ISO 27001: ¿Cómo tratar la información sensible?

Sistema de Seguridad de la Información

La NTP-ISO/IEC 17799, homologa de la ISO 27001 en Perú, nos dice que se tiene que establecer un proceso de autorización para poder gestionar cada recurso nuevo al que necesite realizarse algún tratamiento de la información.

Para realizar la guía de implementación se tienen que considerar los siguientes controles:

• Los nuevos medios deben estar aprobados por parte de la alta dirección, aprobando el propósito y la utilización. Se tiene que obtener aprobación de los directivos de la organización que tengan responsabilidades en el mantenimiento del entorno de Sistema de Seguridad de la Información, asegurándose que se cumplen todas las políticas y los requisitos de seguridad necesarios.
• Se tiene que realizar una comprobación sobre el hardware y el software para verificar que son compatibles con todos los dispositivos del sistema.
• Se tiene que autorizar y evaluar la utilización de medios informáticos personales, como pueden ser los aparatos móviles, para poder tratar la información de la empresa y los controles necesarios para evitar que se puedan introducir nuevas vulnerabilidades.

Los requisitos de confidencialidad reflejan las necesidades de las empresas para proteger la información sensible de las personas que trabajan en la organización, siendo identificadas y revisadas cada cierto tiempo.

Durante la guía de implementación de la confidencialidad se deben adjuntar ciertos requisitos con los que poder proteger la información confidencial utilizando los términos ejecutables legales. Para poder identificar los requisitos de confidencialidad se tienen que considerar los diferentes elementos:

• Definir la información protegida.
• Establecer la duración esperada del acuerdo, en la que se incluyen los casos de confidencialidad se puede necesitar que sea mantenido periódicamente.
• Tomar las acciones requeridas cuando el acuerdo haya llegado a su fin.
• Conocer cuáles son las responsabilidades y las acciones de las partes interesadas para evitar el acceso no autorizado a la información sensible.
• Conocer de quien es la propiedad de la información, los secretos del comercio y de la propiedad intelectual, además de relacionarla con la protección de la información confidencial.
• Los permisos necesarios para utilizar la información confidencial y los derechos de las partes interesadas para utilizar dicha información.
• El derecho de auditar y monitorear todas las actividades que implican obtener información confidencial.
• Los procesos necesarios para poder notificar los accesos no autorizados en los diferentes contenidos de la información confidencial.
• Los términos para que la información sea devuelta o destruida una vez terminado el acuerdo de confidencialidad.
• Las acciones que se pueden tomar en caso de que se rompa el acuerdo.

Los requerimientos en Seguridad de la Información de la empresa pueden ser necesarios llegando a un acuerdo de confidencialidad.

Todos los acuerdos de confidencialidad tienen que encontrarse conforme a la legislación aplicable a las regulaciones para la jurisdicción a la cual se aplica.

Los requisitos necesarios para realizar un acuerdo de confidencialidad tienen que ser revisados cada cierto tiempo y además, cuando se produzcan cambios que influyan en dichos requisitos.

Los acuerdos de confidencialidad utilizan la información de la organización para informar a las partes interesadas sobre los activos que deben ser protegidos, utilizados y conocer cómo se debe acceder a dicha información de una forma responsable y autorizada.

Puede ser necesario para una empresa la utilización de las distintas formas de los acuerdos de confidencialidad en diferentes circunstancias.

Se tienen que mantener todos los contactos apropiados con las autoridades relevantes.

Las empresas deben realizar diferentes procedimientos en los que se especifique cuándo y por qué las autoridades deben ser requeridas y como los incidentes identificados en el Sistema de Seguridad de la Información que tienen que reportar de una forma oportuna si se llega a sospechar si se ha roto el contrato.

Las empresas que se encuentran bajo el continuo ataque de internet pueden precisar de terceras personas para tomar las acciones necesarias contra la fuente de ataque.

Mantener todos los contactos es unos requisitos con el que se busca apoyar la gestión de los diferentes incidentes de Seguridad de la Información o la continuidad de negocio y la contingencia del planteamiento.

Tener contacto con los sistemas regulatorios es útil para poder anticiparse y prepararse en los diferentes cambios que se den en la legislación, ya que dicha legislación tiene que ser revisada por la propia organización. Tener contacto con otras autoridades, servicios de emergencia, seguridad y salud, como pueden ser los bomberos, los proveedores de telecomunicaciones, los proveedores de agua, etc.

Contacto con grupos de interés especial

Se tiene que mantener contacto con todos los grupos de interés en los diferentes foros de seguridad y asociaciones profesionales.

Los beneficios que ofrece estar en contacto con los foros de seguridad y las asociaciones profesionales son:

• La mejora del conocimiento sobre las prácticas y encontrarse actualizado con información relevante de seguridad.
• Asegurar que el entendimiento del ambiente de Seguridad de la Información es actual y completo.
• Recibir todas las alertas de detección temprana, advertencias y parches que sirve para solventar ataques y vulnerabilidades.
• Conseguir acceder a consejos especializados de Seguridad de la Información.
• Compartir información sobre las nuevas tecnologías, productos, amenazas o vulnerabilidades.
• Proveer puntos de enlaces convenientes cuando se consigue obtener información de incidentes de seguridad.

Es necesario llegar a acuerdos para poder compartir la información, esto ayuda a mejorar la cooperación y la coordinación entre los diferentes temas de seguridad. Los acuerdos tiene que identificar todos los requerimientos para proteger la información sensible.

El Software ISO 27001 presta solución a todas estas cuestiones que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa. Toda protección es importante, por mínima que sea, pues el mínimo descuido puede ocasionar una violación de los datos de la misma.