Controles de la Norma ISO 27001

por | May 2, 2021 | Controles ISO 27001

Los Controles de la Norma ISO 27001 forman parte del Anexo A y es esencial su implementación con el fin de Proteger la Información. 

Durante la Pandemia COVID-19 vivimos tiempos donde se debe poner especial foco y ejecutar un análisis riguroso sobre las amenazas globales a nuestra infraestructura TIC y por supuesto a nuestra Información en ella contenida.

Te permitirán tomar decisiones “informadas” que es el valor principal a establecer un Sistema de Gestión de la Seguridad de la Información SGSI.  

Debido a que la información está en riesgo continuo de ser alterada, robada o expuesta, sea por factores naturales, errores humanos o actos deliberados y, por lo tanto, de quedar fuera de operación, implementar estos  controles ISO 27001 es muy importante.

No implementarlas puede resultar en desastrosas consecuencias para el negocio, su competitividad, reputación e incluso, su supervivencia.

En esta serie de artículos relativos al Anexo A y a los controles de la Norma ISO 27001 no detallaremos a profundidad los aspectos relativos a la documentación, definición, auditoría para certificación y certificación propiamente dicha de la norma ISO 27001, pues esto es motivo de otro análisis.

La Norma ISO 27001 en su Anexo A contiene 14 Dominios y 114 Controles

En lo que nos enfocaremos es en la relación de cada control de seguridad de la Norma ISO 27001 con la TIC (Tecnologías de Información y Comunicaciones), por lo que iniciaremos diciendo que esta norma ISO 27001, en adición a la parte administrativa de políticas, marcos de referencia y metodología, contiene un anexo A, el cual está diseñado como guía para entender los diferentes dominios requeridos a ser cubiertos en la implementación funcional segura de la TIC.

Cabe destacar que este anexo, contiene los llamados Controles de Seguridad, también llamados dominios, son 14, mismos que van del A5 al A18 y dentro de ellos 114 controles cuyo objetivo es crear un Sistema de Gestión para la Seguridad la información SGSI.

Controles de Seguridad Norma ISO 27001

En la siguiente tabla podrás visualizar los 14 controles de la Norma. Da clic en cada control para mayor detalle.

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN

Objetivo: En primer lugar, Brindar orientación y soporte, por parte de la dirección, para la seguridad de la información de acuerdo con los requisitos del negocio y con las leyes y reglamentos pertinentes

ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

Objetivo: En segundo lugar, Establecer un marco de referencia de gestión para iniciar y controlar la implementación y operación de la seguridad de la información dentro de la organización.

SEGURIDAD DE LOS RECURSOS HUMANOS

Objetivo: Igualmente, Asegurar que los empleados y contratistas comprenden sus responsabilidades y son idóneos en los roles para los que se consideran.

GESTIÓN DE ACTIVOS

Objetivo: Identificar los activos organizacionales y definir las responsabilidades de protección adecuadas. por esa esa razón, al identificar los activos, conoceremos los riesgos y vulnerabilidades 

CONTROL DE ACCESO

Objetivo: Limitar el acceso a información y a instalaciones de procesamiento de información, seguidamente de Asegurar el acceso de los usuarios autorizados y evitar el acceso no autorizado a sistemas y servicios. de igual forma, Hacer que los usuarios rindan cuentas por la salvaguarda de su información de autenticación.

CRIPTOGRAFÍA

Objetivo: Asegurar el uso apropiado y eficaz de la criptografía para proteger la confidencialidad, autenticidad y/o la integridad de la información

SEGURIDAD FÍSICA Y DEL ENTORNO

Objetivo: Prevenir el acceso físico no autorizado, el daño e la interferencia a la información y a las instalaciones de procesamiento de información de la organización, como resultado Prevenir la perdida, daño, robo o compromiso de activos, y la interrupción de las operaciones de la organización.

SEGURIDAD DE LAS OPERACIONES

Objetivo: Asegurar las operaciones correctas y seguras de las instalaciones de procesamiento de información, Así como, Asegurarse de que la información y las instalaciones de procesamiento de información estén protegidas contra códigos maliciosos, Proteger contra la perdida de datos, de esta forma Asegurarse de la integridad de los sistemas operacionales y como resultado Prevenir el aprovechamiento de las vulnerabilidades técnicas

SEGURIDAD DE LAS COMUNICACIONES

Objetivo: Asegurar la protección de la información en las redes, y sus instalaciones de procesamiento de información de soporte, Asimismo, Mantener la seguridad de la información transferida dentro de una organización y con cualquier entidad externa.

ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS

Objetivo: Asegurar que la seguridad de la información sea una parte integral de los sistemas de información durante todo el ciclo de vida. Esto incluye también los requisitos para sistemas de información que prestan servicios sobre redes.

RELACIONES CON LOS PROVEEDORES

Objetivo: Asegurar la protección de los activos de la organización que sean accesibles a los proveedores.

GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN

Objetivo: Asegurar un enfoque coherente y eficaz para la gestión de incidentes de seguridad de la información, incluida la comunicación sobre eventos de seguridad y debilidades.

ASPECTOS DE SEGURIDAD DE LA INFORMACIÓN DE LA GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO

Objetivo: La continuidad de seguridad de la información se debe incluir en los sistemas de gestión de la continuidad de negocio de la organización, De igual forma, Asegurar la disponibilidad de instalaciones de procesamiento de información.

CUMPLIMIENTO

Objetivo: Finalmente, Evitar el incumplimiento de las obligaciones legales, estatutarias, de reglamentación o contractuales relacionadas con seguridad de la información y de cualquier requisito de seguridad, Por consiguiente, Asegurar que la seguridad de la información se implemente y opere de acuerdo con las políticas y procedimientos organizacionales.

Los 3 elementos básicos TIC relacionados con los Controles ISO 27001 y la Seguridad de la Información son:

  • Procesos
  • Personas
  • Tecnología y Uso

¿Dónde Aplican los Controles ISO 27001?

Desde un punto de vista práctico, los 14 Dominios y 114 Controles son obligatorios en la medida que hagan sentido a la empresa en términos de aplicabilidad y estén orientados a proteger la Seguridad de la Información empresarial. 

Todas las empresas de cualquier tamaño son vulnerables a la pérdida de información, esto puede tener como consecuencia perder dinero, negocios, reputación, clientes que ya no confían en la marca y en caso extremo el cierre de la empresa.

Ejemplos de Controles ISO 27001

Control A7. Medidas de Seguridad requeridas para casos en que personas abandonen la organización o cambien de puesto de trabajo. Se incluye en este control la Gestión para los dispositivos móviles MDM.

Control A8. Medidas de seguridad aplicadas para uso de la información ya catalogada en modo jerárquico o clasificado.

Control A9. Medidas de seguridad para el control de acceso a equipos y aplicaciones.

Control A10. Aquellas tecnologías como el cifrado en Microsoft Cloud  que eviten que la información sea vulneradas por intrusos.

Control A11. Medidas para tener un entorno seguro y un acceso autorizado para los diferentes elementos TIC.

Control A16. Implementación de modelos y sistemas de seguridad para gestión de incidentes (ITIL…)

Control A17. Elementos necesarios para un seguro y adecuado esquema de respaldo y recuperación.

Los anteriores ejemplos, son sólo un subconjunto de las especificaciones que la norma contiene y que, de implementarse apropiadamente, nos permitirán cumplir, entre otros, los siguientes objetivos:

  • Minimizar, a través de la implementación de estrategias específicas de seguridad, el efecto nocivo y los riesgos para casos de eventos naturales o intencionales que busquen dejar inoperativa la infraestructura TIC.
  • Contar con procesos, entrenamiento y métodos efectivos de comunicación que indiquen a nuestro personal las acciones que deben ser evitadas por su posible impacto a las operaciones.
  • Tener conocimiento de las tecnologías físicas y lógicas que deben ser implementadas como medidas preventivas para preservar y maximizar la seguridad de la información.

cómo Implementar en la empresa

La pregunta obvia en este entorno sería: ¿por dónde empiezo?

A manera de sugerencia, la respuesta sería: por aquellos controles que se enfocan en la implementación de las medidas de seguridad en áreas a las que más cotidianamente nos vemos expuestos. Recuerda, la finalidad es reducir Riesgos y Vulnerabilidades.

Nuevamente, como sugerencia y basados en nuestro actual entorno mundial, podríamos deducir lo siguiente:

En esta llamada “Nueva Realidad” las organizaciones empresariales, educativas y algunas gubernamentales, han adoptado el Teletrabajo o home Office y las tecnologías asociadas para el acceso interno a los sistemas informáticos.

 

TECNOLOGÍAS TIC ISO 27001

La forma más adecuada de acceder a los servidores de tu empresa es por medio de una VPN. Una VPN permitirá un enlace seguro encriptado de tu dispositivo a los servidores de tu organización. Controles A7 y A13 de la Norma.

Tecnologías como Microsoft Office 365 para empresas o Google Workspace, también conocido como G Suite nos permiten no sólo utilizar la ofimática o “paquetería de office” sino también colaborar con proveedores y clientes. Microsoft TEAMS, Zoom o Google Meet se encuentran catalogadas bajo la Norma ISO 27001, Controles A7, A8, A9 e incluso A10 (Encriptación). 

La disciplina de respaldo y recuperación es, en base a datos estadísticos, la que requiere de una atención inmediata, pues la pérdida de información es mucho más común de lo pensado y eso puede originar una verdadera catástrofe, al, bajo el esquema de carecer de información respaldada, vernos imposibilitados de recuperar la información vital para el reinicio de nuestra operación cotidiana. Controles A12 y A17 (Disaster Recovey Plan (DRP) y Business Continuity Plan (BCP) .

La práctica 3-2-1 en conjunto con tecnologías como Backup as a Service (BaaS) y Disaster Recovery as a Services (DRaaS) son el complemento ideal para recuperarse de una pérdida de información. 

0 comentarios
Enviar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Tecnologías TIC Relacionadas

En otros artículos profundizaremos en cada una de las sub-cláusulas o subíndices , ubicando tecnologías TIC y recomendaciones.  Sin embargo, podemos adelantar que debes de considerar ahora mismo:

Como última recomendación, pero no menos importante que la tecnología apropiada, es buscar a Consultores especialistas en Tecnologías de Información que te apoyarán a facilitar el camino y marcar la diferencia.

conclusiones

Debido a los miles de ataques informáticos o Ciberataques, el Foro Económico Mundial ha determinado que la Ciberseguridad es un elemento que debe ser mandatorio en todas las organizaciones. La Ciberdelincuencia un riesgo para la Humanidad de proporciones semejantes a la falta de agua, clima, economía y pandemias.

Implementar planes basados en la Norma ISO 27001, Anexo A, 14 dominios y 114 Controles para la Protección de la Seguridad es una estrategia obligada para aquellas empresas que quieren preservarse en el mercado en base a su agilidad, flexibilidad y resiliencia.

En futuras publicaciones, abordaremos detalles específicos de los diferentes controles de seguridad y tecnologías asociadas.

No dejes de revisar nuestros artículos y suscríbete para recibir ideas de cómo proteger la información de tu empresa.

Cuestionario ISO 27001 en línea sin costo
Cuestionario ISO 27001 en línea sin costo

Artículos relacionados ISO 27001

Caja Fuerte Antiransomware
Diagnóstica tu Organización en ISO27001 Aquí
Share This

Comparte

Con tus Colegas y Amigos