Los Controles de la Norma ISO 27001 forman parte del Anexo A y es esencial su implementación con el fin de Proteger la Información.
Durante la Pandemia COVID-19 vivimos tiempos donde se debe poner especial foco y ejecutar un análisis riguroso sobre las amenazas globales a nuestra infraestructura TIC y por supuesto a nuestra Información en ella contenida.
Te permitirán tomar decisiones “informadas” que es el valor principal a establecer un Sistema de Gestión de la Seguridad de la Información SGSI.
Debido a que la información está en riesgo continuo de ser alterada, robada o expuesta, sea por factores naturales, errores humanos o actos deliberados y, por lo tanto, de quedar fuera de operación, implementar estos controles ISO 27001 es muy importante.
No implementarlas puede resultar en desastrosas consecuencias para el negocio, su competitividad, reputación e incluso, su supervivencia.
En esta serie de artículos relativos al Anexo A y a los controles de la Norma ISO 27001 no detallaremos a profundidad los aspectos relativos a la documentación, definición, auditoría para certificación y certificación propiamente dicha de la norma ISO 27001, pues esto es motivo de otro análisis.
La Norma ISO 27001 en su Anexo A contiene 14 Dominios y 114 Controles
En lo que nos enfocaremos es en la relación de cada control de seguridad de la Norma ISO 27001 con la TIC (Tecnologías de Información y Comunicaciones), por lo que iniciaremos diciendo que esta norma ISO 27001, en adición a la parte administrativa de políticas, marcos de referencia y metodología, contiene un anexo A, el cual está diseñado como guía para entender los diferentes dominios requeridos a ser cubiertos en la implementación funcional segura de la TIC.
Cabe destacar que este anexo, contiene los llamados Controles de Seguridad, también llamados dominios, son 14, mismos que van del A5 al A18 y dentro de ellos 114 controles cuyo objetivo es crear un Sistema de Gestión para la Seguridad la información SGSI.
Controles de Seguridad Norma ISO 27001
En la siguiente tabla podrás visualizar los 14 controles de la Norma. Da clic en cada control para mayor detalle.
Objetivo: Buscan establecer la estructura de gobierno, políticas, procedimientos y responsabilidades de seguridad dentro de la organización, asegurando que el liderazgo y la gestión de riesgos estén integrados en la operación del negocio.
Se centran en proteger la información a través de las personas. Su objetivo es asegurar que los empleados, contratistas y usuarios comprendan sus responsabilidades y estén capacitados para proteger los activos de la información.
Tienen como fin prevenir el acceso no autorizado, el daño y la interferencia a los activos y las áreas de la organización. Esto incluye la protección de las instalaciones, equipos y medios de almacenamiento de la información.
Su objetivo es implementar medidas técnicas para proteger los sistemas de información y los datos que manejan. Estos controles garantizan la confidencialidad, integridad y disponibilidad a través de herramientas de software y hardware.
Los 3 elementos básicos TIC relacionados con los Controles ISO 27001 y la Seguridad de la Información son:
- Procesos
- Personas
- Tecnología y Uso
¿Dónde Aplican los Controles ISO 27001?
Desde un punto de vista práctico, los 14 Dominios y 114 Controles son obligatorios en la medida que hagan sentido a la empresa en términos de aplicabilidad y estén orientados a proteger la Seguridad de la Información empresarial.
Todas las empresas de cualquier tamaño son vulnerables a la pérdida de información, esto puede tener como consecuencia perder dinero, negocios, reputación, clientes que ya no confían en la marca y en caso extremo el cierre de la empresa.
Ejemplos de Controles ISO 27001
Control A7. Medidas de Seguridad requeridas para casos en que personas abandonen la organización o cambien de puesto de trabajo. Se incluye en este control la Gestión para los dispositivos móviles MDM.
Control A8. Medidas de seguridad aplicadas para uso de la información ya catalogada en modo jerárquico o clasificado.
Control A9. Medidas de seguridad para el control de acceso a equipos y aplicaciones.
Control A10. Aquellas tecnologías como el cifrado en Microsoft Cloud que eviten que la información sea vulneradas por intrusos.
Control A11. Medidas para tener un entorno seguro y un acceso autorizado para los diferentes elementos TIC.
Control A16. Implementación de modelos y sistemas de seguridad para gestión de incidentes (ITIL…)
Control A17. Elementos necesarios para un seguro y adecuado esquema de respaldo y recuperación.
Los anteriores ejemplos, son sólo un subconjunto de las especificaciones que la norma contiene y que, de implementarse apropiadamente, nos permitirán cumplir, entre otros, los siguientes objetivos:
- Minimizar, a través de la implementación de estrategias específicas de seguridad, el efecto nocivo y los riesgos para casos de eventos naturales o intencionales que busquen dejar inoperativa la infraestructura TIC.
- Contar con procesos, entrenamiento y métodos efectivos de comunicación que indiquen a nuestro personal las acciones que deben ser evitadas por su posible impacto a las operaciones.
- Tener conocimiento de las tecnologías físicas y lógicas que deben ser implementadas como medidas preventivas para preservar y maximizar la seguridad de la información.
cómo Implementar en la empresa
La pregunta obvia en este entorno sería: ¿por dónde empiezo?
A manera de sugerencia, la respuesta sería: por aquellos controles que se enfocan en la implementación de las medidas de seguridad en áreas a las que más cotidianamente nos vemos expuestos. Recuerda, la finalidad es reducir Riesgos y Vulnerabilidades.
Nuevamente, como sugerencia y basados en nuestro actual entorno mundial, podríamos deducir lo siguiente:
En esta llamada “Nueva Realidad” las organizaciones empresariales, educativas y algunas gubernamentales, han adoptado el Teletrabajo o home Office y las tecnologías asociadas para el acceso interno a los sistemas informáticos.
TECNOLOGÍAS TIC ISO 27001
La forma más adecuada de acceder a los servidores de tu empresa es por medio de una VPN. Una VPN permitirá un enlace seguro encriptado de tu dispositivo a los servidores de tu organización. Controles A7 y A13 de la Norma.
Tecnologías como Microsoft Office 365 para empresas o Google Workspace, también conocido como G Suite nos permiten no sólo utilizar la ofimática o “paquetería de office” sino también colaborar con proveedores y clientes. Microsoft TEAMS, Zoom o Google Meet se encuentran catalogadas bajo la Norma ISO 27001, Controles A7, A8, A9 e incluso A10 (Encriptación).
La disciplina de respaldo y recuperación es, en base a datos estadísticos, la que requiere de una atención inmediata, pues la pérdida de información es mucho más común de lo pensado y eso puede originar una verdadera catástrofe, al, bajo el esquema de carecer de información respaldada, vernos imposibilitados de recuperar la información vital para el reinicio de nuestra operación cotidiana. Controles A12 y A17 (Disaster Recovey Plan (DRP) y Business Continuity Plan (BCP) .
La práctica 3-2-1 en conjunto con tecnologías como Backup as a Service (BaaS) y Disaster Recovery as a Services (DRaaS) son el complemento ideal para recuperarse de una pérdida de información.
0 comentarios