En la búsqueda del mejor estándar para gestionar la seguridad de la información en una compañía, generalmente los resultados suelen están alrededor de la serie de normas ISO 27000 ya que reúne todos los lineamientos en materia de gestión de seguridad de la información. Una de las normas más importantes, que además es certificable, es la ISO 27001, la cual está organizada en 11 dominios. A continuación vamos a tratar 10 de ellos, pues en un post anterior mencionamos lo que se debe tener en cuenta en la política de seguridad de la información, el undécimo de los dominios de esta norma.
- Aspectos administrativos: Este dominio se refiere a la asignación de responsabilidades relativas a la seguridad de la información, donde se encuentra el proceso de autorización de recursos para el tratamiento de la información, los acuerdos de confidencialidad, el manejo de los grupos de interés y la revisión independiente de la seguridad de la información. Además los aspectos que se tienen que tener en cuenta con el manejo de terceros como la identificación de los riesgos derivados del acceso de terceros y la seguridad en contratos con terceros.
- Gestión de activos: Este segundo dominio contempla los lineamientos para la gestión de activos que incluye el inventario y las declaraciones de uso de los mismos. Como parte de esta gestión de activos se detallan las directrices para la clasificación de la información.
- Los recursos humanos y la seguridad de la información: El recurso humano es una de las principales fuentes de riesgo para la seguridad de la información por lo tanto en este dominio se tratan los aspectos que se deben tener en cuenta antes, durante y después de la relación laboral. Se incluyen en este apartado los términos y condiciones de contratación, los programas de concienciación, formación y capacitación, los procesos disciplinarios y los puntos a tener en cuenta en caso de cese de la relación laboral o cambio de puesto de trabajo como pueden ser la devolución de activos y la suspensión de las credenciales de acceso.
- Seguridad física: Este dominio trata dos aspectos: las áreas seguras, donde se incluyen la definición de perímetros de seguridad física y los controles físicos de entrada entre otros aspectos, y la seguridad de los equipos donde se relaciona, entre otras, la seguridad del cableado, el mantenimiento y la seguridad de los equipos fuera de la compañía.
- Gestión de comunicaciones: Este es el dominio más amplio, en el se tratan las responsabilidades y procedimientos de operación, la gestión de los servicios con terceros, la protección contra código malicioso, las copias de seguridad, la seguridad de redes, el intercambio de información, entre otros aspectos.
- Control de acceso: Como parte de este dominio se desarrollan los lineamientos para la política de control de acceso, la gestión de accesos de usuarios, los controles de acceso a la red, al sistema operativo, a las aplicaciones y a la información. Además incluye las consideraciones para el manejo de ordenadores portátiles y teletrabajo.
- Gestión de sistemas de información: Se desarrollan los requisitos de seguridad de los sistemas de información, el tratamiento correcto de las aplicaciones, los controles criptográficos, la seguridad en los procesos de desarrollo y soporte y la gestión de las vulnerabilidades.
- Gestión de incidentes: Se tratan recomendaciones alrededor de la notificación de eventos y puntos débiles de seguridad de la información y los procedimientos y responsabilidades que se deberían asignar para la gestión de incidentes y mejoras de seguridad de la información.
- Continuidad del negocio: Se mencionan los aspectos de seguridad que se deberían tener en cuenta en la gestión de la continuidad del negocio; ya que al ser una etapa donde la información puede estar altamente expuesta se debe desarrollar e implantar de planes de continuidad que incluyan la seguridad de la información.
- Requisitos legales: En este apartado se incluyen los aspectos que se deben observar para el cumplimiento de los requisitos legales y las políticas y normas de seguridad y cumplimiento técnico.
Una adecuada gestión de la seguridad de la información, es aquella que se desarolle de una forma metódica, documentada y basada en unos objetivos claros de seguridad y una evaluación de los riesgos y el estándar ISO 27001 provee el marco de trabajo para lograrlo.