Como ya se ha mencionado en las entradas precedentes, la norma ISO 27002 – que expone las buenas prácticas en torno al manejo seguro de la información – cambió su visión. Los análisis se hacen desde cuatro temas. El segundo de ellos se refiere al personal.
Este tema ubicado en la cláusula 6 de la norma, tiene 8 controles que van a expresar lo esencial en torno al tratamiento de cuestiones claves relacionadas con la selección, contratación y relaciones del personal con la organización, que puede alcanzar acuerdos de confidencialidad de la información.
Los controles que pueden ser del tipo preventivo, de detección o de corrección, parten del concepto de la ciberseguridad que se representa en la cadena: identificar, proteger, detectar, responder y recuperar.
En este sentido la norma con una visión resiliente parte de los siguientes controles:
1. Puesta en pantalla. (Screening).
2. Términos y condiciones de empleo.
3. Concientización, educación y formación en seguridad de la información.
4. Procesos disciplinarios.
5. Responsabilidad después de concluir la relación laboral o por cambio de labor.
5. Responsabilidad después de concluir la relación laboral o por cambio de labor.
6. Acuerdos de confidencialidad o no divulgación de información de la organización.
7. Trabajo remoto.
8. Informes de eventos de seguridad de la información.
Por razones lógicas en este espacio no pueden ser analizados todos los controles, solo serán tratados los que se consideran de mayor incidencia en la institución o que requieren de una mayor atención por el impacto que pueden tener en la institución.
La “Puesta en pantalla” se refiere a la selección del personal y la necesidad de verificar los antecedentes de las personas que serán tenidas en cuenta como candidatos a formar parte del personal en el área de las TIC.
A este fin es vital atender las normas jurídicas nacionales y los reglamentos institucionales, los aspectos de tipo ético y sobre todo, los aspectos relacionados con el desempeño de la función para la que se propone su contratación a partir de la atención a la seguridad de la información a manejar y su confidencialidad.
Es por ello esencial, mantener en el radar los riesgos en que se incurre al contratar el personal, por lo que debe conocerse ampliamente su ejecutoria anterior.
El tercer control que se refiere a la Concientización, educación y formación en seguridad de la información.
Desde hace mucho tiempo en la Dirección de Informatización de la UO se tiene identificado este aspecto como una cuestión esencial para el trabajo preventivo en ciberseguridad por la alta frecuencia con que las personas que estudian y trabajan en la institución se relacionan con las causas de los incidentes.
Existe una especie de axioma que expone que si se desarrolla una preparación del personal sobre los riesgos a que se enfrenta la organización, se le entrena en como enfrentar las amenazas y sobre todo como desarrollar un accionar en concordancia con las buenas prácticas, entonces se reduce proporcionalmente el volumen y nivel de la criticidad de los incidentes de la organización.
La actualización de los conocimientos del capital humano en torno a las buenas prácticas es más que una necesidad un imperativo en un mundo donde las TIC son asechadas por una gran diversidad de amenazas.
El control 4 de la norma se refiere a los procesos disciplinarios por violaciones de la seguridad informática.
Para que se aprecie la importancia que se le concede al tema por los expertos de los Comités de la ISO debe revelarse la esencia del proceso. El ideal de la norma. más que sancionar, es buscar el aprendizaje de todos a partir de los errores que se cometen que incluyen el trabajo correctivo cuando sea necesario.
Es necesario recordar que el análisis de un incidente de ciberseguridad, cuando es analizado a fondo, deja enseñanzas para todos.
El control 7 se refiere al trabajo remoto. Este aspecto está muy relacionado con la seguridad de la información en la nube que esta contenido en el control 23 del tema de lo organizacional, tratado la entrada anterior.
El trabajo remoto requiere del cumplimiento de reglas y políticas certeras en torno a la seguridad de la información para evitar que un impacto provoque un efecto dominó en esta esfera. Proteger la información es vital para evitar que se afecte la secuencia de los procesos institucionales por la ruptura de un eslabón de la cadena. Las personas que trabajan fuera del perímetro de red, al entrar a ella desde puntos distantes amplían esta frontera y si carecen de medidas de protección adecuada, ponen en riesgo la red de la institución.
Esto se muestra en la interrelación con los controles del 15 al 18 del tema de lo organizacional sobre el control de accesos y los privilegios de las credenciales y la previsión de implementar los mecanismos para la confidencialidad, la integridad y la disponibilidad, cuestión esta que incluye a los activos de las personas que trabajan de forma remota.
El octavo control del tema, relacionado con los informes de eventos de seguridad de la información, está interconectado con los controles 24 al 30 del tema organizacional y que se refieren a los incidentes informáticos.
Si bien desde la óptica de lo organizacional se analizan a partir del impacto institucional, por los mecanismos que deben crearse para que el capital humano reporte los incidentes o sospechas en un flujo de información ascendentes. Solo así podrán ser procesados según se establece en la ley y las políticas institucionales y cumpliendo los tiempos establecidos a este fin.
Pero en el tema del personal, se presentan desde la lógica de la preparación para actuar ante incidentes desde las buenas prácticas y la obligatoriedad de informar sobre los impactos en la institución de exhaustiva, para lo que es vital el asentamiento de los datos en el libro de incidencias del área donde se produce el problema.
En el próximo trabajo serán expuestos para una mayor compresión de las buenas prácticas en TIC desde lo general, los controles referidos al rema de la seguridad física.