| 25 años generando CONFIANZA
ISO27001
ISO 27001 reúne los requisitos que dan lugar a un Sistema de Gestión de Seguridad de la Información. En esta materia se incluyen los aspectos que hoy vamos a analizar: protección contra el código malicioso, copias de seguridad, gestión de seguridad de las redes y gestión de soportes.
Protección contra el código malicioso
Cuando hablamos de código malicioso nos estamos refiriendo a la actuación de virus y troyanos, que nos obligan a tomar medidas, entre las que destaca la implantación de ISO27001, como la prevención, detección y recuperación de la información.
Ante esto, las empresas usan unos sistemas de antivirus, que no pueden hacer que bajemos la guardia ya que los antivirus no son infranqueables. Es necesario preparar a los trabajadores para que sepan actuar ante situaciones difíciles y enseñarlos a realizar procedimientos de recuperación y verificación de la información.
En estas líneas se debe:
- Establecer una política para cumplir con las licencias de software y para prohibir cualquier software malicioso que no esté autorizado.
- Definir controles de acceso a la información.
- Concienciar y formar al personal.
- Revisar periódicamente el sistema.
- Instalar un sistema de antivirus junto a una política de utilización respecto a los ficheros adjuntos en correos electrónicos y a otros que descarguemos.
- Definir procedimientos sobre el uso del antivirus, formar al personal para usarlo y para hacer frente a posibles ataques.
- Tener disponible un software espía para que rastree el trabajo que se ejecuta y, posteriormente envíe la información a alguien externo.
Copias de seguridad
Además de hacer una correcta implementación de la norma ISO 27001:2013 una organización requiere que se desarrolle una política que defina el alcance y la frecuencia en la que se realizarán las copias de seguridad de la información.
Las copias realizadas deben verificarse que están correctas y además debe quedar registrada su ubicación, la cual debe ser distinta a la de la original para evitar que ambas se afecten por un mismo problema.
Si se produjera algún desastre, la información afectada deber poder recuperarse mediante un proceso de restauración desde la copia de seguridad.
En definitiva, para mantener la disponibilidad e integridad de los sistemas de la información y de la propia información una organización debería:
- Hacer regularmente copias de los activos de la información.
- Comprobar que las copias son correctas.
- Comprobar que la copia realizada es efectiva para hacer una restauración.
- Otorgar el nivel necesario de protección física
Gestión de la seguridad en redes
La gestión de la seguridad en redes establece controles que certifican la confidencialidad e integridad de la información que circula por la red y por todos los dispositivos que pertenecen a la organización.
El principal objetivo de esta gestión es evitar que los activos de la entidad sean visualizados o enviados a personal no autorizado. Pero, ¿cómo lo evitamos? Para lograr esto es esencial especificar procedimientos para proteger la información y definir responsabilidades del personal que se va a encargar de administrar las redes.
Si se produce algún problema hay que registrarlo, acompañado de la acción que se ponga en marcha para proteger la información de la empresa.
En el caso de que hubiese equipos remotos conectados, es imprescindible establecer controles de seguridad para que no haya posibilidad de acceder a los activos mediante redes públicas o inalámbricas.
La protección de activos es un proceso que abarca un amplio abanico de posibilidades, por eso el Sistema de Gestión de Seguridad de la Información ISO 27001 no se puede limitar a la seguridad de equipos informáticos, sino que también se incluye la gestión de recursos humanos, de procesos…
Decisivamente si queremos garantizar la protección de la información en redes y en infraestructuras necesitamos:
- Definir controles que preserven la integridad y confidencialidad de la información localizada en las redes públicas.
- Crear una separación funcional de las redes.
- Si la organización en cuestión tiene los servicios de red externalizados, los niveles de servicio y los requisitos de gestión deben estar incluidos en el acuerdo entre ambas partes y justamente identificados.
Gestión de soportes
En el caso de los soportes portátiles, es imprescindible que la organización tenga creados determinados procedimientos para su gestión. Dicha gestión puede prevenir incidencias de integridad, disponibilidad y confidencialidad.
Estos procedimientos contemplarán:
- El modo de almacenar de una forma segura los tipos diferentes de soporte que se usen en la organización.
- La creación de un registro de los soportes portátiles de la entidad incluyendo el tipo de información que contienen, su uso y la fecha de retirada.
Relativo a la fecha de retirada, en el momento que un soporte portátil deje de ser útil y no vaya a usarse más sea por el motivo que sea, se requiere seguir un procedimiento que garantice que no se va a poder acceder a la información que hubiese contenido.
Existen otros procedimientos para la gestión de soportes portátiles que son: etiquetar los soportes, registrar a cada uno de los usuarios autorizados a manejar los soportes, enumerar el tipo de procesos en los que participan y los controles de seguridad a aplicar.
Y, en relación al carácter sensible de la información contenida en los citados soportes, no se puede dejar atrás elaborar un procedimiento que preserve dicha información de los accesos que no estén autorizados.
En resumen, se puede decir que para evitar incidentes de disponibilidad, integridad y confidencialidad de los activos de la información de una organización se recomienda:
- Establecer procedimientos para ayudar en la gestión de los soportes portátiles.
- Cualquier salida de la empresa de un soporte debe estar autorizada y registrada.
- Una vez que un soporte quede terminado su uso, el contenido que incluyera debe ser irrecuperable.
- Crear procedimientos tanto para el tratamiento como el almacenamiento de la información que la resguarden de un mal uso o de un acceso no autorizado.
Para terminar cabe destacar que a la hora de aplicar los controles necesarios en la protección y seguridad de la información en una organización, se puede hacer uso del código de buenas prácticas que aporta la norma ISO 27002.
Sistema de Gestión de Riesgos y Seguridad
El Software ISO para la norma ISO 27001 ofrece solución para todas las cuestiones planteadas en el momento de implementar un Sistema de Gestión de Seguridad de la Información en una entidad. Toda protección es necesaria e importante, por mínima que sea, debido a que el mínimo error o descuido puede provocar una violación de los datos de la empresa.
¿Desea saber más?
Entradas relacionadas
En el mundo empresarial actual, donde la integridad y la transparencia son esenciales para construir confianza, las organizaciones…
La gestión de investigaciones internas en las empresas es clave para proteger la integridad empresarial, prevenir los riesgos y fortalecer la...
La estructura de ISO 42001 es la acostumbrada por ISO para sus estándares certificables, y con posibilidad de…