ISO 27001: ¿Cómo gestionar las vulnerabilidades técnicas?

Un blog editado por ISOTools Excellence

SGSI

Blog especializado en Sistemas de Gestión
de Seguridad de la Información

cerrojo

ISO 27001: ¿Cómo gestionar las vulnerabilidades técnicas?

ISO 27001: ¿Cómo gestionar las vulnerabilidades técnicas?

ISO 27001

SGSI

La norma ISO 27001 ayudar a controlar el acceso a los archivos que contengan información sensible sobre los Sistemas de Información evitando problemas de confidencialidad e integración.

Los archivos sensibles pueden ser:

  • Ficheros de sistemas
  • Código fuente de cualquier programa
  • Archivos de proyectos de TI

 

Actualizar el código de los sistemas operativos se tiene que llevar a cabo mediante un procedimiento que controle el cambio del software. Antes del cambio, la actualización debe ser probada y se debe asegurar de que se guarde una copia de seguridad de la versión anterior por si fuera necesaria una restauración. La instalación se tiene que realizar por un administrador de sistemas que se encuentre cualificado y tiene que dejar un registro con todas acciones que haya realizado. Si por el contrario el software es adquirido, la persona que no lo vendió debe proporcionar el servicio técnico. Hay que supervisar todas las actividades del proveedor cuando este se encuentre prestando sus servicios a la organización, dejándolo que solo pueda acceder a los sistemas necesarios para realizar de una forma correcta su labor.

Para que las pruebas que se realizan a los sistemas sean fiables, se deben usar los datos más parecidos posibles, tanto en calidad como en volumen, y sobre los que haya en el entorno de la producción. Se deben implantar una serie de controles, muy similares a los que se encuentran implantados para conocer los datos de producción, que son utilizados para proteger adecuadamente los datos y a la vez, destruirlos cuando se haya finalizado su uso. La Ley Orgánica de Protección de Datos establece que se debe evitar la utilización de datos de carácter personal reales.

El código utilizado como fuente de los programas tiene que estar protegido contra los accesos no autorizados que puedan estar manipulados de forma maliciosa o simplemente se den por error. Se tiene que restringir el acceso a personas ajenas al desarrollo de las aplicaciones, como puede ser, los trabajadores de administración de sistemas.

Aunque la organización no sea la que desarrolla las aplicaciones que utiliza, es importante garantizar mediante un contrato  con la empresa externa a la que se le compra la aplicación, ya que siempre debe dispones de un código fuente que esté disponible y el dueño del código debe queda claro desde el principio.

En el caso de que cese el contrato con la organización proveedora está siempre podrá dejar las fuentes a otra organización, y que esto continúe de este modo siempre, así el desarrollo y el mantenimiento de la herramienta es fácil realizarlo.

El entorno en que se lleva a cabo la producción de proyectos y asistencia técnica tiene que estar muy controlados. Necesariamente deben estar informados de las modificacioens del sistema acordadas que son probadas para que no se originen accidentes relacionados con la seguridad, para esto implantar un Sistema de Gestión de Seguridad de la Información ISO27001 es muy útil.

Los cambios que se produzcan en el diferente software utilizado por la organización pueden afectar al funcionamiento de su sistema operativo. Para evitar esta situación se debe establecer un procedimiento de control de cambios con que se consigue minimizar los potenciales daños en los sistemas informativos, por estos motivos se debe considerar llevar a cabo procesos de documentación, especificación, implementación de controles, análisis de riesgos, pruebas, control de calidad e implantación.

Dejar un registro de todas las acciones realizadas es muy importante a la hora de implementar un Sistema de Gestión de Seguridad de la Información, ya que en caso de encontrar problemas, se pueden revisar los pasos y encontrar a los responsables y la causa del accidente.

Durante un procedimiento de control de cambio, se debe considerar como afecta el cambio en los sistemas de gestión de otros sistemas con los que se encuentra algún tipo de relación. Los cambios deben realizarse con tiempo suficiente ya que se deben realizar pruebas suficientes en los diferentes sistemas para garantizar  que funciona a la perfección y que los cambios que se han realizado no afecta a los controles.

No siempre resulta necesario instalar las actualizaciones del software disponibles de los productos que se han adquirido. Solamente deben actualizarse cuando sea completamente necesario. Dentro de todo lo posible se deben usar las aplicaciones adquiridas sin realizar ninguna modificación sobre ella sino es un caso totalmente necesario y se debe realizar por el proveedor, siempre manteniendo una copia del software original. Todos los cambios que se realicen en el software adquirido de terceros, se tiene que someter a un proceso de control de cambios aprobado.

Los canales ocultos son vías de trasmisión de datos que no se encuentre prevista y se puede producir fugas de información importante. Evitar las pérdidas de información se puede llevar a cabo mediante la implantación de controles, como pueden ser, el escaneo de los medios de comunicación, protección contra virus troyanos y supervisar los recursos y las actividades personales.

Si el software se encuentra externalizado, debemos encontrar en el contrato la propiedad y derechos del código, se debe probar y certificar su calidad y considerar sobre posibles terceros que participan por iniciativa de la organización subcontratada.

Cada día encontramos nuevas vulnerabilidades técnicas que pueden afectar a los sistemas que tienen incorporados las organizaciones. Se tienen que gestionar las vulnerabilidades publicadas, además de ser detectado de forma interna en la organización.

La gestión del sistema se tiene que iniciar con toda la información obtenida de las vulnerabilidades, se debe analizar los riesgos de los activos y establecer las medidas adecuadas para poder afrontar los principales problemas que se presentan en la organización. Se debe llevar a cabo la gestión de la organización con un inventario de activos actualizados y completos.

En el momento en el que se obtenga un parche para que solucione las vulnerabilidades del sistema se tiene que proceder a realizar el procedimiento de control de cambios. En caso de que no se pueda identificar un parche adecuado, en función a la criticidad del sistema y de la vulnerabilidad de esta, se pueden desactivar o dejar de utilizar el sistema afectado, también se pueden aumentar los controles de monitorización.

Software para ISO 27001

El Software ISO para los Sistemas de Gestión de Seguridad de la Información es una herramienta que cuenta con una serie de aplicaciones específicas para esta temática tales como evaluación de riesgos de seguridad de la información o aplicaciones de autodiagnóstico que dan la posibilidad de automatizar la implantación y mantenimiento de la norma ISO-27001 de forma eficaz en cualquier tipo de organización, independientemente de su sector o tamaño.

Seguridad de la información
1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)
Cargando...