Cada vez dependemos más de la tecnología. Sin embargo, la tecnología es vulnerable, como se pudo ver en el ataque que sufrió Apple con su iCloud y que permitió que hacker robasen fotos comprometidas de famosas que luego difundieron. También en el robo de los datos de 77 millones de usuarios de PlayStation que Sony sufrió.
¿Cómo se puede conocer que una determinada empresa o entidad se preocupa por su ciberseguridad e implementa las medidas técnicas para evitar que esto ocurra?
Por supuesto que existen certificaciones de seguridad, como la ISO 27001, que certifica que una entidad gestiona la seguridad de la información que maneja. O la ISO 22301, para la gestión de la continuidad de negocio.
La carencia que tienen estas certificaciones es que se está gestionando la seguridad, pero no su nivel de eficacia.
Para que se entienda esto, voy a pone un símil con la ISO 9001, que certifica que una entidad gestiona la calidad de sus productos o servicios: una empresa puede dar un servicio pésimo, o elaborar unos productos absolutamente mediocres y obtener la certificación de calidad ISO 9001 año tras año porque la empresa es la que decide su estándar de calidad. Y siempre que preste el mismo (pésimo) servicio o elabore sus productos, por supuesto, todos exactamente igual de mediocres y según las especificaciones que ella misma se ha definido y que están recogidas en su Manual de Calidad, obtendrá y renovará su certificado.
Algo así ocurre con la ISO 27001, que es la propia entidad la que decide el nivel de seguridad que considera aceptable, y mientras lo mantenga en ese nivel, está cumpliendo con los requisitos para certificarse.
Sin embargo, la realidad ha cambiado. Ya no es suficiente con que sea la entidad la que decida sobre el nivel de ciberseguridad que acepta. Hay demasiado en juego.
Es necesario dar un paso más. Se necesita, más que nunca, una certificación técnica que valore no solo la gestión, sino también la eficacia de las medidas de seguridad a nivel técnico (dispositivos y protocolos utilizados, especificaciones, etc.), de forma que realmente la entidad pueda demostrar que es ciberseguridad. Atendiendo esta carencia, se ha desarrollado en España un Sello pionero, único en Europa, que certifica que en una entidad tiene un excelente nivel de ciberseguridad, tanto de gestión, como técnico.
Y este innovador Sello ha sido desarrollado por una agrupación de Castilla y León, la AEI CIBERSEGURIDAD (Agrupación Empresarial Innovadora en Ciberseguridad y Tecnologías Avanzadas – www.aeiciberseguridad.es), que va a demostrar a Europa y al mundo entero que desde España podemos hacer grandes cosas en este ámbito.
12 de abril de 2016 – Artículo para la sección Innovadores del periódico El Mundo Castilla y León.