ISO 27001
La entidad que decide implantar un Sistema de Gestión de Seguridad de la Información basado en la norma ISO 27001 aumenta la seguridad de las TIC.
La seguridad de las TIC podríamos definirla como la capacidad que tienen las infraestructuras o los sistemas informáticos de reducir y prevenir los accidentes con mala intención que comprometen la autenticidad, la disponibilidad, la integridad y la confidencialidad de la información que se encuentra almacenada en la entidad y además, se debe tener en cuenta todos los servicios que ofrecen las infraestructuras o sistemas que permiten el acceso a la información.
Actualmente, las necesidades en cuanto a seguridad de la información de las empresas se encuentran fundadas en tres principios fundamentales:
Las personas
- Los profesionales de las TIC con formación acreditada y especializada.
- Usuarios con suficiente nivel de educación cómo para poder usar las TIC.
La gestión
- Sistemas de Gestión de Seguridad de la Información basado en la norma ISO-27001.
- Seguridad incluida dentro de todos los procesos y procedimientos de negocio, así como las actividades de la empresa.
Las tecnologías y sistemas de información y comunicaciones
- Sistemas que cumplen certificaciones de calidad de la seguridad de los productos TIC.
La relación entre estos tres principios es la base fundamental a la hora de llevar a cabo la seguridad dentro de una empresa, se aumenta el riesgo si la seguridad de alguno de los componentes anteriores no se tiene en cuenta como parte de la seguridad TIC.
El objetivo principal que persiguen los encargados del Sistema de Gestión de Seguridad de la Información es conocer el tiempo real que pasa en los sistemas para que sea relevante en la seguridad de la información de su organización y, además, debe tomar las decisiones que ayuden a reducir las amenazas que puedan afectar a la empresa.
Las tecnologías y la seguridad que aumentan la protección deben implantar controles y medidas que faciliten la prevención y la gestión del riesgo de las amenazas y deben ayudar a crear procesos automatizados con tendencia a disponer de información sobre eventos de una forma completa, útil y de calidad en el momento que sea necesario y también debe facilitar la implementación de herramientas de extirpación, conservación y protección de evidencias y registros de utilización de las distintas infraestructuras.
Seguridad lógica
La seguridad lógica está basada en el concepto de la defensa en profundidad. El concepto de defensa en profundidad se encuentra basado en los siguientes puntos:
- Bienes que se protegen por varias líneas de defensa.
- Las líneas de defensa colaboran en la defensa global.
- Cada una de las líneas establece un papel: debilitar, entorpecer, parar el ataque.
- Las líneas de defensa son autónomas por lo que la pérdida de una línea de defensa puede disminuir la siguiente pero ésta dispone de sus propios medios de defensa frente a los distintos ataques.
- Ponen en marcha todos los medios necesarios para reforzar la defensa de las diferentes líneas:
– Adaptar la fortificación.
– Crear muros que limitan los efectos de las penetraciones.
– Estar informado de la situación de cada línea de defensa.
El concepto de defensa en profundidad se utiliza en el entorno militar, industrial y de la seguridad de los sistemas de información. Este último es el ámbito en que nos vamos a centrar.
Hoy en día, el concepto de defensa en profundidad se ha adaptado para su utilización en el ámbito de la Seguridad de los Sistemas de la Información. El concepto ha incluido los principios que dan mayor relevancia al concepto de la seguridad TIC.
- Información que se ha convertido en la primera línea de defensa.
- La defensa es un concepto activo que permite la adaptación a los requisitos de seguridad en la organización.
- Hay distintas líneas de defensa que se encuentra perfectamente ordenadas y coordinadas según la capacidad que tenga o las necesidades que exponga la entidad.
- Perder una línea de defensa deberá atenuar el ataque. Dicha pérdida no tiene que suponer la pérdida de más líneas de defensa sino que, por el contrario, debe reforzarlas o adquirir un mayor conocimiento de la amenaza.
- Las líneas de defensas deben contar con un registro de amenazas en cada uno de los posibles ataques recibidos, mejorando el análisis de la situación generada por la amenaza y el nivel de conocimiento.
- Durante la defensa no se descartarán las medidas de carácter ofensivo para así poder paliar los efectos del ataque.
Para entender mejor la implementación de la defensa en profundidad exponemos el siguiente caso. Un trabajo protegido por un cortafuegos y un antivirus contra todos los accesos no autorizados, el antivirus será la segunda barrera si intenta entrar la amenaza mediante un código maliciosos, pero sin embargo, será la primera barrera si el medio por qué decide entrar la amenaza es el correo electrónico, ya que el mensaje de correo se encuentra autorizado por el corta fuegos.
La seguridad lógica en las TIC debe estar adaptada al concepto de una línea de defensa que se encuentra formada por diferentes barreras coordinadas entre sí y que proporcionan una información a los responsables y especialistas de la Gestión de la Seguridad de la Información según la ISO27001 en la organización para que se puedan tomar las decisiones oportunas.
Las barreras por las que se encuentran compuestas las líneas de defensa están relacionadas con los distintos niveles de gravedad y la relación correspondiente en caso de superarse dichas barreas de forma planificada dentro de la empresa.
La seguridad TIC es una defensa global y dinámica:
- El concepto global se puede entender como una línea de seguridad y no un conjunto de medios de protección independientes. Todas las líneas de defensa debe disponer de dispositivos que faciliten la detección, monitorización y notificación antes las diferentes amenazas.
Implementar la seguridad lógica tiene como finalidad:
- Reforzar la protección del Sistema de Gestión de Seguridad de la Información.
- Generar un medio de comunicación que facilite a la alta dirección de la organización la toma de decisiones.
¿Desea saber más?
Entradas relacionadas
Compliance La ley 30424, ha sido modificada por el D. Leg. 1352, que exige la implantación de un…
Proveedores Hoy en día pocos fabricantes dan la importancia que tiene a auditar sus proveedores sin darse cuenta…
Ley 29783 Durante este artículo hablaremos sobre cómo se puede automatizar los requisitos establecidos en la ley 29783.…
Gestión del rendimiento La gestión del rendimiento es uno de los siete subsistemas que componen el Sistema Administrativo…