Transformación digital segura
Detalles

Estamos en un momento en el que la velocidad de los cambios en las organizaciones se nos indigesta, la tecnología nos abruma con conceptos y propuestas en muchos casos disruptivas con respecto a nuestra realidad, y necesitamos organizar ideas, aclarar conceptos, acotar el ámbito y trabajar para mejorar en nuestra diferencia competitiva de toda la vida.
Esta preocupación por aportar luz en esta vertiginosa realidad la han hecho suya un grupo de asociaciones, empresas y organismos públicos que formaron el Grupo Específico de Carácter Temporal GET 24”, que elaboraron en 2018, de la mano de la Asociación Española de Normalización, una especificación para “aclarar” este ámbito de la digitalización, la Industria 4.0 y la Industria Digital.
“Especificación UNE 0060:2018 Industria 4.0. Sistema de gestión para la digitalización. Requisitos.”
Posteriormente, en marzo de 2019 desarrollaron los criterios para evaluar el grado de cumplimiento de requisitos para poder considerar una industria como “Industria Digital”.
“Especificación UNE 0061:2019 Industria 4.0. Sistema de gestión para la digitalización. Criterios para la evaluación de requisitos”.
UNE 0060:2018 describe los requisitos para que cualquier industria, independientemente de su tamaño, pueda ser considerada una “Industria Digital”. Para evaluarla se emplean los criterios de UNE 0061:2019.
Importante señalar también, que esta especificación se alinea con los ejes fundamentales de HADA (Herramienta de Autodiagnóstico Digital Avanzada), promovida por el Ministerio de Industria comercio y trabajo).
Otro aspecto importante; esta especificación define requisitos para un “Sistema de Gestión para la digitalización”, es decir, un sistema que permita implantar y adaptar la digitalización a los cambios de contexto, necesidades de sus clientes y otros grupos de interés. Se exigen compromiso, objetivos, planificación, seguimiento, mejora continua… no solo robots.
¿Y con respecto a la seguridad de la información y la ciberseguridad?
Lo primero que llama la atención es que hay un apartado específico dentro del ámbito de visión de la tecnología y todos sus requisitos son obligatorios:
Tecnología |
Aplicabilidad según tamaño |
||
---|---|---|---|
Pequeña |
Mediana |
Grande |
|
Seguridad de la información |
|||
Antifraude |
|||
Anti-phishing |
Sí |
Sí |
Sí |
Anti-spam |
Sí |
Sí |
Sí |
Herramientas de filtrado de navegación |
Sí |
Sí |
Sí |
Antimalware |
|||
Antivirus |
Sí |
Sí |
Sí |
Antiadware |
Sí |
Sí |
Sí |
Antispyware |
Sí |
Sí |
Sí |
Auditoría técnica |
|||
Análisis de logs y puertos |
Depende |
Sí |
Sí |
Análisis continuo de vulnerabilidades |
Depende |
Sí |
Sí |
Auditorías de accesos y contraseñas |
Sí |
Sí |
Sí |
Análisis de sistemas y ficheros |
Sí |
Sí |
Sí |
Ingeniería de seguridad |
Depende |
Sí |
Sí |
Hacking ético |
Depende |
Sí |
Sí |
Auditoría de código |
Depende |
Sí |
Sí |
Análisis forense |
Sí |
Sí |
Sí |
Contingencia y continuidad |
|||
A considerar como parte de la estrategia de migración a servicios de nube pública, o complementar con éstos para la infraestructura privada |
Sí |
Sí |
Sí |
Control de acceso y autenticación |
|||
Control de acceso a red (NAC) |
Depende |
Sí |
Sí |
Gestión de identidad y autenticación |
Sí |
Sí |
Sí |
Single Sign-On |
Depende |
Sí |
Sí |
Certificados digitales |
Sí |
Sí |
Sí |
Firma electrónica |
Sí |
Sí |
Sí |
Tokens |
Depende |
Sí |
Sí |
Doble factor de autenticación |
Depende |
Sí |
Sí |
Certificación normativa y cumplimiento legal en materia de seguridad de la información – ciberseguridad |
|||
SGSI – Sistema de Gestión de Seguridad de la Información (UNE-EN ISO/IEC 27001:2017) |
Sí |
Sí |
Sí |
Análisis de riesgo |
Sí |
Sí |
Sí |
Planes y políticas de seguridad |
Sí |
Sí |
Sí |
Herramientas de cumplimiento legal (LOPD, LSSI, RGPD…) |
Sí |
Sí |
Sí |
Borrado seguro |
Sí |
Sí |
Sí |
Destrucción documental |
Sí |
Sí |
Sí |
Soluciones de backup |
Sí |
Sí |
Sí |
Inteligencia de seguridad |
|||
Gestión de eventos de seguridad |
Sí |
Sí |
Sí |
SIM/SIEM |
Depende |
Sí |
Sí |
Big Data (para datos de seguridad) |
Depende |
Sí |
Sí |
Herramientas de monitorización y reporting |
Depende |
Sí |
Sí |
Protección de las comunicaciones |
|||
Firewalls |
Sí |
Sí |
Sí |
VPN |
Depende |
Sí |
Sí |
IDS |
Depende |
Sí |
Sí |
Filtro de contenidos |
Depende |
Sí |
Sí |
Gestión y control de ancho de banda |
Depende |
Sí |
Sí |
De lo visto en el documento podemos obtener varias conclusiones. Los sectores industriales se mueven para acabar con la brecha digital. La digitalización pasa inexorablemente por incorporar procesos específicos para la protección de los activos de la organización y de toda su cadena de valor y los modelos específicos de gestión que surgen se apoyan en modelos y tecnologías ya existentes para racionalizar el esfuerzo y la eficiencia.