Cómo se protegen las compañías que se dedican a proteger los datos corporativos de otras compañías

En la actualidad, empresas, gobiernos y ciudadanos en general están expuestos a un aluvión constante de ciberataques, que tienen por objetivo robarles datos personales, información valiosa y, en última instancia, su dinero.

Los hay muy sencillos, como el del correo electrónico con pinta de legítimo pero que, en realidad, carga un archivo adjunto dañino o redirige a una página ficticia pensada para captar datos sensibles. Es el conocido phishing.

Pero también los hay más sofisticados, como las APT o amenazas avanzadas persistentes, donde los atacantes se infiltran sigilosamente en los sistemas de una gran empresa o un gobierno y pueden permanecer, meses o años, extrayendo datos de interés, espiando o conociendo los puntos débiles de los sistemas para ponerlos en jaque en el futuro.

Y no podemos olvidarnos del ransomware, del que un día sí y otro también hablan los medios de comunicación, y que consiste en el secuestro virtual de la información contenida en el disco duro de un equipo, lo que obliga a los afectados a pagar un rescate, muchas veces en forma de criptomoneda.

Para gestionar de forma eficiente sus datos y protegerse de estos ciberataques, que antes eran tema de conversación de expertos, pero que hoy han llegado incluso a la barra del bar, las empresas y los organismos tienen varias opciones.

Recurrir a terceros para salvar la complejidad

Pueden adquirir tecnología específica; hay mucha: antivirus, antispam, firewalls, software de control de accesos, programas de detección de intrusos… O también pueden contratar los servicios de compañías expertas en gestión de la información y ciberseguridad. No obstante, a veces, la mejor solución es una mezcla de estas dos alternativas.

En cualquier caso, empresas de todo el mundo confían todos los días en firmas expertas en cloud y protección porque la complejidad de estos entornos es creciente y es también difícil encontrar profesionales que puedan desempeñar con garantías estas funciones.

Pero, en este punto surge una pregunta pertinente: ¿quién nos asegura que las firmas especializadas (proveedores de servicios) son dignas de confianza y recurren a todas las herramientas a su disposición para proteger la información de sus clientes? En términos más llanos: ¿quién hace de guardián del guardián de los datos? Porque no vale, y menos cuando la seguridad de la información de una empresa o de la administración del Estado está en juego, aquello de “en casa del herrero, cuchillo de palo”.

La mejor forma de asegurarse de que una compañía contrata al mejor proveedor cloud o al especialista con los sistemas más robustos en cuestión de ciberseguridad es comprobando que dispone de los certificados que otorga la Organización Internacional de Normalización. Son los famosos certificados ISO, el mejor árbitro en el mundo de la gestión empresarial.

Si una empresa dispone de un certificado ISO, significa que cumple “al pie de la letra” con las más altas exigencias en muchas materias. Los certificados ISO acreditan a las empresas fiables y despejan dudas. Están concebidos para acreditar tecnologías, procesos y soluciones. Y sobre todo para dar garantías y seguridad a los clientes que contratan sus servicios.

La apuesta de Asseco Spain

En el ámbito específico de la ciberseguridad y gestión de datos en la nube, hay varios certificados específicos. Y algunos de ellos son los que ahora ha obtenido Asseco Spain, especialista en la gestión y protección de información corporativa. En concreto, a principios de mayo, Asseco Spain obtuvo los certificados 22301, 27017 y 27018, títulos que se unen a los que la firma ya tenía en materia de calidad (ISO 9001), medioambiente (ISO 14001), seguridad de la información (ISO 27001) y gestión de servicios (ISO 20000).

La ISO 22301 certifica que Asseco Spain cuenta con las herramientas necesarias para garantizar que, en caso de desastre, pueda continuar con su actividad, estableciendo un sistema de gestión para tal efecto. Por su parte, la norma ISO 27017 establece un conjunto de buenas prácticas en materia de seguridad para los proveedores de servicios cloud.

Finalmente, la ISO 27018 identifica de manera precisa cómo un proveedor tecnológico gestiona los datos personales de los clientes y establece los procedimientos necesarios para cualquier solicitud o acceso transparente a los mismos. Además, certifica que el proveedor de servicios actúa conforme a las leyes de protección de datos nacionales y europeas.

Una empresa que da ejemplo

Desde Asseco Spain defienden la necesidad que hay para una empresa de este tipo de contar con el respaldo de las normas ISO. “Las empresas que se dedican a garantizar la seguridad en otras compañías deben ser ejemplos. Por lo tanto, la mejor forma es que un tercero verifique, en función de lo que establece un estándar internacionalmente reconocido como es la ISO, que tanto los servicios como los recursos que hay por detrás cumplen con el estándar correspondiente”, explica Carlos García Gallardo, Chief Information Security Officer en Asseco Spain.

Y se refiere también a los plazos de vigencia de estos certificados: “De esta manera, los clientes tienen una evidencia de garantía sobre la empresa y los servicios que esta presta, ya que para mantener el certificado es preciso pasar una auditoría todos los años en ciclos de tres: en el primero el auditor verifica el cumplimiento sobre el 100% de los requisitos, y en los dos siguientes realiza un seguimiento”.

Por otra parte, y para despejar cualquier duda sobre su capacidad de proteger la información de sus clientes y gestionarla adecuadamente, Asseco Spain también ha obtenido la certificación de la conformidad con el Esquema Nacional de Seguridad (ENS) en categoría media. El ENS es una normativa, desarrollada en Reales Decretos de 2010 y 2015, que pretende garantizar la seguridad de la información en el sector público español, o en las empresas privadas que tienen contratos con la administración.

Con todas ellas, la seguridad del que asegura está asegurada.