| 25 años generando CONFIANZA
Norma ISO 27001
A lo largo de este artículo técnico vamos a observar los puntos necesarios de seguridad que se deben contener en los Sistemas de Gestión de la Información, así como el buen procesamiento de varias aplicaciones y los controles criptográficos.
Lo que hay que tener presente principalmente para establecer la norma ISO 27001 es endurecer la seguridad del actual sistema informativo, el cual tiene incorporado un proceso de desarrollo, englobando el ciclo de vida del sistema informático.
Debemos tener en cuenta la totalidad de objeciones que se obtienen para poder impulsar la seguridad, y así garantizarla, la cual está presente en los Sistemas de Gestión de Seguridad de la Información que implementan la norma ISO27001.
Antes de extender o ampliar un Sistema de Gestión de Seguridad de la Información o SGSI, hay que tener muy enfocados y planificados los caracteres de seguridad.
A lo largo de la primera etapa en la que se conoce el significado de los caracteres del proyecto, se debería englobar los requisitos de seguridad con el fin de obtenerla en el sistema informático.
Si por un lado, en la etapa de diseño del sistema aplicamos los controles, el sistema resultaría mucho más económico y rápido, que por otro lado, aplicar dichos controles después de realizar el desarrollo del producto que se esté llevando a cabo.
Para realizar productos más eficaces con el fin de obtener mucha más calidad en ellos, es necesario que se concentren todos los requisitos para el desarrollo de una aplicación. Además se debería establecer un seguimiento a lo largo del proceso y a todos los productos con el fin de obtener una guía que presente los requisitos de seguridad, los cuales tienen que ser introducidos al proceso de negocio de la organización.
En consecuencia, trabajando con un producto ya obtenido, se tendrían que plantear distintos caracteres de seguridad. Sin embargo, requisitos semejantes establecen un proceso formal de obtención, determinando un conjunto de pruebas para asegurar que se llevan a cabo perfectamente todos los requerimientos de seguridad definidos anteriormente según el Sistema de Gestión de Seguridad de la Información desarrollado en la norma ISO 27001:2013.
Si no se llevan a cabo los requerimientos de seguridad, se tendría que considerar los distintos riesgos que implican la obtención del producto y la imposición dentro del sistema informático en la organización, si llegado el punto se determina anular la compra.
Si se establecen todos los controles eficaces a lo largo del ciclo en el que el proceso se lleva a cabo, durante la entrada de datos, el procesamiento interno y en los datos de salida, se afirma que un procesamiento es óptimo para el total de aplicaciones que contiene la empresa. Por ello se consigue no producir distintos errores que se pudieran cometer, así como modificaciones que no estén autorizadas o fraudes.
Entre las principales fuentes de accidentes que se pudieran cometer destacamos los datos de entrada de las distintas aplicaciones. En el caso que se pueda dar la opción, se implantarían los distintos controles para poder admitir todos los datos, estableciendo una entrada a la aplicación y comprobando si los medios son los idóneos y apropiados.
Hay distintos prototipos de inspecciones, como:
- Inspección de lotes.
- Formularios.
- Permiso de entradas.
- Documentos.
- Fuente.
- Inspección de balanceo, etc.
Por ejemplo, podíamos comprobar de una manera rápida y fácil si los datos obtenidos para un DNI se corresponden con la letra establecida, esto permitiría no producir errores antes de que comience el procedimiento.
Se pueden desarrollar conflictos que introducen distintos errores, así como llegar a producir corrupción de la información contenida en el procesamiento interno de la totalidad de pruebas pertenecientes a distintas aplicaciones.
Con el fin de que no se produzca el daño en la información, se deben aplicar una serie de inspecciones de validación de los datos, y con ello se podrá: inspeccionar la secuencia, el rango, la completitud, el límite o el dígito de controles.
Se podrán seleccionar los distintos controles que se enfoquen al procedimiento en función del estudio que se lleve a cabo de los riesgos.
Del mismo modo, se pueden establecer una serie de inspecciones u otras dependiendo del tipo de aplicaciones que se lleven a cabo, las cuales garanticen la integridad de los distintos mensajes que producen las aplicaciones. Un control posible puede considerarse las técnicas utilizadas de cifrado.
Los datos que presentan las aplicaciones a los integrantes tienen que estar formateados, presentados y entregados de forma que haya seguridad, así como consistencia. Como producto que debe salir del procedimiento, las referencias que pueden estar implementados son las resultantes de realizar los controles de seguridad que se ocupan de verificar la exactitud de los resultados.
Las inspecciones criptográficas tienen que ser conforme a los requerimientos generales de seguridad de la organización.
La introducción de algún control tiene que determinarse siempre conforme a la identificación de cualquier riesgo que la empresa no asume, y cuya inversión no puede llegar a más que el valor del activo el cual se protege, por lo que entonces no llegaría a ser rentable.
Con el fin de asegurar la correcta gestión de los distintos controles criptográficos que se pueden introducir, se considera necesario establecer una política basada en el uso de este prototipo de controles. Con la utilización de dichas inspecciones se obtiene integridad, confidencialidad, y el no repudio de la información.
Los datos que se incluyan en la política tienen que estar sometidos al control y se tiene que saber qué tipo de algoritmos de encriptación se han establecido para cada uno de los casos, siendo a lo largo de la recuperación de información, la gestión, la legislación aplicable, las responsabilidades de cada proceso y la reglamentación.
Es muy importante saber gestionar los distintos puntos clave que se desarrollan en una organización, para que las técnicas criptográficas sean muy eficaces.
Se pueden utilizar técnicas de clave privada o de clave pública, en los dos casos se considera necesario la no comunicación de la misma, evitar la pérdida y la modificación periódica.
Se debe establecer un procedimiento que exponga como se ha de llevar a cabo la generación de las claves y certificados, como se tiene que almacenar, como se debe actualizar, como se van a distribuir, o por consiguiente, revocar. Además se tiene que conocer la recuperación de la clave olvidada o pérdida, o en su caso, si se establece una modificación no permitida
SGSI
Este Sistema de Gestión de Seguridad de la Información o SGSI debe cumplir con los requisitos establecidos por la ISO 27001. Las organizaciones, no pueden olvidar que por pequeña que pueda ser la información manipulada, es necesaria la protección, ya que se considera muy importante, pues un despiste puede llegar a producir vulneraciones en el contenido de este sistema.
En el siguiente link puedes saber más sobre los Sistemas de Gestión de la Seguridad de la Información: https://www.isotools.us/normas/riesgos-y-seguridad/iso-27001/
¿Desea saber más?
Entradas relacionadas
En el mundo empresarial actual, donde la integridad y la transparencia son esenciales para construir confianza, las organizaciones…
La gestión de investigaciones internas en las empresas es clave para proteger la integridad empresarial, prevenir los riesgos y fortalecer la...
La ISO 19011 es una norma internacional fundamental que establece directrices para la auditoría de sistemas de gestión. Esta norma...