Gestión de seguridad de la información
ISO/IEC 27001

Nuestro Sistema de Gestión de Seguridad de la Información, según la norma ISO/IEC 27001 es la solución de consultoría de gestión para las organizaciones que pretendan el desarrollo e implantación de sistemas de gestión de seguridad de la información, conforme a los nuevos requisitos de la Norma ISO/IEC 27001.

 

La información es el activo más importante de las organizaciones tanto gubernamentales como privadas. Por lo tanto, la base de la seguridad se centra en proteger a dicho activo. Un incidente de seguridad es cualquier evento que comprometa la confidencialidad, la disponibilidad o la integridad de la información.

 

En la actualidad, todas las actividades tienen una dependencia muy significativa, en el mejor de los casos, de los sistemas de información, de las redes de comunicaciones, de las infraestructuras tecnológicas para gestionar su información. es fácil hacerse una idea del reto que presenta evitar que sucedan cosas como:

  • Fallos en las comunicaciones.
  • Fallos en el suministro eléctrico. 
  • Fallos o ataques humanos de usuarios internos, usuarios externos, administradores, programadores, etc. 
  • Fallos en los sistemas de información: redes, aplicaciones, equipos, etc. 
  • Virus informáticos, gusanos, troyanos, etc. que inundan la red. 
  • Accesos no autorizados a los sistemas o la información. 
  • Incumplimiento de una ley o un reglamento.

Los fallos de seguridad son ocasionados muchas veces por la errónea percepción de que, si la seguridad física está razonablemente asegurada, no tiene por qué haber problemas. O que protegiendo únicamente las aplicaciones y las bases de datos ya está garantizada la seguridad. Con esos supuestos se dejan desprotegidas de información que pueden ser fácilmente dañados o destruidos, ya que no se han tenido en cuenta todos los aspectos de la seguridad de la información: la seguridad física, la seguridad lógica y las medidas organizativas.

Norma ISO/IEC 27001

La norma ISO/IEC 27001 especifica los requisitos para establecer, implantar, documentar y evaluar un Sistema de Gestión de la Seguridad de la Información de acuerdo a la Norma ISO/IEC 27002 dentro del contexto de los riesgos identificados por la Organización, basado en un modelo de buenas prácticas en la creación, documentación e implementación de la información. Esta norma tiene por objeto garantizar la selección de controles de seguridad adecuados y proporcionales.

 

Asimismo, está basada en un enfoque por procesos y en la mejora continua, por lo tanto, es perfectamente compatible e integrable con el resto de los sistemas de gestión que ya existan en la organización. Proteger la información requiere cubrir el ciclo de vida completo siguiendo las siguientes fases:

  1. Inventarios de activos de información: es preciso identificar toda la información que se maneja e inventariarlos registrando todos los datos necesarios para su gestión.
  2. Criterios de clasificación de la información: es necesario establecer una clasificación de la información disponible basada en criterios, tales como nivel de accesibilidad, confidencialidad, utilidad, funcionalidad, impacto, …
  3. Etiquetado de la información: cada activo identificado, en función de la clasificación que se haya determinado, debe etiquetarse para que, de este modo, se identifique el nivel de protección que precisa el activo.
  4. Medidas de seguridad disponibles: necesitamos conocer las medidas de seguridad que se aplican en la organización que puedan emplearse en la protección de la información. Medidas como pueda ser cifrado de información, sistemas de copias de seguridad, sistemas de control de accesos, … Esto nos dará una visión del esfuerzo que pueda suponer proteger nuestra información.
  5. Determinación de medidas de seguridad: en función de la clasificación establecida se debe construir una matriz que establezca las medidas de seguridad que se deben aplicar a cada nivel de dicha clasificación en cada una de las fases del ciclo de vida de la información.
  6. Implantación de medidas de seguridad: con la información identificada, clasificada y etiquetada, lo siguiente es implantar las medidas de seguridad que han determinado para cada activo de información.
  7. Seguimiento y control: para evitar brechas de seguridad, es preciso que realicemos seguimiento y auditorías de seguridad que verifique el estado y el cumplimiento de las medidas de seguridad implantadas.

Con esto conseguiremos implementar un sistema para el tratamiento de la información, proteger el “Know How” de nuestra organización y podremos usar el poder que nos da el conocimiento que genera la información que manejamos.

ISO/IEC 27002:2022
Una actualización de la seguridad de la información 

La ISO/IEC 27002:2022 se publicó el pasado 15 de febrero, y su nombre ha cambiado de “Tecnología de la información – Técnicas de seguridad – Código de prácticas para los controles de seguridad de la información” a “Seguridad de la información, ciberseguridad y protección de la privacidad – Controles de seguridad de la información”. Estos controles son los que incorpora la ISO/IEC:27001:2022.

El número de controles se ha rebajado desde los 114 repartidos en 14 cláusulas en la edición anterior de 2013, a 93 controles en la de 2022, categorizados en 4 temas que son: Controles organizativos, Controles asociados al factor humano, Controles físicos y controles tecnológicos. De estos 93 controles, 11 son nuevos comparados con la edición 2013, 24 surgen de la fusión de varios y 58 se han actualizado. Uno de los nuevos 11 controles tiene como objetivo reforzar la "Seguridad para la computación en la nube" con el nuevo control 5.23, además de otros diez controles nuevos, principalmente en la sección 8 (controles tecnológicos), los cuales son:

  • Inteligencia de amenazas (5.7): recopilar inteligencia relevante y procesable sobre las amenazas a la información, alimentándola en el proceso de gestión de riesgos de la información.
  • Preparación de las TIC para la continuidad del negocio (5.30): las organizaciones deben prepararse para manejar incidentes graves que afecten y/o involucren a sus procesos críticos. Una herramienta excelente para dar respuesta a esta necesidad la aporta la norma ISO 22301. 
  • Supervisión de seguridad física (7.4): instalar alarmas contra intrusos, circuito cerrado de televisión, guardias, etc. para locales comerciales. Este es un control tan básico y común que no se puede creer que faltara en edición anterior.
  • Gestión de la configuración (8.9): se refiere a la necesidad de gestionar la seguridad y otros detalles de configuración para hardware, software, servicios y redes.
  • Eliminación de información (8.10): este es otro control "obvio" que indica que los datos deben eliminarse cuando ya no sean necesarios para evitar una divulgación innecesaria y por razones de cumplimiento.
  • Enmascaramiento de datos (8.11): de acuerdo con la política de control de acceso de la organización, además de otros requisitos comerciales y obligaciones de cumplimiento, los controles de seguridad son apropiados para mitigar el riesgo de revelar información personal confidencial.
  • Prevención de fuga de datos (8.12): se requiere DLP para proteger la información confidencial contra la divulgación y extracción no autorizada de datos (robo, vigilancia, etc.).
  • Actividades de monitoreo (8.16): las "anomalías" en las redes, sistemas y aplicaciones de TI deben detectarse y responderse para mitigar los riesgos asociados.
  • Filtrado web (8.23): limitar el acceso a sitios web inapropiado o riesgoso es, aparentemente, un control de seguridad de la información lo suficientemente importante como para justificar su inclusión en la tercera edición.
  • Codificación segura (8.28): el software debe estar diseñado y programado de forma segura, reduciendo el número y la gravedad de las vulnerabilidades explotables que surgen de fallas de diseño y los errores de programación. Este control está casi completamente dirigido al principio de 'seguro por diseño'.

Minimización de riesgos
Se disminuye la posibilidad de sufrir un incidente que comprometa la información de la organización. Esto mediante la evaluación de riesgos que permite conocer las vulnerabilidades y a partir de allí, tomar las acciones correctivas para dar paso a la continuidad del negocio. 

Cumplimiento legal.
En total, se deben superar 93 controles de gestión, tecnológicos y legales. De esos controles, varios son de carácter legal, es decir, relativos al código penal, los datos personales, la propiedad intelectual, la firma electrónica o los servicios de la sociedad de información. Por tanto, la ISO/IEC 27001 es mucho más que una norma tecnológica.

Relacion con las partes interesadas
Mejore la percepción de su empresa por parte de las partes interesadas como su equipo, sus clientes, sus proveedores y colaboradores, la Administración, etc..

Facilita la continuidad de negocio
Mediante el correcto tratamiento de riesgos, la norma ISO 27001 permite una mejor gestión de continuidad del negocio al dar paso a la mitigación de amenazas que comprometan la seguridad de información o den paso a disponibilidad de la información a ciberatacantes.

Mejora la ciberseguridad
Algunos riesgos que se evitan o minimizan con la ISO 27001 son: obtención de datos privados del usuario o la organización, hackeo a sistemas y ataques financieros. Dicho de otra forma, promueve la ciberseguridad. 

Mayor Confianza y mejor imagen
El contar con esta certificación genera mayor confianza en clientes, proveedores y otras entidades. Además de proteger a la organización de ciberataques, al seguir los pasos de certificación, se demuestra que la misma es confiable, responsable y capaz. 

Nuestro servicio

Diseño e implantación

Elaboración y soporte en el desarrollo de todos los elementos y componentes necesarios, como el análisis de contexto, requisitos legales, análiis de riesgos, políticas, procesos, procedimientos, etc. y soporte en la implantación de estos, conforme a los criterios establecidos por la norma ISO/IEC 27001. 

Solución SIGE

Parametrización e incorporación de todos los elementos del sistema de gestión en nuestra solución SIGE, pilar fundamental de nuestro servicio, sin que esto suponga coste adicional alguno.

Formación

Formación y capacitación en gestión de seguridad de la información, conforme a la norma ISO/IEC 27001 y en el manejo y control de la herramienta SIGE. 

Auditoría y soporte

Nos encargaremos de realizar el proceso de auditoría interna de su sistema de gestión de cara a aobtener las evidencias que permitan que afronte el proceso de certificación por parte de la entidad que haya sido seleccionada y prestaremos soporte en la auditoría que dicha entidad realizará, requerida para la obtención de la certificación.

Necesitamos su consentimiento para cargar las traducciones

Utilizamos un servicio de terceros para traducir el contenido del sitio web que puede recopilar datos sobre su actividad. Por favor revise los detalles en la política de privacidad y acepte el servicio para ver las traducciones.