Estándares y metodologías ISO 27001. ¿Los conoces?
Implementar TIC bajo modelos probados y aprobados internacionalmente conlleva grandes beneficios para las empresas que adoptan e IMPLEMENTAN adecuadamente estas normas, tal es el caso de los estándares ISO.
Ahora vivimos tiempos donde se debe poner especial foco y análisis sobre las amenazas a nuestra infraestructura TIC y por supuesto a nuestra INFORMACIÓN en ella contenida, que es lo que da el valor a la adecuada toma de decisiones estratégicas, la cual está en riesgo continuo de ser bloqueada por factores y acciones naturales o humanas, y por lo tanto, de quedar fuera de operaciones con las desastrosas consecuencias que traería al negocio.
Los elementos fundamentales a considerar
ISO 27001 es la Norma encargada de la Gestión de la SEGURIDAD de la Información
Dado que hablamos de seguridad y nos referimos específicamente a la información, estos tres artículos harán referencia a los Controles de Seguridad bajo el estándar de 27001, y por lo que sucede actualmente en el mundo, haremos mención de tres de ellos que deberían ser completa y correctamente implementados en el corto plazo:
- Control A9 referido al Control de Acceso, Ver Primera Parte
- Control A12 Seguridad de las operaciones, tema de este artículo
- Control A17 Aspectos de la seguridad para la gestión de la Continuidad del Negocio, Parte 3 y ultima.
No detallaremos la parte de documentación, definición, auditoría para certificación y certificación propiamente dicha, eso es motivo de otro análisis, por lo que iniciaremos diciendo que esta norma ISO 27001 , en adición a la parte administrativa de políticas, marcos de referencia y metodología, contiene un anexo “A”, el cual está diseñado como guía para entender los diferentes dominios requeridos a ser cubiertos en la implementación funcional de la TIC, dicho anexo contiene los llamados CONTROL DE SEGURIDAD, mismos que van del A5 al A18.
Como ya definimos, y dada nuestra realidad y tendencias informáticas para este año, nos centraremos en tres de ellos.
Control de Seguridad A12: Seguridad de las Operaciones.
Este control contiene tres apartados:
- Procedimientos y responsabilidades sobre las operaciones
- Protección contra SW malicioso (malware)
- Copias de seguridad.
Procedimientos y Responsabilidades
Del primer apartado, podemos decir que una estrategia adecuada para implementar operaciones con foco en seguridad, basan su éxito en dos pilares: personal entrenado y calificado y uso correcto de las apropiadas herramientas de supervisión, monitoreo y análisis, ambos pilares circunscritos a un marco referencial regido y normado por procesos y procedimientos que DEBEN ser utilizados para la consecución de los objetivos planteados respecto al robustecimiento de nuestra estrategia de seguridad.
Parece simple, pero el sólo hecho de utilizar adecuadamente una herramienta, digamos de monitoreo, requiere de todo un plan integrado de implementación, y NO sólo de una instalación y puesta en operación, esto es, de ninguna manera se obtendrán los mismos resultados al seguir una ruta de instalar y operar, comparado con una que incluya planear, entrenar, implementar funcionalmente y supervisar con el método de mejora continua; hay una distancia enorme entre ambas rutas pero desafortunadamente un gran porcentaje de las empresas optan por la primera con alta probabilidad de pagar consecuencias terribles al obviar etapas críticas que hacen vulnerable la infraestructura TIC.
Protección contra Software Malicioso
Relacionado al segundo apartado, en la actualidad el malware se ha convertido en una amenaza común y comprometedora de la seguridad TIC, pero como tendencia muy humana, gran parte del mercado piensa “eso no me va a pasar a mi” y bajo este orden de pensamiento, inconscientemente se “edifica” una puerta muy grande a la posibilidad de ataques a través de SW malicioso, resultando en más vulnerabilidades debido a la falta de una adecuada estrategia de implementación de controles de seguridad.
Cabe señalar que para este apartado, se DEBE de considerar tanto la protección de los principales elementos y componentes de la infraestructura TIC, como la de TODOS los usuarios locales y/o remotos, dispositivos móviles, proveedores, socios internos y externos, etc… esto es, debe existir SW de protección (ej. segundo factor de autenticación) en todos los niveles y usuarios que tengan potencial acceso a la información, al correo, a las aplicaciones centrales y a cualquier acervo contendido en los sistemas informáticos centrales, en sucursales, en otros países, etc
Copias de Seguridad
Es una disciplina que desafortunadamente o no se lleva a cabo, o se ejecuta de manera empírica e incompleta. Un gran porcentaje, más del 50% de las empresas, NO tienen procesos formales ni personal entrenado ni elementos tecnológicos adecuados y actualizados (HW, SW…) para llevar a cabo de una manera formal los procesos de respaldo. Si a lo anterior, apuntamos que el respaldo es la mitad del ciclo de un proceso metodológicamente estructurado, pues el proceso de RECUPERACIÓN (la otra mitad) tampoco es evaluado ni probado, caemos entonces en que los aspectos relacionados a las copias de seguridad, son un talón de Aquiles en la mayoría de organizaciones que tienen en uso TIC.
Lo anterior representa una seria vulnerabilidad “per se”, pues ante cualquier contingencia, ya sea natural, de ambiente, intervención maliciosa o errores humanos, o cualquier otra que inhabilite el uso total o parcial de nuestra infraestructura TIC, el NO mantener copias de seguridad ACTUALIZADAS llevar a cabo periódicamente las respectivas pruebas de recuperación, nulifica toda posibilidad de implementar un proceso para retornar a operar bajo la premisa de recuperación de información y regreso de la operación
Como hemos detallado, y ahora podemos deducir, este control de seguridad es muy importante (de hecho todos lo son) para las empresas, y es un control que en el corto plazo debe ser implementado para disminuir los inminentes riesgos asociados, y por ende, fortalecer la seguridad de la información.
Existen socios tecnológicos que con su experiencia en el campo pueden allanar el camino y llevar a cabo implementaciones exitosas en los tres rubros aquí cubiertos. A la acción!!.
En resumen, para alinear nuestra TIC a cumplir diferentes objetivos de negocio, y en este caso particular el de maximizar la disponibilidad y lograr una recuperación exitosa y expedita de nuestros sistemas, es INDISPENSABLE que todo el personal de nuestra empresa sea CORRESPONSABLE en la definición, ejecución, cumplimiento
y MEJORA CONTINUA del plan de seguridad de la información, pues de ella, la información, “vive” nuestra empresa y sin ella estamos a merced de nuestros competidores y de las leyes del mercado.
CLARO, SIMPLE, CONTUNDENTE Y CONGRUENTE.
En SERVICES4iT estamos genuinamente comprometidos en desarrollar soluciones tecnológicas que permitan que las organizaciones como la tuya logren sus objetivos de Negocio utilizando la tecnología correcta.
¿Cómo te Apoyaremos durante esta cuarentena?
Te daremos las mejores recomendaciones para poder llevar la operación de TI de tu Oficina a casa de manera segura:
- Conexiones VPN Seguras y Telefonía IP (En tu Smartphone o Laptop).
- Ciberseguridad (Ver artículo “Ciberseguridad en Casa”)
- Soporte Técnico Remoto (Ver Sitio de Soporte)
- Servicios de Nube para llevar tus aplicaciones a Nube Pública (IaaS y SaaS)
- Servicios de Protección en Nube con Servicios de BaaS (Backup as a Service) y Disaster Recovery as a Service (DRaaS). (Ver artículo “¿Que es BaaS y DRaaS?”) y Nuestro Servicio sin costo por 30 días de PROTEGER.MX. Presiona Aquí.
- Presiona la siguiente imagen para mayor Información.
Deseándoles Salud y que sus Organizaciones sigan Productivas ayudando a que nuestra economía siga moviéndose.