Los servicios profesionales de seguridad de la información aportan el conocimiento y especialización para proteger los datos, los sistemas, los procesos y los activos frente a amenazas internas y externas, mediante:

• La evaluación del nivel de seguridad.
• La Identificación de riesgos, vulnerabilidades y brechas.
• El diseño e implementación de las medidas de protección.
• El cumplimiento normativo aplicando la regulación vigente (RGPD, ISO 27001, NIS2).

La gestión de la seguridad requiere un inventario de activos, clasificarlos y establecer la criticidad, evaluando los riesgos de acuerdo a la identificación de las vulnerabilidades, y estableciendo controles técnicos basados en administrar accesos y permisos, cifrado de la información, aplicando cortafuegos y respaldo mediante sistemas de recuperación de las aplicaciones y los datos asegurando la continuidad del negocio con medios, soluciones y herramientas.

El deber principal de la seguridad de información es vigilar, detectar, analizar y responder a incidentes de ciberseguridad en tiempo real con monitorización continua, detección y control de comportamientos anómalos, alertas ante ataques, respuestas ante incidentes en tiempo real y gestión de vulnerabilidades mediante actualizaciones y avisos de autoridades.

Las entidades de sectores energía, transporte, banca, infraestructuras digitales, administraciones públicas, sanidad, agua potable y residual, espacio, alimentación, servicios postales y de mensajería, gestión de residuos, fabricantes de productos críticos (químicos, electrónicos, maquinaria, dispositivos médicos, etc.) está sometidas a la normativa europea sobre ciberseguridad.

Deben tomar medidas de gestión de riesgos y seguridad implementando controles para adoptar:

• Políticas de seguridad de la información y gobernanza clara.
• Gestión de incidentes y continuidad de negocio.
• Seguridad en la cadena de suministro y en la relación con proveedores.
• Cifrado, autenticación multifactor, control de accesos.
• Gestión de vulnerabilidades y actualizaciones de software.
• Evaluaciones periódicas de riesgo y pruebas (pentesting, auditorías).