¿Cómo afronta su municipio los requisitos obligatorios de la BIO, la Seguridad Básica de la Información para la Administración? Nuestra experiencia demuestra que la mayoría de los municipios cumplen mínimamente con la BIO sólo para "marcar la casilla". Sin embargo, esto deja a su organización vulnerable al Ransomware y a otros ataques digitales. Un ataque de este tipo puede causar daños importantes. Lea aquí cómo configurar correctamente la seguridad de su información y cómo Secura puede ayudarle con ello.
BIO para municipios: ¿Un ejercicio de relleno o realmente seguro?
Fecha:
16 enero 2023 |
Author(s):
Bram Blaauwendraad - Consultor de seguridad
16 enero 2023 |
Author(s):
Bram Blaauwendraad - Consultor de seguridad
Requisitos adicionales
Desde el 1 de enero de 2020, los municipios de los Países Bajos están obligados a cumplir la BIO. Este marco se aplica a todas las organizaciones gubernamentales y exige más de cien requisitos adicionales de seguridad de la información además de las medidas de la norma ISO/IEC 27002, en función del denominado nivel básico de seguridad (BBN 1, 2 o 3) que la organización deba cumplir. La BIO sigue el principio de "aplicar o explicar", según el cual todas las normas deben cumplirse a menos que la organización tenga una razón justificada para no hacerlo.
Nuestra experiencia demuestra que, aunque las organizaciones suelen cumplir la BIO en la práctica, en realidad no están seguras. La BIO se aplica con un cumplimiento mínimo sólo para 'marcar la casilla'. Por ejemplo, se recopilan los registros, pero no se actúa en consecuencia, y muchos documentos normativos se quedan simplemente en papel. Esto es en cierto modo comprensible, ya que el cumplimiento de la BIO es un requisito legal, pero todavía no existe ninguna obligación de certificación externa. Además, la aplicación implica naturalmente costes financieros.
Seguridad digital
El requisito BIO, sin embargo, tiene una buena razón detrás. El número y la complejidad de los ataques digitales han aumentado significativamente en los últimos años. Los ataques de Ransomware se están convirtiendo en algo habitual, y los ataques exitosos debidos a una insuficiente resistencia digital de los municipios pueden dar lugar a una atención negativa de los medios de comunicación, como se ha visto con municipios como Amberes, Buren, e incluso consecuencias legales en el caso de Hof van Twente (hackeado con la contraseña "welkom2020").
Además, "cumplir con la BIO" también significa buena administración, y puede mostrar a las partes interesadas que la seguridad digital se toma en serio. El reto, por tanto, es cumplir la BIO como subproducto de una política de seguridad de la información sólida, que además esté diseñada de forma pragmática para contar con suficiente apoyo dentro de la organización.
Personas, procesos y tecnología
¿Cómo aplicar la BIO de forma pragmática y no sólo como una obligación de cumplimiento? En opinión de Bureau Veritas Cybersecurity, esto puede lograrse mediante un examen crítico de Personas, procesos, y tecnología:
- Personas: La formación para la concienciación no debe ser una carga para el personal, sino que puede convertirlo en un arma en la batalla digital;
- Procesos: Las políticas y los procesos deben proporcionar información y control sobre la seguridad de la información;
- Tecnología: Las medidas de seguridad y la investigación deben mejorar la resistencia digital de la organización.
Como experto independiente en ciberseguridad, Secura puede asistirle en todos los aspectos tanto de la norma ISO/IEC 27002 como de las medidas adicionales de la BIO para hacer transparente su madurez y ayudarle a aplicarlas eficazmente.
Temas BIO |
Servicios Secura |
|---|---|
| Política de organización |
Para establecer en qué punto se encuentra su organización, Secura comienza con una Evaluación del nivel de madurez en seguridad. A diferencia del análisis GAP de la VNG, que sólo pone a prueba las medidas BIO adicionales, Secura evalúa la madurez con respecto tanto a las medidas BIO adicionales como a las medidas ISO/IEC 27002 (obligatorias) en un único informe exhaustivo, apoyado por gráficos. Posteriormente, Secura puede ofrecer apoyo en la puesta en marcha de las partes restantes de la BIO mediante el apoyo a la implantación. Nota: La BIO se basa actualmente en la versión de 2013 de la norma ISO/IEC 27002, pero se actualizará en breve. Secura también puede evaluar la organización con respecto a ISO27002:2022 para evitar trabajo y costes adicionales en el futuro. |
| Risk Assessment |
Según la BIO, la seguridad de la información depende de la gestión de riesgos para garantizar la protección adecuada de la información y los sistemas de información dentro del contexto y los objetivos de la organización. Debe realizarse un análisis de riesgos exhaustivo, teniendo en cuenta el contexto de la organización, su perfil único y su tolerancia al riesgo. Bureau Veritas Cybersecurity ofrece apoyo mediante Risk Assessments en cada etapa del proceso de risk assessment: desde el método de risk assessment hasta el análisis de los riesgos y la priorización de los resultados. |
| Concienciación y comportamiento centrados en aprender, motivar y facilitar |
El factor humano es esencial para proteger su organización y sus assets digitales. En la práctica, a menudo vemos que los conocimientos del personal no equivalen a awareness debido a diversos factores. Bureau Veritas Cybersecurity ofrece un programa de concienciación y cambio de comportamiento en materia de seguridad, así como servicios y formación relacionados para aumentar la ciberresiliencia de sus empleados. Nos centramos no sólo en la awareness (conocimiento), sino también en aumentar la motivación y facilitar mejor su organización. |
| Seguridad técnica |
Los atacantes suelen explotar las vulnerabilidades técnicas, tanto para entrar como para causar el máximo daño. Al someter periódicamente su red, sistemas y aplicaciones a un examen profesional, se pueden identificar las vulnerabilidades y abordarlas de forma proactiva. El Ransomware es una de las mayores amenazas que quitan el sueño a los municipios. El primer paso es cartografiar el entorno, lo que se hace mediante el Modelado de amenazas. También puede considerarse la seguridad física del entorno. Posteriormente, se realizan escaneos externos, seguidos de revisiones de las aplicaciones y pruebas de penetración internas. Durante estas pruebas, se puede prestar especial atención a aspectos como las copias de seguridad y la vulnerabilidad al ransomware, teniendo en cuenta las tácticas, técnicas y procedimientos (TTP) de los grupos de ransomware modernos. Todo esto lo llevan a cabo especialistas en seguridad del Grupo de Mercado Público de Bureau Veritas Cybersecurity, que están familiarizados con los retos únicos del sector público. |
Secura puede ayudarle con la BIO pero no puede eximirle totalmente de la responsabilidad. El cumplimiento de la BIO requiere la implicación y la acción del propio municipio. En las operaciones diarias, la organización debe asumir la responsabilidad de la BIO. Si se encuentra escaso de capacidad, nuestro CISO-as-a-Service podría ser de su interés.
Prevenir y curar
Bureau Veritas Cybersecurity se centra en evaluar y asesorar de forma independiente sobre la seguridad de la información. Sin embargo, la ciberseguridad es un campo complejo y dinámico, y los atacantes a veces consiguen colarse a pesar de los esfuerzos. Por lo tanto, siempre debe considerar este escenario, siguiendo el principio denominado "asumir la brecha". En esos momentos, es vital que una organización disponga de suficiente capacidad de detección, así como de expertos en seguridad disponibles 24 horas al día, 7 días a la semana, para minimizar el impacto de un ataque exitoso y evitar daños.
Por ello, Secura colabora con Eye Security, un proveedor de servicios líder en el campo de la ciberseguridad, especializado en supervisión, seguros y respuesta ante incidentes. Eye Security proporciona una solución completa para proteger sus sistemas y redes y neutraliza un ciberataque en menos de cuatro horas.
Los servicios de Eye Security y Bureau Veritas Cybersecurity se complementan mutuamente, lo que permite a los municipios cubrir gran parte de sus retos de BIO cuando ambas empresas trabajan juntas. Por eso nos gusta decir a todos los municipios: ¡bienvenidos a 2023!
Para más información sobre los servicios de Eye para municipios, visite aquí.