ISO 27001 como herramienta para enfrentar las vulnerabilidades de la empresa

27001 30

Norma ISO 27001

ISO 27001 se encarga de establecer un Sistema de Gestión de Seguridad de la Información, y entre los aspectos que abarca esta materia podemos encontrar la protección contra el código malicioso, las copias de seguridad, la gestión de la seguridad de las redes y la gestión de soportes.

Protección contra el código malicioso

Cualquier organización está indefensa ante la actuación de virus o troyanos. Por esta razón, es esencial incorporar un conjunto de medidas, entre ellas la implantación de un SGSI ISO27001, como la detección, prevención y recuperación de la información contra un código no autorizado.

Tal vez lo más importante aquí es la preparación y la existencia de herramientas. Esto no sólo implica que la organización establezca un sistema antivirus y se despreocupe de sus activos, ya que los antivirus no son infranqueables. También, se debe preparar a los trabajadores en cómo deben actuar y, por supuesto, aprender a realizar procedimientos de recuperación y verificación de la información.

Algunas de las actividades que se pueden llevar a cabo son:

  • Definir una política que dé cumplimiento a las licencias de software y que prohíba la instalación de software malicioso no autorizado.
  • Establecer un control de acceso a la información.
  • Concienciación y formación del personal.
  • Realizar revisiones periódicas.
  • Instalar y actualizar un sistema de antivirus e instaurar una política para utilizarlo con los ficheros adjuntos en un correo electrónico o con los que descargamos.
  • Crear procedimientos para usar el antivirus, dar formación para su uso y para afrontar ataques.
  • Disponer de un software espía, que se encargue de rastrear el trabajo que se realiza, y envíe dicha información a alguien externo.

 

Copias de seguridad

Junto a la norma ISO 27001:2013 es necesario que la organización desarrolle una política que defina el alcance y la frecuencia en la que deben realizarse copias de seguridad de la información.

También, hay que verificar que las copias se han realizado correctamente y se debe realizar un registro de la ubicación de cada copia, la cual debe ser distinta de la original, para evitar que sea afectada por el mismo problema.

Todas las copias de seguridad deben disponer de controles de acceso además, en el caso de que posea un alto grado de confidencialidad, hay que aplicarlas técnicas de cifrado para una mayor seguridad.

Cualquier información que pueda ser afectada debe poder ser recuperada en caso de que se haya producido algún desastre. Para tener la certeza de que la información va a poder ser recuperada, se realiza el proceso de restauración desde la copia de seguridad y, de esta manera, se comprueba su efectividad.

Es decir, que para mantener la disponibilidad y la integridad de los sistemas de información y de la información misma, una organización debe:

  • Tener copias regularmente de los activos de la información.
  • Verificar que las copias son correctas.
  • Comprobar la efectividad de la restauración de la información desde la copia.
  • Otorgar a las copias el nivel adecuado de protección física.

 

Gestión de la seguridad de las redes

Esta gestión establece controles para certificar la confidencialidad e integridad de la información que circula por la red y por los dispositivos que pertenecen a la empresa.

El objetivo principal es evitar que los activos de la empresa sean enviados o visualizados por personal no autorizado. Por esta razón, hay que especificar las herramientas o procedimientos que se van a emplear para la protección de la información. Asimismo, se deben definir las responsabilidades del personal que se encarga de la administración de las redes.

Hay que registrar cualquier problema que se produzca, y la acción que se lleve a cabo para proteger la información de la organización.

En el caso de que haya equipos remotos conectados, es necesario establecer controles de seguridad para que no se pueda acceder a los activos a través de las redes públicas o inalámbricas.

Por todo lo que abarca la protección de los activos, el Sistema de Gestión de la Seguridad de la Información ISO 27001 no se delimita únicamente a la seguridad de equipos informáticos, sino que también implica la gestión de procesos, los recursos humanos, etc.

Así que si queremos asegurar la protección de la información en redes y en infraestructura es necesario:

  • Establecer controles que protejan la confidencialidad e integridad de la información que se encuentra en las redes públicas.
  • Instaurar una separación funcional de las redes donde sea más apropiado.
  • Si los servicios de red están externalizados, tanto los niveles de servicio como los requisitos de gestión deben estar incluidos en el acuerdo y debidamente identificados.

 

Gestión de soportes

Cuando hablamos de soportes portátiles, es importante que la organización tenga definidos uno o varios procedimientos para su gestión. Esto ayudará a prevenir incidencias de confidencialidad, disponibilidad e integridad.

Los citados procedimientos deberán contemplar:

  • Cómo almacenar de un modo seguro los diferentes tipos de soporte que se usan en la empresa.
  • El establecimiento de un registro de los soportes portátiles incluyendo el tipo de información que contienen, su uso y la fecha de retirada.

 

En relación con la fecha de retirada, cuando el soporte portátil ya no se vaya a utilizar más sea por el motivo que sea, hay que seguir un procedimiento formal para garantizar que no se puede acceder a la información que hubiese contenido.

Otros procedimientos ligados a la gestión de soportes portátiles pueden ser: considerar el etiquetado de los soportes, registrar los usuarios autorizados a manejar cada soporte, listar el tipo de procesos en los que debe participar y los controles de seguridad a aplicar.

Y respecto al carácter sensible de la información contenida en estos soportes, no podemos olvidar crear un procedimiento que proteja dicha información de los accesos no autorizados.

Resumiendo, podemos decir que para prevenir incidentes de disponibilidad, integridad y confidencialidad en los activos de la información es aconsejable:

  • Establecer unos procedimientos para gestionar los soportes portátiles.
  • Autorizar y registrar cualquier salida de soporte de la empresa.
  • Cuando termine el uso de un soporte, el contenido que tuviera debe ser irrecuperable.
  • Definir procedimientos para el tratamiento y almacenamiento de la información que la protejan de un mal uso o de accesos no autorizados.

 

Para finalizar decir que, para la aplicación de todos los controles que son necesarios en la protección de la información de la organización, se puede emplear el código de buenas prácticas que nos ofrece la norma ISO 27002.

Software para ISO 27001

El Software para ISO 27001 presta solución a todas estas cuestiones que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa. Toda protección es importante, por mínima que sea, pues el mínimo descuido puede ocasionar una violación de los datos de la misma.

Descargue el e-book fundamentos de gestión de Seguridad de la Información
Recibe Nuestra Newsletter
New Call-to-action
Nueva llamada a la acción
Volver arriba