ISO-27001

ISO 27001: Seguridad en el intercambio de información

Inicio / ISO 27001: Seguridad en el intercambio de información
5/5 - (1 voto)

Norma ISO 27001

Existen numerosas organizaciones preocupadas por la seguridad de la información, por lo que como solución deciden adoptar los requerimientos establecidos por la norma ISO 27001. Siempre que las organizaciones obtengan la certificación ISO 27001, pueden garantizar a nivel internacional, que su información se encuentra debidamente protegida.

A diario, nos encontramos noticias sobre hackers que han logrado acceder a la información de empresas que supuestamente cuentan con altos niveles de seguridad en temas de datos confidenciales.

Esta violación a la seguridad de la información ha incrementado la preocupación de pequeñas, medianas y sobre todo grandes empresas, obligando indirectamente a adquirir conocimientos en la materia que fortalezcan la seguridad de dicha información.

Uno de los principales problemas en temas de seguridad de la información, tiene lugar cuando se lleva a cabo un intercambio de información. Por ejemplo,  durante el e-commerce o compra y venta de productos o servicios a través de medios electrónicos, tales como Internet y otras redes informáticas han supuesto una revolución, pero también una puerta abierta para aquellos delincuentes capaces de saltarse ciertos controles de seguridad.

Por todo ello, vemos necesario hablar sobre los aspectos a tener en cuenta mientras realizamos actividades en las que es necesario intercambiar información confidencial.

El modo en el que se intercambia la información resulta básico, pero es importante conocer en profundidad para así ser conocedores de los pasos en los que pueden darse fugas de información. Este intercambio es muy común entre distintos usuarios de las propias organizaciones, o entre varias empresas.

Descarga gratis e-book: La norma ISO 27001

Independientemente del modo en el que se produzca el intercambio de información, es necesario contar con controles de seguridad que aporten confianza y protección a la información intercambiada.

La forma de asegurarse que el intercambio de información se lleva a cabo adecuadamente y bajo la protección necesaria, es a través de la elaboración de una política que incluya los medios empleados en esta actividad. En dicha política se debe incorporar:

  • Los procedimientos definidos para gestionar correctamente los medios utilizados.
  • Comprobaciones a través de controles que impidan modificaciones, interpretaciones, duplicados o eliminación de información.
  • Inspecciones de protección contra el código malicioso.
  • Metodologías de ingeniería social.

Cuando se valoran los riesgos según la ISO27001, es imprescindible sopesar la probabilidad de que la organización intercambie información confidencial con terceros. En estos casos, se deben estimar las responsabilidades y procedimientos del envió, transferencia, recepción y confirmación de la información.

Para esto mismo, también se tiene en cuenta los controles de verificación, el compromiso de la propiedad de la información, la elaboración de registros de auditoria y la gestión de ciertos acontecimientos considerados como incidentes.

Dependiendo del medio utilizado para el envío de la información habrá que considerar un tipo de incidentes u otros. Por ejemplo, durante el transporte de información mediante correo postal o mensajería este tipo de incidentes se podría solventar realizando un embalaje adecuado o gestionando el envío con una organización que certifique que cumple con los más altos estándares de seguridad.

En el caso de envío de información a través de correo electrónico o e-mail, el proceso se debería desarrollar a través de plataformas protegidas contra cualquier acceso no autorizado u otro tipo de riesgo.

Una organización que procede al intercambio de información, de un modo seguro:

  • Elabora procedimientos de intercambio para cualquier medio de comunicación empleado.
  • Desarrolla acuerdo con las empresas trasportistas, para que cuando el intercambio de información se produzca físicamente sea totalmente seguro y tengan garantías de ello ante sus usuarios.

 

Ya hemos comentado que en los momentos en los que vivimos “Era tecnológica”, el comercio electrónico también conocido como ecommerce resulta una actividad muy habitual. Este tipo de comercio puede resultar frágil frente a fraudes o transformaciones de la información manejada.

Cada día son más las empresas que utilizan este tipo de comercio, por lo que deben garantizar a sus clientes que es seguro a través de controles de:

  • Verificación.
  • Integridad de la información.
  • Confidencialidad de la información tratada.
  • Certeza del envío.
  • Métodos de pago.
  • Aseguramiento de las responsabilidades de los incidentes producidos.

Las relaciones establecidas mediante un ecommerce deben sustentarse con una alianza documentada y que cuente con la aprobación de todas las partes implicadas, en la que se establecerán las responsabilidades de cada una.

Cualquier transacción se ejecutará bajo firma electrónica, probando que es auténtica, al mismo tiempo, la información, privacidad y cualquier otro aspecto serán totalmente confidenciales.

Además de los métodos explicados con anterioridad, las organizaciones pueden recurrir a otro tipo de seguridad:

  • Elaboración de protocolos que garanticen la seguridad de la información tratada.
  • Protección de la información expuesta al público, asegurando que no se modifique sin previa autorización.
  • Determinación de controles que aseguren la integridad de la información de carácter público.
  • Ejecución de pruebas que comprueben la potencia del servidor.

Asimismo, hay que prestar especial atención a la legislación vigente que pueda aplicarse en cada uno de los sitios web.

Se puede afirmar, que para catalogar las actividades vinculadas con el ecommerce como seguras, es necesario:

  • Proteger toda la información utilizada en el proceso.
  • Establecer una alianza que especifique la manera de proceder en cuanto a la verificación, los requerimientos de confidencialidad, integridad y certezas de envío y recepción, además de la comprobación del pago.
  • Recurrir a la firma electrónica, uso de canales cifrados y protocolos entre otros recursos para garantizar que todas las operaciones de transacción son seguras.
  • Preservar la información pública.
ISO 27001, garantía de seguridad durante el intercambio de información

Click To Tweet

Tras el establecimiento de una serie de controles que hemos comentado en este mismo artículo, es imprescindible llevar a cabo un seguimiento que nos proporcione resultados y por tanto confirmen que cumplen con la eficacia esperada.

Entre los instrumentos empleados para el seguimiento de estos controles, destacamos los registros de auditoria. Este tipo de documentos incluyen información relevante, por ejemplo la identificación del usuario, detalles de las actividades como la fecha y hora, el resultado obtenido, el acceso que han tenido cada uno de los usuarios a información o sistemas, etc.

El objetivo de este seguimiento de los registros de actividad, es conocer los errores presentados en los sistemas y adoptar las medidas correctivas oportunas para cada uno de los casos.

Además, según el grado de errores detectados durante el análisis de riesgos, habría que hacer uso de unos sistemas u otros e incluir una evaluación para poner en marcha las acciones correctivas.

El estándar ISO-27001 está relacionado con estos procesos de auditoria mencionados y en el momento en el que se localicen no conformidades se deberán desarrollas las acciones correctivas definidas.

Las organizaciones que decidan establecer un seguimiento de los controles de seguridad de la información, deben:

  • Definir resgistros de auditoría para las actividades de mayor importancia.
  • Establecer procedimientos en temas de seguimiento de recursos empleados durante la gestión de la información.
  • Comprobar los resultados obtenidos de las actividades de seguimiento establecidas y actuar con medidas correctivas en los casos necesarios.
  • Simultanear los relojes de cada uno de los sistemas relacionados con la manipulación de la información de la organización.

Sistemas de Gestión de Seguridad de la Información

Los Sistemas de Gestión de Seguridad de la Información se convierten en la mejor solución para garantizar la seguridad de todos los datos confidenciales de una organización. Si desea saber más sobre los riesgos y seguridades a los que deben de enfrentarse puede visitar: https://www.isotools.us/normas/riesgos-y-seguridad/

cta 27
Nueva llamada a la acción

¿Desea saber más?

Entradas relacionadas

Beneficios Ambientales
5 Beneficios Ambientales de Implementar ISO 14001
26 abril, 2024

La ISO 14001 es una norma internacional de gestión ambiental que establece los requisitos...

Ver más
UNE-EN ISO/IEC 23053:2023
UNE-EN ISO/IEC 23053:2023. Marco para sistemas de inteligencia artificial (IA) que utilizan Machine Learning (ML)
25 abril, 2024

La norma UNE-EN ISO/IEC 23053:2023, titulada "Tecnologías de la información - Marco para sistemas...

Ver más
Esquema Nacional De Seguridad (ENS)
Esquema Nacional de Seguridad (ENS): la importancia de la auditoría
24 abril, 2024
En un mundo donde la información es un activo de gran valor, la seguridad cibernética es una prioridad...
Ver más
Lean Six Sigma
Integración de Lean Six Sigma y Normas ISO para la Excelencia Operativa
23 abril, 2024
La búsqueda constante de la excelencia operativa es fundamental para el éxito a largo plazo...
Ver más

Volver arriba