Citando la norma ISO 27001:
Objetivo 1:
ORGANIZACIÓN INTERNA
Establecer un marco de gestión para iniciar y controlar la implementación y la operación de la seguridad de la información dentro de la organización.
Controles:
- 6.1.1 Funciones y responsabilidades de la Seguridad de la información
- 6.1.2 Separación de funciones
- 6.1.3 Contacto con autoridades
- 6.1.4 Contacto con grupos de interés especial
- 6.1.5 Seguridad de la información en la gestión de proyectos
Objetivo 2:
DISPOSITIVOS MÓVILES Y TELETRABAJO
Garantizar la seguridad del teletrabajo y del uso de dispositivos móviles.
Controles:
- 6.2.1 Política de dispositivos móviles
- 6.2.2 Teletrabajo
6.1 ORGANIZACIÓN INTERNA
Aquí se nos presentan una serie de requisitos o controles para garantizar que la organización organice las funciones y responsabilidades para gestionar la seguridad de la información
6.1.1 Funciones y responsabilidades de la Seguridad de la información
Se trata de que deberemos definir las responsabilidades de cada empleado o puesto de trabajo en relación a la Seguridad de la información. Es decir para cumplir con este control bastaría con sumar a las funciones de cada puesto aquellas funciones que tengan que ver con la seguridad de la información (si es pertinente)
Pero no basta con definirlas, también deberemos comunicar a cada persona implicada en la Seguridad de la Información sus roles y responsabilidades
Incluir a terceras partes
Para terminar de cumplir con este control siempre que sea aplicable, deberemos procurar hacer partícipes de las responsabilidades a las partes externas que sean pertinentes tales como
- Usuarios externos
- Proveedores
- Etc.
6.1.2 Segregación de Tareas
Se trata de evitar usos o accesos indebidos a la información o a las aplicaciones o sistemas que la gestionan (activos de información) mediante la separación de las funciones asignando distintos perfiles o áreas de responsabilidad
Explicado de otra forma, podemos determinar las responsabilidades, tareas, accesos, etc. que conllevan un riesgo de mal uso, accidental o deliberado, si son compartidas por una misma persona
CASO PRACTICO:
Ejemplos de separación o segregación de responsabilidades (ISO 27002)
- En el proceso de compras deberíamos separar las responsabilidad de quien hace los pedidos y de quien los aprueba o realiza los pagos para evitar el riesgo de fraude o pedidos innecesarios o en desacuerdo con las políticas de compras.
- Evitar que personal de desarrollo tenga acceso administrativo a los sistemas en producción evitara el riesgo de usos indebidos de aplicaciones que deben controlar solamente aquellas personas autorizadas a administrar sistemas con clientes reales
- Separar las funciones de petición y concesión de permisos administrativos de acceso a sistemas o áreas restringidas evitando que la misma persona que realiza las solicitudes de acceso sea quien se concede las autorizaciones o maneja la asignación de contraseñas de acceso
Alternativas a la segregación de funciones
A veces por motivos de costes no podemos diferenciar las responsabilidades o tareas. Entonces la pregunta es ¿qué podemos hacer si nuestra empresa es demasiado pequeña y no tenemos más remedio que concentrar funciones en las mismas personas?
La alternativa está en establecer controles que mitiguen los riesgos provocados por la imposibilidad práctica de segregar las funciones
Estos pueden ser:
Controles de seguimiento y monitorización:
Establecer controles de supervisión de las actividades en tiempo real puede darnos mayor seguridad de que se realizan correctamente
Controles de Auditorias
Establecer controles mediante registros que revelen los datos necesarios en las auditorias periódicas para evaluar las posibles violaciones de seguridad. También es aconsejable aumentar la frecuencia de las auditorias en temas sensibles con el objeto de transmitir a los empleados la continuidad en la vigilancia de la seguridad de la información
Registros automatizados
Registrar de forma automática los cambios, accesos o tareas sensibles con la seguridad de la información como la asignación de permisos, contraseñas o modificaciones en aplicaciones de desarrollo
6.1.3 Contacto con autoridades
En caso de incidentes en la seguridad de la información puede resultar necesario mantener informados a los organismos de control del estado o administración. Estos pueden ser comúnmente
- Agencia de protección de datos
- Fuerzas y Cuerpos de seguridad del estado
- Otros
Este control debe ser implementado en caso de empresas u organizaciones:
- Grandes empresas que mantienen servicios particularmente relevantes para al ámbito público, telecomunicaciones, organizaciones bancarias, servicios de emergencia etc.
- Empresas más pequeñas que manejen datos sensibles y cuya difusión indebida o robo pueda causar daños a las personas involucradas
- Cuando los incidentes contra la seguridad de la información provienen de una fuente externa como Internet y resulte útil o necesario que varias autoridades y proveedores deban ser llamados a la acción para desviar, suprimir o mitigar la amenaza.
6.1.4 Contacto con grupos de interés especial.
Mantenerse al día en Seguridad de la información parece una tarea imposible de realizar de forma autónoma aun para grandes corporaciones por lo que este control nos indica que deberemos identificar todos aquellos grupos de interés tales como: foros especializados en Seguridad de la información, organismos administrativos como INCIBE en España o empresas expertas en seguridad de la información.
Se trata de mantenernos actualizados en cuanto a las noticias sobre la seguridad de la información y permanecer alerta ante las nuevas amenazas para la seguridad de la información y si es necesario que adoptemos alguna recomendación de estos grupos especializados.
6.1.5 Seguridad de la información en la gestión de proyectos.
Este control es algo totalmente novedoso en ISO 27001 por lo que intentaremos darle la información oportuna para saber interpretar este requisito
INTEGRAR LA SEGURIDAD EN LOS PROCESOS DE LA ORGANIZACIÓNEste control pretende decirnos que la Seguridad de la Información debe involucrarse en todos los procesos de la organización ya sean procesos del Negocio, procesos internos, Servicios o productos, Procesos TI etc.
¿En qué consiste esto de considerar la seguridad de la información en todos los procesos?
Partamos de la base de que la seguridad es algo que generalmente se olvida en los proyectos; es decir, cuando un proyecto se aborda en una organización, generalmente no tiene en cuenta la seguridad de la información.
Para afrontar este requisito bastaría con realizar una evaluación de riesgos, centrada en la seguridad de la información, al comienzo de cualquier proyecto para identificar amenazas, vulnerabilidades y riesgos asociados al proyecto. Esto nos permitirá adoptar los controles necesarios.
Con esto cumplimos con lo que dice la norma:
La seguridad de la información debe abordarse en la gestión de proyectos, independientemente del tipo de proyecto.
Si queremos ser más rigurosos podemos establecer un proceso para integrar la Seguridad de la información en cualquier proyecto:
PASO1 Objetivos de Seguridad
Plantearse como una actividad más dentro de las actividades de cualquier proyecto de cara a determinar los objetivos de para preservar la confidencialidad, integridad y disponibilidad de la información relacionada o afectada por el proyecto
PASO2 Evaluación de riesgos
En la fase de diseño o planificación del proyecto se puede realizar un análisis de riesgos que nos permita identificar y ponderar los riesgos asociados a la seguridad de la información
PASO3 Controles de seguridad
La evaluación de riesgos nos permitirá tomar las decisiones adecuadas para establecer los controles necesarios para mitigar los riesgos
PASO4 Proceso de Seguridad de la Información
Una vez que hemos realizado un ejercicio según los pasos anteriores podemos entonces establecer un proceso documentado para integrar la seguridad de la información en cualquier proceso con el conocimiento de lo que hemos aprendido
Beneficios de la integración de la Seguridad de la Información
- Cumplir con los requisitos de la norma
- La consideración de la Seguridad de la información en todos los proyectos otorgara un mayor valor a todos sus proyectos y a toda la organización
- Mejora la evaluación de costes de un proyecto al considerar anticipadamente riesgos, que después pueden suponer costes no evaluados
6.2 DISPOSITIVOS MÓVILES Y TELETRABAJO
El objetivo de este apartado es poder garantizar la seguridad en dispositivos móviles y en las condiciones del teletrabajo.
6.2.1 Política de dispositivos móviles
Se trata de que dispongamos de políticas de Seguridad de la Información como medidas concretas que mitiguen los riesgos de la seguridad de la información en el uso de dispositivos móviles en una organización
El requisito que nos pide la norma es que seamos capaces de demostrar que hemos adoptado políticas, respaldadas por medidas o los controles de seguridad para reducir el riesgo que representan los dispositivos móviles o remotos
La política de uso de dispositivos móviles en una organización debe considerar:
- El registro de nuevos dispositivos
- La cancelación de registro de dispositivos móviles
- Requisitos de seguridad física
- Requisitos de seguridad técnica incluidas conexiones remotas
- Control de software
- Control de acceso y encriptación en reposo y de dispositivos en tránsito.
Las políticas diseñadas para dispositivos móviles además de los requisitos anteriores deberían considerar las condiciones de uso de dispositivos móviles y cuando sean apropiados.
Dispositivos BYOD
Según leemos los requisitos descritos hasta ahora podemos deducir que naturalmente estamos hablando de dispositivos móviles administrados.
Pero entonces ¿Qué pasa con los dispositivos propios de los empleados o de agentes externos que se utilizan dentro de los ambientes de trabajo y se conectan a las redes LAN, WiFi, a los servicios de correo etc.?
Estos dispositivos son los denominados BYOD (Bring your own device - Usa tu propio dispositivo)Desde luego este tema es un tema bastante actual y “candente” para la seguridad de la información, y muchos profesionales están de acuerdo en que los riesgos que suponen los dispositivos no administrados y de propiedad personal son demasiado grandes.
Sin embargo, ISO 27001 no específica si los dispositivos no administrados (BYOD) están permitidos o no; simplemente requiere que la organización lo determine mediante una política las condiciones de uso para estos dispositivos y debe supervisar el cumplimiento de esta política a través de auditorías o controles técnicos.
6.2.2 Teletrabajo
En la actualidad el teletrabajo es una actividad tremendamente difundida en todo tipo de organizaciones por lo que la seguridad de la Información es un aspecto clave para garantizar la protección de esta actividad
Una vez más se trata de:
- Evaluar que activos de información están involucrados en el teletrabajo
- Realizar una evaluación de riesgos aplicada a los activos de la información y a las actividades del teletrabajo
- Aplicar los controles adecuados para mitigar los riesgos identificados
Quizás para pequeñas empresas o empresa con infraestructuras de TI relativamente sencilla, las medidas de seguridad pueden consistir en la restricción del acceso a determinados activos
Para organizaciones de mayor complejidad la norma nos provee de una serie de controles a tener en cuenta en el análisis de aplicabilidad:
Citando la norma:
"Restricciones o controles para actividades de Teletrabajo según ISO 27002"
- La seguridad física existente del sitio de teletrabajo, considerando la seguridad física del edificio y del entorno local;
- El entorno físico de teletrabajo propuesto;
- Los requisitos de seguridad de las comunicaciones, teniendo en cuenta la necesidad de acceso remoto a los sistemas internos de la organización, la sensibilidad de la información a ser accedida y pasada sobre el enlace de comunicación y la sensibilidad! del sistema interno;
- la provisión de acceso al escritorio virtual que impide el procesamiento y el almacenamiento de información sobre el equipo de propiedad privada;
- la amenaza de acceso no autorizado a la información o a los recursos de otras personas que utilizan el alojamiento, por ejemplo, familiares y amigos;
- el uso de redes domésticas y requisitos o restricciones de la configuración de los servicios de red inalámbricos;
- las políticas y los procedimientos para evitar conflictos relativos a los derechos de propiedad intelectual desarrollados en los equipos de propiedad privada;
- el acceso a los equipos de propiedad privada (para verificar la seguridad de la máquina durante la investigación), que puede ser prevenido por la legislación;
- Los acuerdos de licencia de licencia software que son tales que, las organizaciones pueden ser responsables de la concesión de licencias a los clientes de software en estaciones de trabajo de propiedad privada de. Los empleados o de usuarios de terceras partes;
- La protección ante software malicioso y los requisitos de firewall
La norma nos propone además una lista de aspectos a considerar en la definición de las normas o reglas de aplicación del teletrabajo
Citando la norma:
" Restricciones o controles para actividades de Teletrabajo según ISO 27002"
- el suministro de equipo adecuado y mobiliario de almacenamiento para las actividades de teletrabajo, donde no se permite el uso de equipo de propiedad privada, que no se encuentra bajo control de la organización;
- Una definición del trabajo permitido, las horas de trabajo, la clasificación de la información que se puede realizar y los sistemas y servicios internos a los que el teletrabajador se encuentra autorizado a acceder;
- El suministro de equipo adecuado de comunicación, incluyendo los métodos para asegurar el acceso remoto;
- La seguridad física;
- Las reglas y directrices del acceso de la familia y visitas al equipo y la información;
- El suministro de soporte y mantenimiento de hardware y software;
- La provisión de seguros;
- Los procedimientos para el respaldo y la continuidad del negocio;
- La auditoría y el control de la seguridad;
- La revocación de la autoridad y de los derechos de acceso, y el regreso de los equipos cuando las actividades de teletrabajo finalizan.
