ISO 27001: Requisitos básicos en la seguridad de las TIC

Un blog editado por ISOTools Excellence

SGSI

Blog especializado en Sistemas de Gestión
de Seguridad de la Información

cerrojo

ISO 27001: Requisitos básicos en la seguridad de las TIC

ISO 27001: Requisitos básicos en la seguridad de las TIC

ISO 27001

SGSI

Cuando una organización decide implantar un Sistema de Gestión de Seguridad de la Información basado en la norma ISO 27001 incrementa la seguridad de las TIC.

La seguridad de las TIC la podemos definir como la capacidad que tienen las infraestructuras o los sistemas informáticos de disminuir e incluso prevenir los accidentes malintencionados que comprometen la disponibilidad, la autenticidad, la integridad y la confidencialidad de la información que se encuentra almacenada en la organización y además, se debe tener en cuenta todos los servicios que ofrecen las infraestructuras o sistemas que permiten el acceso a la información.

Hoy en día, las necesidades de seguridad de las empresas se encuentran basadas en tres fundamentos principales:

Las personas

  • Los profesionales de las TIC con formación especializada y acreditada
  • Usuarios con suficiente nivel de educación cómo para poder usar las TIC

La gestión

  • Sistemas de Gestión de Seguridad de la Información basado en la norma ISO-27001.
  • Seguridad englobada dentro de todos los procedimientos y los procesos de negocio, así como las actividades de la organización.

Nueva llamada a la acción
Nueva llamada a la acción

Las tecnologías y sistemas de información y comunicaciones.

  • Sistemas que cumplen certificaciones de calidad de la seguridad de los productos TIC.

La interrelación entre estos tres componentes es la base fundamental a la hora de implementar la seguridad dentro de una organización, se incrementa el riesgo si la seguridad de alguno de dichos componentes no se tiene en cuenta como parte de la seguridad TIC.

El principal objetivos que persiguen los responsables del Sistema de Gestión de Seguridad de la Información es conocer el tiempo real que pasa en los sistemas para que sea relevante en la seguridad de la información de su empresa y además, debe tomar las decisiones oportunas que faciliten la reducción de las amenazas que puedan afectar a la empresa.

La seguridad y las tecnologías que aumentan la protección deben implantar medidas y controles que faciliten la prevención y la gestión del riesgo de las amenazas y deben ayudara a crear procesos automatizados con tendencia a disponer de información sobre eventos de una forma completa, útil y de calidad en el momento que sea necesario y también debe facilitar la implementación de mecanismos de extracción, preservación y conservación de evidencias y registros de utilización de las diferentes infraestructuras.

Seguridad lógica

La seguridad lógica está basada en el concepto de la defensa en profundidad. El concepto de defensa en profundidad se encuentra basado en los siguientes puntos:

  • Bienes que se protegen por varias líneas de defensa.
  • Las líneas de defensa participan en la defensa global.
  • Cada una de las líneas de defensa lleva a cabo un papel: debilitar, entorpecer, retardar o parar el ataque.
  • Las líneas de defensa son autónomas, por lo que la pérdida de una línea de defensa puede debilitar la siguiente pero ésta dispone de sus propios medios de defensa frente a los diferentes ataques.
  • Ponen en marcha todos los medios necesarios para reforzar la defensa de las diferentes líneas:
    • Adaptar la fortificación.
    • Crear muros que limitan los efectos de las penetraciones.
    • Estar informado de la situación de cada línea de defensa.

El concepto de defensa en profundidad es utilizado en el ámbito militar, industrial y de la seguridad de los sistemas de información, este último es el ámbito en que nos vamos a centrar.

Hoy en día, el concepto de defensa en profundidad ha sido adaptado para su utilización en el ámbito de la Seguridad de los Sistemas de Información. El concepto ha incluido los principios que dan mayor relevancia al concepto de la seguridad TIC.

  • Información que se ha convertido en la primera línea de defensa.
  • La defensa es un concepto dinámico que permite la adaptación a los requerimientos de seguridad en la organización.
  • Hay diferentes líneas de defensa que se encuentra perfectamente coordinadas y ordenadas según la capacidad que tenga o las necesidades que requiera la organización.
  • Perder una línea de defensa deberá debilitar el ataque, dicha pérdida no tiene que ocasionar la pérdida de más líneas de defensa sino que por el contrario debe reforzarlas o adquirir un mayor conocimiento de la amenaza.
  • Las líneas de defensas tienen que incluir un registro de amenazas en cada uno de los posibles ataques recibidos, mejorando el nivel de conocimiento y el análisis de la situación generada por la amenaza.
  • Durante la defensa no se excluirán las medidas de carácter ofensivo para así poder mitigar los efectos del ataque.

Un ejemplo para entender mejor la implementación de la defensa en profundidad es el siguiente caso. Un trabajo protegido por un cortafuegos y un antivirus contra todos los accesos no autorizados, el antivirus será la segunda barrera si intenta entrar la amenaza mediante un código maliciosos, pero sin embargo será la primera barrera si el medio por que decide entrar la amenaza es el correo electrónico, ya que el mensaje de correo se encuentra autorizado por el corta fuegos.

La seguridad lógica en las TIC debe estar adaptada al concepto de una línea de defensa que se encuentra formada por diferentes barreras coordinadas entre sí y que proporcionan una información a los responsables y especialistas de la Gestión de la Seguridad de la Información ISO27001 en la organización para que se puedan tomar las decisiones oportunas.

Las barreras por las que se encuentran compuestas las líneas de defensa están relacionadas con los diferentes niveles de gravedad y la relación correspondiente en caso de superarse dichas barrear de forma planificada dentro de la empresa.

La seguridad TIC es una defensa global y dinámica:

  • El concepto global se puede entender como una línea de seguridad y no un conjunto de medios de protección independientes. Todas las líneas de defensa debe disponer de dispositivos que faciliten la detección, monitorización y notificación antes las diferentes amenazas.

Implementar la seguridad lógica tiene como finalidad:

  • Reforzar la protección del Sistema de Gestión de Seguridad de la Información.
  • Generar un medio de comunicación que facilite a  la alta dirección de la organización la toma de decisiones.

Software para ISO 27001

El Software ISO 27001 incluye en su metodología de trabajo este requisito entre otros, para proporcionar un Sistema de Gestión de Seguridad de la Información eficaz, eficiente y automatizado, lo que facilitará el trabajo en numerosas organizaciones.

Seguridad de la información
1 Star2 Stars3 Stars4 Stars5 Stars (3 votes, average: 3,67 out of 5)
Cargando...