Saltear al contenido principal
ISO-27001

ISO 27001: Seguridad lógica en SGSI

ISO-27001

ISO 27001

En el momento que una entidad decide implementar un Sistema de Gestión de Seguridad de la Información fundamentado en la norma ISO 27001 aumenta la seguridad de las TIC.

La seguridad de las TIC la definimos como la capacidad que tienen las infraestructuras o los sistemas informáticos de minimizar e incluso prevenir los accidentes malintencionados que comprometen la disponibilidad, la autenticidad, la integridad y la confidencialidad de la información que se encuentra conservada en la entidad y además se tiene que tener en cuenta la totalidad de servicios que ofrecen las infraestructuras o sistemas que facilitan el acceso a la información.

Actualmente, las necesidades de seguridad de las empresas se encuentran fundamentadas en tres fundamentos principales:

Las personas

  • Los profesionales de las TIC con formación especializada y acreditada.
  • Clientes con bastante nivel de educación cómo para poder usar las TIC.

La gestión

  • Sistemas de Gestión de Seguridad de la Información basado en la norma ISO 27001.
  • Seguridad englobada dentro de la totalidad de procedimientos y procesos de negocio, así como las actividades de la organización.

Las tecnologías y sistemas de información y comunicaciones

  • Sistemas que ejecutan certificaciones de calidad de la seguridad de los productos TIC.

La interrelación entre estos tres elementos es la base fundamental en el momento de implantar la seguridad dentro de una empresa, se aumenta el riesgo si la seguridad de alguno de estos componentes no se tiene en cuenta como una parte de la seguridad TIC.

Los objetivos principales que quieren obtener  los responsables del Sistema de Gestión de Seguridad de la Información es conocer el tiempo real que pasa en los sistemas para que sea significativo en la seguridad de la información de su organización e incluso, tiene que tomar las decisiones adecuadas que posibiliten la reducción de las amenazas que puedan perjudicar a la entidad.

La seguridad y las tecnologías que incrementan la protección tienen que implantar medidas y controles que faciliten la prevención y la gestión del riesgo de las amenazas, además de ayudar a crear procesos automatizados con tendencia a disponer de información acerca de eventos de una manera completa, útil y de calidad en el momento que sea necesario, y también tiene que permitir la implantación de mecanismos de extracción, preservación y conservación de evidencias y registros de utilización de las distintas infraestructuras.

Seguridad lógica

La seguridad lógica se basa en el concepto de la defensa en profundidad. El concepto de defensa en profundidad está basado en los puntos siguientes:

  • Las líneas de defensa son autónomas, por lo que la pérdida de una línea de defensa puede debilitar la siguiente pero ésta dispone de sus propios medios de defensa frente a los diferentes ataques.
  • Bienes que se protegen por varias líneas de defensa.
  • Cada una de las líneas de defensa lleva a cabo un papel: debilitar, entorpecer, retardar o parar el ataque.
  • Las líneas de defensa participan en la defensa global.
  • Ponen en marcha todos los medios necesarios para reforzar la defensa de las diferentes líneas:

o   Adaptar la fortificación.

o   Crear muros que limitan los efectos de las penetraciones.

o   Estar informado de la situación de cada línea de defensa.

El concepto de defensa en profundidad es utilizado en al ámbito industrial, militar y de la seguridad de los sistemas de información, siendo este último el ámbito en el que nos vamos a centrar.

Actualmente, el concepto de defensa en profundidad se ha adaptado para su utilización en el ámbito de la Seguridad de la Información.  El concepto incluye los principios que dan mayor relevancia al de seguridad TIC.

  • Información que se ha convertido en la primera línea de defensa.
  • La defensa es un concepto dinámico que posibilita la adaptación a los requerimientos de seguridad en la entidad.
  • Hay distintas líneas de defensa que se encuentra coordinadas y ordenadas según la capacidad que tenga o las necesidades que requiera la empresa.
  • Perder una línea de defensa tendrá que debilitar el ataque, dicha pérdida no tiene que ocasionar la pérdida de más líneas de defensa sino que por el contrario debe reforzarlas o adquirir un mayor conocimiento de la amenaza.
  • Las líneas de defensas tienen que incluir un registro de amenazas en cada uno de los posibles ataques recibidos, mejorando el nivel de conocimiento y el análisis de la situación generada por la amenaza.
  • A lo largo de la defensa no se excluirán las medidas de carácter ofensivo para así poder mitigar los efectos del ataque.

Para entender mejor la implantación de la defensa en profundidad podemos poner un ejemplo. Un trabajo protegido por un cortafuegos y un antivirus contra los accesos no autorizados, el antivirus será la segunda barrera si intenta entrar la amenaza a través de un código malicioso, pero en cambio será la primera barrera si el medio por el que decide entrar la amenaza es el correo electrónico, ya que el mensaje de correo se encuentra autorizado por el corta fuegos.

La seguridad lógica en las TIC se tiene que encontrar adaptada al concepto de una línea de defensa que se encuentra formada por distintas barreras coordinadas entre sí y que garantizan una información a los responsables y especialistas de la Gestión de la Seguridad de la Información según la ISO 27001 en la empresa para que se puedan tomar las decisiones adecuadas.

Las barreras por las que se encuentran compuestas las líneas de defensa están relacionadas con los distintos niveles de gravedad y la relación correspondiente en caso de superarse estas barreras de manera planificada dentro de la empresa.

La seguridad TIC es una defensa global y dinámica:

  • El concepto global se puede apreciar como una línea de seguridad y no un conjunto de medios de protección independientes. La totalidad de las líneas de defensa tiene que disponer de dispositivos que permitan la detección, monitorización y notificación frente las distintas amenazas.

Implantar la seguridad lógica tiene como fin:

  • Endurecer la protección del Sistema de Gestión de Seguridad de la Información.
  • Generar un medio de comunicación que facilite a  la alta dirección de la empresa la toma de decisiones.

 

¿Desea saber más?

Entradas relacionadas

Volver arriba