10 aspectos para la Ciberseguridad con base en la Norma ISO27001

La calidad es un factor que cobró gran relevancia a fines del siglo pasado; entre otras razones, por la alta competitividad derivada de un mundo globalizado.

¿Cuándo fue creado el Organismo ISO y en qué consiste?

De ahí, la necesidad de establecer estándares que permitieran medir el desempeño de las organizaciones y cuyos criterios pudieran ser conocidos, reconocidos y compartidos en cualquier parte del planeta: “El Organismo Internacional de Normalización (ISO) fue creado en 1947 y cuenta con 91 estados miembros, que son representados por organismos nacionales de normalización. Dicho organismo trabaja para lograr una forma común de conseguir el establecimiento del sistema de calidad, que garantice la satisfacción de las necesidades y expectativas de los consumidores.”

Estas normas sirven como una guía relacionada con sistemas y herramientas específicas de gestión, que pueden emplearse en cualquier tipo de organización.

Entre sus principales beneficios están el reducir costes y aumentar la productividad, además del prestigio y confianza que la certificación brinda a los organismos que la obtienen.

El desarrollo y la diversificación de las normas ISO han sido muy importantes, dividiéndose en varias ramas que abordan aspectos como la calidad, el medio ambiente, la seguridad y riesgos laborales y, la responsabilidad social. El proceso es continuo y periódicamente van apareciendo actualizaciones, así como nuevos ámbitos de tratamiento.

Rama de la seguridad Informática en la ISO 270001

Una de dichas ramas es la de la Seguridad Informática, que encuentra en esta norma, un recurso sumamente útil y valioso para la gestión de su información.

Una organización que implementa un SGSI (Sistema de Gestión de Seguridad de la Información) que cumple con la norma ISO 27001 ha pasado por el proceso de identificación de activos; se ha sometido a un análisis de vulnerabilidad y amenazas, ha determinado el nivel de riesgo y tratamiento requerido y, ha establecido controles para minimizar o de ser posible, erradicar las vulnerabilidades.

La seguridad de los activos de información está en función de la correcta gestión de una serie de factores que contempla la norma, como por ejemplo: la elaboración de un plan de contingencia frente a los incidentes, el análisis de riesgos, las competencias del personal de la empresa, el grado de implicación de la dirección y las inversiones en seguridad, entre otros.

De acuerdo con Infosecurtiy Magazine, 10 de los aspectos considerados por esta norma para la seguridad informática son los siguientes:

1. Trabajo en casa y en móvil: hay que cerciorarse que la información se mantenga segura, independientemente del lugar donde esté laborando el empleado (desde casa, a través de su móvil o en oficinas).
2. Educación y concientización del usuario: todos los empleados y proveedores deben conocer los riesgos clave y cómo informar los incidentes.
3. Gestión de incidentes: cualquier organización debe ser capaz de contener un incidente y luego, continuar con sus actividades normalmente.  Hacerlo lo más rápido posible, es vital después de una eventualidad relacionada con la seguridad de la información.
4. Régimen de gestión de riesgos de la información: cuando la alta dirección se toma en serio la gestión de la seguridad de la información, ayudará a inculcar una cultura acerca de los riesgos en toda la empresa. ISO 27001 es explícita al requerir que la alta dirección brinde su apoyo y una gestión clara.
5. Gestión de los privilegios de los usuarios: los usuarios pueden ser una fuente importante de fuga de información y sólo la asignación de acceso según los roles, puede reducir los errores. Asimismo, respaldará las responsabilidades que incumben al usuario para garantizar que sigan las buenas prácticas de seguridad.
6. Controles de medios extraíbles: con el aumento de la disponibilidad de tarjetas de memoria y otros dispositivos portátiles, es fundamental que las organizaciones cuenten con procedimientos para gestionar su uso. Sin embargo, no se deben pasar por alto otro tipo de cuestiones, como, por ejemplo, garantizar la eliminación segura de los medios extraíbles.
7. Monitoreo: la auditoría de las actividades de los usuarios proporciona pruebas valiosas en caso de una infracción y puede ayudar en cualquier investigación futura.
8. Configuración segura: comprender sus sistemas y controlar los cambios en ellos, ayuda a mantener su integridad y asegura que estén adecuadamente protegidos.
9. Protección contra malware: asegurarse de que los sistemas estén actualizados, reducirá la posibilidad de que ataques maliciosos puedan aprovecharse de las vulnerabilidades conocidas.
10. Seguridad de la red: conocer y controlar quién tiene acceso a la red y para qué se utiliza, reduce la posibilidad de acceso no autorizado por parte de personas o dispositivos.

Fuentes de Consulta:

Redacción ISOTools Excellence. Marzo 19, 2015. ¿Qué son las normas ISO y cuál es su finalidad? México. ISOTools Excellence. Recuperado de: https://www.isotools.org/2015/03/19/que-son-las-normas-iso-y-cual-es-su-finalidad/

Martínez, M. (s/f). La Norma ISO 27001 y su relación con la Ciberseguridad. España. EIPE Business School. Recuperado de: https://www.eipe.es/blog/norma-iso-27001-ciberseguridad/

Acker, R. Marzo 24, 2020. Improving Cyber-Risk Management with ISO 27001 and the 10 Steps to Cybersecurity. Estados Unidos. Infosecurity Magazine. Recuperado de: https://www.infosecurity-magazine.com/blogs/iiso-27001-10-steps-cybersecurity/