Hoy en día, las empresas se enfrentan a la necesidad de mejorar sus niveles de seguridad al tiempo que contienen sus costes. También se hace imprescindible la creación de valor, a través de los sistemas de información, para sus clientes y sobre la base de unos procesos empresariales eficientes.
IMI (International Maritime Industries), en el Reino de Arabia Saudí, es consciente de los retos actuales relacionados con el nuevo paradigma de las Tecnologías de la Información (TI), siendo de especial relevancia la necesidad de implementar una política de Gestión Integrada de Riesgos. Es por este motivo que IMI ha seleccionado a Grupo Satec, a través de su filial en Arabia, como partner para acometer un proyecto de diseño y definición de todos los mecanismos necesarios para establecer los procesos de gobernanza, gestión de riesgos y cumplimiento normativo de su TI.
Contexto
IMI está concebido como el mayor astillero de servicios marítimos en el Reino de Arabia Saudí e impulsor del desarrollo de una nueva industria marítima en la región. Su objetivo es construir y operar la mayor instalación integrada de servicios marítimos de Oriente Medio y Norte de África, ofreciendo soluciones competitivas, seguras y de alta calidad a los clientes de buques y plataformas de todo el mundo.
El astillero IMI consta de cuatro zonas:
- Zona A: ofrece servicios de construcción, mantenimiento, reparación y revisión (MRO, por sus siglas en inglés) para buques comerciales; incluidos los grandes petroleros, los graneleros, los buques de apoyo en alta mar y las plataformas.
- Zona B: dedicada a la construcción de buques de apoyo en alta mar.
- Zona C: la más grande, donde se llevan a cabo actividades de nueva construcción de buques comerciales.
- Zona D: dedicada a la construcción de plataformas marinas y barcos elevadores o barcazas.
Las tecnologías más avanzadas, como la inteligencia artificial, la biometría y el Internet de las Cosas, están integradas en la infraestructura del astillero, ofreciendo a los clientes una ventaja vanguardista para una era de digitalización.
El reto de la seguridad
Adaptar las TI al negocio es un mantra bien conocido por cualquier empresa. Dentro de los factores de éxito, existen tres medidas clave que merecen ser destacadas:
- Definición de un proceso de gestión de riesgos
- Alineación de los riesgos de TI con los riesgos empresariales
- Trazabilidad comparable, medible y garantizada
Atendiendo a las normas y marcos internacionales reconocidos, como la ISO 31000, entre las principales consideraciones para lograr este alineamiento entre la empresa y la TI, partiendo del entendimiento de la organización y el contexto, se encuentran:
- Establecimiento de una política de gestión de riesgos adecuada
- Integración de la TI en los procesos de la empresa
- Asignación de roles y responsabilidades
- Establecimiento de mecanismos de comunicación interna y externa, y presentación de informes
Por un lado, IMI se dio cuenta de la necesidad de crear un programa global de seguridad consistente en el desarrollo y aplicación de procesos, tecnologías y procedimientos.
Por otro lado, Satec, consciente de la habitual escasez de recursos propios en las empresas en el ámbito de la seguridad, adapta siempre sus propuestas a la realidad de los clientes y establece como prioritaria la necesidad de contar con un Sistema robusto de Gestión de la Seguridad de la información. Como parte de este Sistema, Satec implementa un proceso de análisis de riesgos en el que se decide qué actividades y activos son los más importantes para la empresa y, por tanto, aquellos en los que debe centrarse la inversión.
Evaluación de la madurez de la ciberseguridad
La primera fase realizada en el proyecto ha sido la evaluación de la madurez de la ciberseguridad, lo que conlleva analizar cómo IMI está gestionando su ciberseguridad en comparación con las mejores prácticas de referencia del sector.
En este caso, Satec ha aplicado como referencia el marco de ciberseguridad (CSF, por sus siglas en inglés) proporcionado por el NIST (Instituto Nacional de Estándares y Tecnología de EEUU). Dicho marco está subdividido en varias funciones que la empresa, en este caso IMI, debe desarrollar en relación con la ciberseguridad:
- Identificar: entender la organización para gestionar los riesgos de ciberseguridad en sistemas, activos, datos y capacidades.
- Proteger: implementar la protección adecuada para garantizar la seguridad de la empresa.
- Detectar: implementar las actividades necesarias para detectar un ataque a la seguridad de la empresa.
- Responder: desarrollar las actividades necesarias para ser capaz de responder a un ataque a la seguridad.
- Recuperar: desarrollar las actividades necesarias para ser capaz de recuperar el estado normal de la empresa después de haber sufrido un ataque de seguridad.
Durante la evaluación realizada, se asigna una puntuación a cada función y actividad en base a su grado de madurez. El sistema de puntuación se basa en el modelo CMMI (Capability Maturity Model Integration) definido por el Instituto de Ingeniería del Software (SEI). En él se distinguen los cinco niveles de madurez:
Marco de Gobierno TI
Como parte de la estrategia del proyecto, Satec también ha proporcionado una guía para la implementación de un marco de gobierno de los sistemas de información y sus procesos asociados, basado en el estándar internacional COBIT 2019 desarrollado por ISACA.
COBIT es una guía de buenas prácticas presentada como marco de trabajo, orientada al control y la supervisión de la TI que proporciona una serie de recursos que pueden servir como modelo de referencia para su gestión. En ella se incluye un resumen ejecutivo, un marco de trabajo, los objetivos de control, los mapas de auditoría, las herramientas para la implementación y, principalmente, una guía de técnicas de gestión.
Para el IMI, Satec ha entregado un mapa de procesos adaptado a sus necesidades y, para cada objetivo de control, una definición y guía del proceso, una matriz de funciones y responsabilidades y una guía de sus componentes.
A alto nivel, los objetivos de la gestión de COBIT se agrupan en 4 dominios:
- Alinear, Planificar y Organizar: se dirigen a toda la organización, su estrategia y el resto de las actividades que dan soporte a la TI.
- Construir, Adquirir e Implementar: se ocupa de la definición, adquisición e implementación de las soluciones informáticas junto con su integración en los procesos de negocio.
- Entregar, Dar servicio y Apoyar: se encarga de la entrega y el apoyo de los servicios de las TI, incluida la seguridad.
- Supervisar, Evaluar y Valorar: aborda la supervisión del rendimiento de la tecnología de la información y el cumplimiento de sus objetivos internos y externos.
Evaluación de riesgos
La última fase del proyecto para IMI ha consistido en realizar un análisis de riesgos y posterior evaluación del Centro de Operaciones de Seguridad (SOC).
Por lo general, es habitual implantar demasiada seguridad, insuficiente seguridad o controles de seguridad incorrectos, provocando unos gastos demasiado altos en el proceso, sin conseguir los resultados esperados. Las evaluaciones de riesgos ayudan a las empresas a priorizar sus riesgos y mostrar a la Dirección la cantidad óptima de recursos que deben considerarse para proteger a la empresa contra esos riesgos de una manera efectiva.
La evaluación de riesgos permite identificar las vulnerabilidades y amenazas, además de analizar los impactos potenciales para determinar dónde deben implantarse los controles y las medidas de seguridad en una organización. El objetivo de la evaluación de riesgos es implementar dichas medidas de la manera más rentable, adecuada y oportuna para el IMI. Para ello, Satec ha tenido en cuenta las siguientes actividades durante el proceso de evaluación de riesgos:
- Identificación de los activos y su valor para la organización
- Determinación de la probabilidad de que una amenaza aproveche una vulnerabilidad
- Determinación del impacto empresarial de estas posibles amenazas
- Realización de un balance económico entre el impacto de las amenazas y el coste de la medida de seguridad a implantar para así contrarrestarla
Una vez hecho el análisis de riesgos, se ha realizado la evaluación del estado actual del SOC de IMI para determinar si sus procesos, tecnología y personal actuales son los adecuados para satisfacer sus necesidades y, de lo contrario, hacer las recomendaciones pertinentes.
Si quieres conocer en más detalle nuestros servicios, no dudes en contactar con nosotros.