Control A12, Seguridad de las Operaciones, ISO 2700

por | May 18, 2021 | Controles ISO 27001, Gestión de la Seguridad, Implementando ISO 27001, Teletrabajo

Parte 2. Conociendo e implementando el Control de Seguridad de las Operaciones, bajo estándares y metodologías de la Norma ISO 27001. Control A12.

Administrar infraestructura TIC bajo modelos probados y aprobados internacionalmente conlleva grandes beneficios para las empresas que adoptan e implementan adecuadamente estas normas, tal es el caso de los estándares ISO y en particular de la Norma ISO 27001 relativa a Gestión de la Seguridad de la Información.

En estos tiempos de distanciamiento social por la Pandemia, nos encontramos realizamos Home office o Teletrabajo y por ello debemos de poner especial foco y análisis sobre las amenazas globales a nuestra infraestructura TIC, incluyendo la que utilizamos en casa y por supuesto a nuestra Información empresarial en ella contenida.

La protección de la Información debe de ser parte de una estrategia empresarial con el objetivo de minimizar el riesgo continuo de ser bloqueada o inhabilitada por factores y acciones naturales o humanas.

En caso de quedar fuera de operaciones provocará desastrosas consecuencias al negocio, pérdida de clientes, negocios y sobre todo la Reputación.

Ciberseguridad en tiempos de Pandemia COVID-19

Dado que hablamos de seguridad y nos referimos específicamente a la información, esta serie de artículos harán referencia a los Controles de Seguridad, Norma 27001.

Debido a la situación mundial actual en términos de Ciberseguridad, mencionaremos tres de ellos que deberían ser completa y correctamente implementados en el corto plazo, dado su alto impacto negativo a las operaciones y por lo común de su incidencia en ambientes TIC:

  • En la Primera parte, mencionaremos al Control A9 referido al Control de Acceso
  • El Control A12 Seguridad de las operaciones, ISO 27001 será motivo de este artículo.
  • Control A17 Aspectos de la seguridad para la gestión de la Continuidad del Negocio, Parte 3.

Si deseas conocer el grado de madurez en términos de la Seguridad de la Información, realiza un Cuestionario ISO 27001 en línea sin costo.

Descripción del Control A12 ISO 27001

Como ya definimos, y dada nuestra realidad y las tendencias informáticas de ciberseguridad para este año 2021, ahora nos referiremos al control A12, Seguridad de las operaciones ISO 27001.

Este control contiene tres apartados:

  1. Procedimientos y responsabilidades sobre las operaciones
  2. Protección contra software malicioso, malware y ciberataques.
  3. Copias de seguridad o Backups
  4. Seguridad de la Información.

Procedimientos y responsabilidades sobre la Seguridad de las operaciones

Podemos decir que una estrategia adecuada para implementar operaciones con foco en seguridad, basan su éxito en dos pilares:

  • Personal entrenado y calificado y
  • Uso correcto de las apropiadas herramientas de supervisión, monitoreo y análisis.

Ambos pilares, circunscritos a un marco referencial regido y normado por procesos y procedimientos que DEBEN ser utilizados para la consecución de los objetivos planteados.

Dichos objetivos alineados a los KPIs de la organización fortalecen nuestra estrategia de seguridad y son clave para la Protección de la Información.

Parece simple y de sentido común, pero el sólo hecho de utilizar adecuadamente una herramienta, digamos de análisis tráfico, requiere de todo un Plan Integrado de Implementación, y NO sólo de una instalación y puesta en operación, esto es:

“De ninguna manera se obtendrán los mismos resultados al seguir una ruta de instalar y operar, comparado con una que incluya planear, entrenar, implementar funcionalmente.

La cereza es supervisar con el método de mejora continua.

Hay una distancia enorme entre ambas rutas, pero desafortunadamente un gran porcentaje de las empresas optan por la primera con alta probabilidad de pagar consecuencias terribles al obviar etapas críticas que hacen vulnerable la infraestructura TIC.

Protección de la Información contra software malicioso y ciberataques

En la actualidad el Software malicioso o malware se ha convertido en una amenaza común y comprometedora de la seguridad TIC o Ciberseguridad.

Pero como tendencia muy humana, gran parte del mercado piensa “eso no me va a pasar a mi” y bajo este orden de pensamiento, inconscientemente se “edifica” una puerta muy grande a la posibilidad de ataques a través de diferentes tipos de software malicioso o malware.

Lo anterior da como resultando Riesgos y Vulnerabilidades debido a la falta de una adecuada estrategia de implementación de controles de seguridad específicos.

“Una Buena parte de los responsables de la información piensan: “Esto no me va a pasar a mi”

Cabe señalar que, para este apartado, se DEBE de considerar tanto la protección de los principales elementos y componentes de la infraestructura TIC, como la de TODOS los usuarios locales y/o remotos.

Igualmente considerar los dispositivos móviles, proveedores, socios internos y externos, etc.… esto es, debe existir software de protección ACTUALIZADO.

Ejemplos de lo anterior, son:

Segundo factor de autenticación o 2FA en todos los niveles a:

Usuarios que tengan potencial acceso a la información, al correo, a las aplicaciones centrales y a cualquier acervo contendido en los sistemas informáticos centrales.

Lo anterior es valido para organizaciones o empresas de cualquier tamaño.

No olvidemos que muchos directivos y colaboradores guardan su información de manera local en sus computadoras, esto es aún más riesgoso.

En resumen, deben existir elementos físicos y lógicos de protección en todas y cada una las capas de la infraestructura TIC.

Copias de Seguridad o Backups en la Norma ISO 27001

Las copias de seguridad es una disciplina que desafortunadamente o no se lleva a cabo, o se ejecuta de manera empírica e incompleta.

Un gran porcentaje, más del 50% de las empresas, NO tienen procesos formales ni personal entrenado ni elementos tecnológicos adecuados y actualizados (HW, SW…) para llevar a cabo de una manera formal los procesos de respaldo.

Si a lo anterior, apuntamos que el respaldo es la mitad del ciclo de un proceso metodológicamente estructurado, siendo el proceso de RECUPERACIÓN la otra mitad, encontramos que tampoco este último es evaluado ni mucho menos probado de manera PROGRAMADA.

El resultado es entonces en que los aspectos relacionados a las copias de seguridad son un talón de Aquiles en la mayoría de las organizaciones que tienen en uso TIC.

Lo anterior representa una seria vulnerabilidad “per se” ante cualquier contingencia.

Los riesgos y vulnerabilidades pueden ser naturales, de ambiente, intervención maliciosa o errores humanos. Si estos tienen éxito:

“Nuestra infraestructura TIC quedará inhabilitada”

NO mantener copias de seguridad ACTUALIZADAS, y el llevar a cabo periódicamente las respectivas pruebas de recuperación, nulifica toda posibilidad de implementar un proceso para retornar a operar bajo la premisa de recuperación de información y regreso de la operación.

La práctica 3-2-1 es fundamental para asegurar la integridad de la información.

Los servicios de Backup as a Service (BaaS) y Disaster Recovery as a Service (DRaaS) son fundamentales en la continuidad de la operación. 

Como hemos detallado, y ahora podemos deducir, este control de seguridad es muy importante (de hecho, todos lo son) para las empresas, y es un control que en el corto plazo debe ser implementado para disminuir los inminentes riesgos asociados, y, por ende, fortalecer la seguridad de la información.

Existen socios tecnológicos que con su experiencia en el campo pueden allanar y facilitar el camino para llevar a cabo implementaciones exitosas en los tres rubros aquí cubiertos. ¡A la acción!

0 comentarios
Enviar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Tecnologías TIC Relacionadas

En otros artículos profundizaremos en cada una de las sub-cláusulas o subíndices , ubicando tecnologías TIC y recomendaciones.  Sin embargo, podemos adelantar que debes de considerar ahora mismo:

Como última recomendación, pero no menos importante que la tecnología apropiada, es buscar a Consultores especialistas en Tecnologías de Información que te apoyarán a facilitar el camino y marcar la diferencia.

conclusiones

Debido a los miles de ataques informáticos o Ciberataques, el Foro Económico Mundial ha determinado que la Ciberseguridad es un elemento que debe ser mandatorio en todas las organizaciones. La Ciberdelincuencia un riesgo para la Humanidad de proporciones semejantes a la falta de agua, clima, economía y pandemias.

Implementar planes basados en la Norma ISO 27001, Anexo A, 14 dominios y 114 Controles para la Protección de la Seguridad es una estrategia obligada para aquellas empresas que quieren preservarse en el mercado en base a su agilidad, flexibilidad y resiliencia.

En futuras publicaciones, abordaremos detalles específicos de los diferentes controles de seguridad y tecnologías asociadas.

No dejes de revisar nuestros artículos y suscríbete para recibir ideas de cómo proteger la información de tu empresa.

Cuestionario ISO 27001 en línea sin costo
Cuestionario ISO 27001 en línea sin costo

Artículos relacionados ISO 27001

Share This

Comparte

Con tus Colegas y Amigos