Vamos a dar un vistazo a lo que la serie de normas ISO 27000 tiene al respecto de la gestión de los sistemas de comunicación y el establecimiento de procedimientos de operación además de opciones para implementar los controles sugeridos.
P
recisamente uno de los 10 pilares básicos de la norma ISO 27001 se enfoca en los mecanismos que debería adoptar una organización para asegurar la operación correcta y segura de los recursos sobre los cuales se manipula la información corporativa. A su vez deben quedar claras las responsabilidades y los procedimientos para la gestión y operación de estos recursos. Cabe dentro de la gestión, los procedimientos para la respuesta ante incidentes y los procedimientos de configuración y operación segura de aplicaciones.
En la página de Agencia Nacional de Seguridad (NSA) de Estados Unidos hay un apartado donde proveen una serie de guías de configuración segura para una serie de aplicaciones de código abierto y licenciadas. Además se pueden encontrar otra serie de guías para manejar de forma segura la información, incluso hasta como destruirla de forma segura. Se deberían documentar y mantener los procedimientos de operación y ponerlos a disposición de todos los usuarios que lo necesiten.
Además de la correcta configuración de los sistemas es importante que las tareas y las áreas vinculadas en estos temas tengan una adecuada segregación de funciones, con el objetivo de disminuir la posibilidad de que se presente un uso mal intencionado o no autorizado de los activos de información de la organización.
Dentro de este dominio de control, también se sugiere establecer procedimientos periódicos para garantizar un adecuado respaldo de la información en copias de seguridad incluyendo las pruebas que garanticen su correcto funcionamiento. Estas implementaciones de backup deben satisfacer todos los requerimientos legales. Por ejemplo para el sector financiero, hay implementaciones específicas y las expectativas propias del negocio en el cual opere la empresa. Esto se logra con un adecuado análisis de riesgos, que permita enfocar los esfuerzos en los activos de información más relevantes para el negocio.
Con respecto a la infraestructura de comunicación, se debe mantener la seguridad de la información no sólo de la que se intercambia dentro la empresa sino también de aquella que salga hacia una entidad externa. Esta seguridad debe partir de una política donde queden estipulados los acuerdos de intercambio de cualquier información, sea física o electrónica. Esto incluye los canales alternativos que deban utilizarse en caso de una contingencia. Puntualmente la norma ISO/IEC 27010, proporciona controles específicos para implementar, mantener y mejorar la seguridad de la información en las comunicaciones dentro de la organización y hacia el exterior.
Para la protección de la integridad del software y por lo tanto de la información que se maneja es necesario prevenir que los sistemas sean atacados por algún código malicioso, ya sea en los equipos de escritorio, equipos portátiles o móviles. Para este caso los controles tecnológicos de una solución de seguridad como ESET Endpoint Security deben permitir la detección, prevención y recuperación contra malware. Estas medidas tecnológicas deben combinarse con medidas que incluyan la educación y formación de los usuarios. Desde ESET Latinoamérica contamos con recursos gratuitos que en este punto pueden ayudar a las empresas como la Plataforma Educativa ESET.
Destaca además en este dominio de control, la recomendación de la norma acerca de cuidar la información que se incluye en los mensajes de correo electrónico. Puntualmente tener mucho cuidado con la información que se deja en los metadatos, ya que muchas veces este tipo de información puede contener datos sensibles como por ejemplo nombres de usuarios o rutas en servidores. Es conveniente utilizar herramientas para eliminar los metadatos antes de compartir o publicar documentos.
Recuerde que la seguridad de la información se logra a través de la integración de diferentes medidas de seguridad. No sirve de mucho tener únicamente lo último en tecnología, es necesario complementar con la educación de los usuarios y la adopción de las medidas de gestión más indicadas según el negocio.
H. Camilo Gutiérrez Amaya
Especialista de Awareness & Research
