Búsca en Seguridad y Firewall


Estudiando - Fundamentos ISO 27001 y Seguridad de la Información Parte1

Diego Cortes Robles lunes, agosto 29, 2022Compartir:


Hoy todo lo que uno, mira y respira es información. De hecho la evolución de las sociedades ha ocurrido porque ha habido transferencia información entre individuos, algunos han podido crear, otros han podido desarrollar tecnologías con el uso de la información. La información también contiene historia, hechos y eventos importantes, por ese motivo siempre se ha dicho que la información es muchas veces mas importante que el mismo dinero.

Si nos vamos al día de hoy, todos generamos aunque no queramos información, ya sea sacando fotografías, comentando en una red social, enviando tu ubicación mediante tu teléfono, etc... 

La información puede tener diferentes tipos de valor, todo depende del uso que se le dé. Si nos vamos al hecho que todo es información, las metas que podemos tener en la vida, o como dueños de una empresa las metas de esta y hacia donde queremos ir también se puede plasmar como información.

Las empresas saben mucho de esto, ya que todas las desiciones que toman se basan en información que ellos poseen, ya sea por productos que están desarrollando para posicionarse sobre otras, o por que saben que habrán hechos que a ellos les pueden convenir o prevenir mediante el uso de la información. Como saben que la información es muy importante es que se desarrollan metodologías y formas de protegerlas, de ahí nace la seguridad de la información.

¿ Por qué debemos preocuparnos de la seguridad de la información?

La información que nosotros tenemos, nos puede dar ventaja ante el resto, u otros pueden tener ventaja de nosotros si utilizan la información que nosotros manejamos. Por este motivo que la información que manejamos debemos tratarla con la responsabilidad que corresponde. 

El uso de la información no está exenta de riesgos, por ejemplo, que alguien puede querer robarnos la información, pueden modificar mal intencionadamente nuestra información o pueden dejar indisponible nuestra información. Todo depende del ambiente que la información es el riesgo que esta pueda tener. Como nota importante no tan solo la información puede verse afecta o comprometida por agentes maliciosos, tambien puede verse afecta a catástrofes o desastres naturales.

¿Cómo determinamos el riesgo?

Para poder calcular el riesgo hay una formula sencilla, el impacto vs la probabilidad que ocurra nos da como resultado cuantificable el riesgo. Por ejemplo, inicialmente si nosotros manejamos la información considerada critica para la empresa, como por ejemplos contratos, de manera descuidada sobre un escritorio recurrentemente el impacto es alto, y la probabilidad de que alguien la tome tambien es alto, por lo que vemos que el riesgo de perder la información tambien es alto. Cuando nosotros identificamos ese riesgo es donde determinamos los controles necesarios para que los riesgos sean menores. 

La seguridad de la información se basa en tres pilares fundamentales, que son la Confidencialidad, la integridad y la Disponibilidad de la información.

  • Confidencialidad: Es la protección que se les da a la información para que solo pueda ser accedida por personas autorizadas.
  • Integridad: Que la información sea valida y fidedigna; por lo que solo personas autorizadas puedan hacer modificación a esta información.
  • Disponibilidad: Que la información este disponible en cualquier momento cuando los individuos autorizados la necesiten.

¿Y como protejo la información?

Para proteger la información debemos ser consientes de cuales son los riesgos a la cual la información puede ser expuesta. Esta siempre esta dada por un análisis de riesgo, un tratamiento a los riesgos adecuado y un plan de tratamiento de esos riesgos. Hay algunos métodos como el modelado de amenazas que pueden ayudar a encontrar todos estos riesgos y generar algunos controles para su correcta protección.

Si nos volvemos al ejemplo anterior de la persona que dejaba contratos descuidados en su escritorios a la vista de todos, podemos generar un control que los contratos siempre deben ser manejados en sistemas informáticos y que solo puedan se accedidos por personal autorizado, por lo que se genera un control que evita que cualquier persona pueda ver ese contenido.

Para mas profundidad pueden ver la ISO 27005 que tiene relación a la gestión de riesgo de la seguridad de la información.

Los riesgos pueden ser mitigados, controlados, eliminados, aceptados o transferidos.

Proteger la información según la ISO

Para poder proteger la información tenemos varias ISO en las cuales podemos basarnos para tener como linea y de ahi iniciar el proceso de protección

  • ISO 27001: Requisitos para la Gestión de riesgos de la seguridad de la información
  • ISO 27002: Buenas prácticas en la implementación de controles para la Seguridad de la información.
  • ISO 27003: Buenas practicas para implementar un Sistema de gestión de seguridad de la información (SGSI)
  • ISO 27004: Buenas practicas para medir un SGSI
  • ISO 27005: Buenas practicas para gestión de Riesgos de seguridad de la información
  • ISO 27017: Buenas practicas de gestión de servicios en la Nube
  • ISO 27018: Buenas practicas de protección de datos en la nube
  • ISO 27701: Es la ISO 27001 junto con los controles con la Reglamentación General de Protección de Datos (RGPD) Europeo


Implementando la ISO 27001




Se basa en el ciclo de Deming o PDCA, (Planificar, Hacer, Revisar, Actuar o Plan, Do, Check, Act en inglés) Este modelo de mejora continua, nos ayudara a tener siempre actualizado y vigente nuestro proceso de Seguridad. Partimos con la planificación de cómo vamos a proteger los datos, en base a esa planificación haremos y ejecutaremos esta planificación. Como sabemos si la planificación fue implementada de manera correcta? realizando la revisión de los controles, protocolos y procesos según la planificación inicial. En caso que veamos algún elemento mal implementado o que esta susceptible a mejoras actuaremos revisaremos cómo lo vamos a arreglar y volvemos a Planificar, y así sucesivamente.

A modo de objetivo la ISO 27001 conserva la confidencialidad, integridad y disponibilidad de la información, al aplicar un proceso de gestión de riesgo y entrega a las partes interesadas la tranquilidad de que estos riesgos se están gestionando de manera adecuada.

Antes de implementar la ISO, deberemos considerar donde vamos a determinar el alcance de esta implementación del SGSI, que áreas se verán afectas, que personas estarán dentro de este alcance etc, tambien es completamente necesario entender la organización de la empresa, y como esta posicionada la empresa para poder adecuar la ISO a las necesidades propias de la empresa.






Tags

Atención!: Hemos usado imagenes que nosotros hemos encontramos como libres, si detectas que alguna imagen te pertenece o consideras que estamos violando algún derecho de Autor avisanos inmediatamente al correo o por Inbox de Facebook y retiraremos la imagen inmediatamente. Solo adjuntanos el link. De ante mano muchas gracias!

Ayudanos a crecer!