Saltar al contenido principal

ISO-27001

ISO 27001: Soluciones a las vulnerabilidades técnicas

Inicio / ISO 27001: Soluciones a las vulnerabilidades técnicas

Seguridad de la Información ISO 27001

El Sistema de Gestión de Seguridad de la Información basado en la norma ISO 27001 colabora en el control a la entrada de los archivos que contengan información sensible sobre la Seguridad de la Información eludiendo errores o problemas de cierta integración o confidencialidad.

Dichos archivos sensibles son:

  • Código fuente de cualquier programa.
  • Archivos de proyectos de TI.
  • Ficheros de sistemas.

Mediante un procedimiento que se ocupe del control del cambio de software, se debería de llevar a cabo el proceso de cambiar el código de los sistemas operativos. Antes de dicho cambio, la actualización tiene que ser demostrada y se debería comprobar que se guarde una copia de seguridad de la anterior versión, por si en algún caso fuese necesaria una reparación.

A través de un administrador de sistemas que esté técnicamente cualificado debería de establecerse la instalación, así como dejar un registro con la totalidad de actuaciones que se hayan realizado. Si en otro caso, el software es conseguido, la persona que no llegó a venderlo tiene que facilitar el servicio técnico.

Descarga gratis e-book: La norma ISO 27001

Todas las actividades del proveedor tienen que ser supervisadas o revisadas en el momento que este se encuentre prestando sus servicios a la empresa, permitiendo al proveedor sólo el acceso a los sistemas que se consideran oportunos para realizar su labor correctamente.

Se considera realmente necesario usar los datos más similares para asegurar la fiabilidad en las pruebas que se realizan a los sistemas, tanto en volumen como en calidad, y sobre los que se obtengan en el entorno de la producción. Por otro lado, se tienen que instaurar ciertos controles, más o menos iguales a los que quedan implantados para saber los datos de producción, que son empleados para preservar perfectamente los datos, y al mismo tiempo, eliminarlos cuando su uso haya finalizado. La Ley Orgánica de Protección de Datos establece que se debe evitar la utilización de datos de carácter personal reales.

El código establecido como fuente de los programas debe estar preservado con el fin de evitar las entradas no autorizadas que de manera maliciosa puedan ser manipuladas o que se puedan dar por error. Se tendrían que restringir la entrada a personas lejanas al desenvolvimiento de las aplicaciones.

Es verdaderamente importante contar con un contrato por parte de la organización externa a la que se le adquiere la aplicación, aunque ésta no sea la que desarrolla las aplicaciones que emplea,  ya que siempre tiene que disponer de un código fuente que esté libre y el dueño del código tiene que quedar notorio desde el principio.

En el momento en el que se interrumpe el contrato con la empresa proveedora, ésta podrá dejar las fuentes a cualquier empresa siempre y continuando de igual forma, será de fácil realización el desarrollo y mantenimiento de la herramienta.

Resulta imprescindible realizar un control del entorno que se ocupa de la producción de proyectos y asistencia técnica, y con ello es necesario  que estén informados de los cambios del sistema acordado que son demostradas para que no se puedan ocasionar accidentes conectados con la seguridad. De lo anterior se deduce que sería muy útil introducir la norma ISO27001.

Las modificaciones que se puedan establecer en cualquier software utilizado por la empresa puede que altere el funcionamiento de su sistema operativo. Para conseguir que no se produzca esta situación, se tiene que implantar un procedimiento de control de cambios, con el cual se consigue reducir los daños potenciales en los sistemas informativos.

Conforme a estos motivos se debe llevar a cabo procesos de implementación de controles, control de calidad e implantación, pruebas, procesos de documentación y de especificación.

A la hora de implementar un Sistema de Gestión de Seguridad de la Información, establecer un registro de la totalidad de acciones realizadas se considera muy importante, ya que en el momento de encontrar alguna contrariedad, se pueden examinar las etapas y encontrar a los responsables y la fuente del accidente.

A lo largo de un procedimiento de control de cambio, hay que tener en cuenta cómo afecta ese cambio en los sistemas de gestión de otros sistemas con los que existe alguna relación.

Las modificaciones o cambios deberían producirse con bastante tiempo ya que se tienen que formular pruebas suficientes en los distintos sistemas para asegurar que funciona perfectamente y que las modificaciones realizadas no perjudican a los controles.

Instalar las actualizaciones del software disponibles de los productos que se han comprado no siempre resulta necesario, por lo que sólo tienen que actualizarse cuando sea necesario. Por tanto, dentro de lo posible, se deben utilizar las aplicaciones adquiridas sin realizar cambios sobre ella si no es un caso extremadamente necesario y realizándose siempre por el proveedor, manteniendo una copia del software original.

La totalidad de las modificaciones que se produzcan en el software adquirido de terceros, se tiene que someter a un proceso de control de cambios aprobado.

Los canales ignorados u ocultos son canales de trasmisión de datos que no se encuentran a simple vista, por lo tanto es muy posible que se puedan llegar a producir importantes fugas de información.

Para evitar las pérdidas de información, es necesario implantar controles como: las actividades personales, el escaneo de los medios de comunicación, protección contra virus troyanos y supervisar los recursos.

Si, en cualquier caso, el software se ubica externalizado, tenemos que encontrar en el contrato la propiedad y derechos del código, considerar sobre posibles terceros que colaboran por iniciativa de la organización subcontratada y probar y certificar su calidad.

A menudo observamos nuevas vulneraciones técnicas que pueden llegar a dañar a los sistemas que tienen incorporados las empresas. Estas vulnerabilidades publicadas se tienen que gestionar, además de detectarlas de manera interna en la empresa.

La gestión del sistema se debe iniciar con toda la información conseguida de las vulnerabilidades, se debe establecer las medidas oportunas para resolver los principales problemas que se muestran en la organización, así como analizar los riesgos de los activos. Se tiene que realizar la gestión de la organización con un inventario de activos completos y actualizados.

En el instante en el que se consiga un remedio para que se solucione estas vulnerabilidades del sistema se debe proceder a ejecutar el procedimiento de control de cambios. Si se da el caso de que no se pueda reconocer algún remedio oportuno, en función de la vulnerabilidad de esta, se podrá dejar de utilizar o impedir el sistema dañado, así como aumentar los controles de monitorización.

SGSI

Los Sistemas de Gestión de Seguridad de la Información o SGSI son herramientas que permiten a las organizaciones gestionar eficientemente los riesgos que se producen en las organizaciones.

Más información sobre los sistemas de gestión relativos a los riesgos y seguridad en: https://www.isotools.us/normas/riesgos-y-seguridad/    

cta 27

¿Desea saber más?

Entradas relacionadas

Volver arriba