¿Cómo separar las funciones en el SGSI según la norma ISO 27001?

Un blog editado por ISOTools Excellence

SGSI

Blog especializado en Sistemas de Gestión
de Seguridad de la Información

cerrojo

¿Cómo separar las funciones en el SGSI según la norma ISO 27001?

¿Cómo separar las funciones en el SGSI según la norma ISO 27001?

iso 27001

ISO 27001

Las soluciones automatizadas de hoy y las tecnologías de la información permiten a algunas personas que manejan una gran cantidad de información y procesos.

Esto es bueno para mejorar la productividad, un efecto secundario potencial es que estas pocas personas pueden llegar a reunir el conocimiento y el privilegio excesivo sobre el entorno operativo y, en caso de que se encuentren ausentes o tengan mala intención esto puede generar a ser un riesgo inaceptable, que puede ser manipulado.

Durante este artículo queremos un concepto ampliamente utilizado para abordar esta situación. Cómo la norma ISO 27001 considera que un Sistema de Gestión de Seguridad de la Información puede reducir al mínimo el riesgo de que una sola posición puede poner en riesgo las actividades de una empresa.

La separación de funciones, el propósito y los principios

La separación de las funciones se refiere a las prácticas en la que el conocimiento y los privilegios son necesarios. Es necesario para completar el proceso de división entre varios usuarios, ya que una sola persona no sería capaz de llevarlo a cabo.

La principal razón es aplicar la separación de las funciones para evitar la comisión y la ocultación del fraude. Ya que al tener más de una persona para llevar a cabo una tarea reduce al mínimo la posibilidad de irregularidad y aumenta la posibilidad de detectarlo, así como la detectar errores involuntarios.

Los principios que pueden ser aplicables a la separación de funciones son:

  • La separación secuencial. Cuando una actividad se divide en etapas llevadas a cabo por diferentes personas.
  • Separación individual. Cuando al menos dos personas deben aprobar una actividad antes de que se haga.
  • Separación espacial. Cuando las diferentes actividades se llevan a cabo en distintos lugares.
  • Separación de factores. Cuando varios factores contribuyen a la finalización de las actividades.

Es posible observar que estos principios se pueden utilizar de forma aislada o conjunta, dependiendo de la seguridad que una empresa requiere para proteger sus procesos.

ISO 27001 objetivos de la serie y orientación sobre la separación de funciones

La norma ISO 27001 considera la separación de funciones como uno de los posibles controles para ser que sean aplicables a la hora de controlar la ejecución y operación de la seguridad de la información dentro de la empresa.

El control estándar requiere que las funciones sea conflictivas y las áreas de las responsabilidades que se deben segregar con el fin de reducir el riesgo de modificación o el mal uso no autorizado o involuntario de un activo. La determinación de si el control es aplicable y que los derechos y las áreas deben estar bajo que debe hacerse según los resultado de una evaluación de riesgos.

La norma ISO 27002 es el estándar que proporciona prácticas para los controles de seguridad de la información. No proporciona mucha información adicional a la que ya ha sido presentada, además ofrece estos dos puntos:

  • Diseñar el control que debe considerar la posibilidad de colusión.
  • Cuando la separación de funciones es difícil o imposible de conseguir, los controles de compensación deben aplicarse.

La implementación de la separación de funciones

¿Cómo se lleva a cabo la separación de funciones? Estos pasos se deben seguir como parte de un plan de tratamiento de riesgos:

  • Identificación de las funciones que son indispensables para las actividades de la empresa y potencialmente objetivo de abuso. Se debe tener en cuenta que sea negocio o cumplimiento de la norma.
  • División de la función en pasos separados, ya sea teniendo en cuenta los conocimientos necesarios para la función de trabajar o los privilegios que permiten que la función sea objeto de abuso.
  • Definición de uno o más principios de segregación que se aplicará a las funciones. Las funciones y los principios de segregación que se aplicarán son: la función de autorización, función de la documentación, custodia de los activos y la reconciliación.

Alternativas a la segregación de funciones

La separación de funciones es poco práctico debido a que la empresa es demasiado pequeña para designar funciones para diferentes personas. En otros casos, dividir las tareas puede disminuir la eficiencia del negocio y aumentar los costos, la complejidad y las necesidades de personal. En estas situaciones, los controles de compensación deben estar en su lugar para asegurar que, incluso sin la separación de funciones de los riesgos identificados se manejan de forma adecuada. Los controles de compensación son los siguientes:

  • Las actividades de seguimiento. Esto nos permite que las actividades sean supervisados mientras se encuentra en curso, como una forma de asegurarse que se llevan a cabo de forma correcta.
  • Las pistas de auditoría. Estas permiten a la empresa que recree los acontecimientos reales del punto de partida de su estado actual.
  • Supervisar la gestión. Esto permite la evaluación y el manejo adecuado y oportuno de situaciones excepcionales.

Software ISO 27001

El Software ISOTools Excellence para la norma ISO 27001, se encuentra capacitado para responder a numerosos controles para el tratamiento de la información gracias a las aplicaciones que contiene y que son totalmente configurables según los requerimientos de cada organización. Además, este software permite la automatización del Sistema de Gestión de Seguridad de la Información.

Seguridad de la información
1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)
Cargando…

Loading Facebook Comments ...