Saltear al contenido principal
27001

ISO 27001: La importancia de controlar la instalación de software

27001

ISO 27001

Actualmente, cualquier empresa tiene la necesidad de contar con un  software para trabajar los sistemas operativos, las aplicaciones de oficina o las financieras, entre otras. Generalmente la instalación del software no se encuentra totalmente controlada, lo cual puede ocasionar riesgos.

La ISO 27001 puede facilitar a las empresas la implantación de un Sistema de Gestión de Seguridad de la Información. Además de estar basado en la propia norma, se apoya en el Anexo A.12.6.2.

La primera recomendación que podemos hacer es que la instalación del software solo sea llevada a cabo por personal autorizado. Generalmente, será personal de Tecnología de la Información. Esto se puede aplicar apoyándose en la política de seguridad de la información. Para verificarlos, la organización puede llevar a cabo controles de forma periódica analizando el software instalado en el cualquier ordenador.

 


Para las pymes, la mejor recomendación es la misma que acabamos de mencionar.
La instalación del software puede ser llevada a cabo por cada empleado, pero previamente a la instalación, una parte responsable deberá ser notificada. Dicha notificación debe registrarse en un inventario. Otra de las opciones es limitar los permisos a los usuarios a un mínimo. Esto no va a ser siempre posible porque existen determinados perfiles que requieren de permisos de administrador en el Sistema de Gestión de Seguridad de la Información. Dichos permisos tienen que ser cotejados cada cierto tiempo, pues hay trabajadores que pueden cambiar de área o departamento dentro de la propia organización. Esto supone que se deberán habilitar unos permisos y desactivar otros.

 

Reglas para instalar el software

Cuando se va a proceder a instalar un nuevo software, la principal recomendación es seguir siempre las mismas reglas. Estas normas pueden definirse en una política de seguridad con cierto grado de control en el que se incluye como contenido:

  • Los empleados no pueden descargar el software desde internet, o traer el software de casa sin autorización.
  • Cuando un empleado detecta la necesidad de utilizar un software en particular, debe requerir una solicitud al departamento TI. Dicha solicitud debe de almacenarse como un registro.
  • El departamento de TI debe determinar si la organización tiene licencia del programa solicitado.
  • En el caso de existir licencia, el departamento de TI notificará al empleado y procederá a instalar el software en el ordenador del usuario que lo ha requerido.
  • En el caso de no existir licencia, se debe evaluar si el programa solicitado es realmente necesario para el desempeño de las funciones del empleado. Se debe de analizar la viabilidad financiera de la compra del software así como el costo del mismo.
  • Si el software requiere una inversión, debe analizarse la posibilidad de una herramienta alternativa más económica.
  • La alta dirección debe participar en la decisión acerca de la adquisición del nuevo software.
  • Una vez que se ha tomado la decisión, en el departamento de TI procederá a incluir el software en su inventario e instalará el software.

Aplicaciones del repositorio y el inventario de software

Cuando se usa como base la metodología de gestión de riesgos, el software debe de ser considerado un activo en el inventario durante el proceso de evaluación de riesgos. Pues existen amenazas y vulnerabilidades en relación a los software.

Se recomienda que el departamento de TI establezca un repositorio para poder almacenar las distintas versiones corporativas y definitivas de las diferentes aplicaciones que se usan en la organización. A dicho repositorio solo debe de tener acceso aquel personal autorizado. Dentro de este conjunto de personas solo se incluirá a aquel que forme parte de la red interna de la organización. Esto facilita la posible instalación del software en los equipos de los empleados cuando se requiera.

Es importante revisar todo el software que se instala en la empresa. Para esta tarea pueden utilizarse herramientas que examinen aquello que se está instalando en cada ordenador a través de una red interna. Este tipo de herramientas posibilitan verificar la existencia de software instalados sin control.

En el caso de que la empresa sea muy pequeña o, que no se pueda establecer un repositorio, se recomienda identificar una lista de todos los software instalados en cada uno de los equipos.

 

Software ISO 27001

La herramienta ofrecida por el Software ISOTools Excellence para la norma ISO 27001 con el objetivo de implementar en la organización el Sistema de Gestión de Seguridad de la Información, está capacitada para responder a numerosos controles para el tratamiento de la información gracias a las aplicaciones que contiene y que son totalmente configurables según los requerimientos de cada organización.

¿Desea saber más?

Entradas relacionadas

Volver arriba