![\"\"](\"http:\/\/blogs.uo.edu.cu\/seginf\/wp-content\/uploads\/sites\/4\/2024\/02\/ciberviernes-300x165.jpg\")
![\"\"](\"http:\/\/blogs.uo.edu.cu\/seginf\/wp-content\/uploads\/sites\/4\/2024\/06\/ISO-blog.png\")
Tema Organizacional en la ISO 27002.<\/p><\/div><\/p>\n
En la entrada anterior fueron expuestos un conjunto de cambios en las normas ISO de la serie 27000. <\/p>\n
El ideal de esta publicaci\u00f3n busca profundizar en algunos aspectos esenciales de la norma 27002, cuyo contenido esencial son las buenas pr\u00e1cticas para el manejo seguro de las TIC. En esta entrega, el an\u00e1lisis estar\u00e1 centrado en algunos controles del tema de lo organizacional, el primero de la norma.<\/p>\n
<\/p>\n
Este tema agrupa 37 de los 93 controles de la norma y son los siguientes:<\/p>\n
1. Las pol\u00edticas de seguridad de la informaci\u00f3n.
\n 2. Los roles y responsabilidades en la seguridad de la informaci\u00f3n.
\n 3. La segregaci\u00f3n de funciones.
\n 4. Responsabilidades de direcci\u00f3n.
\n 5. Contacto con autoridades.
\n 6. Contacto con grupos de especial inter\u00e9s.
\n 7. Inteligencia de subprocesos.
\n 8. Seguridad de la informaci\u00f3n en la gesti\u00f3n de proyectos.
\n 9. Inventario de informaci\u00f3n y otros activos asociados.
\n 10. Uso aceptable de la informaci\u00f3n y otros activos asociados.
\n 11. Devoluci\u00f3n de activos.
\n 12. Clasificaci\u00f3n de la informaci\u00f3n.
\n 13. Etiquetado de la informaci\u00f3n.
\n 14. Transferencia de informaci\u00f3n.
\n 15. Control de accesos.
\n 16. Administraci\u00f3n de identificaci\u00f3n.
\n 17. Informaci\u00f3n de autentificaci\u00f3n.
\n 18. Derechos de acceso.
\n 19. Seguridad de la informaci\u00f3n en las relaciones con los proveedores.
\n 20. Abordar la seguridad de la informaci\u00f3n en los acuerdos con los proveedores.
\n 21. Gestionar la seguridad de la informaci\u00f3n en la cadena de suministro de las tecnolog\u00edas de la informaci\u00f3n y las comunicaciones (TIC).
\n 22. Seguimiento, revisi\u00f3n y gesti\u00f3n de cambios de servicios de proveedores.
\n 23. Seguridad de la informaci\u00f3n para el uso de servicios en la nube.
\n 24. Planificaci\u00f3n y preparaci\u00f3n de la gesti\u00f3n de incidentes de seguridad de la informaci\u00f3n.
\n 25. Evaluaci\u00f3n y decisi\u00f3n sobre eventos de seguridad de la informaci\u00f3n.
\n 26. Respuesta a incidentes de seguridad de la informaci\u00f3n.
\n 27. Aprendiendo de los incidentes de seguridad de la informaci\u00f3n.
\n 28. Recolecci\u00f3n de evidencias.
\n 29. Seguridad de la informaci\u00f3n durante la interrupci\u00f3n.
\n 30. Preparaci\u00f3n de las TIC para la continuidad del negocio.
\n 31. Requisitos legales, estatutarios, reglamentarios y contractuales.
\n 32. Derechos de la propiedad intelectual.
\n 33. Protecci\u00f3n de registros.
\n 34. Privacidad y protecci\u00f3n de informaci\u00f3n personal.
\n 35. Revisi\u00f3n independiente de la seguridad de la informaci\u00f3n.
\n 36. Cumplimiento de pol\u00edticas, normas y est\u00e1ndares de seguridad de la informaci\u00f3n.
\n 37. Documentaci\u00f3n de los procesos operativos.<\/p>\n
En este tema, por razones obvias de espacio no pueden ser analizados todos. Es muy importante atender los controles que son esenciales en la actuaci\u00f3n cotidiana.<\/p>\n
Los que est\u00e1n numerados del 15 al 18 son esenciales en la seguridad de la informaci\u00f3n. El 15, referido al control de accesos se refiere a la necesidad de controlar el acceso f\u00edsico y l\u00f3gico a la informaci\u00f3n y otros activos conexos que deben establecidos e implementados en funci\u00f3n de los requisitos de seguridad de la informaci\u00f3n y de la organizaci\u00f3n. Solo as\u00ed se logra el prop\u00f3sito de evitar el acceso no autorizado a la informaci\u00f3n.<\/p>\n
Para desarrollar el proceso se establecen controles de acceso administrativo, f\u00edsico y l\u00f3gico. Los administrativos se utilizan para restringir el acceso a funciones administrativas como la gesti\u00f3n de usuarios, la configuraci\u00f3n de los sistemas, etc.<\/p>\n
Los de tipo f\u00edsico son medidas utilizadas para prevenir el ingreso de personas no autorizadas a per\u00edmetros determinados, restringiendo su acceso a activos f\u00edsicos como edificios, instalaciones, laboratorios, locales de los centros de datos u otras dependencias donde se hace necesario prevenir la entrada de intrusos.<\/p>\n
Por su parte los controles de acceso l\u00f3gicos se refieren a las herramientas de seguridad implementadas a nivel de los sistemas inform\u00e1ticos, las redes, las aplicaciones, los dispositivos y los datos, para garantizar que sean accedido s\u00f3lo por los usuarios autorizados.<\/p>\n
Con estos controles se asegura el uso de las aplicaciones, se determinan las entidades con acceso y su alcance a partir de los privilegios asignados, entre otros.<\/p>\n
Los numerados de 16 al 18, complementan este proceso y se refieren a la administraci\u00f3n de identificaci\u00f3n, la informaci\u00f3n de autentificaci\u00f3n y los derechos de acceso, respectivamente.<\/p>\n
Para ello, el 16 refiere que debe gestionarse el ciclo de vida completo de las identidades con el prop\u00f3sito de permitir la identificaci\u00f3n \u00fanica y inequ\u00edvoca de las personas y los sistemas que acceden a la informaci\u00f3n y otros activos asociados y permitir la asignaci\u00f3n adecuada de derechos de acceso.<\/p>\n
Mientras el 17 trabaja para establecer la asignaci\u00f3n y gesti\u00f3n de la informaci\u00f3n de autenticaci\u00f3n controlada por un proceso, incluido el asesoramiento al personal sobre el manejo adecuado de la informaci\u00f3n de autenticaci\u00f3n. Su prop\u00f3sito est\u00e1 en garantizar la correcta autenticaci\u00f3n de cualquier entidad y evitar fallos en los procesos de autenticaci\u00f3n.<\/p>\n
El control 18 se refiere a la tem\u00e1tica de los privilegios en los siguientes t\u00e9rminos: Los derechos de acceso a la informaci\u00f3n y otros activos asociados deben ser aprovisionados, revisados y modificados. Su eliminaci\u00f3n se hace con arreglo a pol\u00edticas espec\u00edficas de la organizaci\u00f3n sobre esta cuesti\u00f3n y a partir de las reglas para el control de acceso. Esto sustenta el prop\u00f3sito de garantizar que el acceso a la informaci\u00f3n y otros activos asociados se defina y autorice de acuerdo con el requisitos de la organizaci\u00f3n.<\/p>\n
Como se aprecia estos cuatro controles cierran un ciclo que va desde la identificaci\u00f3n, pasando por la autenticaci\u00f3n para llegar a la autorizaci\u00f3n tomando en consideraci\u00f3n los privilegios otorgados a las diversas entidades actuantes en el sistema inform\u00e1tico.<\/p>\n
La ejemplificaci\u00f3n de estos aspectos intenta llevar al conocimiento de todos que la manera en que se gestionan los procesos de los sistemas inform\u00e1ticos no est\u00e1n sustentados en caprichos de las personas que ejercen la administraci\u00f3n de las redes inform\u00e1ticas, sino que tienen como sustento buenas pr\u00e1cticas resultantes de estudios y experiencias de muchos expertos que desarrollan su labor en los diversos comit\u00e9s de la Organizaci\u00f3n Internacional de Estandarizaci\u00f3n.<\/p>\n
Para que el espectro sea mucho m\u00e1s abarcado es conveniente mostrar la filosof\u00eda de la norma ISO 27002 de Identificar, Proteger, Detectar, Responder y Recuperar, como pr\u00e1ctica esencial para la protecci\u00f3n de la informaci\u00f3n y los activos que la sustentan. <\/p>\n
Son conocidas las ventajas que tiene en diversas \u00e1reas del trabajo los servicios de la nube. Para mantener la seguridad sobre la informaci\u00f3n que se almacena en ella, est\u00e1 sustentado en garantizar confidencialidad, disponibilidad e integridad de la informaci\u00f3n. En tal sentido el control 23 del tema organizacional expone que los procesos de adquisici\u00f3n, uso, gesti\u00f3n y salida de los servicios en la nube deben establecerse en de acuerdo con los requisitos de seguridad de la informaci\u00f3n de la organizaci\u00f3n con ese prop\u00f3sito se especifica y administra la manera en que se desarrolla la seguridad de la informaci\u00f3n en los servicios en la nube. <\/p>\n
Para que se entienda mejor: la nube es un espacio de intercambio que permite una mayor operatividad a la instituci\u00f3n, las afectaciones de seguridad a este recurso afectan de manera notable la operatividad de los procesos institucionales, de ah\u00ed la importancia de proteger el servicio y la informaci\u00f3n que se maneja en ella garantizando confidencialidad, integridad y disponibilidad.<\/p>\n
Los controles del 24 al 30 agrupan un tema esencial que se relaciona con la gesti\u00f3n de incidentes. Esto es una muestra de la importancia que a nivel mundial se concede a este tema, con el que a\u00fan se tienen deudas en la Universidad.<\/p>\n
En Cuba existe una normativa legal que regula el Modelo de Actuaci\u00f3n para la respuesta a incidentes de Ciberseguridad que es la resoluci\u00f3n 105 de 2021 del Ministerio de Comunicaciones.<\/p>\n
En este modelo se plantea que el reporte y gesti\u00f3n de los incidentes de Ciberseguridad se organiza en correspondencia con las competencias de los organismos que participan en la seguridad de las TIC y la defensa del Ciberespacio Nacional, la categorizaci\u00f3n de los sistemas de trabajo y actividades, as\u00ed como los sistemas de clasificaci\u00f3n que al respecto se implementen. Este es el sentir que recogen estos cuatro controles.<\/p>\n
Es vital que se tome en consideraci\u00f3n aspectos como: el aprendizaje de los incidentes de seguridad que es el control 27, la colecta de evidencias, el 28 y la preparaci\u00f3n para la continuidad del negocio que es el 30 y que podr\u00eda expresar mejor nuestra realidad si se trata como comntinuidad de los procesos universitarios tras un incidente.<\/p>\n
El aprendizaje de la ocurrencia de un incidente es vital para evitar que este pueda reproducirse en el futuro. Para ello es esencial conocer a partir del an\u00e1lisis de los factores que lo propiciaron, sus causas, las acciones desarrolladas para enfrentarlo, mitigarlo o eliminar sus efectos y la comunicaci\u00f3n a todas las personas que requieran conocer sobre el incidente, para generar el conocimiento de como enfrentarlo. Pero sobre todo se debe atender la necesidad de que el trabajo correctivo sea revisado continuamente para evitar brechas que hagan posible un nuevo incidente.<\/p>\n
Por su parte la colecta de evidencias, es el punto de partida de la gesti\u00f3n de un incidente. Si las evidencias no se protegen desde el mismo momento en que se detecta el problema se corre el riesgo de que se contaminen y los resultados del estudio seam adversos. Es por ello, que la manipulaci\u00f3n de las evidencias deben ser desarrolladas por el personal especializado y siguiendo los c\u00e1nones establecidos. Por solo mostrar un ejemplo apagar una pc donde se produce un incidente puede provocar que se volatilice la informaci\u00f3n ubicada en la memoria e incluso puede propiciar que se destruyan aspectos vitales del registro del ordenador.<\/p>\n
Pero la continuidad de los procesos no depende de un capricho, no se logra con hacer funcionar el sistema inform\u00e1tico de una organizaci\u00f3n. Esto solo es posible si se ha garantizado que lo que dio origen al incidente fue erradicado, pero esto est\u00e1 regido por pol\u00edticas, medidas y procedimientos establecidos de antemano. Est\u00e1 sustentado en una gu\u00eda de acci\u00f3n que no deja lugar a improvisaciones.<\/p>\n
En la pr\u00f3xima entrega podr\u00e1 conocerse de los controles que se establecen en la ISO 27002 en torno al tema del personal.<\/p>\n
En la entrada anterior fueron expuestos un conjunto de cambios en las normas ISO de la serie 27000. El ideal de esta publicaci\u00f3n busca profundizar en algunos aspectos esenciales de la norma 27002, cuyo contenido esencial son las buenas pr\u00e1cticas … Sigue leyendo