martes, 27 de junio de 2017

ISO 27002: LA ALIADA PERFECTA DE LA ISO 27001

La Norma ISO 27002 establece los controles a seguir para garantizar la confidencialidad, integridad y autenticidad de la información.
Normalmente cuando hablamos de la seguridad de la información nos viene a la mente la Norma ISO 27001. Sin duda, este norma es muy relevante en este sector ya que, tomando como base los riesgos a los que se enfrenta la empresa en su día a día, tiene como uno de los objetivos principales establecer, implementar, mantener y mejorar continuamente la seguridad de la información de la empresa. Sin embargo, no debemos olvidar el papel que ocupan otras normas.

Este es el caso de la Norma ISO 27002 de la que hablaré en este artículo y que establece un catálogo de buenas prácticas estableciendo, desde la experiencia, una serie de objetivos de control y controles que se integran dentro de los requisitos de la norma ISO 27001 en relación con el tratamiento de los riesgos.

La importancia de seguridad de la información
Aunque menos conocida, la Norma ISO 27002 es la aliada perfecta para la ISO 27001 en la gestión de la seguridad de la información.
La importancia de disponer de una actualizada, completa y veraz información es clave para la correcta realización de todas las actividades de la empresa, en todas sus áreas, campos y actividades. Sin embargo, es todavía más importante mantener dicha información con seguridad para que no pueda perderse, malograrse o deteriorarse de cualquier forma. Al fin y al cabo, la información y los datos de que dispone la empresa y que recopila en su día a día son uno de los activos más valiosos que pueden marcar el futuro de esta.

De esta forma, es fácil entender la importancia que la Norma ISO 27001 como sistema de gestión de seguridad de la información. Sin embargo, igual de importante es el papel que ocupa dentro de los requisitos de esta norma la ISO 27002 como guía de buenas prácticas para implantar controles y que garantizarán la seguridad de la información gracias a sus recomendaciones.

Los 14 capítulos de la Norma ISO 27002

La Norma ISO 27002 está estructura en 14 capítulos que describen las áreas que hay que considerar para garantizar la seguridad de la información de que dispone la organización. En total, el documento recomienda un total de 114 controles que, si bien no hace falta cumplirlos todos, si que hay que tenerlos en cuenta y considerar su posible aplicación, así como el grado de la misma.


A continuación vamos a ver brevemente cada uno de estos 14 capítulos.

1.- Políticas de seguridad de la información.

Dentro de este capítulo se hace hincapié en la importancia que ocupa disponer de una adecuada política de seguridad, aprobada por la dirección, comunicada a todo el personal, revisada periódicamente y actualizada con los cambios que se producen tanto en el exterior como en el interior, es decir, tanto en el entorno como en la propia empresa.

2.- Organización de la seguridad de la información.

Los controles indicados en este capítulo buscan estructurar un marco de seguridad eficaz tanto en la organización interna a través de los roles, tareas, seguridad, etc., como en los dispositivos móviles.

Tenemos que tener presente que cada vez es mayor el peso que está ocupando el teletrabajo dentro de las organizaciones y, por ello, se deben de tener en cuenta sus características especiales para que en ningún momento la seguridad de la información de que se dispone y maneja se vea afectada.

3.- Seguridad relativa a los recursos humanos.

Si analizamos los incidentes de seguridad que se producen en una empresa nos daremos cuenta que la gran mayoría de estos tienen su origen en un error humano. Y es que concienciar y formar al personal de los términos de empleo de la información en el desarrollo de sus actividades y de la importancia de promover, mantener y mejorar el nivel de seguridad adecuándolo a las características de los datos e información que manejan es clave y uno de los objetivos a perseguir.

4.- Gestión de activos.

Este capítulo centra su atención en la información como activo y en cómo se deben establecer medidas adecuadas para salvaguardarlos de posibles incidencias, quiebras en la seguridad o alteración no deseada, por poner algunos ejemplos. De esta forma se centra en la responsabilidad sobre los activos, clasificación de la información y manipulación de los soportes.

No debemos olvidar que un sistema de gestión de la seguridad de la información no abarca de forma exclusiva esos datos o información de que contamos, sino también en lugar en el que se encuentra contenida, ya sea en formato papel, usb, ordenadores portátiles, etc.


5.- Control de acceso.

Controlar quien accede a la información también es un aspecto relevante. Al fin y al cabo no todas las personas de una empresa necesitan acceder para realizar su actividad diarias a todos los datos, sino que tendremos roles que necesitarán un mayor acceso y otros con un acceso más limitado. Para poder marcar esta diferencia, establecer controles como registro de usuarios, gestión de los privilegios de acceso, etc., son algunos de los controles que en este capítulo se incluyen.

6.- Criptografía.

Sobre todo en el caso de que estemos tratando con información sensible o crítica puede ser interesante utilizar técnicas criptográficas para protegerla y garantizar, al igual que con el resto de información de que se dispone, su autenticidad, confidencialidad e integridad.

7.- Seguridad física y del entorno.

La seguridad no es solo a nivel tecnológico sino también físico, es decir, una simple labor de no dejar las pantallas e impresoras en zonas accesibles por parte de personal externo o al terminar la jornada de trabajo guardar los documentos e información con la que se esté trabajando no sólo nos permitirán gestionar adecuadamente la seguridad sino que se acabarán convirtiendo en hábitos que nos aportar eficacia en la gestión.

8.- Seguridad de las operaciones.

Este capítulo tiene un marcado componente técnico entrando en aspectos como protección contra software malicioso (malware), copias de seguridad, control de software en explotación, gestión de vulnerabilidad técnica, etc.


9.- Seguridad de las comunicaciones.

Partiendo de la base de que la gran mayoría de los intercambios de información y de datos en distintas escalas se realiza a través de las distintas redes sociales, garantizar la seguridad y proteger adecuadamente los medios de transmisión de estos datos es clave.

Y no solo debemos pensar a nivel interno dentro de la empresa entre los distintos roles y personal, sino que también debemos ampliar nuestra mente y fijar nuestra atención a nivel exterior, en puntos como por ejemplo la nube.

10.- Adquisiciones, desarrollo y mantenimiento de los sistemas de información.

La seguridad no es un aspecto de un área en concreta, ni de un determinado proceso, sino que es global, abarca toda la empresa y tiene que estar presente como elemento transversal clave del ciclo de vida del sistema de gestión.

De esta forma, tenemos que extender la seguridad de la información a las actividades subcontratadas, muchas veces las grandes olvidadas debido a que se consideran actividades mejores pero que no por ello dejan de poder acceder a información o, incluso, alterarla.

11.- Relación con proveedores.

De la misma forma que veíamos con el capítulo anterior, cuando se establecen relaciones con terceras partes, como pueden ser proveedores, en las que se transmita información, establecer una serie de medidas de seguridad puede ser muy recomendable y hasta necesario en determinados que casos.

12.- Gestión de incidentes de seguridad de la información.

No podemos hablar de controles de seguridad sin mencionar un elemento clave: los incidentes en esta seguridad. Y es que, estar preparados para cuando estos incidentes ocurran, dando una respuesta rápida y eficaz es la clave para prevenirlos en el futuro.


13.- Aspectos de seguridad de la información para la gestión de la continuidad del negocio.

No sabemos lo que necesitábamos un dato hasta que lo perdemos. Lo cierto es que sufrir una pérdida de información relevante y no poder recuperarla de alguna forma puede poner en jaque la continuidad de una empresa.

Por eso, establecer las medidas adecuadas para protegerse ante estas situaciones, estando preparados para ello y valorando los posibles efectos adversos que se pueden sufrir para poner soluciones antes de que ocurran, son claves para garantizar el futuro de la empresa.

14.- Cumplimiento.

No podemos hablar de la seguridad de la información, sin hablar de la legislación, normas y políticas aplicables relacionadas con este campo y con las que conviven las empresas en su día a día.  Tenemos que tener presente que ocupan un gran lugar en cualquier sistema de gestión y garantizar que se cumplen y que están actualizadas con los últimos cambios es esencial para no llevarnos sorpresas desagradables.

Por último, recordaros que esta norma es una guía que aporta recomendaciones de seguridad de la información y que no establece obligaciones de cumplimiento ni requisitos. De la misma forma, no es certificable.

Sin embargo, revisar los 114 controles que nos indica en estos 14 capítulos que hemos visto aportará a la empresa un punto de vista general de la seguridad y establecerá aquellos aspectos más relevantes que han de ser tenidos en cuenta, además de que permitirá el cumplimiento de los requisitos establecidos en la Norma ISO 27001, Sistema de Gestión de la Seguridad de la Información.

Tomado de: http://www.sbqconsultores.es/