Cuando hablamos de Seguridad de la Información, la entendemos como el proceso que nos ayuda a prevenir, gestionar y superar riesgos, con el objetivo de minimizar daños y permitir la continuidad de los servicios que presta una organización.
A la hora de implementar un Sistema de Seguridad de la Información, el modelo de gestión aplicado se basa en el ciclo de Deming: Planear, Hacer, Comprobar y Actuar (PDCA por sus siglas en inglés), aplicándolo sobre cada uno de los objetivos que comprenden las distintas Políticas de Seguridad.
Vamos a ver cómo se gestionan en cada una de las fases del ciclo.
- Planear:
En primer lugar, se deberán confeccionar los planes de seguridad prescritos por la normativa vigente que afecte a la organización. En el caso de Infraestructuras Críticas (IICC) se deberá prestar especial atención dados los más exigentes requerimientos que deben cumplir.
Se realizarán análisis de riesgos (tanto físicos como cibernéticos) con los que evaluar las amenazas y vulnerabilidades y determinar las contramedidas necesarias para mitigar o corregir los riesgos detectados.
El Comité de Seguridad Integral realizará la planificación necesaria en materia de seguridad. Los jefes y directores de cada Departamento o División pertenecientes a este Comité y que tengan atribuidas alguna función en materia de seguridad, expondrán sus necesidades al respecto para añadirlas a la planificación general si se estima procedente.
La planificación en materias de ciberseguridad se realizará teniendo como base las indicaciones tanto del departamento de informática como las políticas de ciberseguridad existentes y el Esquema Nacional de Seguridad.
- Hacer:
En esta fase se implementarán las medidas correctoras necesarias para corregir las vulnerabilidades determinadas en la fase anterior, ponderándolas según su urgencia y criticidad.
Además deberán establecerse los controles necesarios para poder realizar el seguimiento de la eficacia de dichas contramedidas implementadas.
Finalmente, deberían establecerán los procesos adecuados que garanticen una gestión eficaz de las actuaciones a realizar ante una posible materialización de cualquier amenaza.
- Comprobar:
Una vez completada la fase anterior, se procederá a evaluar el eficaz funcionamiento de los sistemas de seguridad instalados. Esta evaluación deberá hacerse de forma periódica en forma de auditorías, tanto internas como externas.
Es recomendable, además, realizar ejercicios para comprobar la eficacia y el nivel de implantación de la Políticas de Seguridad y los procedimientos establecidos.
- Actuar:
En esta última fase, se revisarán y actualizarán las Políticas de Seguridad, así como los procedimientos, en función de los resultados obtenidos en las evaluaciones y ejercicios, abordando las acciones correctivas que sean necesarias.
Cuando las circunstancias así lo aconsejen, ya sea por motivos económicos, de índole operativa, contractual o cualquier otra, se realizará la transferencia de riesgos que se estime necesaria para adaptarlos a ese nuevo escenario.
Políticas de Seguridad en ISO27001
Las políticas de seguridad son preceptos que debe cumplir todo el personal de una compañía, de manera que se asegure su:
- Integridad, garantizando que la información y sus métodos de proceso son exactos y completos
- Disponibilidad, garantizando que los usuarios autorizados tengan acceso a información y a sus activos asociados cuando lo requieran
- Privacidad, garantizando que solamente los usuarios autorizados acceden a la información que precisan dentro de su ámbito de trabajo.
A grandes rasgos podemos distinguir entre dos tipos de políticas de Seguridad:
- Las que nos indican que no debemos hacer
- Las que nos indican lo que tenemos que hacer siempre
Es importante que todas las Políticas de Seguridad definidas estén alineadas con los objetivos del negocio de la organización y acordes con la estrategia de seguridad de la organización.
Para finalizar, repasaremos algunas de las Políticas de Seguridad a las que deben prestarse especial atención dentro de la ISO 27001.
-
Clasificación de la información
La información es uno de los activos principales de cualquier compañía y debe ser protegida correctamente.
Se deberá realizar un inventario de todos los activos de información (tanto físicos como lógicos) y clasificarlo en función del impacto de su pérdida, difusión, destrucción, alteración o acceso no autorizado. Teniendo en cuenta su ciclo de vida en función de la vida útil del soporte y de la vigencia de su contenido. Una vez realizado sabremos las medidas de seguridad que debemos aplicar a cada activo.
Es importante, realizar periódicamente auditorias de seguridad de forma que se certifique que se aplican los tratamientos que hemos estipulado anteriormente.
-
Continuidad de negocio
Todas las empresas deberían diseñar y probar un plan de continuidad de negocio que les permita, en caso de materializarse un incidente, recuperar en un periodo de tiempo razonable la operativa de la compañía y garantizar la continuidad de negocio.
Para ello, se decidirá cuales son los activos para los que queremos garantizar esa continuidad, basándonos en la clasificación de activos críticos de la información.
Se realizará un Business Impact Analysis, BIA, para calcular el riesgo al que estamos sometidos y se definirá una estrategia de continuidad.
Deberá tenerse en cuenta qué personas se harán cargo de la situación en caso de desastre y a quien corresponde su notificación.
Como en otras Políticas, periódicamente se evaluarán los procedimientos y controles que la componen, y se revisará para mantenerla constantemente actualizada.
-
Uso aceptable de los activos/equipos
Todos los activos de información de la organización deberán estar claramente identificados, confeccionando un inventario en el que se identifique el propietario a los que son asignados.
Además, se clasificarán en función de la sensibilidad y criticidad de la información que contienen con el objetivo de señalar como debe ser tratada y protegida.
En caso de finalización de contrato del usuario/propietario se deberá proceder a la devolución de los activos que estén en su posesión o bajo su responsabilidad.
-
Gestión documental
La información confidencial es aquella información a proteger, independientemente del soporte en el que se encuentre. Su divulgación supone un impacto para cualquier compañía, por lo que se su protección debe ser prioritaria.
El objeto de esta política es establecer la metodología para la elaboración, etiquetado, manejo y control de toda documentación corporativa.
-
Copias de seguridad
Su objeto es plasmar los procedimientos establecidos para la obtención de copias de respaldo, así como el almacenamiento y recuperación de estas, entendiendo que las copias de datos que se realicen han de tener, como mínimo, las mismas medidas de seguridad que los datos originales.
La compañía promoverá las acciones necesarias para salvaguardar la información en todas las dimensiones de la seguridad de la información
-
Gestión de accesos
Establece las medidas necesarias para garantizar el acceso físico y lógico de usuarios autorizados y prevenir accesos no autorizados a los sistemas de información, a las instalaciones donde estos se encuentran y a los espacios críticos o de acceso restringido en general.
-
Gestión de vulnerabilidades (vulnerabilidades, parches e incidentes)
Es un proceso continuo que incluye la detección proactiva de activos, la monitorización continua, la mitigación, la corrección y las tácticas de defensa que se necesitan para proteger la superficie de ataque de TI de una organización frente a la exposición cibernética.
De mismo modo, sirve para la identificación y gestión de parches e incidentes de seguridad, asegurando un enfoque coherente y eficaz dentro de la compañía y de los clientes.
Somos una compañía especializada en Seguridad, Ciberseguridad e Inteligencia empresarial, que mediante los últimos avances tecnológicos, garantizamos la seguridad y confianza que nuestros clientes necesitan.