Norma ISO 27001

Mantener un SGSI es una tarea medianamente sencilla, pero cuando un incidente tiene lugar, se debe investigar que ha sucedido exactamente, es decir, quién es el responsable del incidente, dónde se ha producido, etc. Por ello, se requiere contar con registros controlados por la organización, lo que se consigue llevar a cabo gracias a la cláusula A.14.2 de la norma ISO 27001. Esta cláusula ofrece el control de manera detallada, tanto de los registros como del seguimiento.

Cumplimiento de la legislación

Un grave error sería contar con un SGSI que no contase con registro de eventos, incluso en algunos supuestos podría conllevar sanciones por incumplimiento de la normativa legal en materia de protección de datos personales. Los países que cuentan con una cierta regulación en relación con la protección de datos personales requieren de un determinado registro, al menos, de todo aquel usuario que tenga acceso a los datos. Es muy recomendable familiarizarse con los reglamentos y la normativa en cuestión de seguridad que se empleen en el país.

El concepto es muy sencillo, en el momento en que tenga lugar un incidente debemos conocer qué está ocurriendo, es decir, factores como la hora, la fecha, el personal, el origen o las causas del incidente.

Prevención de fraude y otros incidentes

Cada uno de los registros del sistema deben estar registrados sobre el acceso al sistema, los incidentes o las tareas de cada usuario, entre otras cuestiones. Por ello, es recomendable revisar con regularidad los registros, independientemente de la aparición o no de un incidente, lo que nos ayudará a examinar cada una de las tendencias y a descubrir posibles actividades fraudulentas con antelación a que tengan lugar los incidentes importantes.

Por último, la información puede ser de gran utilidad para monitorear el SGSI, es decir, para saber lo que está ocurriendo en el funcionamiento de los sistemas de información bajo la norma ISO 27001. Asimismo, también puede utilizarse para obtener información acerca del origen de un incidente o con el objetivo de identificar las tendencias y ser capaces de tomar decisiones que eviten dichos incidentes.

Requisitos para el registro y el seguimiento

En el Anexo A de la norma ISO 27001 aparece el registro A.12.4 acerca del monitoreo y la subsección que favorece la gestión de la mayor parte de las cuestiones ya mencionadas:

• 4.1: Registrar información acerca del acceso y las acciones de los usuarios, errores, eventos y demás cuestiones en los SGSI. Podría ser interesante en el caso de que en la organización se utilizaran distintas aplicaciones para enviar los registros que se originasen en un servidor central.
• 4.2: Deben de protegerse los registros, pues no pueden eliminarse ni modificarse por aquel personal no autorizado. En el momento en que un atacante consigue acceder a un sistema no autorizado, se elimina toda aquella información generada a través de los registros, con el objetivo de eliminar todas las evidencias de las acciones que se realizan.
• 4.3: Los administradores y los operadores del SGSI gozan de unos privilegios especiales de los usuarios normales, lo cual les permite llevar a cabo un mayor número de tareas en los sistemas. En algunos supuestos, todavía no se ha procedido al registro de la actividad, por lo que si un posible atacante consigue acceso a un sistema no autorizado es muy previsible que su intención sea la de adquirir permisos de administrador con los que llevar a cabo las acciones de usuario que posee el administrador.
• 4.4: Para poder analizar la trazabilidad de lo ocurrido en el supuesto de que un incidente tenga lugar, es recomendable que todos los sistema estén configurados con la misma fecha y hora, pues sino puede resultar complejo en el caso de que cada uno tenga una configuración distinta.

 Control de sistemas sensibles

Mantener los registros es de gran importancia pues facilita el control de los sistemas, incluso llegando a ser obligatorio en algunos supuestos, pero puede llegar a provocar problemas de capacidad si no se revisa y controla.

Es recomendable llevar a cabo la identificación de distintos sistemas críticos y limitar de esta manera la información que se ofrece durante los accesos, los errores, etc. Además, también se recomienda eliminar determinados registros obsoletos que no tengan relevancia alguna.

Software ISO 27001

La herramienta Software ISOTools Excellence para la norma ISO 27001 para los Sistemas de Gestión de Seguridad de la Información se encuentra compuesta por diferentes aplicaciones que, conjuntamente, trabajan para que la información que manejan las distintas organizaciones no pierda ninguna de sus propiedades más importantes: disponibilidad, integridad y confidencialidad.