ISO 27001: Controlar la Seguridad de la Información en las organizaciones

Un blog editado por ISOTools Excellence

SGSI

Blog especializado en Sistemas de Gestión
de Seguridad de la Información

cerrojo

ISO 27001: Controlar la Seguridad de la Información en las organizaciones

ISO 27001: Controlar la Seguridad de la Información en las organizaciones

ISO 27001

SGSI

Debemos tener muy presente todas la recomendaciones que se pueden aplicar para garantizar la seguridad que se encuentran presentes en los Sistemas de Gestión de Seguridad de la Información basado en la norma ISO 27001.

El principal objetivo de implantar un Sistema de Gestión de Seguridad de la Información es reforzar la seguridad de un nuevo sistema informativo que tiene un proceso de desarrollo propio, que abarca todo el ciclo de vida del sistema informático.

Durante este post vamos a ver los requisitos de seguridad en los sistemas de información, como se lleva a cabo el procesamiento correcto de las diferentes aplicaciones y los controles criptográficos.

En el caso de los requisitos de seguridad se deben tener perfectamente identificados y planificados, siempre antes de desarrollar o implementar un Sistema de Gestión de Seguridad de la Información. Durante la primera fase en la que se definen los requisitos del proyecto, se deben considerar todos los requisitos de seguridad necesarios para tener un sistema informático seguro. Si introducimos los controles durante la fase de diseño del sistema, este resulta mucho más eficaz y económico que hacerlo después de llevar a cabo el desarrollo del producto que se esté tratando en la organización.

Cuanto antes se obtengan todos los requisitos necesarios para llevar a cabo el desarrollo de una aplicación se obtendrá un productos de mucha más calidad, además se debe realizar un seguimiento durante todo el proceso y a todos los productos para tener una guía que identifique los requisitos de seguridad que deben ser incorporados al proceso de negocio de la organización.

Si por el contrario, se trabaja con  un producto ya adquirido, se deben plantar diferentes requisitos de seguridad, que aunque similares establecen un proceso formal de adquisición con una batería de pruebas apropiadas para poder comprobar que se cumplen todos los requisitos predefinidos de seguridad según el Sistema de Gestión de Seguridad de la Información basado en la norma ISO27001. Si se incumplen los requisitos de seguridad se debería considerar los diferentes riesgos que implican la adquisición del producto y la implantación dentro del sistema informático en la organización, si finalmente se decide cancelar la compra.

Se segura que un procesamiento es correcto para todas las aplicaciones de la empresa si se implantan todos los controles eficaces durante el ciclo en el que funciona el proceso, es decir, durante la entrada de datos, el procesamiento interno y en los datos de salida. Se consigue así, evitar los diferentes errores, modificaciones que no se encuentren autorizadas o fraudes.

Los datos de entrada de las diferentes aplicaciones son las primeras fuentes de los posibles incidentes. Cuando se dé la posibilidad se deben implantar los diferentes controles para poder validar todos los datos, proporcionándose una entrada a la aplicación, los controles son los adecuados y los correctos.

Hay controles de diferentes tipos, como puede ser:

  • Autorización de entradas.
  • Documentos.
  • Fuente.
  • Formularios.
  • Control de lotes.
  • Control de balanceo…

Una forma bastante sencilla y rápida de comprobar que los números facilitados para un DNI se corresponden con la letra indicada, evitará errores antes de iniciar el procedimiento.

En el procesamiento interno de todos los datos pertenecientes a las diferentes aplicaciones, se puede producir problemas que generarán diferentes errores e incluso pueden llegar a corrupción de la información. Para poder evitar el daño en la información se necesita aplicar una serie de controles de validación de los datos, para ello se puede:

  • Controlar la secuencia, el límite, el rango, la existencia, la completitud o el dígito de controles.

En función al análisis que se realiza  de los riesgos llevados a cabo, se seleccionarán los diferentes controles que se adecuen al procedimiento.

Según el tipo de aplicaciones que se utilicen se pueden aplicar unos controles u otros, que garanticen la integridad de los diferentes mensajes que generan las aplicaciones. Las técnicas utilizadas de cifrado puede considerarse un control posible.

Cómo producto resultante del procedimiento, los datos que pueden estar sometidos son los que resultan de realizar los controles de seguridad que se encargar de verificar la exactitud de los resultados. Los datos que suministran las aplicaciones a los usuarios deben estar presentados, formateados y entregados de forma consistente y segura.

Los controles criptográficos deben ser acordes a los requisitos generales de seguridad de la organización. La implementación de algún control siempre tiene que encontrase acorde a la identificación de algún riesgo que no se asume por la empresa, y cuya inversión no puede superar nunca el valor del activo que se está protegiendo, ya que entonces no sería rentable. Para garantizar la correcta gestión de los diferentes controles criptográficos que se pueden implementar es necesario definir una política acerca del uso de este tipo de controles. Con la utilización de estos controles se consigue confidencialidad, integridad, autenticidad y el no repudio de la información.

La información que se incluya en la política debe ser sometido a control y se debe saber que algoritmos de encriptación se pueda utilizar en cada caso, ya puede ser durante la gestión, la recuperación de información, la responsabilidades de cada proceso, la reglamentación y la legislación aplicable.

Gestionar las diferentes claves que se encuentran en una organización es muy importante ya que las técnicas criptográficas sean realmente eficaces. Se usan técnicas de clave privada o de clave pública, en cualquier caso es necesario la no revelación de la misma, la modificación periódica  y evitar la pérdida. Se tiene que definir un procedimiento que establezca como se ha de realizar la generación de las calves y certificados, como se van a distribuir, como se debe almacenar, como se tiene que actualizar o en su defecto, revocar, se debe conocer cómo se puede recuperar una clave perdida o si se realiza una modificación no autorizada.

Software para ISO 27001

El Software para ISO 27001 presta solución a todas estas cuestiones que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa. Toda protección es importante, por mínima que sea, pues el mínimo descuido puede ocasionar una violación de los datos de la misma.

Seguridad de la información
1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)
Cargando...