ISO 27001: Cómo aplicarla al sector público

27001

En los últimos años se han incrementado las actividades delictivas en cuanto a la seguridad de la información, por lo que existe la necesidad de coordinar esfuerzos entre el sector público y el privado para hacerles frente. La norma ISO 27001 puede facilitar mucho esta labor.

Desde la perspectiva de las instituciones de gobierno que se encargan de ofrecer servicios básicos para los ciudadanos, se hizo hincapié en la necesidad de preservar los activos industriales y la infraestructura, así como la prevención de las actividades que pueden afectar al desarrollo normal de las actividades estratégicas que se llevan a cabo en el sector público, todo ello utilizando la norma ISO 27001.

Migrar las prácticas de seguridad en el ámbito privado al ámbito público

Se comenta que las actividades cibercriminales se vinculan con mucha frecuencia a los sistemas de información de las infraestructuras más críticas, por lo que las prácticas de seguridad de las organizaciones privadas comienzan a ser aplicadas en el sector público, es decir, el sector público comienza a utilizar la norma ISO 27001.

Los profesionales de la seguridad en el sector público deben revisar las operaciones que se llevan a cabo para minimizar la exposición que existe a posibles amenazas o ataques.

Resulta evidente que cada país tiene un nivel distinto en cuanto al desarrollo de la protección de los activos que, de verse dañados, pueden afectar a la población de una forma directa: por ejemplo, los ataques que se realicen a los sistemas que controlan el suministro de electricidad, agua, combustibles, transporte, etc. se estarán realizando a las infraestructuras críticas. Sin embargo, existen similitudes entre todas las condiciones actuales y los desafíos en materia de seguridad y protección, tanto de la información como de los mismos sistemas.

Por lo tanto, una tarea para los profesionales de seguridad de la información del sector público consiste en revisar y mejorar las operaciones con el propósito de minimizar la exposición a algún tipo de amenaza informática o ataque cibernético. Por esto, se destaca la importancia que tiene la protección del Sistema de Control Industrial.

De esta misma forma, se mencionó que los ataques cibernéticos pueden ser similares, pero existen marcas características que permiten una diferenciación entre el sector público y el privado, además de las consecuencias que puede presentar el ataque o las amenazas informáticas para uno y otro sector.

Por ejemplo, para los sistemas de las organizaciones públicas, la disponibilidad suele ser la característica más importante a proteger, tanto de la información como de los sistemas, en esto se diferencia de otros sectores, donde la confidencialidad puede resultar de mayor importancia.

Otra característica importante es el hecho de que suele operar con software que en ocasiones ya no cuenta con soporte de sus desarrolladores y sistemas que han sido diseñados de forma específica para cumplir con las operaciones.

Por un lado, no se pueden recibir actualizaciones ni parches de seguridad debido a que alguna modificación puede afectar a las operaciones que realiza, y por el otro lado, porque deben operar con alta disponibilidad.

Los verdaderos desafíos que se presentan

En una situación ideal se busca operar bajo regulaciones, pero mientras se llega a este estado, es posible comenzar a utilizar estándares que pueden orientar y guiar sobre la forma de proteger las redes y sistemas industriales.

Por ello, citan estándares que han sido desarrollados de forma específica para estos ambientes, por ejemplo, la guía de la seguridad para sistemas de control industrial, o la norma ISO 27001 “Sistema de Gestión de Seguridad de la Información” para poder controlar y automatizar los sistemas.

La industria enfrenta importantes desafíos que se relacionan al comenzar a gestionar los riesgos de seguridad, iniciar campañas de concienciación del nivel ejecutivo de la industria, comenzar a incorporar los temas de seguridad y utilizar un lenguaje común para transmitir la problemática y al mismo tiempo, brindar soluciones. El desafío crece al pensar en el desarrollo y la aplicación de las regulaciones que ofrece la norma ISO 27001, además de tener en cuenta las limitaciones del presupuesto.

En este sentido, las acciones a considerar son:

• Comenzar a adoptar estándares de seguridad para este sector, como la ISO 27001.
• Definir las políticas de seguridad necesarias.
• Implantar todas las metodologías.
• Concienciar a los trabajadores sobre los riesgos que existen en seguridad, al tiempo que se capacita al personal.
• Monitorear desde el punto de vista de seguridad y generar inteligencia que permita compartir conocimiento y experiencias.

Por todo esto, aunque puede ser un desafío importante, los panelistas concluyen que se trata de un proceso que resulta relevante para el nivel de madurez con el que cuenten las organizaciones, utilizar la norma ISO 27001 que ha sido desarrollada de forma especial para este tema y después tener en cuenta las regulaciones legales que existen en esta materia.

Software para ISO 27001

El Software ISOTools Excellence  para la norma ISO 27001 de Seguridad de la Información se encuentra formada por distintas aplicaciones que, al unirlas, trabajan para que la información que manejan las organizaciones no pierdan ninguna de las propiedades más importantes que tienen.