Control de Seguridad de la información

Control de Seguridad de la información en la nube de la nueva ISO 27002

Inicio / Control de Seguridad de la información en la nube de la nueva ISO 27002
5/5 - (1 voto)

El control de seguridad de la información y su acceso es un elemento esencial de la seguridad que determina quién tiene permiso estipulado para tener el acceso a determinados datos, aplicaciones, recursos y en qué circunstancias. El objetivo principal es limitar el acceso a la información y a las instalaciones de procesamiento de información de la igual representación que las claves y listas de asistentes con aprobación anterior resguardan las plazas físicas, las directivas de los controles de acceso que protegen las plazas digitales. Es decir, permiten que las personas o usuarios adecuados ingresen y que la que es ajena a las plazas digitales se queden fuera.

Descarga gratis e-book: La norma ISO 27001

Las directivas de control de acceso dependen de medidas técnicas como la autenticación y la autorización, que es el que permiten a las diferentes organizaciones comprobar de forma evidente que los usuarios son quienes dicen ser y que cuentan con el nivel apropiado de acceso con base en elementos contextuales como el dispositivo, la ubicación, el rol, la responsabilidad entre otros.

El control de seguridad de la información impide que los infiltrados u otros usuarios no autorizados se hagan con la información confidencial, como por ejemplo los datos de clientes y la propiedad intelectual. También apoya a la reducción de riesgos de filtración de datos por parte de los empleados y mantiene controlado las amenazas web. En vez de manipular los diversos permisos manualmente, las empresas con mayor seguridad dependen de soluciones de administración de identidad y acceso para las implementaciones directivas de control de acceso.

ISO 27002

La norma ISO 27002:2022 propone no únicamente el cuidar la información desde la perspectiva de resguardar la información para los intereses de las diversas organizaciones, sino que también de controlar en caso este tenga información confidencial para los intereses de la organización. Se procede a establecer criterios de controles de la información. Esto se debe conservar debido a que es una información que resulta totalmente relevante en las operaciones de la organización. Esto reduce en gran manera el filtrado de información no deseada, malwares que provienen de forma externa a la organización.

Una vez teniendo definida la información controlada y actualizada en la organización, se debe implementar los métodos adecuados para proceder con los diversos controles de la información. Esta gestión, si conferenciamos de información que presentemente debe tener un control donde aportan puntos importantes en la organización que son muy alta relevancia, en caso se filtre a usuarios que no están asociadas a la organización, se recomiendan implementar métodos más rigurosos que únicamente eliminarlo de forma convencional.

Entre estos métodos contamos con algunos ejemplos:

1.- Seguridad de las operaciones:

Los ordenamientos deben estar documentados (cuando corresponda) y deben estar disponibles.

¿Qué debemos documentar?

  • Los documentos de instrucciones al menos se deberían abordar actividades que afectarán al proceso de la información y aquellas que la protegen.
  • Siguiendo este principio deberíamos incluir
    • Los procesos de la verificación, instalación, configuración y administración de sistemas y aplicaciones.
    • El proceso y manejo de las informaciones.
    • Los métodos de la gestión del respaldo de las diferentes informaciones, que incluyen las pruebas y las verificaciones de las copias de seguridad.
    • Las gestiones de las programaciones operacionales en cuestión de procesos que requieran clasificación de tiempos.
    • Acuerdo con los requisitos de la norma ISO 27001 también se debe incluir la administración de faltas y condiciones excepcionales donde se pueden definir como incidentes de seguridad.
    • Las Instrucciones especiales de administración de medios para la información confidencial, incluida la eliminación segura. Recuperación / reinicio del sistema.
    • Los métodos de la gestión de los registros y los elementos de seguimiento de auditoría.
    • Las instrucciones de monitoreo de red y activos de información.

¿Qué significa que estén disponibles?

  • Esto se traduce en que deberíamos realizar actividades de formación y concienciación sobre los procedimientos sobre el tratamiento de la información y su cuidado o seguridad Gestión de cambios
  • Protección ante software malicioso

2.- Gestión de Cambios

Los procesos de cambio pueden conllevar riesgos asociados para la seguridad de la información. Por esta razón, la norma nos propone controles para que analicemos los procesos de cambio tanto:

  • Comerciales
  • Instalaciones o infraestructuras (Equipos y Software)
  • Sistemas de procesamiento de información

Actualmente, resulta indiscutible comentar que los controles a instituir para la gestión de cambios serán el resultado de los análisis de riesgos y de la aplicabilidad de los controles proporcionados.

3.- Gestión de la Capacidad

  • Esta gestión trata de evitar las pérdidas de disponibilidad o provecho de los diversos sistemas por falta de capacidad.
  • Para gestión de la capacidad se refiere a tener un control del uso de los recursos. Esto se traduce en controles para:
    • Realizar mediciones y Seguimientos del uso de los recursos
    • Previsión de uso a futuro (predecir los cuellos de botella)
    • Realizar Planificación de las ampliaciones de capacidad de los recursos cuando este sea necesario.

Para enfatizar, cabe mencionar que la responsabilidad completa en cuanto al control de la de la información es de la misma organización, implícitamente durante la gestión que se requiere por personas ajenas a la organización. Debido a que el primordial interesado en contar con información correcta e impedir que filtren su información, es de la misma organización. Al ser un elemento de cada vez mayor interés e impacto, la inversión de tiempo y recursos serán cada vez más eminentes.

La Plataforma ISOTools facilita la automatización de la ISO 27001

La ISO 27001 para los SGSI es sencilla de implantar, automatizar y mantener con la Plataforma Tecnológica ISOTools.

Con ISOTools se da cumplimiento a los requisitos basados en el ciclo PHVA (Planear – Hacer – Verificar – Actuar) para establecer, implementar, mantener y mejorar el Sistema Gestión de la Seguridad de la Información, así como se da cumplimiento de manera complementaria a las buenas prácticas o controles establecidos en ISO 27002.

E-book gratis la norma ISO 27001
Nueva llamada a la acción

¿Desea saber más?

Entradas relacionadas

IWA 48:2024
¿Cuáles son los principios de implementación ESG de IWA 48:2024?
14 abril, 2025
La IWA 48:2024 no es una norma certificable, pero sí una referencia clave que orienta a las empresas hacia...
Ver más
Sanciones De La Ley De IA De La UE
Sanciones de la Ley de IA de la UE: el alto coste del incumplimiento
10 abril, 2025

La Ley de IA de la Unión Europea es pionera en el mundo en su clase y se…

Ver más
Factores De Riesgo Ambiental
Factores de riesgo ambiental: evaluación y estrategias de respuesta
8 abril, 2025

Identificar los factores de riesgo ambiental es un proceso esencial para las empresas comprometidas con la gestión ambiental.…

Ver más
Revista Empresa Excelente ISOTools
Revista Empresa Excelente ISOTools: marzo 2025
7 abril, 2025

Iniciamos abril con una nueva edición de Revista Empresa Excelente ISOTools, donde exploramos los estándares ISO más relevantes...

Ver más

Volver arriba