ISO 27001

ISO 27001 es la norma internacional que define los requisitos necesarios para un Sistema de Gestión de la Seguridad de la Información, concebida para garantizar la elección de controles de seguridad apropiados.

Las principales amenazas de seguridad de la información, que intenta evitarse con la implantación de ISO-27001, para los directivos de Pymes son los siguientes:

• Explotación de una vulnerabilidad conocida. Las Pymes se convertirán en victimas si no proceden a la instalación de los parches de Windows. Para evitar esta amenaza o bien se invierte en administración de parches o se arma una red de pruebas.
• Correo electrónico HTML malicioso. Es uno de los ataques más comunes como un mensaje en HTML conteniendo un mensaje malicioso con alguna trampa, pudiendo desencadenar en una descarga peligrosa. Para evitar esta amenaza es necesaria la implementación de un web Proxy saliente.
• Navegación imprudente de los empleados. Para evitar esta amenaza es necesaria la implantación de un filtro de contenidos web haciendo un uso aceptable de la tecnología.
• Servidores web comprometidos. El ataque de botnets contra sitios web es uno de los más comunes siendo el flanco más débil un código de aplicación mal escrito. Esto puede producir una difusión del malware. Para evitar esta amenaza es necesario auditar el código de la aplicación web.
• Datos perdidos en un dispositivo portátil. Por ejemplo, los trabajadores se dejan sus móviles en un taxi, su portátil en un tren o sus memorias USB. Para evitar esta amenaza es necesaria la administración centralizada de dichos dispositivos móviles.
• Uso imprudente de hotspots inalámbricos. Dichos hotshop conllevan a los mismos riesgos que las redes de los hoteles, poniendo un acceso inalámbrico no seguro. Para evitar esta amenaza es necesario enseñar a los usuarios a elegir las conexiones encriptadas.
• Mala configuración que compromete la seguridad. Las Pymes con poco presupuesto o inexpertas instalan routers, switches y otros equipos de networking sin involucrar a gente entendida de las ramificaciones de seguridad de cada dispositivo. Para evitar esta amenaza es necesario llevar a cabo una revisión automática que audita vulnerabilidades.
• Falta de contingencia. Esto se debe al abandono de la estandarización, procesos maduros y planteamiento de contingencias. Muchas Pymes descubrieron que un simple compromiso de los datos o fallo se convierte en algo peligroso cuando no existe un Plan de Continuidad de Negocio. Para evitar esta amenaza es necesario contratar a un experto que desarrolle metodologías apropiadas de seguridad de la información.
• Ataques desde dentro. Para evitar esta amenaza es necesario la implementación del principio de control dual en el que existe un plan alternativo para cada recurso clave.

ISOTools es una plataforma tecnológica que ayuda a los directivos de las Pymes en la implantación de un SGSI, de conformidad con ISO27001, para evitar las principales amenazas de seguridad de la información.