![\"\"](\"http:\/\/blogs.uo.edu.cu\/seginf\/wp-content\/uploads\/sites\/4\/2024\/02\/ciberviernes-300x165.jpg\")
<\/p>\n<\/p>\n
Como ya se ha mencionado en las entradas precedentes, la norma ISO 27002 – que expone las buenas pr\u00e1cticas en torno al manejo seguro de la informaci\u00f3n – cambi\u00f3 su visi\u00f3n. Los an\u00e1lisis se hacen desde cuatro temas. El segundo de ellos se refiere al personal.<\/p>\n
![\"\"](\"http:\/\/blogs.uo.edu.cu\/seginf\/wp-content\/uploads\/sites\/4\/2024\/06\/iso_personal.png\")
<\/p>\n
Este tema ubicado en la cl\u00e1usula 6 de la norma, tiene 8 controles que van a expresar lo esencial en torno al tratamiento de cuestiones claves relacionadas con la selecci\u00f3n, contrataci\u00f3n y relaciones del personal con la organizaci\u00f3n, que puede alcanzar acuerdos de confidencialidad de la informaci\u00f3n.<\/p>\n
<\/p>\n
Los controles que pueden ser del tipo preventivo, de detecci\u00f3n o de correcci\u00f3n, parten del concepto de la ciberseguridad que se representa en la cadena: identificar, proteger, detectar, responder y recuperar.<\/p>\n
En este sentido la norma con una visi\u00f3n resiliente parte de los siguientes controles:<\/p>\n
1. Puesta en pantalla. (Screening).<\/p>\n
2. T\u00e9rminos y condiciones de empleo.<\/p>\n
3. Concientizaci\u00f3n, educaci\u00f3n y formaci\u00f3n en seguridad de la informaci\u00f3n.<\/p>\n
4. Procesos disciplinarios.<\/p>\n
5. Responsabilidad despu\u00e9s de concluir la relaci\u00f3n laboral o por cambio de labor.<\/p>\n
5. Responsabilidad despu\u00e9s de concluir la relaci\u00f3n laboral o por cambio de labor.<\/p>\n
6. Acuerdos de confidencialidad o no divulgaci\u00f3n de informaci\u00f3n de la organizaci\u00f3n.<\/p>\n
7. Trabajo remoto.<\/p>\n
8. Informes de eventos de seguridad de la informaci\u00f3n.<\/p>\n
Por razones l\u00f3gicas en este espacio no pueden ser analizados todos los controles, solo ser\u00e1n tratados los que se consideran de mayor incidencia en la instituci\u00f3n o que requieren de una mayor atenci\u00f3n por el impacto que pueden tener en la instituci\u00f3n.<\/p>\n
La \u201cPuesta en pantalla\u201d se refiere a la selecci\u00f3n del personal y la necesidad de verificar los antecedentes de las personas que ser\u00e1n tenidas en cuenta como candidatos a formar parte del personal en el \u00e1rea de las TIC.<\/p>\n
A este fin es vital atender las normas jur\u00eddicas nacionales y los reglamentos institucionales, los aspectos de tipo \u00e9tico y sobre todo, los aspectos relacionados con el desempe\u00f1o de la funci\u00f3n para la que se propone su contrataci\u00f3n a partir de la atenci\u00f3n a la seguridad de la informaci\u00f3n a manejar y su confidencialidad.<\/p>\n
Es por ello esencial, mantener en el radar los riesgos en que se incurre al contratar el personal, por lo que debe conocerse ampliamente su ejecutoria anterior.<\/p>\n
El tercer control que se refiere a la Concientizaci\u00f3n, educaci\u00f3n y formaci\u00f3n en seguridad de la informaci\u00f3n.<\/p>\n
Desde hace mucho tiempo en la Direcci\u00f3n de Informatizaci\u00f3n de la UO se tiene identificado este aspecto como una cuesti\u00f3n esencial para el trabajo preventivo en ciberseguridad por la alta frecuencia con que las personas que estudian y trabajan en la instituci\u00f3n se relacionan con las causas de los incidentes.<\/p>\n
Existe una especie de axioma que expone que si se desarrolla una preparaci\u00f3n del personal sobre los riesgos a que se enfrenta la organizaci\u00f3n, se le entrena en como enfrentar las amenazas y sobre todo como desarrollar un accionar en concordancia con las buenas pr\u00e1cticas, entonces se reduce proporcionalmente el volumen y nivel de la criticidad de los incidentes de la organizaci\u00f3n.<\/p>\n
La actualizaci\u00f3n de los conocimientos del capital humano en torno a las buenas pr\u00e1cticas es m\u00e1s que una necesidad un imperativo en un mundo donde las TIC son asechadas por una gran diversidad de amenazas.<\/p>\n
El control 4 de la norma se refiere a los procesos disciplinarios por violaciones de la seguridad inform\u00e1tica.<\/p>\n
Para que se aprecie la importancia que se le concede al tema por los expertos de los Comit\u00e9s de la ISO debe revelarse la esencia del proceso. El ideal de la norma. m\u00e1s que sancionar, es buscar el aprendizaje de todos a partir de los errores que se cometen que incluyen el trabajo correctivo cuando sea necesario.<\/p>\n
Es necesario recordar que el an\u00e1lisis de un incidente de ciberseguridad, cuando es analizado a fondo, deja ense\u00f1anzas para todos.<\/p>\n
El control 7 se refiere al trabajo remoto. Este aspecto est\u00e1 muy relacionado con la seguridad de la informaci\u00f3n en la nube que esta contenido en el control 23 del tema de lo organizacional, tratado la entrada anterior.<\/p>\n
El trabajo remoto requiere del cumplimiento de reglas y pol\u00edticas certeras en torno a la seguridad de la informaci\u00f3n para evitar que un impacto provoque un efecto domin\u00f3 en esta esfera. Proteger la informaci\u00f3n es vital para evitar que se afecte la secuencia de los procesos institucionales por la ruptura de un eslab\u00f3n de la cadena. Las personas que trabajan fuera del per\u00edmetro de red, al entrar a ella desde puntos distantes ampl\u00edan esta frontera y si carecen de medidas de protecci\u00f3n adecuada, ponen en riesgo la red de la instituci\u00f3n.<\/p>\n
Esto se muestra en la interrelaci\u00f3n con los controles del 15 al 18 del tema de lo organizacional sobre el control de accesos y los privilegios de las credenciales y la previsi\u00f3n de implementar los mecanismos para la confidencialidad, la integridad y la disponibilidad, cuesti\u00f3n esta que incluye a los activos de las personas que trabajan de forma remota.<\/p>\n
El octavo control del tema, relacionado con los informes de eventos de seguridad de la informaci\u00f3n, est\u00e1 interconectado con los controles 24 al 30 del tema organizacional y que se refieren a los incidentes inform\u00e1ticos.<\/p>\n
Si bien desde la \u00f3ptica de lo organizacional se analizan a partir del impacto institucional, por los mecanismos que deben crearse para que el capital humano reporte los incidentes o sospechas en un flujo de informaci\u00f3n ascendentes. Solo as\u00ed podr\u00e1n ser procesados seg\u00fan se establece en la ley y las pol\u00edticas institucionales y cumpliendo los tiempos establecidos a este fin.<\/p>\n
Pero en el tema del personal, se presentan desde la l\u00f3gica de la preparaci\u00f3n para actuar ante incidentes desde las buenas pr\u00e1cticas y la obligatoriedad de informar sobre los impactos en la instituci\u00f3n de exhaustiva, para lo que es vital el asentamiento de los datos en el libro de incidencias del \u00e1rea donde se produce el problema.<\/p>\n
En el pr\u00f3ximo trabajo ser\u00e1n expuestos para una mayor compresi\u00f3n de las buenas pr\u00e1cticas en TIC desde lo general, los controles referidos al rema de la seguridad f\u00edsica.<\/p>\n
Como ya se ha mencionado en las entradas precedentes, la norma ISO 27002 – que expone las buenas pr\u00e1cticas en torno al manejo seguro de la informaci\u00f3n – cambi\u00f3 su visi\u00f3n. Los an\u00e1lisis se hacen desde cuatro temas. El segundo … Sigue leyendo