ISO 27001: ¿Cómo detectar los diferentes tipos de vulnerabilidades?

Sistema de Gestión de Seguridad de la Información

La norma ISO 27001 establece que una fuente de vulnerabilidad se encuentra asociada al fallo en la seguridad  del entorno no impendo que se encuentre sin autorización, lo que puede generar daños en las instalaciones de la organización y la información sensible de ésta.

Lo que puede venir dado por una falta de protección física en el edifico, puertas de entrada o ventanas, un mal uso del control en el acceso al edificio y a los despachos, una mala ubicación de los activos de información, etc.

Se pueden dar casos que pongan en evidencia la vulnerabilidad de la organización, ya que la vulnerabilidad no es un concepto estático por lo que nuevas amenazas pueden emerger con el tiempo.

Otro aspecto a tener en cuenta es considerar la necesidad de contratar un seguro que se haga cargo si llegase a suceder un incidente de seguridad. La norma ISO 27001 sugiere que no solo se contemplen las protecciones individuales, sino también las sugeridas por una repentina interrupción del servicio debido a desastres incontrolados. Las coberturas deberán amparar diferentes riesgos como pueden ser:

• Pérdidas causadas por la interrupción
• Costos adicionales por utilizar un lugar alternativo

Las vulnerabilidades pueden provenir de amenazas internas, lo que obliga a las organizaciones a realizar cambios en sus sistemas de control internos.

La norma ISO 27001 nos puede ayudar a mejorar la Seguridad de la Información en nuestras organizaciones, pero las medidas de seguridad relativas a la empresa y las de TI no son del todo nítidas. La seguridad en las organizaciones es un todo, por lo que debe existir consistencia entre los objetivos de la empresa, contando con un plan estratégico de Sistemas de Información, hasta conseguir la estructuración de todos los recursos, los flujos de información y los controles que faciliten la consecución de las metas.

Se puede identificar como vulnerabilidad la falta de una política de seguridad que facilite a la dirección de la empresa el apoyo que necesita para establecer el Sistema de Gestión de Seguridad de la Información. También podemos decir que existe cuando ésta no se encuentra plasmada en un plan que no tengan la correspondiente asignación de recursos necesarios para llevarlo a cabo o que los plazos fijados no se correspondan con la realidad.

La vulnerabilidad de algunos tipos de organizaciones es una preocupación de los organismos reguladores.

En algunas partes de la organización, de forma especial, en los departamentos de informática es necesario que las funciones se encuentren perfectamente descritas y la responsabilidad esté claramente delimitada y documentada. Es necesario que los miembros tengan conocimiento de las funciones que realizan y sus responsabilidades.

Durante los últimos años ha crecido en todas las empresas la importancia que se ha asignado al control del cumplimiento de las reglas:

• Externas: leyes, decretos, ordenanzas, etc.
• Internas: políticas, planes, prácticas y procedimientos.

La forma de implementar la norma ISO 27001 es mediante la posición del cumplimiento, como una función de dependencia del primer nivel de la empresa.

La función que realiza el responsable se encuentra ligada al ámbito de la seguridad de la información. En muchos casos se lleva a cabo un entrenamiento del personal con el fin de contribuir a concienciarlos en seguridad de la información.

Un defecto en los procedimientos durante la implantación del Sistema de Gestión de Seguridad de la Información ISO 27001 puede generar vulnerabilidades.

Una forma de proteger la información es la de utilizar una clave que cumpla cierto requisitos, para que no se pueda poner una clave demasiado sencilla para dificultar la entrada de personas no autorizadas. Además, cada cierto tiempo se debe revisar la contraseña y debe ser cambiada por otra. Todo esto irá dirigido por el responsable del SGSI.

Se ha probado la eficacia de este enfoque, ya que nadie mejor el dueño del activo para evaluarlo y tomar las medidas de seguridad necesarias.

El personal de la empresa es considerado como uno de los activos más débiles desde el punto de vista de seguridad.

La calidad de los recursos humanos influye  en la calidad de los procesos de la organización  la gestión de cada uno de los elementos fundamentales.

La vulnerabilidad inherente al personal se dará cuando:

• La selección de recursos humanos no se haga sobre elementos objetivos y no considere la formación, experiencia y niveles de responsabilidad anteriores.
• No se realicen evaluaciones periódicas comparando con otras normas y responsabilidades del puesto.
• No se identifiquen necesidades de formación al comprar experiencia contra las responsabilidades y necesidades de desarrollo personal y tecnológico de la empresa.
• No se satisfacen las necesidades de capacitar al personal.
• No existen controles que eviten cambiar la posición.
• No existen pautas para promocionar al personal en su desempeño profesional.
• Existe una alta rotación de personal y un alto índice de absentismo.
• No existen procedimientos definidos.
• Cuando se existan seguros que cubran la infidelidad del personal.

El Software ISOTools Excellence cuenta con diferentes aplicaciones que trabajan para que la Seguridad de la Información con las que cuentan las organizaciones no pierda ninguna de sus propiedades más importantes, como puede ser la integridad, la confidencialidad, etc. Además, permite implementar, mantener y mejorar el SGSI basado en la norma ISO 27001.