| 25 años generando CONFIANZA
Norma ISO 27001
Existen numerosas organizaciones preocupadas por la seguridad de la información, por lo que como solución deciden adoptar los requerimientos establecidos por la norma ISO 27001. Siempre que las organizaciones obtengan la certificación ISO 27001, pueden garantizar a nivel internacional, que su información se encuentra debidamente protegida.
A diario, nos encontramos noticias sobre hackers que han logrado acceder a la información de empresas que supuestamente cuentan con altos niveles de seguridad en temas de datos confidenciales.
Esta violación a la seguridad de la información ha incrementado la preocupación de pequeñas, medianas y sobre todo grandes empresas, obligando indirectamente a adquirir conocimientos en la materia que fortalezcan la seguridad de dicha información.
Uno de los principales problemas en temas de seguridad de la información, tiene lugar cuando se lleva a cabo un intercambio de información. Por ejemplo, durante el e-commerce o compra y venta de productos o servicios a través de medios electrónicos, tales como Internet y otras redes informáticas han supuesto una revolución, pero también una puerta abierta para aquellos delincuentes capaces de saltarse ciertos controles de seguridad.
Por todo ello, vemos necesario hablar sobre los aspectos a tener en cuenta mientras realizamos actividades en las que es necesario intercambiar información confidencial.
El modo en el que se intercambia la información resulta básico, pero es importante conocer en profundidad para así ser conocedores de los pasos en los que pueden darse fugas de información. Este intercambio es muy común entre distintos usuarios de las propias organizaciones, o entre varias empresas.
Independientemente del modo en el que se produzca el intercambio de información, es necesario contar con controles de seguridad que aporten confianza y protección a la información intercambiada.
La forma de asegurarse que el intercambio de información se lleva a cabo adecuadamente y bajo la protección necesaria, es a través de la elaboración de una política que incluya los medios empleados en esta actividad. En dicha política se debe incorporar:
- Los procedimientos definidos para gestionar correctamente los medios utilizados.
- Comprobaciones a través de controles que impidan modificaciones, interpretaciones, duplicados o eliminación de información.
- Inspecciones de protección contra el código malicioso.
- Metodologías de ingeniería social.
Cuando se valoran los riesgos según la ISO27001, es imprescindible sopesar la probabilidad de que la organización intercambie información confidencial con terceros. En estos casos, se deben estimar las responsabilidades y procedimientos del envió, transferencia, recepción y confirmación de la información.
Para esto mismo, también se tiene en cuenta los controles de verificación, el compromiso de la propiedad de la información, la elaboración de registros de auditoria y la gestión de ciertos acontecimientos considerados como incidentes.
Dependiendo del medio utilizado para el envío de la información habrá que considerar un tipo de incidentes u otros. Por ejemplo, durante el transporte de información mediante correo postal o mensajería este tipo de incidentes se podría solventar realizando un embalaje adecuado o gestionando el envío con una organización que certifique que cumple con los más altos estándares de seguridad.
En el caso de envío de información a través de correo electrónico o e-mail, el proceso se debería desarrollar a través de plataformas protegidas contra cualquier acceso no autorizado u otro tipo de riesgo.
Una organización que procede al intercambio de información, de un modo seguro:
- Elabora procedimientos de intercambio para cualquier medio de comunicación empleado.
- Desarrolla acuerdo con las empresas trasportistas, para que cuando el intercambio de información se produzca físicamente sea totalmente seguro y tengan garantías de ello ante sus usuarios.
Ya hemos comentado que en los momentos en los que vivimos “Era tecnológica”, el comercio electrónico también conocido como ecommerce resulta una actividad muy habitual. Este tipo de comercio puede resultar frágil frente a fraudes o transformaciones de la información manejada.
Cada día son más las empresas que utilizan este tipo de comercio, por lo que deben garantizar a sus clientes que es seguro a través de controles de:
- Verificación.
- Integridad de la información.
- Confidencialidad de la información tratada.
- Certeza del envío.
- Métodos de pago.
- Aseguramiento de las responsabilidades de los incidentes producidos.
Las relaciones establecidas mediante un ecommerce deben sustentarse con una alianza documentada y que cuente con la aprobación de todas las partes implicadas, en la que se establecerán las responsabilidades de cada una.
Cualquier transacción se ejecutará bajo firma electrónica, probando que es auténtica, al mismo tiempo, la información, privacidad y cualquier otro aspecto serán totalmente confidenciales.
Además de los métodos explicados con anterioridad, las organizaciones pueden recurrir a otro tipo de seguridad:
- Elaboración de protocolos que garanticen la seguridad de la información tratada.
- Protección de la información expuesta al público, asegurando que no se modifique sin previa autorización.
- Determinación de controles que aseguren la integridad de la información de carácter público.
- Ejecución de pruebas que comprueben la potencia del servidor.
Asimismo, hay que prestar especial atención a la legislación vigente que pueda aplicarse en cada uno de los sitios web.
Se puede afirmar, que para catalogar las actividades vinculadas con el ecommerce como seguras, es necesario:
- Proteger toda la información utilizada en el proceso.
- Establecer una alianza que especifique la manera de proceder en cuanto a la verificación, los requerimientos de confidencialidad, integridad y certezas de envío y recepción, además de la comprobación del pago.
- Recurrir a la firma electrónica, uso de canales cifrados y protocolos entre otros recursos para garantizar que todas las operaciones de transacción son seguras.
- Preservar la información pública.
Tras el establecimiento de una serie de controles que hemos comentado en este mismo artículo, es imprescindible llevar a cabo un seguimiento que nos proporcione resultados y por tanto confirmen que cumplen con la eficacia esperada.
Entre los instrumentos empleados para el seguimiento de estos controles, destacamos los registros de auditoria. Este tipo de documentos incluyen información relevante, por ejemplo la identificación del usuario, detalles de las actividades como la fecha y hora, el resultado obtenido, el acceso que han tenido cada uno de los usuarios a información o sistemas, etc.
El objetivo de este seguimiento de los registros de actividad, es conocer los errores presentados en los sistemas y adoptar las medidas correctivas oportunas para cada uno de los casos.
Además, según el grado de errores detectados durante el análisis de riesgos, habría que hacer uso de unos sistemas u otros e incluir una evaluación para poner en marcha las acciones correctivas.
El estándar ISO-27001 está relacionado con estos procesos de auditoria mencionados y en el momento en el que se localicen no conformidades se deberán desarrollas las acciones correctivas definidas.
Las organizaciones que decidan establecer un seguimiento de los controles de seguridad de la información, deben:
- Definir resgistros de auditoría para las actividades de mayor importancia.
- Establecer procedimientos en temas de seguimiento de recursos empleados durante la gestión de la información.
- Comprobar los resultados obtenidos de las actividades de seguimiento establecidas y actuar con medidas correctivas en los casos necesarios.
- Simultanear los relojes de cada uno de los sistemas relacionados con la manipulación de la información de la organización.
Sistemas de Gestión de Seguridad de la Información
Los Sistemas de Gestión de Seguridad de la Información se convierten en la mejor solución para garantizar la seguridad de todos los datos confidenciales de una organización. Si desea saber más sobre los riesgos y seguridades a los que deben de enfrentarse puede visitar: https://www.isotools.us/normas/riesgos-y-seguridad/
¿Desea saber más?
Entradas relacionadas
En el mundo empresarial actual, donde la integridad y la transparencia son esenciales para construir confianza, las organizaciones…
La gestión de investigaciones internas en las empresas es clave para proteger la integridad empresarial, prevenir los riesgos y fortalecer la...
La ISO 19011 es una norma internacional fundamental que establece directrices para la auditoría de sistemas de gestión. Esta norma...