ISO 27001

Toda organización debe preparar a sus empleados y a todas aquellas personas que trabajan con información de carácter sensible acerca de cómo proceder de oficio sobre la información almacenada en el espacio de trabajo. Gracias a la norma ISO 27001 sobre seguridad de la información y a la ISO 27002 sobre el código referente a la práctica puede proporcionarse una orientación aceptable sobre el control de la seguridad.

Cuando hablamos de recepción y política clara estamos haciendo referencia a las prácticas que se desarrollan para la obtención de un mínimo de garantía de la información sensible. Estas prácticas afectan tanto a la información física como a la digital. Es muy importante poner especial atención en dotar de protección a los espacios de trabajo personales y públicos, tanto cuando estén en uso como cuando no lo estén.

Si deseas profundizar en las amenazas y vulnerabilidades que pueden afectar a la seguridad de la información puedes visitar otro de nuestros artículos haciendo clic aquí.

En base a la información y los activos que podemos encontrar en la zona de trabajo, la definición de una política clara es la estrategia principal a llevar a cabo para disminuir el riesgo de errores que afectan a la seguridad de la información. La mayor parte de las prácticas son de baja tecnología y pueden implementarse fácilmente en la organización. Algunas de estas prácticas pueden ser:

Uso de áreas cerradas

Se recomienda el uso de cajones con frenos, cajas fuertes y salas y gabinetes de archivos. Estos tendrán que estar disponibles para el almacenamiento de los medios de información o dispositivos de fácil transporte cuando se requiera. Con esta medida, además de mejorar la seguridad de la información contra el acceso de personal no autorizado para ello, se protege la información de aquellos posibles e imprevisibles desastres naturales que pudiesen suceder.

Protección de los dispositivos y sistemas de información

La situación de los equipos de trabajo y los dispositivos debe ser aquella que permita al trabajador utilizar una amplia visión de los mismos evitando que puedan ser vistos por cualquier otra persona que no sea la autorizada para dicha tarea. Es primordial el uso de contraseñas como medida básica de seguridad de la información. Así como el registro de aquellos sistemas de información cuando no se encuentren en uso. Cuando finalice el trabajo deben de apagarse los equipos, poniendo especial interés en aquellos equipos que se encuentran conectados a la red de la organización.

Restricciones a la hora de utilizar la copia y la impresión de tecnología

Es recomendable llevar en cierta medida un control del uso de impresoras, fotocopiadoras, escáner y cámaras. El objetivo es la reducción de cantidad o la habilitación de ciertas funciones solo a aquellas personas que estén autorizadas con acceso al material enviado por ellos.

#ISO27001: Existen situaciones que pueden suponer un gran riesgo si no se toman las medidas adecuadas
Click To Tweet

Adoptar una cultura sin papel

Es importante el control de los documentos que se imprimen, de manera que sea realmente necesaria su presencia en formato físico. Por otro lado, es muy recomendable prestar especial atención a las notas adhesivas que por costumbre suelen recoger usuarios, contraseñas e información relevante y que suelen colocarse a simple vista o alrededor de los monitores.

Eliminar la información restante en las salas de reuniones

Toda la información expuesta en pizarras debe ser borrada, algo que habitualmente en frecuente dejar a modo de recordatorio. Además, todo el material utilizado durante las reuniones debe eliminarse si dado el caso no necesita conservarse.

Cómo implementar un escritorio y una política clara

Teniendo en cuenta la norma ISO 27001 sobre seguridad de la información, se requiere de los siguientes elementos para poder contar con un escritorio limpio y una política clara:

• El nivel de información, confidencial, que necesitan de un manejo seguro.
• Requisitos legales y contractuales que requieren de la protección de la información.
• Riesgos organizacionales que previamente han sido identificados.
• Aspectos culturales.
• Medidas que se deben adoptar para asegurar escritorios, dispositivos y medios de comunicación.

La organización debe tener en cuenta con cierta periodicidad la formación y la sensibilización de los eventos para la comunicación a los empleados y otras personas implicadas en la política de la seguridad de la información. Algunos de los métodos o medios para concienciar de esto son los carteles, las alertas de correo electrónico o los boletines con noticias.

Software ISO 27001

El Software ISOTools Excellence para la norma ISO 27001 ofrece solución a todas estas preguntas que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una organización. Toda protección es importante, por pequeña que sea, pues el mínimo descuido puede conllevar una violación de los datos de la misma.

La entrada Seguridad de la información: Medidas de seguridad en las oficinas se publicó primero en ISOTools Perú.

ISO 27001

La variedad de normas que podemos encontrar es infinita. Normas orientadas a la calidad, como el caso de la ISO 9001 o al medio ambiente como la ISO 14001. Podemos enumerar otras muchas como la ISO 20000, ISO 22301, ISO 27001, ISO 31000, ISO 39001, ISO 45001, etc. Además, en relación a estas normas encontramos diferentes maneras de lograr la acreditación o certificación de las mismas.

Si deseas conocer más acerca de la norma ISO 27001 puedes visitar otro de nuestros artículos, como por ejemplo “ISO 27001:2013, ¿cómo definir el alcance del Sistema de Gestión de Seguridad de la Información?”

Para saber por dónde podemos empezar vamos a seguir estos pasos:

Para las organizaciones

El organismo encargado de publicar las normas es la Organización Internacional de Normalización (ISO). Este es un organismo internacional fundado por organizaciones de todo el mundo. La finalidad principal es la publicación de las normas, de forma que se ofrezca conocimiento sobre las mismas y se mejoren las prácticas llevadas a cabo en las distintas organizaciones. Por ello, existen alrededor de 20.000 normas que se encuentran reconocidas internacionalmente.

Las normas de gestión ISO son sólo una parte de esas 20.000 normas cuya creación es ayudar a las organizaciones para mejorar las operaciones en ciertas áreas.

Certificación vs. Inscripción

Cuando decimos que una organización ha llevado a cabo una implantación de un estándar como puede ser la norma ISO 27001, queremos decir que ha completado con total éxito la auditoría de certificación en la ISO 27001. El organismo de certificación es el encargado de emitir el certificado, o registro.

Mientras que en América del Norte es más frecuente el uso del término “registro”, en el resto del mundo se utiliza con más fuerza el término “certificación”. Por ello, podemos preguntarnos si existe alguna diferencia entre ambos. La respuesta técnica sería que sí existe diferencia, aunque en la esencia del concepto realmente no.

En referencia a la certificación entendemos que es el organismo de certificación el encargado de emitir el certificado. Este pone de manifiesto que la organización es compatible con la norma, en este caso con la ISO 27001. Respecto del registro, se entiende como aquel momento en el que el certificado es registrado en el organismo de certificación.

La Organización Internacional de Normalización recomienda el uso del término “certificación”, por lo que se utilizará este término en el resto del artículo con la connotación que hemos visto.

Descubre la diferencia entre acreditación y certificación con #ISO27001
Click To Tweet

Organismo de certificación vs. Registro

Esta diferencia surge de manera directa del empleo de los términos “certificación” y “registro”. En América del Norte se utiliza con mayor frecuencia el término “registrador”, mientras que en el resto del mundo se usa con más fuerza el término “organismo de certificación”.

La ISO recomienda que el empleo del término “organismo de certificación”.

Acreditación de certificación

Para que los organismos de certificación puedan llevar a cabo las auditorías de certificación y emitir los certificados necesitan obtener una licencia. A esta licencia se le denomina acreditación. De esta forma podemos decir que los organismos de certificación se encuentran acreditados mientras que las empresas están certificadas.

Por lo general, en cada país podemos encontrar distintos organismos de certificación. Desde pequeños organismos de certificación a grandes corporaciones multinacionales.

Los organismos de acreditación suelen publicar con frecuencia un listado de todos aquellos organismos de certificación que se encuentran acreditados en cada país. Estos organismos certificados deben de ser compatibles con la norma ISO 17011 sobre requisitos generales para los organismos de acreditación. La razón de esta compatibilidad es que este estándar es el encargado de definir el proceso de acreditación.

Para las personas

Para poder llevar a la cabo la implementación de un estándar en una organización se necesita a una persona preparada para auditar el sistema de gestión ISO 27001.

En relación a la acreditación, existe un patrón muy similar al que hemos descrito anteriormente. Es decir, si quiere que una empresa proporcione certificados de formación, tiene que estar acreditado por un organismo de acreditación. Dicha institución debe ser compatible con la norma ISO 17024 sobre requisitos generales para los organismos que realizan certificación de personas.

Certificación personal frente a la certificación de formación

En la mayor parte de los casos, las instituciones acreditadas no proporcionan de manera directa cursos a los estudiantes. Es más frecuente la existencia de una red de socios que proporcionan estos cursos acreditando su licencia y supervisión.

La relación existente entre las instituciones acreditadas y los proveedores de formación funciona de dos maneras distintas:

• Los proveedores de formación utilizan cursos desarrollados por instituciones acreditadas. Y posteriormente la institución acreditada emite los certificados a los estudiantes.
• La organización de formación desarrolla su propio curso y una institución acreditada los certifica.

Certificar los cursos es obligatorio para los proveedores de cursos de formación como el de auditor. Esta es la única manera de obtener el reconocimiento de las empresas de certificación que contrata a los auditores de dichos certificados.

Software ISO 27001

Para asegurar la automatización, gestión y control de un Sistema de Gestión de la Seguridad de la Información de forma eficaz y correcta, podemos ayudarnos con el Software ISOTools Excellence. Soluciona de una forma muy completa cada uno de los requisitos de la norma ISO 27001 2013. Además, ofrece al cliente la herramienta imprescindible para obtener una mejora continua en su gestión de procesos, con el consiguiente incremento de sus beneficios a corto plazo.

La entrada Las diferencias según la norma ISO 27001 entre acreditación y certificación se publicó primero en ISOTools Perú.

NTP ISO 27001

Existen muchos servicios cloud atractivos para las empresas como puede ser:

• Almacenamiento
• Backup
• Aplicaciones de oficina
• Servidores de correo
• Alojamiento web
• Gestión de contacto

Gracias a este abanico de servicios, las pequeñas y medianas empresas pueden valorar cada una de las ventajas que supone para su capital evitar importantes inversiones en software, hardware y personal técnico propio. No obstante, deben ser conscientes de lo que contratan.

Los servicios cloud ofrecen interesantes oportunidades para desarrollar trabajos colaborativos. Pues estos ofrecen mejoras en la seguridad si se compara con otras opciones más tradicionales.

Los riesgos valorados por el Instituto Nacional de Ciberseguridad (INCIBE) pueden clasificarse como dos elementos de gran importancia que deben recibir respuesta antes de decidirse por la contratación de cualquier tipo de servicio en la nube:

• ¿Cómo puede distinguirse entre las distintas opciones del mercado?
• ¿Cuál es la más segura?
• ¿Qué aspectos de seguridad del cloud deben considerarse antes de contratar?

La Guía de seguridad en cloud para PYMES de la Agencia Europea de Seguridad (ENSA) propone una serie de preguntas básicas que plantearnos antes de la compra:

Para el servicio que se quiere contratar, ¿cómo gestiona el proveedor los riesgos en relación a la seguridad de la información?

Una buena elección debería incorporar ciertos aspectos como puede ser un punto de contacto para incidentes de seguridad. O la política de seguridad del proveedor, así como sus dependencias con terceros. Es recomendable obtener el certificado en la NTP ISO 27001, además de los informes de cumplimiento y buenas prácticas.

¿Cómo maneja el proveedor los desastres que afecten a los centros de datos o a las conexiones?

En el supuesto de que suceda una catástrofe natural que pudiese afectar al proveedor en recomendable conocer en qué medida permanece activo el sistema cloud del mismo. Así como también de qué manera o cómo se deben llevar a cabo las copias de seguridad. Se deben conocer los planes de seguridad ante catástrofes, los tiempos de recuperación, etc.

¿Cómo se asegura la seguridad del servicio cloud en relación a disputas administrativas y cuestiones legales?

Debemos conocer cómo puede afectarnos que nuestro proveedor tuviese algún problema interno o con terceros, tanto de carácter administrativo como legal. Sobre todo, interesa conocer hasta que nivel se asegura el servicio por parte de los proveedores, cuestión que viene regulada en las cláusulas del contrato.

La Guía de seguridad en #cloud para pymes de la ENISA propone preguntas básicas
Click To Tweet

¿El proveedor nos garantiza que su personal trabaja con medidas de seguridad?

Los proveedores manifiestan y demuestran su profesionalidad a través de certificados profesionales, políticas de incorporación y formación de sus trabajadores. Es valorable la realización de simulacros de ataques para ver qué mecanismos utilizan.

¿Cómo se protegen nuestros procesos y datos de los accesos lógicos y físicos no autorizados?

Es interesante conocer qué tipo de medidas de control de acceso físico y logístico tienen las empresas proveedoras. Esto sirve de ayuda complementaria al Sistema de Gestión de Seguridad de la Información basado en la NTP ISO 27001.

¿Cómo garantiza la seguridad del software? ¿Qué software permanece bajo nuestra responsabilidad?

Para ello pueden solicitarse a los proveedores distintos informes de vulnerabilidad, o procedimientos de actualización y auditorías externas de dicho software.

¿Cómo se puede monitorizar el servicio, qué registros de actividad se toman y cómo podemos obtenerlos cuando necesitemos analizar un incidente?

Tenemos el derecho de poder acceder a los cuadros de mando donde se lleva a cabo la monitorización del rendimiento, además de las alertas y las cuestiones relacionadas con la seguridad del servicio. Junto a este derecho puede incorporarse una cláusula de recuperación de datos en caso de que sea necesario, conociendo así las causas de las desaparición de los mismos.

¿El servicio cloud es portable?

Dado que no sabemos que puede llegar a pasar en un futuro ni las decisiones que deberemos tomar, es recomendable conocer la posibilidad de portabilidad de nuestro sistema cloud. También puede ocurrir que se desee integrar dicho servicio con otra serie de aplicaciones. Por ello, el proveedor debe de facilitarnos los detalles técnicos del software para conocer al detalle estas cuestiones.

¿Qué legislación nacional supone?

Es importante conocer la legislación de aquellas regiones donde operan nuestros proveedores de cloud. Pues en la mayor parte de los casos, estos operan desde centros que se encuentran localizados a millones de kilómetros de nosotros.

Software ISO 27001

El Software ISOTools Excellence para la norma ISO 27001 ofrece solución a todas estas preguntas que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una organización. Toda protección es importante, por pequeña que sea, pues el mínimo descuido puede conllevar una violación de los datos de la misma.

La entrada NTP ISO 27001: Valoraciones antes de contratar los servicios cloud se publicó primero en ISOTools Perú.

Normal ISO 27001 2013

Hace aproximadamente ya un año que la línea de negocio de ciberseguridad de Prosegur obtuvo la acreditación oficial CERT (Computer Emergency Response Team). Así como también el certificado oficial emitido por la Universidad Carnegie Mellon de Estados Unidos.

Junto a estas acreditaciones, la que más nos atañe es la certificación en la norma ISO 27001 2013. Gracias a todos estos reconocimientos, el equipo de ciberseguridad de Prosegur puede acreditar su capacidad para dar respuesta a cualquier amenaza que las empresas puedan recibir en los distintos entornos digitales.

Contar con la acreditación CERT avala la respuesta inmediata de Prosegur antes cualquier ataque cibernético organizada y eficazmente.

Los CERT cuentan con un inmenso potencial tecnológico para poder proteger sus equipos, redes y aplicaciones de cualquier otra empresa.

Como resultado, la organización logra importantes ventajas. Entre las ventajas principales de pertenecer a este equipo, encontramos el acceso a los servicios de prevención para una gran protección de las infraestructuras informáticas. Aunque no debemos olvidar la mejora de la alerta temprana ante cualquier posible riesgo, amenaza o incidente que afecte a la seguridad de la información.

Prosegur ya forma parte del Forum of Incident Response and Security Teams (FIRST), siendo una red internacional líder en respuesta ante posibles incidentes.

Por lo tanto, Prosegur adoptó distintos compromisos que aseguran la máxima eficacia en los servicios que ofrece acerca de la seguridad. Entre dichos compromisos destacamos la obtención de información relevante para anticiparse a riesgos y amenazas.

Para conocer más acerca del alcance del Sistema de Gestión de Seguridad de la Información basado en la norma ISO 27001 2013 haz clic aquí.

Sistema de Gestión de Seguridad en la Información de Prosegur

Como consecuencia, la línea de negocio de Prosegur impulsó la implementación de un Sistema de Gestión de Seguridad de la Información obteniendo el reconocimiento por parte de AENOR para la ISO 27001 2013.

Gracias a esta certificación, Prosegur puede demostrar objetivamente la inclusión de medidas necesarias para proteger la confidencialidad, la disponibilidad y la integridad de la información relacionada con los servicios prestados a los clientes.

El conjunto de acreditaciones y el prestigio de los servicios tradicionales convierte a Prosegur en una de las pocas empresas de seguridad a nivel mundial capaz de asegurar la seguridad de una empresa de manera integral, ofreciendo seguridad tanto física como cibernética.

La seguridad y la ciberseguridad son responsabilidad de las organizaciones.

La protección de los distintos datos ante posibles robos o el mantenimiento de la confidencialidad son aspectos clave para alcanzar el correcto funcionamiento de los distintos departamentos de la empresa.

La #ISO27001 ofrece medidas para proteger la confidencialidad, la disponibilidad y la integridad
Click To Tweet

Ultramar Agencia Marítima

Otro de los ejemplos es Ultramar Agencia Marítima en Chile, que entiende la misión y a su vez forma parte del objetivo que traslada a los más de 9.000 empleados por todo el territorio.

Por consiguiente, la seguridad es una parte fundamental de la cultura de la organización.

Todos los empleados deben conocer la relevancia que supone tener y cuidar en secreto la información más sensible.

Las acciones realizadas para proteger la información no se resuelven únicamente a través del uso de software y tecnología.

Para preparar a la empresa de todos los posibles ataques de ingeniería social se debe de ofrecer capacitación a los empleados de la misma.

En el supuesto de Ultramar, la seguridad está incluida en el programa de acogida de los empleados de la organización.

En el momento en que un trabajador se incorpora a la organización debe de revivir la capacitación necesaria para el puesto de trabajo que desempeñará en la empresa.

Esta capacitación debe llevarse a cabo durante los primeros días.

El departamento de seguridad de tecnología de la información cuenta con un determinado tiempo para ofrecer al empleados los primeros pasos en la responsabilidad y cuidado de la información.

Se puede dirigir un programa de capacitación continua en la organización donde cada un cierto tiempo se celebra una comida abierta a toda la plantillas de empleados.

En dicha comida se trata cada uno de los temas relacionados con la seguridad de la información en la norma ISO 27001 2013.

Además, en estas jornadas de capacitación están invitados distintos expertos externos a la empresa que ayudan a concienciar, ofrecer conocimiento de las tecnologías y más importante, en demostraciones prácticas que ayudan al entendimiento de los distintos tipos de ataques, amenazas o actuaciones.

Software ISO 27001

La herramienta Software ISOTools Excellence para la norma ISO 27001 2013 para los Sistemas de Gestión de Seguridad de la Información se encuentra compuesta por diferentes aplicaciones que, conjuntamente, trabajan para que la información que manejan las distintas organizaciones no pierda ninguna de sus propiedades más importantes: disponibilidad, integridad y confidencialidad.

La entrada Cómo ayuda la norma ISO 27001 2013 a mejorar las organizaciones se publicó primero en ISOTools Perú.

ISO 27001

Actualmente, cualquier empresa tiene la necesidad de contar con un  software para trabajar los sistemas operativos, las aplicaciones de oficina o las financieras, entre otras. Generalmente la instalación del software no se encuentra totalmente controlada, lo cual puede ocasionar riesgos.

La ISO 27001 puede facilitar a las empresas la implantación de un Sistema de Gestión de Seguridad de la Información. Además de estar basado en la propia norma, se apoya en el Anexo A.12.6.2.

La primera recomendación que podemos hacer es que la instalación del software solo sea llevada a cabo por personal autorizado. Generalmente, será personal de Tecnología de la Información. Esto se puede aplicar apoyándose en la política de seguridad de la información. Para verificarlos, la organización puede llevar a cabo controles de forma periódica analizando el software instalado en el cualquier ordenador.

Para las pymes, la mejor recomendación es la misma que acabamos de mencionar. La instalación del software puede ser llevada a cabo por cada empleado, pero previamente a la instalación, una parte responsable deberá ser notificada. Dicha notificación debe registrarse en un inventario. Otra de las opciones es limitar los permisos a los usuarios a un mínimo. Esto no va a ser siempre posible porque existen determinados perfiles que requieren de permisos de administrador en el Sistema de Gestión de Seguridad de la Información. Dichos permisos tienen que ser cotejados cada cierto tiempo, pues hay trabajadores que pueden cambiar de área o departamento dentro de la propia organización. Esto supone que se deberán habilitar unos permisos y desactivar otros.

Reglas para instalar el software

Cuando se va a proceder a instalar un nuevo software, la principal recomendación es seguir siempre las mismas reglas. Estas normas pueden definirse en una política de seguridad con cierto grado de control en el que se incluye como contenido:

• Los empleados no pueden descargar el software desde internet, o traer el software de casa sin autorización.
• Cuando un empleado detecta la necesidad de utilizar un software en particular, debe requerir una solicitud al departamento TI. Dicha solicitud debe de almacenarse como un registro.
• El departamento de TI debe determinar si la organización tiene licencia del programa solicitado.
• En el caso de existir licencia, el departamento de TI notificará al empleado y procederá a instalar el software en el ordenador del usuario que lo ha requerido.
• En el caso de no existir licencia, se debe evaluar si el programa solicitado es realmente necesario para el desempeño de las funciones del empleado. Se debe de analizar la viabilidad financiera de la compra del software así como el costo del mismo.
• Si el software requiere una inversión, debe analizarse la posibilidad de una herramienta alternativa más económica.
• La alta dirección debe participar en la decisión acerca de la adquisición del nuevo software.
• Una vez que se ha tomado la decisión, en el departamento de TI procederá a incluir el software en su inventario e instalará el software.

#ISO27001: Se debe establecer una regla general para instalar un software en tu organización
Click To Tweet

Aplicaciones del repositorio y el inventario de software

Cuando se usa como base la metodología de gestión de riesgos, el software debe de ser considerado un activo en el inventario durante el proceso de evaluación de riesgos. Pues existen amenazas y vulnerabilidades en relación a los software.

Se recomienda que el departamento de TI establezca un repositorio para poder almacenar las distintas versiones corporativas y definitivas de las diferentes aplicaciones que se usan en la organización. A dicho repositorio solo debe de tener acceso aquel personal autorizado. Dentro de este conjunto de personas solo se incluirá a aquel que forme parte de la red interna de la organización. Esto facilita la posible instalación del software en los equipos de los empleados cuando se requiera.

Es importante revisar todo el software que se instala en la empresa. Para esta tarea pueden utilizarse herramientas que examinen aquello que se está instalando en cada ordenador a través de una red interna. Este tipo de herramientas posibilitan verificar la existencia de software instalados sin control.

En el caso de que la empresa sea muy pequeña o, que no se pueda establecer un repositorio, se recomienda identificar una lista de todos los software instalados en cada uno de los equipos.

Software ISO 27001

La herramienta ofrecida por el Software ISOTools Excellence para la norma ISO 27001 con el objetivo de implementar en la organización el Sistema de Gestión de Seguridad de la Información, está capacitada para responder a numerosos controles para el tratamiento de la información gracias a las aplicaciones que contiene y que son totalmente configurables según los requerimientos de cada organización.

La entrada ISO 27001: La importancia de controlar la instalación de software se publicó primero en ISOTools Perú.

ISO27001

La seguridad física es considerada una parte fundamental en lo que a protección de la información se refiere. De nada serviría el mejor control técnico diseñado, implantado y mantenido si cualquier tipo de amenaza física afecta a los bienes o servicios sobre los que estos controles están funcionando.

En cualquier caso los procedimientos de esta técnica y las copias de seguridad serán inútiles si alguien o algo provoca ciertos daños en los medios de comunicación o hardware. E igualmente, las copias de seguridad no servirán de nada si no se puede llegar a la ubicación para recuperarlo.

La norma ISO 27001 proporciona un conjunto de recomendaciones acerca de lo que debe de llevarse a cabo para que la seguridad física sea más fiable. En supuestos más complejos, existen distintos eventos físicos con una mínima probabilidad de ocurrir, pero que de suceder causarían grandes daños. También aparecen algunos que transcurrirán con poca repercusión sobre los mismos.

Apartado A.11.14 de la ISO 27001

En consideración con las amenazas externas y ambientales encontramos el apartado A.11.14. Este hace relación a los eventos a causa de la naturaleza y las acciones provocadas por el ser humano, intencionada o accidentalmente.

Las características pueden hacer referencia a la identificación de dichas amenazas de manera más compleja. Depende de la información ajena a la organización. Para conseguir dicha información la organización puede recurrir a la ISO 31000 «Gestión de riesgos: Principios y directrices» o a la ISO 27005 «Tecnología de la información: Técnicas de seguridad».

No obstante, ajena a la concreción de las amenazas externas, podemos encontrar algunas buenas prácticas que poner en marcha con carácter general. Algunos sitios pueden endurecerse contra los accidentes y desastres ambientales. De igual forma pueden colocarse obstáculos para retrasar y desalentar los agentes potenciales.

La seguridad física es una parte muy importante dentro de la protección de la información
Click To Tweet

Medidas de construcción

Como medidas físicas contra las amenazas, pueden incluirse medidas de construcción que disminuyen la probabilidad de daño. Entre ellas pueden encontrarse:

• Ubicación. Si se conoce la historia previa de la zona en la que se desea establecer el negocio, se pueden evitar eventos naturales como terremotos, huracanes o inundaciones. En el caso de que no existan otras opciones, se pueden preparar las instalaciones para este tipo de amenazas.
• Paredes. Se pueden utilizar materiales como refuerzo y tratamiento de protección contra agentes externos, como es el fuego, el agua o los productos químicos. Estos pueden ayudar a reducir o retrasar los efectos de los agentes activos de una organización.
• Entradas. Las ventanas y las puertas representan un dilema pues debe incorporarse un refuerzo contra el acceso no autorizado. Además debe facilitarse la salida en todas aquellas situaciones de emergencia. Se deben tener en cuenta todas las medidas de seguridad posibles como prevención de aquellas personas o animales que pueden acceder mediante cables o tuberías.
• Servicios externos. Cualquier empresa dependerá de servicios externos, como la energía, las comunicaciones o el transporte público, pues ninguna es autónoma.

Diseño ambiental

La prevención del delito a través de un diseño ambiental se usa para llevar a cabo la planificación de la seguridad centrada en el diseño, la colocación y la forma que reúne el edificio para aumentar la seguridad. Del mismo modo que el resto de las normas ISO se puede implantar en cualquier tipo de edificio o escenario. Podemos definir tres aspectos principales que debe reunir:

• Vigilancia natural. Un factor clave para reducir las amenazas y obstrucciones es poder ver y ser visto. Lograr una vista clara es esencial para así poder detectar rápidamente cualquier tipo de amenaza.
• Control de acceso natural. Se recomienda el uso de un paisaje natural para dirigir el flujo del tráfico. Las entradas flanqueadas por colinas bajas proporcionan mayor seguridad que las que se encuentran en zonas llanas. Una única entrada es más recomendable que varias entradas. Una alternativa para la señalización del camino son las líneas coloreadas. Así mismo facilita la detección de comportamientos y actitudes sospechosas.
• Refuerzo territorial. Los espacios deben estar correctamente definidos y limitados. Se puede modificar la forma de utilizar las áreas, a través de las reglas inconscientes que favorecen la prevención del comportamiento indeseable.

Software ISO 27001

Para asegurar la automatización, gestión y control de un Sistema de Gestión de la Seguridad de la Información de forma eficaz y correcta, podemos ayudarnos con el Software ISOTools Excellence. Soluciona de una forma muy completa cada uno de los requisitos de la norma ISO 27001 2013. Además, ofrece al cliente la herramienta imprescindible para obtener una mejora continua en su gestión de procesos, con el consiguiente incremento de sus beneficios a corto plazo.

La entrada Protección ante las posibles amenazas según la norma ISO 27001 se publicó primero en ISOTools Perú.

ISO 27001

La norma ISO 27001 es una norma internacional elaborada y desarrollada por la International Standards Organization, conocida comúnmente como ISO. Esta norma abarca toda la gestión relativa a la seguridad de la información dentro de una empresa. La versión más actualizada que podemos encontrar de esta norma es la ISO 27001 2013, publicada en ese mismo año. Esta norma se ha ido renovando y actualizando desde su primera publicación en 2005, la cual fue desarrollada a partir de la norma británica BS 7799-2.

La implementación de la norma ISO 27001 puede llevarse a cabo en cualquier empresa, indiferentemente del sector en que desempeñe su actividad. Así mismo independientemente del tamaño o la actividad de la misma. Para su desarrollo se reunieron un grupo de especialistas en seguridad de la información. Gracias a esta norma se proporciona una metodología para la implantación de la gestión de la seguridad de la información en la empresa. Ofrece la posibilidad de certificarse a través de cualquier organismo acreditado para ello. Es decir, aquel organismo autorizado para la certificación debe asegurar que la seguridad de la organización se ha implantado conforme a los requisitos de la ISO 27001.

Al principio puede tenerse un cierto temor debido al desconocimiento de si nuestro Sistema de Gestión de Seguridad de la Información está listo para todas las exigencias o requerimientos que solicitará el auditor encargado de emitir el certificado.A día de hoy, la ISO 27001 es una norma de referencia en seguridad de la información a nivel mundial. Por ello, multitud de organizaciones ya han comenzado a prepararse para poder certificarse en la norma.

Revisión de la documentación

En primer lugar, el auditor desarrollará la primera fase de la auditoria, la “Revisión de la documentación”. Para esta fase el auditor requerirá información relativa al Sistema de Gestión de Seguridad de la Información. Entre esta documentación se encuentra:

• Alcance de un SGSI
• Política
• Objetivos
• Descripción de la metodología de evaluación de riesgos
• Informe acerca de la evaluación de los riesgos
• Declaración de aplicabilidad
• Plan de tratamiento del riesgo
• Procedimientos para el control de documentos
• Medidas correctivas y preventiva
• Auditoría interna

Junto con estos documentos deben de presentarse otra serie de controles del Anexo A. Dichos controles solo son aplicables en la declaración de aplicabilidad:

• Inventario de activos
• Uso aceptable de activos
• Tareas y responsabilidades de los trabajadores, contratistas y terceros
• Términos generales de empleo
• Procedimientos para el funcionamiento de las instalaciones de procesamiento de información
• Política de control de acceso
• Identificación de la legislación
• Registro de la auditoría interna y revisión por la alta dirección

Si faltase alguno de los elementos mencionados anteriormente, la empresa no estaría preparada para pasar a la siguiente fase. Está permitido el uso de otros documentos pero siempre y cuando se garantice el cumplimiento de los que hemos enumerado.

#ISO27001 es una norma de referencia en seguridad de la información a nivel mundial
Click To Tweet

Auditoría principal

En segundo lugar, el auditor llevará a cabo la segunda fase “Auditoria principal”. Esta se realiza después de unas semanas tras haber acabado la Fase 1. El enfoque principal de esta auditoría es el de examinar la organización en sí. De esta manera se comprobará que lleva a cabo los documentos siguiendo las pautas de la norma ISO 27001.

Dicho de otra manera, el auditor debe comprobar si el Sistema de Gestión de Seguridad de la Información se ha materializado correctamente en la organización. Esto debe llevarse a cabo a través de la observación y de entrevistas con los empleados, controlado por los registros. Entre dichos registros de carácter obligatorio deben de incluirse aquellos que corresponden a:

• Formación
• Capacitación
• Habilidades
• Experiencia
• Calificaciones

Si el auditor encuentra algún incumplimiento grave es muy probable que no emita la certificación de la norma ISO 27001.

Si se da esta situación, el proceso que se lleva a cabo es el siguiente:

• El auditor informa de los resultados en el informe de auditoría.
• Se habilita un plazo para solucionar el incumplimiento.
• La organización debe llevar a cabo las medidas correctivas correspondientes para solucionar el origen del incumplimiento.
• Cuando se garantice la aplicación de las medidas correctas se debe notificar el auditor con la evidencia de lo que se ha llevado a cabo.

En la mayor parte de los casos, si se ha llevado a cabo un trabajo de manera inteligente, el auditor debe aceptar la medida correctiva y activar el proceso de emisión del certificado.

Software ISO 27001

La herramienta ofrecida por el Software ISOTools Excellence para la norma ISO 27001 con el objetivo de implementar en la organización el Sistema de Gestión de Seguridad de la Información, está capacitada para responder a numerosos controles para el tratamiento de la información gracias a las aplicaciones que contiene y que son totalmente configurables según los requerimientos de cada organización.

La entrada Norma ISO 27001: Alcance de un SGSI se publicó primero en ISOTools Perú.

ISO 27001

En ocasiones, las organizaciones han llegado a contratar a hackers informáticos para comprobar los posibles agujeros de seguridad que tienen. Ante esto, el porcentaje de éxito de encontrar algún tipo de error es del 100%. Para intentar evitar esta situación podemos ayudarnos de la norma ISO 27001.

Gracias a la ISO 27001 minimizamos o eliminamos la posibilidad de penetrar en el entorno de Tecnologías de la Información. Cuando se conoce cada una de las vulnerabilidades ante los posible ataques informáticos, se encuentra más protegido.

Análisis de la vulnerabilidad vs. pruebas de penetración

Cuando se lleva a cabo un análisis de vulnerabilidad en el sistema de información, pueden identificarse las vulnerabilidades técnicas relacionadas. Para ello, es necesario llevar a cabo una prueba de penetración.

Podemos suponer que se cuenta con un sistema vulnerable a la Inyección de SQL verificando de esta manera la vulnerabilidad del sistema. A continuación, pueden llevarse a cabo las pruebas de penetración, así como explorar la vulnerabilidad. Como consecuencia, puede accederse al sistema vulnerable y tener acceso o llegar a modificar información confidencial de la empresa.

En base al apartado A.12.6.1 del Anexo A de la ISO 27001 se puede conocer cómo impedir la explotación de las vulnerabilidades técnicas. En cuanto a la prevención de la explotación de la vulnerabilidad del sistema debemos preguntarnos qué se necesita para realizar las pruebas de penetración.

Por ello, si queremos cumplir con la ISO 27001 podemos llevar a cabo un análisis de vulnerabilidad, a pesar de que las pruebas de penetración sean una buena práctica. Esto es muy aconsejable si se desea conocer el grado de vulnerabilidad de los sistemas.

Fases de la prueba de penetración

Si decidimos llevar a cabo las pruebas de penetración con el objetivo de mejorar la implantación de la ISO 27001, encontraremos distintas organizaciones del sector de servicios públicos y plataformas de las que servirnos para automatizar dichas tareas. No obstante, se aconseja seguir los pasos que se indican a continuación:

• Planificar. Elaborar la planificación de las actividades, así como la identificación de los sistemas y los objetivos de información involucrada. El mejor momento es durante la ejecución de las actividades y la planificación de las reuniones con las partes involucradas. Es significativa la elaboración de un acuerdo entre la organización y la persona que lleva a cabo la penetración.
• Recopilar información. Se debe concentrar la mayor cantidad de información posible. Dos metodologías para llevar a cabo esta prueba son OSINT e ingeniería social.

#ISO27001: Es esencial llevar a cabo un análisis de vulnerabilidad en el sistema de información
Click To Tweet

• Modelado de amenazas. Encontramos una gran cantidad de información acerca de los objetivos de la organización. Esta aparece en el momento de desarrollar la estrategia necesaria para atacar a los sistemas del cliente.
• Análisis de vulnerabilidades. Debemos de buscar todas las vulnerabilidades posibles. Por lo tanto deben identificarse cada una de las vulnerabilidades relacionadas con los objetivos de la organización.
• Explotación. Se realiza una explotación de medios. Esto se lleva a cabo para explotar una vulnerabilidad determinada y obtener de esta manera el control del sistema vulnerable.
• Post-explotación. En el momento que hayamos obtenido el control del sistema, se puede acceder y descargar o transferir la información confidencial sobre clientes.
• Informes. Debemos elaborar un informe con los resultados. Es recomendable llevar a cabo en dos partes diferenciadas. Por un lado un resumen técnico y, por otro, un resumen ejecutivo.

Definición de las pruebas de penetración

Otro de los aspectos relevantes es la forma de definición del tipo de pruebas de penetración. Principalmente encontramos dos tipos fundamentales:

• Caja negra. No se tiene información acerca de la organización.
• Caja blanca. La organización ofrece información, así como acceso a los sistemas y a los recursos internos.

Existe otra opción que es una combinación de la caja negra y la caja blanca, conocida como caja gris. En esta opción la organización aporta un poco de información sobre sus sistemas.

No se debe esperar a llevar a cabo un análisis de vulnerabilidad para ser conscientes del problema. Es mucho más recomendable realizar una prueba de penetración. A través de la ISO 27001 podemos llevar a cabo análisis de vulnerabilidad y pruebas de penetración en la organización. Como consecuencia, la alta dirección estará mucho más tranquila.

Software ISO 27001

Para garantizar la automatización, gestión y control de un Sistema de Gestión de Seguridad de la Información de manera eficaz, podemos ayudarnos con el Software ISOTools Excellence. Soluciona de forma completa los requisitos de la norma ISO 27001. Además, ofrece al cliente la herramienta imprescindible para obtener una mejora continua en su gestión de procesos, con el consiguiente aumento de sus beneficios a corto plazo.

La entrada ISO 27001: ¿Qué grado de vulnerabilidad tiene tu sistema? se publicó primero en ISOTools Perú.

ISO 27001

La seguridad es un aspecto que todas las empresas desean tener, pero que ninguna quiere tener que utilizar. Este punto de vistas puede conllevar muchos problemas. Para lograr la seguridad deseada podemos hacer uso de la norma ISO 27001.

A no ser que el objetivo del sistema tenga algún tipo de relación con la seguridad, los usuarios no suelen prestar atención de cómo se encaja la seguridad en un producto. Ni tampoco de cómo se comprueba para asegurar que el funcionamiento es correcto cuando se vaya a necesitar.

A continuación vamos a analizar la manera en la que ayuda la ISO 27001. Así como también la implementación de un Sistema de Gestión de Seguridad de la Información. Para ello, se debe considerar la especificación de los requisitos junto con la preparación de los procedimientos.

¿Qué es un requisito?

Cuando hablamos de requisito en la ISO 27001 estamos haciendo referencia a cualquier tipo de declaración que facilita la evaluación del resultado.

Con el objetivo de detallar los requisitos se requiere de un gran esfuerzo para poder definirlo y probarlo. En algunos casos se omite este esfuerzo con la intención de no aumentar costes. Lo cual conlleva una clara necesidad de información accesoria para cumplir o verificar la petición.

Especificar los requisitos de seguridad

En el apartado 14.1.1 de la ISO 27001 acerca del análisis de los requisitos de seguridad de la información y especificación se establece que los requisitos de protección de la información deben de ser incluidos en los requisitos para el Sistema de Gestión de Seguridad de la Información.

Podemos basarnos en un ejemplo para entender esto mejor. Por ejemplo, un requisito de protección que controla el acceso de información, de conformidad con el nivel de liquidación.

Para lograr buenas declaraciones de requisitos, la ISO 27001 recomienda:

Adoptar los métodos para identificar los requisitos

Las formas sistemáticas de identificación pueden prevenir algunos aspectos de ser olvidados o pasados por alto.

Resultados de las opiniones de las partes interesadas

Las personas que mejor pueden evaluar los requisitos son los que realmente usan el producto. Se debe escoger a distintas personas que desempeñen diferentes roles en la organización.

Evaluar los requisitos en base al valor de la información para el negocio

Una seguridad correcta refleja el valor de la información para el negocio. Los requisitos deben de priorizarse en relación con los propósitos de negocio que se pretenden proteger.

Un requisito en #ISO27001 es cualquier declaración que hace posible la evaluación del resultado
Click To Tweet

La integración de los requisitos de gestión en las primeras etapas de un proyecto

El tiempo apremia, y cuanto antes se considere el aspecto de la seguridad, más oportunidades encontraremos de tratar las situaciones de riesgo. Se piensa en las políticas y el propio proceso de desarrollo del proyecto.

Definir los criterios para lograr la aceptación del producto

Debemos conseguir demostrar que todo aquello que se ha propuesto para el sistema se puede alcanzar. Así como que todos aquellos procedimientos previamente establecidos se han seguido correctamente. Una de las recomendaciones principales es proporcionada por el control en la norma ISO 27001. Dicha recomendación dice que debemos definir cada uno de los parámetros de manera clara y que se deben alcanzar los resultados.

Otras recomendaciones

Otros aspectos recogidos en la norma ISO 27001 recomendados, pero no menos importantes, son:

• Establecer ciertas condiciones que requieran la puesta en marcha de una prueba. Los nuevos sistemas ya tienen dicha condición. No obstante debemos tener en cuenta los sistemas actualizados, las nuevas versiones y los componentes. Pues las nuevas funcionalidades pueden traer riesgos para el SGSI o para el medio ambiente.
• Establecer rutinas para el desarrollo de las pruebas sistemáticas. Debemos determinar una rutina de actividades a desarrollar en relación a las entradas y a las salidas. De esta manera podremos garantizar la repetición de la prueba en caso de tener lugar algún tipo de error.
• Usar distintos niveles de pruebas. Las primeras pruebas que se llevan a cabo deben realizarse por el equipo de desarrollo. De esta forma se puede comprobar que los requisitos de funcionamiento son básico. Así como también se pueden corregir rápidamente los errores de código más simples. Para determinar la garantía de seguridad se deben llevar a cabo pruebas independientes.
• Entorno realista para el ensayo. Debe llevarse a cabo de la mejor manera posible para la identificación de las distintas vulnerabilidades y la fiabilidad de la prueba. Este aspecto puede llegar a ser crítico cuando la prueba conlleva el uso de la base de datos. Pues los datos reales de las pruebas pueden suponer riesgos por sí mismos. Y estos riesgos no tiene por qué estar relacionados con el producto.

Software ISO 27001

El Software ISOTools Excellence para la norma ISO 27001 en la cual se basa la Seguridad de la Información, se encuentra compuesto por diferentes aplicaciones que, al unirlas, trabajan para que la información que manejan las organizaciones no pierda ninguna de sus propiedades principales: disponibilidad, integridad y confidencialidad.

La entrada ISO 27001: Requisitos de seguridad se publicó primero en ISOTools Perú.

ISO 27001

La principal razón que motiva a los ejecutivos de una organización son las ganancias. Para llevar a cabo la implementación de un Sistema de Gestión de Seguridad de la Información basado en la ISO 27001 debe conocerse cómo el proyecto puede aumentar la rentabilidad de la empresa.

La implantación del Sistema de Gestión de Seguridad de la Información puede ofrecer un impacto positivo financiero en la empresa.

¿Cómo se relaciona la seguridad de la información con los beneficios?

El beneficio se puede obtener de dos maneras:

• Por el incremento de los ingresos
• Por la reducción de costos

Numerosas empresas acuden a la certificación de la ISO 27001 puesto necesitan obtener el certificado. El objetivo es lograr nuevos clientes a través de licitaciones o convencerlos de que sus datos se encuentran totalmente protegidos. Partiendo desde esta base, muchas empresas creen necesitar la implementar de un Sistema de Gestión de Seguridad de la Información basado en ISO 27001 para llegar a nuevos clientes o para mantener los que ya tienen.

A continuación vamos a examinar ambas cosas desde la perspectiva de la norma ISO 27001.

Como bien conocemos, cada nuevo cliente genera más ingresos adicionales. La cuestión sería si el aporte económico que proporciona un nuevo cliente es superior a la inversión en ISO 27001. La filosofía de la norma ISO 27001 es preventiva. Es decir, persigue la idea principal de evitar que ocurran incidentes. O si llegan a suceder se debe minimizar el impacto al mínimo nivel.

Esto significa que los costos que se generan después de que se produzca un incidente no deben suceder en absoluto. O al menos, en una cantidad muy inferior a la anterior. Por ello, podemos afirmar que el ahorro es más grande que la inversión en la norma ISO 27001.

Esto no significa que una empresa pueda permitirse invertir una gran parte de su capital en seguridad de la información. Pues debe asegurarse de que mantener la certificación en ISO 27001 supone un costo. Y en el caso de no mantenerse dicha certificación, la inversión habrá sido en vano.

La gestión de riesgos

Cuando hacemos referencia a la filosofía preventiva de la ISO 27001, en realidad estamos hablando de la gestión del riesgo. Dicha gestión de riesgo se utiliza para evitar que sucedan incidentes. En primer lugar debemos conocer qué cosas malas pueden suceder llevando a cabo la evaluación de riesgos. En el momento que se tenga una lista de posibles incidentes se puede comenzar a pensar en cómo mitigarlos. Para conseguirlo utilizaremos el Sistema de Gestión de Seguridad de la Información basado en la norma ISO 27001. Pues ésta trata los riesgos a través de distintas medidas de seguridad de la información.

#ISO27001: El impacto positivo de un Sistema de Gestión de Seguridad de la Información
Click To Tweet

El concepto de gestión de riesgos apareció en las empresas hace muchísimo tiempo. Los altos cargos de todo el mundo aseguran sus edificios, vehículos y otros activos de elevado valor contra cualquier posible amenaza que pudiese llegar a afectarles. Además, es recomendable diversificar los productos y los mercados. De esta forma se reduciría el riesgo a depender de un solo producto o mercado único.

En las empresas de pequeño tamaño la gestión de riesgos es informal, es decir, es algo más banal. Mientras que en las grandes empresas, la gestión de riesgos es mucho más explícita y formal. Pero los gerentes de las empresas utilizan el término gestión de riesgos sin llegar a comprenderlo del todo.

Es cierto que los altos cargos normalmente no ven la seguridad de la información con la perspectiva de gestión de los riesgos. Además, si desean tener éxito deben hablar con cada uno de los empleados, para así conocer qué necesitan para garantizar la seguridad de la información. Esta es otra posible forma de gestionar los riesgos de la empresa. Es una cuestión muy novedosa presentar un proyecto de seguridad, aunque también resulta muy eficaz en lugar de utilizar firewalls y sitios de recuperación de desastres.

Ahora que conocemos un poco más las posibilidades acerca de la ISO 27001 podemos plantearnos la cuestión sobre qué hacer. Es muy recomendable seguir los siguientes pasos:

• Definir el potencial de los beneficios de la empresa que se pueden alcanzar a través de la implantación de la norma ISO 27001.
• Tratar de calcular el beneficio obtenido por los beneficios.
• Calcular la inversión total necesaria para implementar el Sistema de Gestión de Seguridad de la Información según la norma ISO 27001.
• Presentar el caso a los altos cargos de la empresa.

Software ISO 27001

El Software ISOTools Excellence para la norma ISO 27001 en la cual se basa la Seguridad de la Información, se encuentra compuesto por diferentes aplicaciones que, al unirlas, trabajan para que la información que manejan las organizaciones no pierda ninguna de sus propiedades principales: disponibilidad, integridad y confidencialidad.

La entrada ISO 27001: Como hacer rentable tu inversión se publicó primero en ISOTools Perú.