Saltar al contenido

Sistema de gestión de la seguridad. La familia de las 27000 (27001, 27002)

Compartir en:

Como todo en el mundo en el que nos movemos, donde las tecnologías van y vienen con una velocidad vertiginosa, la seguridad ha ido cambiando y mejorando con el paso del tiempo.

Hay muchas maneras de tratar la gestión de la seguridad, la manera más clásica (que es el punto donde se encuentran muchos) donde se tiene diferentes sistemas básicos como un firewall, antivirus, algún tipo de control de doble factor, logs, etc. y la formas mas modernas, donde además existe un estándar que guía y audita el proceso.

Cada vez está más demostrado que las formas clásicas no son suficiente, funciona en ciertas ocasiones, pero la mayoría de veces necesitan un apoyo estructural. No tener un plan de ciberseguridad, alguna hoja de ruta que guie el proceso, lo estandarice y lo haga sistemático con valores medibles y estándares es un error que muchas organizaciones intentan corregir.

Los sistemas de gestión de la seguridad de la información (SGSI a partir de ahora) permiten alinear el estado real de la empresa, con los objetivos en seguridad y la cadena de valor de esta, aportando fortaleza a los procesos, trazabilidad y sobre todo entrenamiento y respuestas estudiadas con las que reaccionar en caso de desastre. Porque no nos engañemos, a todos nos llega el momento de la verdad en seguridad Informática, e improvisar no es una buena idea.

Existen para estos procesos de transformación y estandarización la familia de las 27000, que actúan como hoja de ruta en el sector para empezar (y digo empezar porque el certificarse es solo el principio) a gobernar el timón en ciberseguridad y conseguir unos niveles aceptables de riesgo/coste.

En este artículo nos centraremos en la ISO 27002 que básicamente es la guía de buenas prácticas para pasar los controles de la ISO 27001, es decir, la 27001 es él ¿Qué? Y la 27002 él ¿Cómo?.

Estructura

La norma guía a las empresas mediante 14 dominios de actuación con 35 objetivos de seguridad con 114 controles en total.

Controles ISO 27001-27002

Pero la gran pregunta es ¿Cómo interpretamos cada dominio?. Cada uno tiene sus especialidades, pero básicamente se estructuran de la siguiente manera:

  • Un objetivo como mínimo que debemos perseguir.
  • Una serie de controles que puedes implantar en la organización para que él (o los) objetivo del dominio sea una realidad.

Además, cada uno de los controles consta de una estructura tipo:

  • Definición del control en cuestión (Control)
  • Información detallada de como debe llevarse a cabo el control para considerarlo implementado (guía de implementación)
  • Información extra.
Estructura Dominios

Siguiendo esta guía y mediante los análisis y valoraciones previas se pueden obtener unos objetivos en seguridad bastante respetables, aunque como siempre digo, esta es una guía (de 2013) en ocasiones muy genérica y ambigua, solo seguir los controles de la ISO puede darnos una falsa sensación de seguridad. Debe servir como guía, pero siempre es mejor controlar el dominio de la empresa y mejorar la norma con actuaciones específicas orientadas al propio negocio, siempre con sentido común y con profesionales del sector (no hablo de consultoras con sus cantos de sirena).

Dominios ISO 27001-27002

Hablemos por encima de cada dominio y de sus objetivos a modo de resumen. Siempre es conveniente tener una foto de cada uno de ellos sin entrar en detalle para contextualizar las actuaciones.

1. Políticas de seguridad de la información

Básicamente, estas (las políticas) son las líneas maestras de actuación de toda la empresa, es la columna vertebral sobra la que se orquesta todo el SGSI.

Aquí he de recalcar tres cosas, en primer lugar, es importante que todo el mundo tenga conocimiento de las políticas. El invertir tiempo en explicar y formar a los empleados es primordial dado que en la mayoría de los casos, se verán como zancadillas o perdida de tiempo si no se explican y se transmiten correctamente.

En segundo lugar, hay que ser muy cuidadoso cuando se redacten, el papel se lo traga todo, pero a la hora de implementarlas podemos estrellarnos contra nuestro propio muro, una política realista es mejor que una estupenda y vendible política que es imposible de implementar.

Y por último las políticas son revisables, no están talladas en piedra, podemos ajustarlas y adaptarlas a la experiencia.

2. Organización de la seguridad de la información

No hay mucho que decir al respecto, cada empresa tiene su organización y en este dominio se describe y se ajusta la estructura organizativa interna y cara al exterior.

El CISO o Chief Information Security Officer suele ser el responsable de la seguridad de la información y debe tener fuertes conocimientos tanto en seguridad legal como seguridad real, ya que muchas veces es responsable de tomar decisiones que ponen en compromiso tanto la empresa como a sí mismo, aunque no es necesario disponer de este ROL y es entendible en organizaciones pequeñas.

3. Seguridad relativa a los recursos humanos

La responsabilidad corporativa frente a lo que la protección de la información se refiere es importante en cada uno de los eslabones de la cadena, y los empleados son la base de todo los SGSI. Debemos, por tanto, poner sobre la mesa de cada uno de estos como deben usar, tratar y gestionar la información que manejan dado su puesto en la empresa, mientras más confidencial sea esta, más hincapié hay que hacer.

El proceso debe realizarse en cada una de las fases del ciclo de vida de un empleado, (contratación- empleo – finalización) y es crucial intentar transmitir la información de manera corporativa, es decir, ser parte del SGSI. Si imponemos las normas sin explicaciones racionales, formación y con nula empatía, es muy probable que nuestro SGSI no sea nada efectivo.

4. Gestión de activos

La información en las organizaciones tiene como base los activos de esta, el software, hardware, personas, servicios, datos, etc. Son las vías donde se gestiona la información y, por tanto, hay que definir que activos son la base del negocio y cuáles son críticos en los que a información se refiere. La norma establece objetivos relativos a la responsabilidad de los activos, la clasificación de la información y la manipulación de soportes donde se establecen las bases de utilización de activos, responsabilidades, niveles de acceso, etc.

Puedes consultar un articulo de análisis de riesgos que hablamos de los activos Análisis de riesgos y seguridad de la información.

5. Control de accesos

Como su propio nombre indica, este dominio hace referencia al acceso a los activos, recursos e información. Una premisa básica de estos controles es permitir que solo se acceda a lo que sea necesario, lo demás prohibirlo por defecto.

La organización deberá tener constancia de las personas que acceden a los recursos, de los procedimientos para darlos de alta o de baja, así como de los datos que el activo gestiona.

El dominio hace hincapié en 4 aspectos básicos:

  • Requisitos del negocio para el control de acceso
  • Gestión de acceso de usuarios
  • Responsabilidades del usuario
  • Control de acceso a sistemas y aplicaciones

6. Cifrado y criptología

Básicamente, se hace referencia en el dominio al nivel de encriptación en las comunicaciones de los activos contra los datos, tanto local como remotamente (cifrado de discos duros, conexiones remotas, USB`s, etc.).

7. Seguridad Física y ambiental

La información en la era en la que nos movemos básicamente se apoya en una infraestructura física para poder ser operada. Esta infraestructura debe estar protegida de accesos físicos no controlados y de posibles incidencias en estas como incendios, inundaciones, etc.

El dominio se suele dividir en dos apartados:

  • Áreas seguras: Perímetro, seguridad en edificios y oficinas, controles físicos de acceso en las entradas, etc.
  • Seguridad de los equipos: Suministro eléctrico, mantenimiento físico, destrucción de material, mesas limpias, cableado …

8. Seguridad en la operativa y operaciones seguras

Los objetivos de la norma centrados en las operaciones son bastante extensos y requieren un esfuerzo considerable, pero aportan un retorno operativo considerable, ya que hacen de columna vertebral para mantener confidencialidad, integridad, autenticidad, trazabilidad y una correcta disponibilidad de los datos valiosos para la empresa.

Por esto, es imprescindible actuar sobre los controles de protección contra software malicioso, copias de seguridad, pruebas periódicas, monitorización, logs, accesos no autorizados, etc.

El dar visibilidad a todos estos procesos y exponerlos de manera clara a las personas intervinientes es clave para él existo en caso de desastre.

En este apartado también se establecen controles de actualizaciones, vulnerabilidades conocidas y gestión de estas, así como un control de los cambios en la infraestructura.

9. Seguridad en las Telecomunicaciones

La protección perimetral es algo asumido ya en la mayoría de las empresas, el disponer de cortafuegos y una correcta configuración en las comunicaciones con internet se torna muy necesario en la era del hacking y el ransomware.

No obstante, en la norma también se hace hincapié en la segregación y separación de las redes internas, algo en mi opinión muy útil en el ámbito del control, seguridad y contención.

10. Adquisición, Desarrollo y mantenimiento de los sistemas de Información

Cuando se instala o adquiere o desarrolla algún SI, se vuelve necesario tener en cuenta todo el ciclo de vida de este, identificando las fases y las actuaciones en cada una de estas. Hay que implantar los controles necesarios y generar registros o trazas de actividad, proteger el código fuente o gestionar los cambios en este haciéndolo trazable. Además, se deben determinar e implementar entornos de desarrollo y entornos de producción para poder comprobar con seguridad las versiones que se implementan.

11. Relaciones con suministradores y proveedores de elementos o servicios.

La relación con proveedores debe estar definida en este dominio de actuación, básicamente se hace referencia a documentar las relaciones y determinar que información se transmite y como se hace.

12. Gestión de incidencias en la seguridad de la información

Todo incidente de seguridad conlleva el desarrollo de unos procesos de comunicación, tratamiento, investigación, etc. El asegurar que esto se haga de manera debida y legal es responsabilidad de la empresa y este control pretende desarrollar el procedimiento para, en caso de incidentes, saber cómo actuar, que hacer y como hacerlo.

13. Seg. De la información en la gestión de la continuidad del negocio.

Cada negocio donde se implanta la norma tiene unos procesos críticos que son vitales para su supervivencia como empresa, estos procesos o actividades son críticos y en este dominio se desarrollan los planes de continuidad de negocio, es decir, planes para implementar cuando todo falla en uno de estos procesos.

Este es uno de los grandes servicios que implantar la ISO puede aportar a la empresa, normalmente todo el mundo sabe cuáles son sus procesos críticos, pero casi nadie sabe que hacer si uno de estos falla, solo esperan que no lo haga.

Por muchas medidas que se implementen (alta disponibilidad, copias, …) siempre puede pasar algo que destruya todos nuestros planes. Hay que poder reaccionar a esto (un incendio, un volcán, una inundación a gran escala, nunca se sabe que puede causar el desastre), prever que todo puede salir mal nos da una pequeña ventaja frente al desastre.

14. Cumplimiento.

Los dominios legales y las regulaciones también forman parte en los SGSI, es necesario conocer la legislación vigente, las regulaciones de nuestro negocio, y velar porque se cumplan para que nuestra organización no se vea afectada.

Establecer controles periódicos y revisar las normativas (tanto externas como internas) debe ser parte del SGSI y este control nos guía sobre estas lagunas.

Conclusiones

En el mundo de la información, donde las empresas basan su negocio en los sistemas y servicios informáticos, resulta imprescindible protegerse frente a todo tipo de inclemencias, tanto de seguridad real, legal como operativa.

En hecho de certificarse en la familia de las 27000 pude abordarse desde varios prismas, en mi opinión, el hecho de certificarse dice poco de la seguridad de la empresa, puedes pasar todos los controles y que todo quede en papel mojado.

Resulta vital comprometerse con el SGSI desde todos los estamentos de la empresa, establecer con sentido común las políticas, y hacerlo de la mano de los expertos en los procesos de la empresa y los expertos en seguridad.

Los expertos en seguridad no conocen los procesos y pueden medir muy mal la actividad de la empresa, convirtiendo el SGSI en algo muy tedioso y poco operativo, y solo expertos en el dominio del negocio pueden pasar por alto muchos detalles en pro de la funcionalidad. Resulta no obstante necesario una fusión de estos y sobre todo una elevada cantidad de sentido común.


Puedes consultar las fuentes de la ISO en su archivo oficial https://www.iso.org/search.html?q=27000


Juan Ibero

Inmerso en la Evolución Tecnológica. Ingeniero Informático especializado en la gestión segura de entornos TI e industriales, con un profundo énfasis en seguridad, arquitectura y programación. Siempre aprendiendo, siempre explorando.

Compartir en:

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *