ISO 27001
Las organizaciones muestran su preocupación ante las posibles amenazas que pueden sufrir a diario la información sensible que manejan, estos motivos hacen que las organizaciones se apoyen en el estándar internacional ISO 27001.
La vulnerabilidad de la información se hace patente en estos días en los que recibimos multitud de noticias sobre acceso ilegal a información confidencial de grandes compañías.
Sin duda, esto desencadena la necesidad de adoptar medidas que garanticen y consoliden la seguridad de la información.
Por todo lo mencionado hasta el momento, hemos visto conveniente hablar sobre las acciones que se deberían tomar durante el intercambio de la información, al hacer uso de servicios de e-commerce y cuando se lleva a cabo un seguimiento que asegure que los controles de seguridad de la información son los apropiados.
Intercambio de información
Cuando hacemos referencia al intercambio de información, nos podemos referir a la que se realiza en la propia organización o aquella que se produce entre diferentes organizaciones. Indiferentemente, al llevar a cabo el intercambio de información es necesario la presencia de controles de seguridad que proporcionen seguridad y protección de la información sensible que se está intercambiando.
Para ello, se define una política que establezca los medios a utilizar por la organización. Dentro de esta política, se debe incluir los siguientes aspectos:
- Procedimientos que indiquen un uso adecuado de los medios.
- Controles que eludan la transformación, interrupción, el plagio o la destrucción de información.
- Controles que garanticen la protección de la información ante código malicioso.
- Técnicas en materia de ingeniería social.
- Cifrado de aquella información que se considere sensible.
La norma ISO 27001 a través de la valoración de riesgos, considera aquellos casos en los que la organización realice un intercambio de información con terceras partes. Si esto tuviese lugar, ambas organizaciones tienen la obligación de documentar las responsabilidades y procedimientos que tendrán cada una de ellas en tareas como envío, traspaso, recepción y confirmación de la información.
Asimismo, durante dicho intercambio, es necesario establecer controles de verificación, la responsabilidad de pertenencia de la información, registros de auditoria y gestión de incidentes.
Hay que contemplar que durante el envío de la información a través de mensajería, es muy probable que se dé la posibilidad de que la información sufra ciertas vulnerabilidades como accesos indebidos o modificaciones.
Para minimizar o reducir problemas durante el transporte de esta información, se precisa la adopción de medidas como el embalaje, además es muy importante contratar empresas que nos garanticen la seguridad durante el envío.
Si por el contrario el envío de la información se realiza a través de mensajería electrónica, sería importante asegurar que es imposible que se produzcan accesos sin la autorización pertinente o cualquier otro tipo de amenazas.
En cualquiera de los casos, la organización debe realizar el intercambio de la información conforme a las siguientes medidas:
- Elaborando procedimientos de intercambio en los que se tengan en cuenta todos los medios empleados.
- Definir pactos con el personal externo para los casos de intercambio de la información.
- Llevar a cabo pactos con las organizaciones encargadas de realizar el transporte de la información sensible para garantizar que el envío se hace bajo la seguridad requerida.
Servicios de comercio electrónico o e-commerce
El comercio electrónico también conocido como e-commerce, conlleva una serie de amenazas como engaños o modificaciones de la información. Las organizaciones que hacen uso de este tipo de comercio, tienen que protegerse, para ello deben establecer:
- Controles de verificación.
- Controles de transparencia de información.
- Controles que garanticen la confidencialidad de la información manejada.
- Controles de envío de la información.
- Controles de los métodos de pago empleados.
- Las responsabilidades de cada uno de las amenazas producidas.
Aunque la compra-venta se realice mediante e-commerce, es necesario que el acuerdo esté documentado y que exista la aprobación entre las dos partes interesadas, además de que en dicho documento quede reflejada la responsabilidad de cada parte.
Durante este trato se hará uso de la firma electrónica y siempre se procederá a garantizar que es válida, además se mantendrán todos los datos relativos a la misma en confidencia.
A continuación, mencionaremos otras acciones que se pueden emplear para garantizar la seguridad de la información:
- Utilizar protocolos para proceder al intercambio seguro de la información.
- Preservar la información que está accesible al público frente a posibles modificaciones sin la apropiada autorización.
- Establecer controles que aseguren la transparencia de la información de ámbito público.
- Llevar a cabo pruebas que comprueben la potencia del servidor.
En estos momentos, es imposible que nos olvidemos de la legislación vigente de cada una de las páginas web.
En definitiva, podemos concluir que para asegurar un intercambio de información correcto a través del comercio electrónico es necesario:
- Proteger la información empleada.
- Establecer un pacto entre las partes implicadas que señale la manera de proceder en cuanto a la verificación, los requerimientos de transparencia, las evidencias de intercambio y la comprobación del método de pago empleado.
- Hacer uso de la firma electrónica, teniendo en cuenta los protocolos de seguridad que garanticen la autentificación de los datos y el almacenaje de la información.
- Asegurar aquella información que esté accesible al público.
Seguimiento
No cabe duda la importancia que supone el seguimiento para la seguridad de la información, ya que no sirve de nada establecer controles si no se verifica su eficacia.
Para garantizar que estos controles se desarrollan según lo previsto, se pueden realizar auditorías. En el registro de una auditoria queda recopilada información como la identidad del usuario, la fecha y hora en la que se lleva a cabo una actividad, el resultado de la actividad, los accesos relativos a la información o sistemas que ha tenido el usuario, etc.
Los resultados obtenidos del seguimiento de dichos controles, establecen los errores presentes en los sistemas y permitirán adoptar las acciones correctivas necesarias.
Del mismo modo, se tendrá en cuenta el grado de criticidad detectada durante el análisis de los riesgos y en función de ella se realizaran los controles sobre la utilización de sistemas de la información. Además se procederá a la evaluación de los resultados, los cuales establecen la necesidad de promover acciones correctivas.
Cabe mencionar, que la norma ISO 27001 está ligada a procesos de auditoria que se producen con cierta periodicidad. Las auditoria es un método para detectar No Conformidades y desencadenan el uso de acciones correctivas.
Si una organización está decidida en realizar un seguimiento de los controles establecidos para garantizar la seguridad de la información debe:
- Definir registros de auditoria relativos a las actividades más destacadas de la organización.
- Establecer procedimientos para el seguimiento de los recursos empleados en el manejo de la información.
- Comprobar los resultados asociados a las actividades de seguimiento e iniciar con acciones correctivas en el caso que se precisara.
¿Desea saber más?
Entradas relacionadas
31 enero, 2018
Compliance La ley 30424, ha sido modificada por el D. Leg. 1352, que exige la implantación de un…
26 diciembre, 2017
Proveedores Hoy en día pocos fabricantes dan la importancia que tiene a auditar sus proveedores sin darse cuenta…
19 diciembre, 2017
Ley 29783 Durante este artículo hablaremos sobre cómo se puede automatizar los requisitos establecidos en la ley 29783.…
12 diciembre, 2017
Gestión del rendimiento La gestión del rendimiento es uno de los siete subsistemas que componen el Sistema Administrativo…