ISO 27002. LA IMPORTANCIA DE LAS BUENAS PRÁCTICAS EN LOS SISTEMAS DE SEGURIDAD DE LA INFORMACIÓN

El objetivo que persigue la norma ISO 27002 es que la organización conozca de forma precisa todos los activos que posee. 

Esta información es una parte muy importante de la administración de riesgos.

Algunos ejemplos de activos son:

• Recursos de información: bases de datos y archivos, la documentación de los sistemas, los manuales de usuario, el material utilizado durante la capacitación, los procedimientos operativos, los planes de continuidad y contingencia, etc.
• Recursos de software: software de aplicaciones, sistemas operativos, herramienta utilizadas para llevar a cabo los desarrollos, etc.
• Activos físicos: equipamiento informático, equipos de comunicación, mobiliario, etc.
• Servicios: los servicios informáticos y de comunicaciones.

Los activos de información tienen que estar clasificados según la sensibilidad y criticidad de la información que contienen o que se dedican a cumplir con el objetivo de establecer como se debe tratar y proteger la información.

Las pautas de clasificación deben prever y contemplar el hecho de que la clasificación de un ítem de información determinado no necesariamente tiene que mantenerse de forma invariable por siempre, y que se puede cambiar según la política determinada por la propia organización. Es necesario que se considere la cantidad de categorías a la hora de definir toda la clasificación según los esquemas que se pueden llevar a cabo de forma compleja en la organización y pueden resultar muy poco prácticos.

La responsabilidad sobre los activos

Según establece la norma ISO 27002 es necesario justificar los activos y que cuenten con un propietario que debe estar correctamente identificado. Los propietarios de los activos tendrán la responsabilidad de mantener los controles necesarios.

La implantación de los controles específicos de Seguridad de la Información en un plan de reacción ante incidencias de SI se puede delegar por parte del propietario de forma conveniente. No obstante, el propietario será el responsable de la adecuada protección de todos los activos.

La persona o entidad que será la responsable de un activo, debe contar con la aprobación del órgano de dirección, para establecer el control de la producción, el desarrollo, el mantenimiento, la utilización y la seguridad de todos los activos. El término propietario no significa que la persona responsable disponga de los derechos de propiedad reales del activo, simplemente se dedica a proteger que no le suceda nada.

Será necesario realizar y mantener un inventario de activos de información, que debe ser mostrado a los propietarios de los activos y los detalles relevantes.

Utilizar un código de barras facilita las tareas que se deben realizar a la hora de hacer inventario y vincular los equipos de TI que entran y salen de las instalaciones.

¿Cuáles son las actividades de control del riesgo que se llevan a cabo?

Las actividades de control de riesgos que se tienen que llevar a cabo son:

• Realizar un inventario de activos. Todos los activos deben encontrase claramente identificados, confeccionados y mantenidos en un inventario.
• Proteger la propiedad de los activos. Todos los activos del inventario deben estar asociados a un responsable designado por la organización.
• Uso aceptable de los activos. Se tendrá que identificar, documentar e implementar la regulación para el uso adecuado de la información y los activos que se encuentran asociados a recursos de tratamiento de la información.
• Devolución de los activos. Una vez que finalice el acuerdo, los responsables deberán devolver todos los activos a la organización, por este motivo es necesario que cuenten con un contrato de prestación de servicios.

El objetivo de ISO 27002 es que la organización conozca todos los activos que posee, ya que es una parte muy importante de la administración de riesgos.

Clasificar la información

Es necesario que se realice una clasificación de la información en la que se indica la necesidad, las prioridades. También habrá que clasificar el nivel de protección que se necesite para llevar a cabo el tratamiento.

La información tiene diversos grados de sensibilidad y criticidad. En algunos casos se pueden requerir niveles de protección que resulten adicionales o de un tratamiento especial. Tiene que utilizarse un esquema de clasificación de la información con el que se definirán de forma adecuada los niveles de protección. También se comunicará la necesidad de las medidas especiales para llevar a cabo el tratamiento adecuado.

Es necesario que se distingan todos los requisitos de seguridad, según el acuerdo alcanzado con el riesgo. Es necesario que se comience por controlar la confidencialidad, pero no olvide los requisitos de integridad y disponibilidad.

Las actividades que se realizan para establecer el control del riesgo:

• Clasificación. La información se tendrá que clasificar en relación al valor que tenga, los requisitos legales, la sensibilidad del documento y lo crítico que sea para la empresa.
• Etiquetado y manipulado de la información. Se tendrán que llevar a cabo una serie de procedimientos para establecer un etiquetado y tratamiento de la información según el esquema de clasificación que se ha realizado por la empresa.
• Manipulación de los activos. Se tienen que desarrollar e implementar procedimientos para la manipulación de todos los activos según el esquema de clasificación que se ha generado por la propia empresa.

Tomado de: https://www.isotools.org/

ISO 27001: PILARES FUNDAMENTALES DE UN SGSI

El estándar ISO 27001 establece todos los requisitos necesarios a la hora de implementar un Sistema de Gestión de Seguridad de la Información (SGSI) en cualquier tipo de empresa.

La parte más importante de una empresa es la información. Evidentemente, la empresa contará con otro tipo de activos que también tendrán una destacada importancia, pero si la organización tiene algún problema en la Seguridad de la Información, ésta no podrá recuperarla. Esa es la principal razón por la que las empresas deben dedicar parte de su esfuerzo en garantizar la seguridad de la información corporativa.

Habitualmente, la gestión de la Seguridad de la Información en una empresa se encuentra desorganizada, por lo que no cuenta con un criterio común, es decir, cada departamento de la organización cuenta con sus propios procedimientos y políticas, que han sido constituidas sin contar con las necesidades generales de la empresa e incluso podemos hablar de que se encuentran alejadas de los objetivos del negocio.

Implementar un Sistema de Gestión de Seguridad de la Información basado en la norma ISO 27001 es la manera más eficiente de poder conseguir la coordinación y gestión necesaria para alcanzar los objetivos de la organización y además puede conseguir que la organización salga mucho más reforzada.

Un Sistema de Gestión de Seguridad de la Información según la ISO27001 genera una garantía con la que sabemos que poder realizar una adecuada gestión de la seguridad de la información en la organización. Para ello, se debe realizar un tratamiento según los diferentes niveles de riesgos cosechados como consecuencia de considerar los distintos efectos que se pueden producir sobre la información de la organización.

El Sistema de Gestión de Seguridad de la Información según la norma ISO-27001 genera un proceso de mejora continua y de gran flexibilidad frente a los cambios que se pueden producir en la empresa refiriéndonos a los procesos de negocio y a la tecnología, ya que ésta avanza a una gran velocidad.

El SGSI se basa en tres pilares fundamentales:

• Confidencialidad: es la garantía de acceso a la información de los usuarios que se encuentran autorizados para tal fin.
• Integridad: es la preservación de la información completa y exacta.
• Disponibilidad: es la garantía de que el usuario accede a la información que necesita en ese preciso momento.

El Sistema de Gestión de Seguridad de la Información tiene que tener en cuenta los tres pilares fundamentales para realizar el tratamiento de los riesgos de la organización ya que la implementación de los controles de seguridad son los activos de la organización.

El ciclo PHVA en un Sistema de Gestión de Seguridad de la Información.

Sistema de Gestión de Seguridad de la Información

Implantar un Sistema de Gestión de Seguridad de la Información se encuentra basado en la norma ISO-27001. Este estándar internacional presenta un sistema de gestión basado en el ciclo de Deming: Planificar, Hacer, Verificar y Actuar, cuyas siglas en inglés son PHVA. El ciclo Deming o ciclo PHVA, supone la implementación de un Sistema de Gestión que se centra en la mejora continua que requiere de una constate evolución para adaptarse a los cambios que se producen en la organización e intentar conseguir el mayor nivel de eficacia operativa.

Procedemos a describir todas las actividades que realizan en cada una de las cuatro fases del ciclo Deming (PHVA):

• Planificar: durante esta fase tiene lugar la creación de un Sistema de Gestión de Seguridad de la Información, con la definición del alcance y la política de seguridad. Para comenzar debemos realizar una análisis de riesgos que refleje la situación actual de la entidad. Una vez realizado el análisis obtendremos unos resultados que definirán el plan de tratamiento de riesgos que conlleva la implementación en la empresa de unos controles de seguridad con el objetivo de mitigar los diferentes riesgos no asumidos por la dirección.
• Hacer: durante esta fase de la implementación nos centramos en el plan de tratamiento de riesgos, es decir, su ejecución. Se debe incluir la formación y la conciencias de los trabajadores de la organización en materia de seguridad y deben conocer la definición de métricas e indicadores que se utilizarán para evaluar la eficacia de los diferentes controles implementados.
• Verificar: esta fase conlleva la realización de diferentes tipos de revisión en los que se comprobarán la correcta implementación del Sistema de Gestión de Seguridad de la Información según ISO 27001. Para ello, se deben realizar auditorías internas independientes y objetivas, además de llevar a cabo una revisión global del Sistema de Gestión de Seguridad de la Información por la alta dirección de la empresa, persiguiendo el fin de marcarse nuevas metas a cumplir durante el próximo ciclo del SGSI.
• Actuar: El resultado obtenido de las revisiones debe quedar reflejado en la definición e implementación de las diferentes acciones correctivas, preventivas o de mejora con las que se consigue avanzar en la consecución del Sistema de Gestión de Seguridad de la Información siendo un sistema eficaz y eficiente.

Para implementar un Sistema de Gestión de Seguridad de la Información que se deben utilizar las dos normas, es decir, la ISO 27001 en la que se describe el ciclo PHVA de gestión de sistemas y el estándar internacional ISO27002 en la que encontramos la guía de implantación de los diferentes tipos de controles de seguridad.

La norma tiene 11 dominios diferentes de controles que pretenden cubrir todos los ámbitos de una entidad donde debe existir la seguridad de la información. Los dominios se encuentran divididos en 39 objetivos de control que, a su vez, abarcan 133 controles de seguridad.

Se deben seleccionar los diferentes controles que se deben llevar a cabo para definir el plan de tratamiento de riesgos, se debe nutrir de los 133 controles que encontramos en la norma ISO 27002. El anexo A del estándar internacional ISO27001 engloba una lista con los diferentes controles que sirven de unión entre ambas normas internacionales.

SGSI

La Seguridad de la Información en las organizaciones se ha convertido en un motivo de preocupación y compromiso.

Tomado de: https://www.isotools.org/