ante otros sistemas de información interconectados.
11. Registro de actividad y detección de código dañino.
12. Incidentes de seguridad.
13. Continuidad de la actividad.
14. Mejora continua del proceso de seguridad.

Por último, las medidas de seguridad para obtener el ENS serían estas:

1. Marco organizativo.
2. Marco operacional.
3. Medidas de protección.

Así, estamos orientando nuestros esfuerzos en seguir siendo una firma segura y en proteger aún más, si cabe, la seguridad de nuestra información y nuestros datos. Y es que en Ecna estamos en una búsqueda constante de mejora, siempre pensando en ofrecer el mejor servicio.