Tema Organizacional en la ISO 27002.
En la entrada anterior fueron expuestos un conjunto de cambios en las normas ISO de la serie 27000.
El ideal de esta publicación busca profundizar en algunos aspectos esenciales de la norma 27002, cuyo contenido esencial son las buenas prácticas para el manejo seguro de las TIC. En esta entrega, el análisis estará centrado en algunos controles del tema de lo organizacional, el primero de la norma.
Este tema agrupa 37 de los 93 controles de la norma y son los siguientes:
1. Las políticas de seguridad de la información.
2. Los roles y responsabilidades en la seguridad de la información.
3. La segregación de funciones.
4. Responsabilidades de dirección.
5. Contacto con autoridades.
6. Contacto con grupos de especial interés.
7. Inteligencia de subprocesos.
8. Seguridad de la información en la gestión de proyectos.
9. Inventario de información y otros activos asociados.
10. Uso aceptable de la información y otros activos asociados.
11. Devolución de activos.
12. Clasificación de la información.
13. Etiquetado de la información.
14. Transferencia de información.
15. Control de accesos.
16. Administración de identificación.
17. Información de autentificación.
18. Derechos de acceso.
19. Seguridad de la información en las relaciones con los proveedores.
20. Abordar la seguridad de la información en los acuerdos con los proveedores.
21. Gestionar la seguridad de la información en la cadena de suministro de las tecnologías de la información y las comunicaciones (TIC).
22. Seguimiento, revisión y gestión de cambios de servicios de proveedores.
23. Seguridad de la información para el uso de servicios en la nube.
24. Planificación y preparación de la gestión de incidentes de seguridad de la información.
25. Evaluación y decisión sobre eventos de seguridad de la información.
26. Respuesta a incidentes de seguridad de la información.
27. Aprendiendo de los incidentes de seguridad de la información.
28. Recolección de evidencias.
29. Seguridad de la información durante la interrupción.
30. Preparación de las TIC para la continuidad del negocio.
31. Requisitos legales, estatutarios, reglamentarios y contractuales.
32. Derechos de la propiedad intelectual.
33. Protección de registros.
34. Privacidad y protección de información personal.
35. Revisión independiente de la seguridad de la información.
36. Cumplimiento de políticas, normas y estándares de seguridad de la información.
37. Documentación de los procesos operativos.
En este tema, por razones obvias de espacio no pueden ser analizados todos. Es muy importante atender los controles que son esenciales en la actuación cotidiana.
Los que están numerados del 15 al 18 son esenciales en la seguridad de la información. El 15, referido al control de accesos se refiere a la necesidad de controlar el acceso físico y lógico a la información y otros activos conexos que deben establecidos e implementados en función de los requisitos de seguridad de la información y de la organización. Solo así se logra el propósito de evitar el acceso no autorizado a la información.
Para desarrollar el proceso se establecen controles de acceso administrativo, físico y lógico. Los administrativos se utilizan para restringir el acceso a funciones administrativas como la gestión de usuarios, la configuración de los sistemas, etc.
Los de tipo físico son medidas utilizadas para prevenir el ingreso de personas no autorizadas a perímetros determinados, restringiendo su acceso a activos físicos como edificios, instalaciones, laboratorios, locales de los centros de datos u otras dependencias donde se hace necesario prevenir la entrada de intrusos.
Por su parte los controles de acceso lógicos se refieren a las herramientas de seguridad implementadas a nivel de los sistemas informáticos, las redes, las aplicaciones, los dispositivos y los datos, para garantizar que sean accedido sólo por los usuarios autorizados.
Con estos controles se asegura el uso de las aplicaciones, se determinan las entidades con acceso y su alcance a partir de los privilegios asignados, entre otros.
Los numerados de 16 al 18, complementan este proceso y se refieren a la administración de identificación, la información de autentificación y los derechos de acceso, respectivamente.
Para ello, el 16 refiere que debe gestionarse el ciclo de vida completo de las identidades con el propósito de permitir la identificación única y inequívoca de las personas y los sistemas que acceden a la información y otros activos asociados y permitir la asignación adecuada de derechos de acceso.
Mientras el 17 trabaja para establecer la asignación y gestión de la información de autenticación controlada por un proceso, incluido el asesoramiento al personal sobre el manejo adecuado de la información de autenticación. Su propósito está en garantizar la correcta autenticación de cualquier entidad y evitar fallos en los procesos de autenticación.
El control 18 se refiere a la temática de los privilegios en los siguientes términos: Los derechos de acceso a la información y otros activos asociados deben ser aprovisionados, revisados y modificados. Su eliminación se hace con arreglo a políticas específicas de la organización sobre esta cuestión y a partir de las reglas para el control de acceso. Esto sustenta el propósito de garantizar que el acceso a la información y otros activos asociados se defina y autorice de acuerdo con el requisitos de la organización.
Como se aprecia estos cuatro controles cierran un ciclo que va desde la identificación, pasando por la autenticación para llegar a la autorización tomando en consideración los privilegios otorgados a las diversas entidades actuantes en el sistema informático.
La ejemplificación de estos aspectos intenta llevar al conocimiento de todos que la manera en que se gestionan los procesos de los sistemas informáticos no están sustentados en caprichos de las personas que ejercen la administración de las redes informáticas, sino que tienen como sustento buenas prácticas resultantes de estudios y experiencias de muchos expertos que desarrollan su labor en los diversos comités de la Organización Internacional de Estandarización.
Para que el espectro sea mucho más abarcado es conveniente mostrar la filosofía de la norma ISO 27002 de Identificar, Proteger, Detectar, Responder y Recuperar, como práctica esencial para la protección de la información y los activos que la sustentan.
Son conocidas las ventajas que tiene en diversas áreas del trabajo los servicios de la nube. Para mantener la seguridad sobre la información que se almacena en ella, está sustentado en garantizar confidencialidad, disponibilidad e integridad de la información. En tal sentido el control 23 del tema organizacional expone que los procesos de adquisición, uso, gestión y salida de los servicios en la nube deben establecerse en de acuerdo con los requisitos de seguridad de la información de la organización con ese propósito se especifica y administra la manera en que se desarrolla la seguridad de la información en los servicios en la nube.
Para que se entienda mejor: la nube es un espacio de intercambio que permite una mayor operatividad a la institución, las afectaciones de seguridad a este recurso afectan de manera notable la operatividad de los procesos institucionales, de ahí la importancia de proteger el servicio y la información que se maneja en ella garantizando confidencialidad, integridad y disponibilidad.
Los controles del 24 al 30 agrupan un tema esencial que se relaciona con la gestión de incidentes. Esto es una muestra de la importancia que a nivel mundial se concede a este tema, con el que aún se tienen deudas en la Universidad.
En Cuba existe una normativa legal que regula el Modelo de Actuación para la respuesta a incidentes de Ciberseguridad que es la resolución 105 de 2021 del Ministerio de Comunicaciones.
En este modelo se plantea que el reporte y gestión de los incidentes de Ciberseguridad se organiza en correspondencia con las competencias de los organismos que participan en la seguridad de las TIC y la defensa del Ciberespacio Nacional, la categorización de los sistemas de trabajo y actividades, así como los sistemas de clasificación que al respecto se implementen. Este es el sentir que recogen estos cuatro controles.
Es vital que se tome en consideración aspectos como: el aprendizaje de los incidentes de seguridad que es el control 27, la colecta de evidencias, el 28 y la preparación para la continuidad del negocio que es el 30 y que podría expresar mejor nuestra realidad si se trata como comntinuidad de los procesos universitarios tras un incidente.
El aprendizaje de la ocurrencia de un incidente es vital para evitar que este pueda reproducirse en el futuro. Para ello es esencial conocer a partir del análisis de los factores que lo propiciaron, sus causas, las acciones desarrolladas para enfrentarlo, mitigarlo o eliminar sus efectos y la comunicación a todas las personas que requieran conocer sobre el incidente, para generar el conocimiento de como enfrentarlo. Pero sobre todo se debe atender la necesidad de que el trabajo correctivo sea revisado continuamente para evitar brechas que hagan posible un nuevo incidente.
Por su parte la colecta de evidencias, es el punto de partida de la gestión de un incidente. Si las evidencias no se protegen desde el mismo momento en que se detecta el problema se corre el riesgo de que se contaminen y los resultados del estudio seam adversos. Es por ello, que la manipulación de las evidencias deben ser desarrolladas por el personal especializado y siguiendo los cánones establecidos. Por solo mostrar un ejemplo apagar una pc donde se produce un incidente puede provocar que se volatilice la información ubicada en la memoria e incluso puede propiciar que se destruyan aspectos vitales del registro del ordenador.
Pero la continuidad de los procesos no depende de un capricho, no se logra con hacer funcionar el sistema informático de una organización. Esto solo es posible si se ha garantizado que lo que dio origen al incidente fue erradicado, pero esto está regido por políticas, medidas y procedimientos establecidos de antemano. Está sustentado en una guía de acción que no deja lugar a improvisaciones.
En la próxima entrega podrá conocerse de los controles que se establecen en la ISO 27002 en torno al tema del personal.