David Taboada, Presidente del CONSEJOSI / 28 abril 2022

Si eres un profesional de la Seguridad de la Información y Ciberseguridad puedes considerarte un pionero. A finales de los 1980s y principios de los 1990s Royal Dutch/Shell Group redactó un manual de política de seguridad informática, el cual es el precursor de uno de los Estándares de Ciberseguridad más difundido: la serie ISO/IEC 27000.

En comparación, los profesionales de la contabilidad trazan sus inicios a la publicación en 1494 de la obra Summa de arithmetica, geometria. Proportioni et proportionalita. Luca Pacioli, reconocido como el padre de la contabilidad, describió en ese documento el sistema de partida doble y el ciclo de la contabilidad, los cuales se usan hasta el día de hoy. Por lo tanto, los contadores nos superan con cinco siglos de experiencia y tenemos mucho que aprenderles.

Por otra parte, el mundo sufre la mayor crisis de ciberseguridad de la historia con daños ocasionados por el cibercrimen que rebasaron los 6 billones de dólares en el 2021. Lamentablemente, los estudios prospectivos indican que al menos durante los años 2022 al 2024, cuando menos, la tendencia seguirá al alza.

Es en este contexto que el CONSEJOSI ha determinado aportar, conforme a nuestra misión, el diseño, difusión y mantenimiento de:

Dos Estándares de Ciberseguridad.

El primero de ellos está asociado a la Seguridad de la Información en la Escala Organizacional, particularmente con las Pruebas de Penetración.

El segundo, atiende la Ciberseguridad en la Escala Personal, para la cual hay todavía mucho qué avanzar, pues la mayor parte de la atención de los profesionales y la industria se ha enfocado en la Escala Organizacional.

El diseño de estos Estándares de Ciberseguridad es una tarea colaborativa internacional para la cual estamos convocando a los especialistas y a las partes interesadas. ¿Quiénes se pueden sumar a este esfuerzo? Lo detallamos a continuación para cada caso.

Estándar para Reportar Pruebas de Penetración

La información financiera de las organizaciones sigue formatos estandarizados y aceptados universalmente, como el Balance General y el Estado de Resultados. En contraste, los reportes de pruebas de penetración siguen en la actualidad el formato propio de cada proveedor del servicio.

¿Qué ventajas ofrecen los reportes estandarizados? En el caso de los estados financieros, por ejemplo, es posible que una empresa de cualquier país pueda entregar información financiera a inversionistas, banqueros o aseguradoras en cualquier parte del mundo con la plena certeza de que sus informes serán interpretados apropiadamente.

Cualquier estudiante universitario, en cualquier parte del mundo, aprende los mismos principios y procedimientos del sistema de partida doble inventado hace más de quinientos años. Eso no sucede hoy con los profesionales de las Tecnologías de la Información y Comunicaciones, ni con los profesionales de Seguridad de la Información y Ciberseguridad. Eso es justamente lo que resolverá este estándar.

Además, conforme maduran los sistemas de gestión de Seguridad de la Información en las organizaciones, se presta mayor atención al riesgo de los proveedores. Lo anterior ha motivado que las organizaciones preparen y compartan reportes o llenen cuestionarios a solicitud de sus clientes para comunicar su postura actual de Seguridad de la Información. En algunos casos, no existe un acuerdo sobre la cantidad y calidad de la información que se debe compartir, justamente por la falta de un estándar que clarifique estos casos.

El Estándar para Reportar Pruebas de Penetración debe facilitar la comunicación entre organizaciones en una cadena de valor y representar con la precisión debida el resultado de las pruebas. También debe facilitarle a las organizaciones la comparación de diversos reportes entregados por diferentes empresas externas a las que se les encargó las Pruebas de Penetración. Además, debe contener las secciones necesarias y suficientes para que se obtenga el mayor provecho de este ejercicio. Finalmente, se comprenderá mejor un reporte estándar si todos aprendemos a leer un formato único aceptado universalmente.

Estamos convocando a los profesionales de Seguridad de la Información y Ciberseguridad a que se unan al Comité Técnico para colaborar en este proyecto. Los CIOs y CISOs están también invitados a participar en el comité respectivo. El proceso de incorporación a estos dos comités se encuentra definido y lo encuentras pulsando aquí.

Por otra parte, vamos a integrar a las empresas prestadoras de servicios que realizan Pruebas de Penetración, académicos y otras partes interesadas. Regístrate aquí si te encuentras en alguno de estos casos.

Estándar de Ciberseguridad Personal

Si alguien preguntara, ¿cómo se asegura una organización? recibiría un caudal de información en la que los profesionales de Seguridad de la Información están de acuerdo. Sistemas de gestión, marcos de referencia y estándares específicos para industrias o sectores hay suficientes para responder la pregunta anterior. Por otra parte, existe un amplio cuerpo de conocimiento que ha sido organizado en cursos y exámenes de certificación. Además, existe una nutrida oferta de tecnología, que al ser debidamente implementada, ofrece una protección eficaz a las organizaciones.

Sin embargo, cuando se trata de la Ciberseguridad Personal, la oferta de tecnología es escasa y los estándares inexistentes. ¿Cómo se asegura una persona? es una pregunta que no alcanza una respuesta satisfactoria aún. Por tal motivo, el CONSEJOSI ha determinado crear el Estándar de Ciberseguridad Personal.

Este estándar cubrirá todos los activos digitales de las personas. Desde equipos personales y dispositivos móviles, pasando por todo lo que se encuentra en los hogares y que se conecta a la Internet: el modem del servicio de Internet, las cámaras de seguridad y cualquier otro componente de IoT (Internet of Things, o Internet de las Cosas). Las cuentas de los diversos servicios en la nube, las redes sociales, así como las aplicaciones de comunicación y mensajería estarán dentro del alcance. No es todo, pero con esto nos podemos dar una idea de la forma que tomará.

Las empresas que sufren pérdidas millonarias en un incidente de seguridad son los casos que obtienen la mayor cobertura de la prensa. Sin embargo, no debemos ignorar la realidad de los innumerables casos de ataques dirigidos a personas. Como consecuencia de estos ataques, las personas han sido estafadas, sufrido graves daños reputacionales y en algunos casos han perdido sus pequeños negocios.

Ha llegado el momento de atender a quienes son los más vulnerables frente al actual panorama de amenazas. Es nuestra expectativa que la difusión de este estándar estimule la incorporación de más actores para ofrecer soluciones, tecnologías, cursos y servicios de implementación de controles apropiados para la Escala Personal.

Las puertas del Comité Técnico y del Comité de CIOs y CISOs están abiertas para todos los interesados. Si este es tu caso, solicita tu incorporación al Cuerpo Internacional de Voluntarios pulsando aquí.

Son bienvenidos también los académicos y otras partes interesadas. Por favor regístrate aquí.

Conversemos
El diseño y difusión de estos dos Estándares de Ciberseguridad, reitero, es un esfuerzo colaborativo internacional. Si compartes con nosotros la aspiración a construir un mundo ciberseguro, te invitamos a sumarte. Valoramos y apreciamos todas las aportaciones. El proceso ha iniciado ¿Qué vas a hacer tú?