ISO-27001

ISO 27001: Factores para aplicar una correcta defensa en profundidad en la organización

ISO-27001

ISO 27001

El estándar ISO 27001 ofrece los requisitos para poder implementar un Sistema de Seguridad de la Información. Las organizaciones tienen la obligación de aplicar la defensa en profundidad en base a una serie de niveles, aplicando, para ello, las tecnologías que mejor se adapten a los procesos del negocio y los activos que tienen que proteger.

Estas tecnologías deben estar organizadas y coordinadas, así como suministrar y facilitar información a los responsables de la seguridad del Sistema de Gestión de Seguridad de la Información basada en ISO27001 para permitirles conocer el estado de la seguridad dentro de la empresa y así tomar decisiones.

Los niveles que conforman la seguridad dentro de las empresas y las tecnologías más comunes utilizadas en cada uno de ellos son:

Seguridad en el perímetro

Se trata del nivel en el que se limitan las fronteras de la empresa con el exterior. Este nivel ha tenido cambios en las infraestructuras actuales y es muy complicado a la hora de delimitarlos por la introducción de nuevas tecnologías (accesos remotos, móviles y redes wifi, etc) que han supuesto una pérdida de control de los límites del perímetro en las entidades y el incremento de los accesos.

En este nivel se deben implementar tecnologías que permitan:

  • Acotar los accesos desde y hacia la entidad.
  • Garantizar y ofrecer seguridad de los servicios ofrecidos.
  • Controlar y notificar los accesos que se han producido en el perímetro de la empresa.
  • Controlar los accesos de entrada y salida de la información.
  • Se deben considerar numerosos aspectos para diseñar una infraestructura perimetral segura.

Los factores claves a considerar deben ser:

  • Poner en marcha una estrategia de seguridad basado en la defensa en profundidad.
  • Basar la seguridad en más de una tecnología o producto.
  • Fragmentar el perímetro en zonas protegidas y delimitadas mediante la creación de zonas desmilitarizadas, zonas externas y zonas internas. Utilizar la tecnología de traducción de direcciones (NAT) para ocultar el direccionamiento interno. Implementar los servicios externos (web, correo, etc.) en zonas desmilitarizadas, y controladas, poniendo en marcha reglas de filtrado para estos servicios.
  • Implementar tecnología Proxy en los servicios comunes. La tecnología Proxy suministra un nivel de seguridad adicional evitando la exposición directa de los equipos internos con las redes externas. Los servicios más recomendados para utilizar la tecnología proxy son la navegación web y los servicios de mensajería.
  • Hacer uso de las capacidades de seguridad que ofrecen los elementos que componen el perímetro (detectores de intrusos, cortafuegos, etc.).
  • Conservar una política de actualización de todas las tecnologías.
  • Llevar a cabo una tecnología cortafuegos.
  • Utilizar el principio del “menor privilegio” en la política de accesos de la entidad. Por defecto, se debe denegar todo si no está explícitamente permitido. Las reglas de filtrado se deben basar en la necesidad de acceder. Los usuarios deben tener acceso a los servicios que tienen aprobados, denegando el acceso al resto de servicios.
  • Se utilizarán tecnologías de filtrado para implementar la política de acceso.
  • Verificar cada componente después de su instalación para asegurar que realiza la función para la que ha sido designado. Los componentes se deben instalar de forma segura (garantizar las comunicaciones, deshabilitar servicios inseguros, eliminar accesos por defecto, etc.), las instalaciones por defecto o malas configuraciones pueden producir agujeros de seguridad en la entidad.
  • Controlar periódicamente la configuración y las reglas de filtrado para localizar posibles errores de configuración en los componentes.
  • Efectuar auditorías periódicamente para detectar posibles problemas de seguridad en las infraestructuras.

Una vez explicados los principales puntos a tener en cuenta en el ajuste y la actualización del perímetro pasamos a describir las principales tecnologías que se están estableciendo en las entidades para ofrecer una seguridad inteligente y gestionada que nos permita tener un mayor control en la seguridad y nivel de confiabilidad dentro de nuestra empresa y de este modo lograr la certificación ISO 27001.

Tecnología cortafuegos

Los cortafuegos son utilizados como la tecnología fundamental en la defensa en profundidad. Esta tecnología nos va a permitir regular el volumen de tráfico de información en distintos niveles y zonas, proporcionando una protección ante los ataques tanto internos como externos.

Dependiendo de cómo despleguemos nuestra infraestructura de cortafuegos, ofreceremos un mayor nivel de confidencialidad y privacidad de las comunicaciones, protegiendo los activos de las empresas y garantizando en todo momento que nuestro Sistema de Gestión de Seguridad de la Información basado en la ISO-27001 funciona adecuadamente.

UTM

Actualmente, ha surgido una nueva tecnología en la seguridad perimetral que incorpora en una única solución varias tecnologías de protección denominados UTM (Unified Threat Management).

Los UTM son dispositivos que permiten gestionar las amenazas y la Gestión de la Seguridad en el perímetro, logrando realizar las funciones de filtrado cortafuegos, antivirus de pasarela y detección de intrusos.

Como se ha comentado anteriormente, la seguridad de la información no debe basarse en un único dispositivo.

Teniendo en cuenta la criticidad de este tipo de dispositivos es importante y necesaria elegir fabricantes que cumplan con garantías de calidad y fiabilidad en este tipo de sistemas.

Centro de Respaldo

Un elemento esencial en las empresas es la disponibilidad de sus sistemas y servicios. La información es un activo que tiene un gran valor para la empresa, y que necesita de una adecuada protección.

Esta protección debe asegurar la continuidad del negocio en caso de una catástrofe que impida el correcto funcionamiento de la empresa y sus activos. Cada día, los usuarios tienen más acceso a más información (electrónica).

Este acceso supone exponer a las empresas a una gran y numerosa variedad de amenazas y generan unas necesidades de disponibilidad y continuidad de los procesos de negocio que requieren de un control y una gestión por parte de los responsables de la información.

La solución para resolver el problema de la continuidad y disponibilidad de la información en las organizaciones son los Centros de Respaldo.

Estos centros son una inversión que nos va a permitir disponer de una infraestructura que soporte el negocio de nuestra empresa en caso de una catástrofe en los centros principales, permitiendo ofrecer los servicios fundamentales de acceso a la información y la continuidad de los procesos de forma temporal o parcial durante el tiempo que estén indisponibles los servicios en los centros principales de nuestra entidad.

Las posibilidades que nos ofrecen  las tecnologías para obtener de toda la información que necesitemos, la distribución de la información y las comunicaciones entre distintas localizaciones, han provocado que los centros de respaldo sean un punto destacado en todas las empresas con unos requerimientos críticos de acceso y disponibilidad de la información, siendo una solución importante para que el negocio de las organizaciones continúe favorablemente.

¿Desea saber más?

Entradas relacionadas

Compliance
Perú exige la implantación de un programa compliance para evitar sanciones
31 enero, 2018

Compliance La ley 30424, ha sido modificada por el D. Leg. 1352, que exige la implantación de un…

Ver más
Proveedores
¿Por qué se debe auditar a los proveedores para la fabricación de alimentos?
26 diciembre, 2017

Proveedores Hoy en día pocos fabricantes dan la importancia que tiene a auditar sus proveedores sin darse cuenta…

Ver más
Ley 29783
Ley 29783: Automatización de la Ley Peruana de Seguridad y Salud en el Trabajo
19 diciembre, 2017

Ley 29783 Durante este artículo hablaremos sobre cómo se puede automatizar los requisitos establecidos en la ley 29783.…

Ver más
Gestión Del Rendimiento
Gobierno del Perú: Preguntas frecuentes sobre la gestión del rendimiento
12 diciembre, 2017

Gestión del rendimiento La gestión del rendimiento es uno de los siete subsistemas que componen el Sistema Administrativo…

Ver más
Volver arriba