ISO 27001 y otras técnicas para proteger la seguridad de la información

Inicio / ISO 27001 y otras técnicas para proteger la seguridad de la información

ISO27001

ISO 27001 reúne los requisitos que dan lugar a un Sistema de Gestión de Seguridad de la Información. En esta materia se incluyen los aspectos que hoy vamos a analizar: protección contra el código malicioso, copias de seguridad, gestión de seguridad de las redes y gestión de soportes.

Descarga gratis e-book: La norma ISO 27001

Protección contra el código malicioso

Cuando hablamos de código malicioso nos estamos refiriendo a la actuación de virus y troyanos, que nos obligan a tomar medidas, entre las que destaca la implantación de ISO27001, como la prevención, detección y recuperación de la información.

Ante esto, las empresas usan unos sistemas de antivirus, que no pueden hacer que bajemos la guardia ya que los antivirus no son infranqueables. Es necesario preparar a los trabajadores para que sepan actuar ante situaciones difíciles y enseñarlos a realizar procedimientos de recuperación y verificación de la información.

En estas líneas se debe:

  • Establecer una política para cumplir con las licencias de software y para prohibir cualquier software malicioso que no esté autorizado.
  • Definir controles de acceso a la información.
  • Concienciar y formar al personal.
  • Revisar periódicamente el sistema.
  • Instalar un sistema de antivirus junto a una política de utilización respecto a los ficheros adjuntos en correos electrónicos y a otros que descarguemos.
  • Definir procedimientos sobre el uso del antivirus, formar al personal para usarlo y para hacer frente a posibles ataques.
  • Tener disponible un software espía para que rastree el trabajo que se ejecuta y, posteriormente envíe la información a alguien externo.

Copias de seguridad

Además de hacer una correcta implementación de la norma ISO 27001:2013 una organización requiere que se desarrolle una política que defina el alcance y la frecuencia en la que se realizarán las copias de seguridad de la información.

Las copias realizadas deben verificarse que están correctas y además debe quedar registrada su ubicación, la cual debe ser distinta a la de la original para evitar que ambas se afecten por un mismo problema.

Si se produjera algún desastre, la información afectada deber poder recuperarse mediante un proceso de restauración desde la copia de seguridad.

En definitiva, para mantener la disponibilidad e integridad de los sistemas de la información y de la propia información una organización debería:

  • Hacer regularmente copias de los activos de la información.
  • Comprobar que las copias son correctas.
  • Comprobar que la copia realizada es efectiva para hacer una restauración.
  • Otorgar el nivel necesario de protección física
ISO 27001 es fundamental en una organización si queremos evitar la voilación de nuestros datos

Click To Tweet

Gestión de la seguridad en redes

La gestión de la seguridad en redes establece controles que certifican la confidencialidad e integridad de la información que circula por la red y por todos los dispositivos que pertenecen a la organización.

El principal objetivo de esta gestión es evitar que los activos de la entidad sean visualizados o enviados a personal no autorizado. Pero, ¿cómo lo evitamos? Para lograr esto es esencial especificar procedimientos para proteger la información y definir responsabilidades del personal que se va a encargar de administrar las redes.

Si se produce algún problema hay que registrarlo, acompañado de la acción que se ponga en marcha para proteger la información de la empresa.

En el caso de que hubiese equipos remotos conectados, es imprescindible establecer controles de seguridad para que no haya posibilidad de acceder a los activos mediante redes públicas o inalámbricas.

La protección de activos es un proceso que abarca un amplio abanico de posibilidades, por eso el Sistema de Gestión de Seguridad de la Información ISO 27001 no se puede limitar a la seguridad de equipos informáticos, sino que también se incluye la gestión de recursos humanos, de procesos…

Decisivamente si queremos garantizar la protección de la información en redes y en infraestructuras necesitamos:

  • Definir controles que preserven la integridad y confidencialidad de la información localizada en las redes públicas.
  • Crear una separación funcional de las redes.
  • Si la organización en cuestión tiene los servicios de red externalizados, los niveles de servicio y los requisitos de gestión deben estar incluidos en el acuerdo entre ambas partes y justamente identificados.

Gestión de soportes

En el caso de los soportes portátiles, es imprescindible que la organización tenga creados determinados procedimientos para su gestión. Dicha gestión puede prevenir incidencias de integridad, disponibilidad y confidencialidad.

Estos procedimientos contemplarán:

  • El modo de almacenar de una forma segura los tipos diferentes de soporte que se usen en la organización.
  • La creación de un registro de los soportes portátiles de la entidad incluyendo el tipo de información que contienen, su uso y la fecha de retirada.

Relativo a la fecha de retirada, en el momento que un soporte portátil deje de ser útil y no vaya a usarse más sea por el motivo que sea, se requiere seguir un procedimiento que garantice que no se va a poder acceder a la información que hubiese contenido.

Existen otros procedimientos para la gestión de soportes portátiles que son: etiquetar los soportes, registrar a cada uno de los usuarios autorizados a manejar los soportes, enumerar el tipo de procesos en los que participan y los controles de seguridad a aplicar.

Y, en relación al carácter sensible de la información contenida en los citados soportes, no se puede dejar atrás elaborar un procedimiento que preserve dicha información de los accesos que no estén autorizados.

En resumen, se puede decir que para evitar incidentes de disponibilidad, integridad y confidencialidad de los activos de la información de una organización se recomienda:

  • Establecer procedimientos para ayudar en la gestión de los soportes portátiles.
  • Cualquier salida de la empresa de un soporte debe estar autorizada y registrada.
  • Una vez que un soporte quede terminado su uso, el contenido que incluyera debe ser irrecuperable.
  • Crear procedimientos tanto para el tratamiento como el almacenamiento de la información que la resguarden de un mal uso o de un acceso no autorizado.

Para terminar cabe destacar que a la hora de aplicar los controles necesarios en la protección y seguridad de la información en una organización, se puede hacer uso del código de buenas prácticas que aporta la norma ISO 27002.

Sistema de Gestión de Riesgos y Seguridad

El Software ISO para la norma ISO 27001 ofrece solución para todas las cuestiones planteadas en el momento de implementar un Sistema de Gestión de Seguridad de la Información en una entidad. Toda protección es necesaria e importante, por mínima que sea, debido a que el mínimo error o descuido puede provocar una violación de los datos de la empresa.

cta 27
Nueva llamada a la acción

¿Desea saber más?

Entradas relacionadas

ISO 42001
Implicaciones de la ISO 42001 para las empresas
20 mayo, 2024
La ISO 42001 es una norma que establece un marco para la gestión de la inteligencia artificial (IA) en las organizaciones...
Ver más
ISO 37008
ISO 37008: La Revolución de las Investigaciones Internas
10 mayo, 2024

En el mundo empresarial, la transparencia y la integridad son fundamentales para mantener...

Ver más
Donde Se Utiliza El Sistema PQRS
¿Donde se utiliza el sistema PQRS según ISO 9001?
9 mayo, 2024

¿Donde se utiliza el sistema PQRS? En el complejo mundo empresarial actual, la calidad es una prioridad indiscutible.…

Ver más
Esquema Nacional De Seguridad
5 claves para dar cumplimiento al Esquema Nacional de Seguridad
8 mayo, 2024
La seguridad de la información es una prioridad para organizaciones de todos los tamaños y sectores. En este contexto...
Ver más

Volver arriba