Tecnología para almacenar y compartir datos sensibles

En la actualidad, la seguridad de la información se ha convertido en un asunto primordial para las personas y las organizaciones, debido a que cada día dependen cada vez más de la tecnología para almacenar y compartir datos sensibles. Por lo tanto, el buen uso y la concienciación sobre seguridad de la información se han vuelto esenciales para protegerse contra amenazas cibernéticas. Sin embargo, a pesar de ello, existen problemas comunes que dificultan esta concienciación y que deben ser abordados para garantizar una mayor seguridad, los cuales mencionaremos a continuación:

1. Falta de Comprensión

Uno de los problemas más comunes es la falta de comprensión sobre lo que implica la seguridad de la información. Muchas personas y organizaciones no comprenden completamente los riesgos a los que están expuestos y, por lo tanto, no toman las medidas adecuadas para protegerse. Esto puede llevar a la negligencia en la gestión de contraseñas, la descarga de software no seguro y la exposición inadvertida de información confidencial.

2. Falta de Educación

La educación en seguridad de la información es esencial para crear conciencia, pero es un área en la que a menudo se invierte poco. Las personas pueden no estar al tanto de las mejores prácticas de seguridad, como el uso de contraseñas robustas, la autenticación de dos factores y la identificación de correos electrónicos de phishing. Esto puede dejar a las personas y a las organizaciones vulnerables a ataques cibernéticos.

3. Complacencia

Otro problema común es la complacencia. Después de un período sin incidentes, las personas y las organizaciones pueden relajarse en cuanto a las medidas de seguridad, creyendo erróneamente que no serán blanco de ataques. Sin embargo, los ciberdelincuentes están en constante evolución y siempre buscan nuevas formas de infiltrarse en sistemas y robar información.

4. Falta de Recursos

Las organizaciones a menudo luchan con la asignación de recursos suficientes para la seguridad de la información. Esto puede manifestarse en la falta de personal dedicado a la seguridad cibernética o en la falta de presupuesto para herramientas y capacitación. Sin los recursos adecuados, es difícil mantenerse al día con las amenazas emergentes y protegerse de manera efectiva.

5. Falta de Concienciación Cultural

La seguridad de la información debe ser una preocupación de todos en una organización, desde la alta dirección hasta los empleados de nivel de entrada. La falta de una cultura de seguridad puede dar lugar a prácticas descuidadas, como compartir contraseñas o dejar la información confidencial en lugares públicos. Sin un compromiso total en toda la organización, es difícil mantener un alto nivel de seguridad.

Cómo Superar los Problemas de Concienciación sobre Seguridad de la Información

1. Educación Continua

La educación es clave para superar la falta de comprensión y la falta de educación en seguridad de la información. Las organizaciones deben invertir en programas de capacitación regulares para sus empleados, que aborden temas como la identificación de amenazas, la gestión de contraseñas y las mejores prácticas de seguridad en línea. Además, es importante mantenerse actualizado sobre las últimas tendencias en seguridad cibernética y compartir ese conocimiento en toda la organización.

2. Cultura de Seguridad

Crear una cultura de seguridad es esencial para abordar la complacencia y la falta de concienciación cultural. Esto implica fomentar la responsabilidad en todos los niveles de la organización y promover la importancia de la seguridad de la información como una prioridad empresarial. La alta dirección debe liderar con el ejemplo y establecer políticas claras de seguridad.

3. Asignación de Recursos

Las organizaciones deben asignar recursos adecuados a la seguridad de la información. Esto incluye la contratación de personal de seguridad cibernética calificado, la inversión en herramientas de seguridad actualizadas y la dedicación de presupuesto a la capacitación y concienciación en seguridad. La seguridad no debe ser considerada como un gasto, sino como una inversión en la protección de datos críticos.

4. Monitoreo y Evaluación

El monitoreo constante de la seguridad de la información es esencial para identificar y abordar posibles vulnerabilidades. Las organizaciones deben implementar sistemas de monitoreo de seguridad y realizar evaluaciones periódicas de riesgos. Esto les permitirá tomar medidas preventivas antes de que ocurra un incidente.

5. Colaboración y Comunicación

La colaboración y la comunicación son fundamentales en la lucha contra las amenazas cibernéticas. Las organizaciones deben compartir información sobre amenazas y vulnerabilidades con otros actores del sector y participar en iniciativas de colaboración en seguridad. La comunicación efectiva con los empleados también es esencial para informarles sobre las últimas amenazas y las mejores prácticas.

En resumen, la concienciación sobre seguridad de la información es esencial en la era digital actual. Si bien existen problemas comunes que dificultan la seguridad de la información, estos pueden superarse mediante la educación continua, la promoción de una cultura de seguridad, la asignación de recursos adecuados y la colaboración efectiva. La seguridad de la información debe ser una prioridad para individuos y organizaciones por igual para protegerse contra las amenazas cibernéticas en constante evolución.

Software para la concienciación sobre la importancia de los activos de la información

ISOTools es una herramienta invaluable para fortalecer la concienciación sobre seguridad de la información en cualquier organización. Este software ofrece una plataforma centralizada y fácil de usar que permite a las empresas gestionar eficazmente sus políticas y procedimientos de seguridad de la información, así como la formación y capacitación de su personal. Con características como la automatización de recordatorios y la generación de informes detallados, ISOTools facilita la difusión de prácticas de seguridad de clase mundial entre los empleados, fomentando una cultura de protección de datos y minimizando los riesgos de brechas de seguridad.

Además, su capacidad para mantenerse al día con las normativas y estándares internacionales garantiza que las organizaciones puedan adaptarse rápidamente a los cambios en el entorno de la seguridad de la información, manteniendo así la integridad de sus activos digitales y la confianza de sus clientes y socios comerciales.

Protección de infraestructuras críticas

La seguridad de la información es una prioridad para la protección de infraestructuras críticas. Esto se debe a que la información es uno de los activos más importantes de una organización y su seguridad es fundamental para garantizar la continuidad de los negocios. La seguridad de la información es una disciplina que abarca una variedad de áreas, desde la protección de la información hasta la prevención de amenazas. Esto incluye la protección de los sistemas informáticos, la protección de la información almacenada en los sistemas, el control de acceso a los sistemas y la prevención de ataques cibernéticos.

La protección de dato es un método en inmutable progreso. Esto se debe a que los ataques cibernéticos se vuelven cada vez más sofisticados y los riesgos para la seguridad de la información aumentan. Esto significa que las organizaciones deben estar preparadas para enfrentar estos desafíos y garantizar la seguridad de sus sistemas. Además, las organizaciones deben estar preparadas para implementar medidas de seguridad adecuadas para proteger sus sistemas y datos.

Seguridad de la Información

Una de las principales áreas de la seguridad de la información es la protección de infraestructuras críticas. Incluye la protección de los sistemas informáticos, la protección de la información almacenada en los sistemas, el control de acceso a los sistemas y la prevención de ataques cibernéticos. Esto significa que las organizaciones deben estar preparadas para implementar medidas de seguridad adecuadas para proteger sus sistemas y datos. Esto incluye la implementación de políticas de seguridad, la implementación de controles de seguridad, la implementación de herramientas de seguridad y la implementación de procedimientos de seguridad.

Además, las organizaciones deben estar preparadas para responder a incidentes de seguridad. Esto significa que las organizaciones deben estar preparadas para detectar, investigar y responder a incidentes de seguridad. Esto incluye la implementación de procedimientos de respuesta a incidentes, la implementación de herramientas de detección de incidentes y la implementación de herramientas de análisis de incidentes. Esto ayudará a las organizaciones a identificar y responder a incidentes de seguridad de manera eficaz.

El futuro para la protección de infraestructuras críticas es prometedor. Esto se debe a que las organizaciones están cada vez más conscientes de los riesgos para la seguridad de la información y están tomando medidas para proteger sus sistemas y datos. Esto significa que las organizaciones están invirtiendo en tecnologías de seguridad avanzadas, como la ciberseguridad, la seguridad de la información en la nube y la seguridad de la red. Esto ayudará a las organizaciones a proteger sus sistemas y datos de forma eficaz.

Continuidad de negocio 

El futuro de la seguridad de la información para la protección de infraestructuras críticas también incluye el uso de tecnologías de inteligencia artificial para mejorar la seguridad de la información. Esto significa que las organizaciones pueden utilizar tecnologías como el aprendizaje automático y la minería de datos para mejorar la seguridad de la información. Esto ayudará a las organizaciones a identificar amenazas potenciales y responder a ellas de manera eficaz.

La seguridad de la información es una parte fundamental para la protección de infraestructuras críticas. Esto implica la implementación de medidas de seguridad adecuadas para garantizar que los datos y la información se mantengan seguros y protegidos. Estas medidas incluyen el uso de herramientas de cifrado, la implementación de políticas de seguridad, la vigilancia de la red y el uso de soluciones de seguridad avanzadas. Estas medidas ayudan a prevenir el acceso no autorizado a los datos y la información, así como a proteger los sistemas y la infraestructura crítica.

En conclusión, la seguridad de la información es una prioridad para la protección de infraestructuras críticas. Esto se debe a que la información es uno de los activos más importantes de una organización y su seguridad es fundamental para garantizar la continuidad de los negocios. Las organizaciones deben estar preparadas para implementar medidas de seguridad adecuadas para proteger sus sistemas y datos. Además, el futuro de la seguridad de la información para la protección de infraestructuras críticas incluye el uso de tecnologías de inteligencia artificial para mejorar la seguridad de la información. Por tanto, ayudará a las organizaciones a proteger sus sistemas y datos de forma eficaz y garantizar la continuidad de los negocios.

Software para los Sistemas de Gestión SI

ISOTools es una solución tecnológica que facilita la implementación, automatización y mantenimiento de la norma con el software ISO 27001 para los Sistemas de Gestión de Seguridad de la Información. Además, a través de ISOTools, se pueden cumplir los requisitos basados en el ciclo PHVA (Planear – Hacer – Verificar – Actuar). Los necesitaremos para establecer, implementar, mantener y mejorar el Sistema de Gestión de Seguridad de la Información. Una solución que cumple de manera complementaria las buenas prácticas o controles establecidos en la norma ISO 27002.

Lo que hace posible la integración con otras normas como ISO 9001, ISO 14001 e ISO 45001 es la estructura modular de este software, lo que permite una integración más sencilla y eficiente.

Protección de datos en Ecuador

En la era digital, la protección de los datos personales se ha convertido en un tema de suma importancia. Ecuador, al igual que en muchos otros países, se han implementado reglamentos para garantizar la privacidad y seguridad de la información de los ciudadanos. A lo largo de este artículo, exploraremos el Reglamento de Protección de Datos en Ecuador y analizaremos las novedades más relevantes que todos debemos tener en cuenta.

Antecedentes del Reglamento de Protección de Datos en Ecuador

El Reglamento de Protección de Datos en Ecuador se basa en la Ley Orgánica de Datos Personales (LOPD) y tiene como objetivo regular el tratamiento de los datos personales en el país. Fue aprobado el 10 de mayo de 2021 y establece las directrices y obligaciones tanto para las organizaciones como para los ciudadanos en lo que respecta a la protección de datos.

Principios fundamentales del Reglamento

El Reglamento de Protección de Datos en Ecuador se sustenta en una serie de principios fundamentales que garantizan el correcto tratamiento de la información personal. Estos principios incluyen:

2.1 Consentimiento informado: Las organizaciones deben obtener el consentimiento explícito y libre de los individuos antes de recopilar y procesar sus datos personales.

2.2 Finalidad legítima: Los datos personales solo pueden ser recopilados y utilizados para fines legítimos y específicos, previamente informados a los titulares de los datos.

2.3. Proporcionalidad y calidad: Los datos recopilados deben ser adecuados, pertinentes y limitados a lo necesario para cumplir con la finalidad establecida.

2.4 Seguridad: Se deben implementar medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos personales y prevenir su acceso no autorizado, divulgación, modificación o destrucción.

Novedades destacadas del Reglamento

3.1 Derechos de los titulares de datos: El Reglamento de Protección de Datos en Ecuador reconoce una serie de derechos para los titulares de datos personales, como el acceso, rectificación, cancelación y oposición al tratamiento de sus datos. Además, se introduce el derecho a la portabilidad de datos, que permite a los ciudadanos transferir sus datos personales de una organización a otra.

3.2 Obligaciones de las organizaciones: Las organizaciones que procesan datos personales deben cumplir con diversas obligaciones, como mantener un registro de actividades de tratamiento, implementar medidas de seguridad adecuadas, notificar brechas de seguridad, designar un Encargado de Protección de Datos, y realizar evaluaciones de impacto en la protección de datos cuando sea necesario.

3.3 Transferencia internacional de datos: El Reglamento establece requisitos específicos para la transferencia de datos personales fuera del territorio ecuatoriano. De este modo se asegura que se mantenga un nivel adecuado de protección de datos en países o empresas receptoras.

3.4 Autoridad de Control: Se crea una Autoridad de Control encargada de supervisar y hacer cumplir el Reglamento de Protección de Datos en Ecuador. Por tanto, esta autoridad tiene la facultad de imponer sanciones en caso de incumplimiento de las disposiciones del reglamento.

Obligaciones de las organizaciones

4.1 Registro de bases de datos: Las organizaciones que traten datos personales deben llevar un registro de sus bases de datos, que incluya información sobre su finalidad, categoría de datos tratados, medidas de seguridad implementadas, entre otros aspectos.

4.2 Evaluación de impacto en la protección de datos: En determinados casos, se debe realizar una evaluación de impacto en la protección de datos para identificar los riesgos y establecer medidas de mitigación antes de llevar a cabo un tratamiento de datos.

 4.3 Designación de un oficial de protección de datos: Algunas organizaciones deben designar un oficial de protección de datos, encargado de velar por el cumplimiento de la normativa de protección de datos y servir como punto de contacto con la ARCO.

Salvaguardad la privacidad y seguridad

Para enfatizar, la protección de datos personales es un tema crucial en el entorno digital actual, y el Reglamento de Protección de Datos en Ecuador busca establecer los lineamientos y obligaciones necesarias para salvaguardar la privacidad y seguridad de los ciudadanos. Al conocer las novedades destacadas de este reglamento, las organizaciones y los individuos pueden tomar medidas proactivas para garantizar el cumplimiento de las normas y proteger adecuadamente la información personal. En un mundo cada vez más interconectado, es fundamental estar al tanto de las regulaciones y adaptarse a ellas para asegurar la integridad y confidencialidad de los datos.

Software para la Seguridad de la Información ISO 27001

El programa ISOTools Excellence ISO 27001 para la gestión de riesgos y seguridad informática es altamente versátil y puede adaptarse a las necesidades específicas de cada empresa gracias a sus múltiples aplicaciones configurables. Al integrar estas aplicaciones, el software garantiza que la información manejada por las organizaciones mantenga su disponibilidad, integridad y confidencialidad.

Además de facilitar la certificación de la norma ISO 27001, este software es una herramienta fundamental para la gestión de la seguridad informática y el cumplimiento de los requisitos establecidos en el Reglamento General de Protección de Datos.

Seguridad de la información y la norma ISO 27014

La ISO 27014 es una norma internacional que proporciona directrices para la gobernanza eficaz de los sistemas de gestión de seguridad de la información (SGSI). Esta norma establece los principios, los requisitos y las directrices para la implementación de un SGSI eficaz. Está diseñada para ayudar a las organizaciones a mejorar la seguridad de la información y asegurar que los datos sean tratados de forma segura. La ISO 27014 establece un marco para la gobernanza de los SGSI, que incluye la definición de roles y responsabilidades, la definición de políticas y procedimientos, el establecimiento de controles de seguridad, la gestión de riesgos y la monitorización de los sistemas.

La norma también proporciona directrices para la gestión de incidentes de seguridad, el cumplimiento de los requisitos legales y la protección de los datos. La ISO 27014 es una herramienta útil para ayudar a las organizaciones a mejorar la seguridad de la información y asegurar que los datos sean tratados de forma segura.

Especificaciones de la norma 

La gobernanza de los SGSI se apoya en la ISO 27014 para establecer controles de seguridad, gestionar riesgos y monitorizar los sistemas. Además, proporciona directrices para la gestión de incidentes de seguridad, el cumplimiento de los requisitos legales y la protección de los datos.

Esta norma también proporciona directrices para el desarrollo de un marco de gestión del riesgo que aborde los riesgos relacionados con la seguridad, el cumplimiento y la privacidad.

Resguardar toda información de una organización contra infracciones de datos y robo de información confidencial, lo cual es un tema complejo. Normalmente implica varios sistemas, herramientas y personas para hacerlo bien. En cambio, aunque pongamos todos nuestros esfuerzos del mundo pueden conducir a la frustración si todo el sistema no se administra de un modo seguro para certificar la claridad de lo que funciona y lo que no, y cómo se ajusta todo dentro de las organizaciones y estrategias de la organización.

La actualización más reciente de ISO / IEC 27014 es la integridad que es la esencia de la ISO / IEC 27001, ya que es clave para las acciones de administración de la seguridad de la información compuestas en el contexto de la administración organizativa general y para el alcance de un SGSI.

Alcanzar la dispersión organizacional de la seguridad de la información en el despliegue de toda la organización es un elemento preciso en el logro de los objetivos del negocio, tomando en consideración que la información es un activo crítico para todas las operaciones empresariales. Encontrarse con la seguridad de la información en un universo muy versátil y competitivo, donde las tecnologías progresan en etapas muy acotadas de tiempo y en el que las adquisiciones y los negocios son cada vez más selectivos, y no solo aporta valor al negocio, sino que permite afrontar los diversos riesgos de manera adecuada tomando en cuenta las capacidades de la organización. 

La importancia del Sistema de Seguridad de la Información 

La Gobernanza de Seguridad de la Información es una disciplina que se encarga de establecer y mantener un equilibrio entre los objetivos de seguridad de la información y los objetivos comerciales de una organización. Esto se logra mediante el establecimiento de políticas, procesos y procedimientos para garantizar que la información sea protegida y utilizada de manera eficiente.

La Gobernanza de Seguridad de la Información también se encarga de asegurar que los recursos sean utilizados adecuadamente para cumplir con los objetivos de seguridad. Esto incluye el monitoreo y la evaluación del desempeño de los sistemas de seguridad, así como el desarrollo y mantenimiento de estándares y prácticas para garantizar que los sistemas cumplan con los requisitos legales y regulatorios. La Gobernanza de Seguridad de la Información también se encarga de asegurar que los recursos sean utilizados adecuadamente para cumplir con los objetivos de seguridad. Esto incluye el monitoreo y la evaluación del desempeño de los sistemas de seguridad, así como el desarrollo y mantenimiento de estándares y prácticas para garantizar que los sistemas cumplan con los requisitos legales y regulatorios.

La Gobernanza de Seguridad de la Información también es responsable del diseño, implementación y mantenimiento de un marco integral para la gestión del riesgo, que incluye el análisis, la evaluación, el control y la mitigación del riesgo. Esto ayuda a garantizar que los recursos sean utilizados adecuadamente para cumplir con los objetivos comerciales sin comprometer la seguridad.

Software Riesgos de Seguridad de la Información

El Software sobre Riesgos de Seguridad de la Información de ISOTools, es la solución que agilizará todos los procesos en torno a la gestión de la información en su empresa. Un SGSI le permitirá que la evaluación de riesgos no quede estática y esté interconectada con la realidad de los Sistemas de Información.

A través de la utilización de indicadores asociados directamente con la realidad del negocio conseguiremos medir de forma eficiente todos los controles. Ésta se traducirá en una evaluación de riesgos real y actualizada. 

ISO 27001:2022

ISO 27001 es una norma internacional emitida por la organización internacional de normalización (ISO) y describe como gestionar la seguridad de la información en una organización. La ISO 27001 puede ser implementada en cualquier tipo de organización, con o sin fines de lucro, sea una empresa grande, pequeña, privada o pública. Está redactada con los mejores especialistas del mundo en el tema que brinda una metodología para implementar la gestión de la seguridad de la información en una compañía. También permite que una compañía que sea certificada, es decir, que una entidad de certificación independiente puede confirmar que la seguridad de la información ha sido implementada en esa compañía en cumplimiento a la norma.

La ISO 27001, tiene 4 ventajas importantes que una organización puede obtener a implementar esta norma de seguridad:

• Cumplir con los Requerimientos legales
• Conseguir una ventaja comercial.
• Minimizar Costos.
• Una mejor Organización.

Uno de los cambios más importantes que tuvo la ISO 27001 está en cómo se agrupan los controles, en esta nueva versión en lugar de contar con los 14 dominios (Es lo que agrupa a los diferentes controles), ahora está formado por 4 temas diferentes, son los siguientes:

• Controles Organizacionales: Aquí se encuentran un total de 37 controles, donde estos se enfocan principalmente en la seguridad administrativa de las diferentes organizaciones, como son las políticas de seguridad de la información.
• Controles de Personas: Este punto tiene un total de 8 controles que se enfocan en la seguridad del capital humano. Las condiciones y términos de empleo son un ejemplo claro de lo que se puede encontrar en estos controles.
• Controles Físicas: se encuentra un total de 14 controles, estos comprenden todo lo que tenga que ver con instalaciones físicas. Un ejemplo claro son los controles de entrada a la oficina, es decir, tarjetas de ingreso o de identificación para poder abrir la puerta.
• Controles Tecnológicos: Se encuentran un total de 34 controles que conforman esta sección, puede ser la autenticación segura para poder acceder a cualquier sistema de la organización. Un ejemplo puede ser que se te solicite usuarios y contraseña o y código QR de identificación.

Además, lo mencionado anteriormente, se eliminó un control, se fusionaron algunos y se crearon 11 nuevos controles, al final quedaron 93 controles en lugar de 114 que se tenían antes. Otro detalle es que ISO busca la modernización y por esta razón, utilizaron para indicar los atributos donde se detallan 5, son los siguientes:

• Tipo de Control: Este indica cuando y como el control impacta sobre la gestión de riesgos. Un ejemplo puede ser un control correctivo donde aplica después que la amenaza ocurre y el control preventivo que aplica antes de que la amenaza ocurra.  Los posibles valores del atributo son: Correctivos, Detectivos y Preventivos.

• Propiedad de SI: Los atributos de este grupo contribuyen a preservar una o más de las 3 características de la seguridad de la información. Los posibles valores del atributo son: Confidencialidad, Integridad y Disponibilidad.

• Concepto de Ciberseguridad: Apoya a que tu organización se asocie a los 5 grandes dominios de ciberseguridad. Los posibles valores del atributo son: Detectar, Identificar, proteger, Recuperar y Responder.

• Capacidad Operacional: Estos atributos te apoyan a agrupar controles de una manera más práctica. Un ejemplo claro es por medio de responsabilidades o gestión operativa. Los posibles valores del atributo son: Protección de información, gestión de activos, seguridad en los recursos humanos, seguridad física, seguridad en sistemas y redes, gestión de acceso a identidades, continuidad, gestión de amenazas y vulnerabilidades.

• Dominio de Seguridad: Te ayuda a catalogar los controles desde la perspectiva de aplicación. Los posibles valores del atributo son: Gobierno, defensa, protección.

Para concluir, los controles no sufrieron cambios grandes, al contrario, nos ayuda a entender como es la metodología que se puede implementar en nuestra organización haciendo reducción de dichos controles. El certificado ISO 27001 le concierne a cualquier tipo de organización sin importar su tamaño y actividad. El factor importante para decidir sobre la implementación de un sistema de gestión de la seguridad de la información reside en la importancia que los activos de información tienen dentro de una organización como elementos necesarios para la obtención de sus objetivos.

Aunque se dispondrá de un tiempo moderado para acomodarnos a estos cambios, ajustarnos al nuevo estándar, nos concederá una buena herramienta para garantizar la seguridad de la información, las diversas organizaciones indicaran a sus colaboradores, clientes y las partes interesadas que estarán al tanto de los nuevos desarrollos en la industria de la seguridad de la información.

Matriz IPER para ISO 45001

Las matrices de riesgos son instrumentos de gran utilidad, ya que nos permite identificar todo tipo de riesgos concurrentes con la actividad de la organización.

El uso de esta herramienta está muy desarrollado, principalmente en las empresas certificadas por la norma ISO 45001, esta nos muestra en su punto 6.1 que se ha ejecutar una serie de acciones para plantear los riesgos y oportunidades, con el objetivo de aseverar la obtención de objetivos, evitar riesgos y, en resumen, conseguir la mejora continua del (SGSST). Todo ello pasa por la identificación de riesgos y oportunidades y la evaluación de su impacto en la empresa y contexto para su acción. Una de los equipos más útiles con las que cuentan las sociedades para identificar, evaluar y gestionar los riesgos a los que se enfrentan es la matriz de riesgos.

Esta específicamente es un documento que permite realizar la identificación de las actividades que realiza una empresa, los riesgos inherentes a las mismas y la probabilidad de que estos riesgos se concreten. Para que sea eficaz es preciso que colaboren en su confección todas las partes interesadas, procesos y áreas productivas, operativas y funcionales de la organización, además de que sea sujeta a revisiones periódicas.

1. Se debe identificar los riesgos y oportunidades que se presentan tanto en los procesos de una organización, como aquellos referentes al contexto interno o externo que logren afectar al sistema o a sus partes interesadas. Para tener en consideración revisemos los siguientes puntos:

Seguimiento general: El contexto interno y externo, necesidades y expectativas de las partes interesadas, además del alcance del SGSST.

Determinar qué estimamos como riesgo u oportunidad: peligros, riesgos y oportunidades para la SST y el sistema de gestión, los requisitos legales y otros que pueden impactar. Se han de tener en cuenta aspectos como: estrategia, estructura, recursos humanos, procesos, competitividad, aspectos sociales y políticos, innovación, desarrollo tecnológico, proveedores, entre otros.

2. Se deberán evaluar los riesgos y oportunidades, en contextos normales, como en un escenario de emergencia (6.1.2.3 Evaluación de las oportunidades para la SST)
3. Este punto es a la acción. Se deben identificar y programar todas las acciones derivadas de los distintos análisis de riesgos y oportunidades (procedimientos, instrucciones, formaciones) y evaluar su eficacia. (6.1.4 Planificación de acciones).

Elementos indispensables para crear una matriz de riesgos

En una primera etapa en la que se estudian los objetivos estratégicos de la empresa, se elaborará la matriz de riesgos, que ha de contar con:

1. Identificación de riesgos. Los riesgos pueden ser inherentes a la propia actividad de la empresa o influenciados por el entorno.
2. Resolución de la probabilidad y el impacto de los riesgos: Establecer una categorización donde se establezca la probabilidad de que un riesgo ocurra. Además de la probabilidad de que ocurran los riesgos, es preciso incluir en este punto el impacto que puede tener sobre la empresa.
3. Evaluación del riesgo: Cuando creas una matriz de riesgos es evaluar si los controles determinados por la organización para mitigar los riesgos son eficaces.  Una evaluación eficaz de riesgo establece el nivel del mismo, pudiendo ser bajo, tolerable, moderado, importante o intolerable. Los expertos se encargan de realizar la matriz de riesgos
4. Cálculo del riesgo neto o residual: Se calcula teniendo en cuenta el grado concreto de los riesgos inherentes, si se conoce el riesgo residual, la gerencia, podrá tomar decisiones para continuar o no con una acción, dependiendo de su nivel de riesgo.

Estados críticos que ha de considerar una matriz de riesgos

Como ya hemos visto, la gestión de riesgos según la norma 45001 es un proceso dinámico, por lo tanto, se necesita volver a evaluar el riesgo habitualmente. Por esto es que se necesita un instrumento manejable, que documente los procesos y evalúe el riesgo general de la compañía. Por ello, en la elaboración se necesita la colaboración de diferentes entidades de negocios, ya sean funcionales u operativas.

La matriz de riesgos ha de mostrar una orientación metódica. Esta tendrá que avalar que los riesgos son identificados y convenidos de forma adecuada, aquí 5 puntos fundamentales:

1. Todo proceso ha de tener asignado un responsable para su análisis, ejecución, seguimiento y mejora. Por consiguiente, estará eficazmente informado y capacitado para realizar sus funciones.
2.  Los objetivos de cada proceso han de ser revisados, los procesos serán igualmente analizados según su criticidad en búsqueda de riesgos y oportunidades.
3. La matriz ha de permitir recopilar y analizar la mayor cantidad de información relevante, teniendo en cuenta todos los puntos críticos
4. Debe promover la participación de los empleados, generando una cultura de riesgo en la organización
5. Identificará todos los riesgos, aunque procedan de procesos poco demandantes o se vea una baja probabilidad o severidad. La evaluación de riesgos debe admitir, catalogarlos de acuerdo a su nivel y acceder a anticipar según niveles de criticidad; crear controles y comprobar su capacidad para cada riesgo.

ISO 27002

El objetivo de este punto de la norma ISO 27001 es la preservación de los activos de información como soporte del negocio algunos ejemplos activos son los siguientes que mostraremos a continuación.

• Recursos de información: Las bases de datos y registros, documentación del sistema, los manuales de usuario, los materiales de capacitación, los diferentes procedimientos operativos o de soporte, los diversos planes de continuidad y contingencia, la información archivada, etc.
• Recursos de software: Los software de las aplicaciones, los sistemas operativos, las herramientas del desarrollo y la publicación de contenidos, proficientes, etc.
• Activos físicos: esta formado por el equipamiento informático, los equipos de comunicaciones, los medio u otros equipos técnicos, moblaje, lugares de instalación, etc.
• Servicios: prestación de servicios informáticos y de comunicaciones, proficientes generales.

Los activos de la información deben estar clasificados teniendo en cuenta la sensibilidad y criticidad de la información que contenga o que cumplan con los objetivos de señalar cómo ha de ser trata y protegida la información.

Los pasos de la clasificación tienen que predecir y examinar el hecho de que dicha clasificación de un ítem de información determinando no es precisamente tiene que mantener invariable por siempre, y que se puede variar según la política explícita por la propia organización. Es ineludible que se considere las cantidades de categorías para definir la clasificación dado que los esquemas son demasiado complejos y estos pueden volverse difíciles o resultar poco prácticos.

Responsabilidad sobre los activos

Los activos de la información según la norma ISO 27000, tienen que ser comprendidos y tener asignados un responsable y deberán identificar a los responsables o propietarios para todos los activos y asignarles la responsabilidad del mantenimiento en los dibersos controles adecuados.

La ejecución estos controles específicos puede ser encargada por el mismo propietario de forma provechosa, Sin embargo, el propietario permanece como el responsable de la adecuada resguardo de los activos.

El término identifica a individuos o entidades de forma comprometida, que cuente con la aprobación por parte de la dirección, para el controlar la producción, desarrollos, mantenimientos, la utilización y seguridad de los activos. El vocablo propietario no figura que la persona disponga de los derechos de propiedad reales del activo.

Es preciso obtener y conservar un inventario de activos de los información, exponiendo los propietarios de los activos y los detalles relevantes.

Utilizar un código de barras para facilitar las tareas de ejecución de inventario y vincular los equipos de TI que ingresan y salen de las instalaciones con los empleados.

Actividades de control del riesgo

1.- Inventario de activos: Los activos deben estar visiblemente identificados, elaborando y manteniendo un inventario con los más importantes. 

• La idea es realizar un inventario de activos que nos permita.
• Identificar los activos de la información que den soporte al negocio.
• Clasificar los activos por su importancia.
• Archivar los activos por el tipo de activo o información.
• Identificar al propietario del activo.

2.- Propiedad de los activos: La información y activos de los inventarios que se encuentran asociados a los recursos para tratar la información que deberían pertenecer a una parte designada de la Organización.

Deberes del propietario de un activo de la Información:

• Asegurar que los activos son inventariados
• Afirmar que los activos son archivados y protegidos de forma adecuada;
• Precisar e inspeccionar de forma periódicamente las prohibiciones de los accesos y las clasificaciones de activos importantes, donde se tiene en cuenta las políticas que se aplican en el control de acceso.
• Avalar el manejo adecuado cuando el activo es eliminado o destruido.

3.- Uso aceptable de los activos: Corresponderían en identificar, evidenciar e instituir medidas para el uso conveniente de la información y los activos asociados a recursos de tratamiento de la información.

El uso admisible de los activos que consisten en los procesos de:

• Documentar el uso adecuado de la información, donde se describan los requisitos de la seguridad de la información de los activos, instalaciones entre otros.
• Notificar a los empleados afectados con el objetivo de evitar el uso indebido.

4.- Devolución de activos: Todo los colaboradores y usuarios deben devolver todos los activos de la compañía que encuentren en su responsabilidad, una vez culminado los  acuerdos contratos de prestación de servicios o actividades que se relacionan con su contrato de empleo.

• Requisitos para implementar este control:
• Determinar procesos de finalización de uso donde se incluya la cláusula de devolución de activos físicos y/o electrónicos
• Instituir los procedimientos transferencias y borrados de la información de forma inequívoca en el caso que sea oportuno (Uso de los equipos adecuados, traspaso y restitución de los equipos etc.).

Decreto 1072

La ISO 45001 es un estándar internacional para la gestión de la seguridad y salud en el trabajo. El objetivo de este estándar es mejorar la seguridad y salud de los trabajadores en todo el mundo al establecer un marco para la gestión de riesgos y la prevención de accidentes en el lugar de trabajo. El Decreto 1072 de Colombia, por su parte, es una regulación de seguridad laboral del gobierno colombiano.

El Decreto 1072, regula la seguridad y salud en el trabajo en Colombia y establece las obligaciones para las empresas en cuanto a prevenir accidentes y mejorar la seguridad en el lugar de trabajo. La ISO 45001 se alinea con el Decreto 1072 en varios aspectos importantes. En primer lugar, ambos establecen la necesidad de que las empresas establezcan una política de seguridad y salud en el trabajo, y establezcan objetivos para mejorar la seguridad en el lugar de trabajo. Ambos requieren que las empresas realicen evaluaciones de riesgos y establezcan controles para mitigar los riesgos identificados. La ISO 45001 también requiere la realización de auditorías internas periódicas para evaluar la eficacia de las medidas de seguridad y salud en el trabajo, lo que también está contemplado en el Decreto 1072.

Otra área en la que se alinean ambos estándares es en la importancia de la participación y consulta de los trabajadores en la gestión de la seguridad y salud en el trabajo. La ISO 45001 establece que los trabajadores deben ser consultados y participar en la identificación de riesgos y en la toma de decisiones relacionadas con la seguridad y salud en el trabajo, mientras que el Decreto 1072 establece que los trabajadores deben tener un papel activo en la promoción de la seguridad y salud en el trabajo y en la prevención de accidentes.

Otro aspecto importante es la documentación, El Decreto 1072 requiere que las empresas mantengan registros de los accidentes y enfermedades relacionadas con el trabajo, así como de las medidas tomadas para prevenir accidentes y mejorar la seguridad en el lugar de trabajo, La ISO 45001 también requiere la documentación detallada de los procesos de seguridad y salud en el trabajo.

La ISO 45001 también promueve la continuidad de mejora en la gestión de la seguridad y salud en el trabajo, a través de la evaluación continua del desempeño y la identificación de áreas para mejorar. Esto es esencial para cumplir con el Decreto 1072, ya que el gobierno colombiano establece la obligación de las empresas de mejorar continuamente sus sistemas de gestión de seguridad y salud en el trabajo.

Además, la ISO 45001 promueve la colaboración con otras partes interesadas, como proveedores, clientes y autoridades reguladoras, para mejorar la seguridad y salud en el trabajo. Esto también es importante para cumplir con el Decreto 1072, ya que el gobierno colombiano promueve la colaboración entre empresas y otros actores para mejorar la seguridad y salud en el trabajo a nivel nacional.

También promueve la comunicación efectiva sobre seguridad y salud en el trabajo, incluyendo la educación y capacitación de los trabajadores. Esto es esencial para cumplir con el Decreto 1072, ya que el gobierno colombiano establece la obligación de las empresas de capacitar a los trabajadores sobre seguridad y salud en el trabajo. La capacitación de los trabajadores es esencial para asegurar que entiendan los riesgos y los controles apropiados para mitigarlos, y puedan contribuir a un ambiente laboral seguro.

En resumen, la implementación de ISO 45001 es una excelente manera para las empresas colombianas para cumplir con las regulaciones establecidas en el Decreto 1072. Proporciona un marco sólido y probado para la gestión de la seguridad y salud en el trabajo, promueve la continuidad de mejora, la colaboración con otras partes interesadas y la comunicación efectiva. Esto no solo ayudará a cumplir con las regulaciones gubernamentales, sino que también puede mejorar la eficiencia operativa, la productividad y la reputación de la empresa. Es importante que las empresas colombianas tomen en cuenta la importancia de cumplir con los requisitos legales y reglamentarios y que consideran implementar ISO 45001 como una manera efectiva para lograrlo.

Fugas de datos en 27002

Una fuga de datos se provoca cuando los datos que son sensibles están expuestos en público de forma involuntaria. Esta exhibición de datos puede ocurrir en el tránsito, en sosiego o en usanza.

Los datos que son expuestos en tránsito pueden contener los datos enviados por medio de correos electrónicos, salas de chat, llamadas, etc. Los datos expuestos en reposo resultan del almacenamiento en la nube configuraciones mal elaborados, también de una base de datos mal protegida o de dispositivos perdidos. Los datos que son expuestos en uso, pueden proceder a ejecutar de capturas de pantalla, impresoras, unidades USB o portapapeles. Una fuga de datos no se compra con una brecha de datos, aunque la primera pueda dar lugar a la segunda. La diferencia es que una fuga de datos no es el resultado de un intento de pillaje informático, sino que se origina por errores humanos.

Formas de prevenir fugas de datos

Las técnicas y tecnologías que utilizan para prevenir fugas de datos son, en la mayoría, los mismos que las que se utilizan para prevenir brechas también. En su mayoría las estrategias para advertir las pérdidas de datos sensibles inician con la ejecución de evaluaciones de riesgo (se incluyen las evaluaciones de riesgo de terceros) y la elaboración de políticas  y procedimientos que se basan en dichas evaluaciones.

No obstante, para llevar una correcta evaluación de riesgos, primero hay que tener en cuenta es  qué datos se tienen y dónde se encuentran ubicados.

1. Detección de clasificación de Datos: Usa una solución que pueda detectar y clasificar datos sensibles de forma automática. Una vez realizado esto, se pueden eliminar datos ROT (redundantes, obsoletos y triviales) con el objetivo de optimizar las estrategias para proteger los datos. Catalogar los datos hace más sencillo asignar los controles adecuados y así monitorear cómo interactúan los usuarios con los datos sensibles.
2. Restringir los derechos de Acceso: Siempre es una buena idea limitar el número de usuarios que tienen acceso a datos sensibles, ya que esto reduce el riesgo de sufrir una fuga.
3. Filtrado del contenido de los Emails: Utiliza una solución de filtrado de contenido que se apoye en una tecnología de inspección profunda de contenidos para encontrar datos sensibles en el contenido, las imágenes y los archivos adjuntos que se ubican en los correos electrónicos. Si este filtro se encuentran los datos sensibles, se enviará una alerta al administrador para que este pueda realizar verificación  de la legitimidad del uso de estos datos.
4. Control de Impresión: Las impresoras pueden almacenar archivos sensibles a los que pueden tener acceso personas no autorizadas. Solicitar a los usuarios que utilicen un código personal para acceder a las impresoras, realizar limitaciones las funcionalidades de las impresoras en función del rol del usuario, también asegurarse de que los documentos que contengan datos sensibles sólo puedan imprimirse una sola vez o que los usuarios no dejen en la bandeja de la impresora ningún documento impreso con datos sensibles pueden ser un buen punto.
5. Cifrado: Cifrar los datos sensibles tanto en reposo como en tránsito es siempre una buena idea y es especialmente relevante cuando almacenamos datos sensibles en la nube.
6. Protección de Dispositivos: Una solución básica para prevenir que se filtren datos sensibles de cualquier dispositivo (sobremesas, portátiles, móviles, servidores). Algunos se pueden bloquear y poner en retiro o cifrar automáticamente datos sensibles tan rápido como abandonen ese dispositivo. Algunas soluciones también pueden ser la restricción  determinada de las funciones como el copiado, impresión o la transferencia de datos a una unidad USB o a una plataforma en la nube.
7. Control de Dispositivos: Es normal para cualquier usuario guardar documentos sensibles en sus teléfonos inteligentes o tabletas. Las políticas de gestión de los dispositivos, es importante tener soluciones que monitoreen y controlen qué dispositivos se están utilizando y por qué usuario, aparte de herramientas que faciliten al equipo de soporte informático o de ciberseguridad obligar el uso de contraseñas complejas, prestar servicios de forma remota al dispositivo y a su vez controlar qué aplicaciones se pueden instalar. La mayoría de las soluciones pueden también rastrear la localización del dispositivo o incluso eliminar su contenido si el dispositivo se pierde o es extraviado.
8. Configuración de Almacenamiento en la Nube: Las fugas de datos causadas por una configuración errónea de los repositorios de almacenamiento son muy comunes. 
9. Alertas e informes en tiempo Real: Una de las formas más eficaces de evitar la fuga de datos es hacer un seguimiento de los cambios realizados a los datos sensibles. Los administradores deben tener registros permanentes de que usuario accede, a qué datos, qué acciones se realizan y cuándo. Los administradores deben recibir un aviso en tiempo real cuando se accede, se mueve, se comparte, se modifica o se borran datos sensibles e importantes, estar enterado y hacer revisiones de cualquier sospecha o por cualquier parte no autorizada. Esto puede ser útil para realizar seguimiento el acceso a los datos sensibles almacenados en la nube. Si se genera una alerta, el administrador puede iniciar una investigación sobre el hecho ocurrido, posiblemente empezando por verificar los permisos del contenedor de almacenamiento.

Para concluir, es importante identificar con los pasos mencionados anteriormente, las formas de prevenir las fugas de datos, y seguir el paso a paso según los conceptos para poder evitar malwares dentro de nuestro sistema organizacional.

El control de seguridad de la información y su acceso es un elemento esencial de la seguridad que determina quién tiene permiso estipulado para tener el acceso a determinados datos, aplicaciones, recursos y en qué circunstancias. El objetivo principal es limitar el acceso a la información y a las instalaciones de procesamiento de información de la igual representación que las claves y listas de asistentes con aprobación anterior resguardan las plazas físicas, las directivas de los controles de acceso que protegen las plazas digitales. Es decir, permiten que las personas o usuarios adecuados ingresen y que la que es ajena a las plazas digitales se queden fuera.

Las directivas de control de acceso dependen de medidas técnicas como la autenticación y la autorización, que es el que permiten a las diferentes organizaciones comprobar de forma evidente que los usuarios son quienes dicen ser y que cuentan con el nivel apropiado de acceso con base en elementos contextuales como el dispositivo, la ubicación, el rol, la responsabilidad entre otros.

El control de seguridad de la información impide que los infiltrados u otros usuarios no autorizados se hagan con la información confidencial, como por ejemplo los datos de clientes y la propiedad intelectual. También apoya a la reducción de riesgos de filtración de datos por parte de los empleados y mantiene controlado las amenazas web. En vez de manipular los diversos permisos manualmente, las empresas con mayor seguridad dependen de soluciones de administración de identidad y acceso para las implementaciones directivas de control de acceso.

ISO 27002

La norma ISO 27002:2022 propone no únicamente el cuidar la información desde la perspectiva de resguardar la información para los intereses de las diversas organizaciones, sino que también de controlar en caso este tenga información confidencial para los intereses de la organización. Se procede a establecer criterios de controles de la información. Esto se debe conservar debido a que es una información que resulta totalmente relevante en las operaciones de la organización. Esto reduce en gran manera el filtrado de información no deseada, malwares que provienen de forma externa a la organización.

Una vez teniendo definida la información controlada y actualizada en la organización, se debe implementar los métodos adecuados para proceder con los diversos controles de la información. Esta gestión, si conferenciamos de información que presentemente debe tener un control donde aportan puntos importantes en la organización que son muy alta relevancia, en caso se filtre a usuarios que no están asociadas a la organización, se recomiendan implementar métodos más rigurosos que únicamente eliminarlo de forma convencional.

Entre estos métodos contamos con algunos ejemplos:

1.- Seguridad de las operaciones:

Los ordenamientos deben estar documentados (cuando corresponda) y deben estar disponibles.

¿Qué debemos documentar?

• Los documentos de instrucciones al menos se deberían abordar actividades que afectarán al proceso de la información y aquellas que la protegen.
• Siguiendo este principio deberíamos incluir
  • Los procesos de la verificación, instalación, configuración y administración de sistemas y aplicaciones.
  • El proceso y manejo de las informaciones.
  • Los métodos de la gestión del respaldo de las diferentes informaciones, que incluyen las pruebas y las verificaciones de las copias de seguridad.
  • Las gestiones de las programaciones operacionales en cuestión de procesos que requieran clasificación de tiempos.
  • Acuerdo con los requisitos de la norma ISO 27001 también se debe incluir la administración de faltas y condiciones excepcionales donde se pueden definir como incidentes de seguridad.
  • Las Instrucciones especiales de administración de medios para la información confidencial, incluida la eliminación segura. Recuperación / reinicio del sistema.
  • Los métodos de la gestión de los registros y los elementos de seguimiento de auditoría.
  • Las instrucciones de monitoreo de red y activos de información.

¿Qué significa que estén disponibles?

• Esto se traduce en que deberíamos realizar actividades de formación y concienciación sobre los procedimientos sobre el tratamiento de la información y su cuidado o seguridad Gestión de cambios
• Protección ante software malicioso

2.- Gestión de Cambios

Los procesos de cambio pueden conllevar riesgos asociados para la seguridad de la información. Por esta razón, la norma nos propone controles para que analicemos los procesos de cambio tanto:

• Comerciales
• Instalaciones o infraestructuras (Equipos y Software)
• Sistemas de procesamiento de información

Actualmente, resulta indiscutible comentar que los controles a instituir para la gestión de cambios serán el resultado de los análisis de riesgos y de la aplicabilidad de los controles proporcionados.

3.- Gestión de la Capacidad

• Esta gestión trata de evitar las pérdidas de disponibilidad o provecho de los diversos sistemas por falta de capacidad.
• Para gestión de la capacidad se refiere a tener un control del uso de los recursos. Esto se traduce en controles para:
  • Realizar mediciones y Seguimientos del uso de los recursos
  • Previsión de uso a futuro (predecir los cuellos de botella)
  • Realizar Planificación de las ampliaciones de capacidad de los recursos cuando este sea necesario.

Para enfatizar, cabe mencionar que la responsabilidad completa en cuanto al control de la de la información es de la misma organización, implícitamente durante la gestión que se requiere por personas ajenas a la organización. Debido a que el primordial interesado en contar con información correcta e impedir que filtren su información, es de la misma organización. Al ser un elemento de cada vez mayor interés e impacto, la inversión de tiempo y recursos serán cada vez más eminentes.

La Plataforma ISOTools facilita la automatización de la ISO 27001

La ISO 27001 para los SGSI es sencilla de implantar, automatizar y mantener con la Plataforma Tecnológica ISOTools.

Con ISOTools se da cumplimiento a los requisitos basados en el ciclo PHVA (Planear – Hacer – Verificar – Actuar) para establecer, implementar, mantener y mejorar el Sistema Gestión de la Seguridad de la Información, así como se da cumplimiento de manera complementaria a las buenas prácticas o controles establecidos en ISO 27002.

Políticas del SGSI

Las políticas de seguridad de la información son reglas que tenemos que cumplir todo el personal relacionado con una empresa. Así se garantiza la rectitud, la privacidad y la disponibilidad de las infraestructuras informáticas y de los datos que contienen. En este artículo se explica qué son las políticas de seguridad informática y sus aplicaciones prácticas en la empresa en distintos ámbitos.

Una política de seguridad de la información es un documento que instituye los designios y objetivos de una empresa en relación con este componente. Un ejemplo claro es que una política puede precisar las necesidades de establecer contraseñas seguras que cumplan con explícitos requisitos para toda clase de dispositivos, y especialmente para los móviles que se utilizan externamente de las instalaciones. A diferencia de los procesos y procedimientos, las políticas no contienen instrucciones específicas y puntuales sobre cómo llevar a cabo estas actividades.

Las políticas son un conjunto de normas importantes decretadas por una organización con el objetivo de garantizar que todos los empleados, usuarios o partes interesadas las acojan y delineen procesos y procedimientos que alcancen estos principios de modo ordenado.

La ISO 27001 no cuenta las dificultades específicas que deben abordarse en la política comprendiendo que cada organización tiene sus propias metas y exigencias. Pero sí debe proporcionar un marco cerca del que se debe trabajar.

¿Cómo debería ser una Política SGSI?

Una política de seguridad de la información apropiada debería:

• Suministrar una directriz clara sobre el tratamiento de la seguridad de la información en la organización.
• Enseñar los objetivos del sistema.
• Agregar información sobre cómo se efectuará junto con los objetivos comerciales y con los requisitos establecidos, legales.
• Adjudicarse a los compromisos de optimar de forma continua el SGSI.
• Determinar el alcance del sistema.
• Establecer los responsables de las operaciones, las coordinaciones en el día laboral de la realización general, las evaluación de riesgos y de las prácticas de auditorías, intervenciones e indagación de incidentes.
• Establecer componentes y ordenamientos para la cálculo de los objetivos de seguridad y el orden con la que se informará acerca de los indicadores, el rendimiento y los resultados.

Obteniendo las bases lo que debe tener en la política, el paso a seguir es considerar algunas buenas prácticas para la composición y aviso de esta, que es en definitiva, el eje céntrico de la gestión de seguridad de la información. Entre estas efigie emplear un lenguaje y una forma de que resulte lo más eficaz posible a la hora de hacer llegar el adjunto de este documento a empleados y a las partes interesadas, los documentos deben tener estos requisitos:

• Lenguaje comprensible.
• Formato fácilmente accesible.

Otro detalle para tener en cuenta la extensión del documento dependerá de las necesidades de la organización. Algunos riesgos no tendrán obligatoriedad para algunas organizaciones. Por otro lado, otros no son tan frecuentes, que son de reconocimiento universal. La mayoría de las compañías deberán abordar asuntos como el acceso remoto, la gestión de contraseñas y el uso aceptable de los recursos.

¿Qué tener en cuenta para crear las políticas SGSI?

Algunos otros detalles que la dirección debe tener en cuenta en el momento de crear el documento y son los siguientes:

• Afirmar de que los objetivos propuestos y los riesgos estimados sean de efectiva relevancia para la compañía.
• No dejar de lado los objetivos de seguridad de la información sobre los que comenta la cláusula 6.2, que básicamente hacen referencia a la protección de la confidencialidad, protección de la integridad de la información y a la disponibilidad de los activos de la información identificadas en la cláusula 4.1.
• Asegurar que los objetivos sean notables, asequibles, demostrables y medibles para poder ejecutar las diferentes evaluaciones.

Para enfatizar, las políticas de seguridad informática son una herramienta esencial para las organizaciones de cualquier tipo ya sea grande, pequeña o mediana, al momento de concientizar a su personal sobre los riesgos de seguridad y suministrar modelos de acción concretos. Para que estas sean seguras estas deberán:

• Escribir en documentaciones que estarán puestos a disposición de todo el empleado
• Flexibilidad y revisión de forma periódica, para que se acomoden a los diferentes cambios tecnológicos o de los objetivos de la organización.
• Proteger totalmente la orientación de la organización, traería como consecuencia su adaptabilidad puede verse comprometida.

Software para Sistema de Gestión de Seguridad de la Información ISOTools

La ISO 27001 para los Sistemas de Gestión de Seguridad de la Información es sencilla de implantar, automatizar y mantener con la Plataforma Tecnológica ISOTools.

Con ISOTools se da cumplimiento a los requisitos basados en el ciclo PHVA (Planear – Hacer – Verificar – Actuar) para establecer, implementar, mantener y mejorar el Sistema Gestión de la Seguridad de la Información, así como se da cumplimiento de manera complementaria a las buenas prácticas o controles establecidos en ISO 27002.

Este software, permite integrar la ISO 27001 con otras normas, como ISO 9001, ISO 14001 y 45001 de una forma sencilla gracias a su estructura modular.

Seguridad de la Información

Para la gestión de la Seguridad de la Información es útil contar con un determinado marco de trabajo. Las normas digitales que administran la forma en que una operación maneja los datos son medidas obligatorias que toda empresa debe realizar seguimientos. Estas deben ser implementadas desde los puntos de vista legales per las empresas pueden también aplicar estos modelos de forma discrecional con el objetivo de edificar una defensa integral contra los ciberataques, a esto se le denomina como marco de seguridad cibernética.

Un marco de seguridad de seguridad de la información es un conjunto de expedientes, normas y requisitos que definen las políticas, procedimientos y los procesos en lo que se basan las diferentes organizaciones. En estos casos es donde todos los departamentos asociados muestran ya sea fuera y dentro de la organización, como los negocios gestionan la información, servicios y sistemas.

La importancia de un marco de seguridad cibernética se encuentra en la forma en que ayuda a los líderes de TI y de ciberseguridad a realizar las gestiones de los riesgos de su organización de una forma debida, también se muestran los procedimientos a seguir una vez surge una situación de urgencia.

Los criterios que se deben tener en cuenta para implementar un marco de seguridad de la información, debes tener en cuenta algunas normas de ciberseguridad son los siguientes:

1.- Normas ISO para Seguridad de la Información:

Las normas ISO 27001 y 27701 fueron creadas por la organización internacional de normalización.

ISO 27001 – Sistema de Gestión de la seguridad de la información: Estas se centran en una orientación de la seguridad de la información que se basan en los riesgos. Las ISO 27001 incluye categorías como la política de seguridad, la seguridad de recursos humanos y gestión de activos. También el control de acceso, la criptografía y la seguridad física y ambiental. Además de ser una guía en las gestiones de los incidentes, la continuidad de actividades y los cumplimientos de las normas gubernamentales.

ISO 27701 – Gestión de la privacidad de la información: Con el objetivo de proteger la privacidad de los datos, las normas ISO 27701, obligan a los que controlan los datos dar prioridades a la protección de la información de identificación personal en cada una de las evaluaciones de los riesgos para la seguridad de la información.

El centro para la seguridad de internet (CSI), es una de las organizaciones de seguridad cibernética más reconocidas. Este ofrece soluciones prácticas minuciosas para las empresas. Además, busca ayudar a las empresas con el objetivo de asegurar los sistemas informáticos y los datos contra los ataques cibernéticos.

Las normas oficiales que también se deben tener en cuenta. Los estándares de la industria y el gobierno son una necesidad para las diferentes organizaciones que buscan desarrollar sus programas de seguridad de la información. Si la organización se encuentra dentro de la zona de cobertura y no incluyes las directrices adecuadas en tu marco de ciberseguridad, hay una posibilidad alta de que seas sancionado. Para evitar dichas sanciones nombraremos las políticas mas relevantes de las que se deben ocupar.

2.- HIPAA:

Si tu organización maneja información del personal de la salud, se deben seguir modelos de seguridad de la ley de portabilidad y responsabilidad de seguros médicos. En estos casos no te indica específicamente las prácticas o herramientas que deben utilizarse.

3.- PCI DSS:

Si tu organización incluye algún tipo de pago ya sea de tarjeta de crédito o débito, deberías ver las directrices del estándar de seguridad de datos de la industria de tarjeta de pago. El PCI DSS fue creado por Visa, American Express y Mastercard.

4.- NIST:

El instituto nacional de estándares y tecnología, proporciona una sólida base de seguridad digital para cualquier propietario de una organización que desee conseguir un lucrativo contrato federal para su compañía. El NIST es un recurso importante que se puede utilizar para muchos objetivos. Como por ejemplo identificar riesgos de seguridad de la información, detectar actividades atípicas, entre otros.

5.- DISA:

Son una necesidad legal, está enfocado principalmente en los departamentos de defensa, tiene una característica especial que consiste en actualizar con más frecuencia los protocolos de seguridad de la información. Esto se convierte en una nueva fuente de información para cualquier organización que desee implementar o desarrollar un marco de seguridad cibernética.

6.- RGPD:

El reglamento de protección de Datos, está encaminado en la protección y el tratamiento de datos personales. Este se ejecutó por primera vez en 2018.

Para concluir, es importante tener los conocimientos previos por donde comenzar a gestionar los diferentes criterios y así construir nuestro marco de seguridad cibernética ideal para la organización.

Software para Sistema de Gestión de Seguridad de la Información ISOTools

La ISO 27001 para los Sistemas de Gestión de Seguridad de la Información es sencilla de implantar, automatizar y mantener con la Plataforma Tecnológica ISOTools.

Con ISOTools se da cumplimiento a los requisitos basados en el ciclo PHVA (Planear – Hacer – Verificar – Actuar) para establecer, implementar, mantener y mejorar el Sistema Gestión de la Seguridad de la Información, así como se da cumplimiento de manera complementaria a las buenas prácticas o controles establecidos en ISO 27002.

Este software, permite integrar la ISO 27001 con otras normas, como ISO 9001, ISO 14001 y 45001 de una forma sencilla gracias a su estructura modular.

Riesgos IT

Lo primero que debemos saber antes de abordar cómo gestionar los riesgos en tecnologías de la información, lo primero que tenemos que tener en cuenta es que es el riesgo y que es riesgo en tecnologías de información.

 ¿Qué son los Riesgos IT?

• Riesgo: Es un posible incidente con una probabilidad de ocurrencia para la afectación de alguna actividad o proceso en curso para ejecutar o ser ejecutado en tiempos y espacios diferenciales que pueden traer consecuencias negativas o positivas las cuales pueden afectar el desarrollo de mis estrategias para el cumplimiento de los objetivos organizacionales.
• Riegos de Tecnología de Información: Se define como la probabilidad de el efecto sobre una causa, producto de la frecuencia probable de ocurrencia de un evento positivo o negativo dentro de un sistema de tecnologías de la información. Es por ello que surge la necesidad de la aplicación de controles que actúen sobre el riesgo “activo” sobre la causa que lo genera con el fin de minimizar el impacto.

ISO 27001 para Seguridad de la Información

La norma ISO 27001 cuenta con unos principios en los cual es el porcentaje de su éxito dentro de los Sistemas de Gestión de seguridad de la información los cuales son la confiabilidad, integridad y disponibilidad de la información, esta información se encuentra sujeta a diferentes activos que dentro de las organizaciones se convierte en inventarios de activos los cuales se evalúan con el fin de poder valorar su estado de riesgo frente al sistema, a esto lo llamamos determinación del nivel del riesgo el cual es el resultado de verificar el impacto y la probabilidad con los diferentes controles para los procesos desarrollados dentro de la organización.

Nueva ISO 27002:2022

La pregunta entonces es, ¿Cómo nos puede ayudar a gestionar los riesgos de Tecnologías de la Información la nueva ISO 27002:2022? A lo cual se responde que esta nueva actualización guía es mucho más eficaz y rápida, en donde las organizaciones tienen mayor autonomía frente al desarrollo de sus criterios, respecto a la administración de los riesgos de seguridad de la información.

Esta nueva norma cuenta entre sus elementos relevantes la toma de decisiones basada en riesgos, está enfocado en 4 temas principales los cuales corresponde a elementos físicos, las propiedades de la seguridad de la información, personas y tecnológicos, los cuales cuentan con un total de 93 controles divididos en 37 controles organizacionales, 8 controles de personas, 14 controles físicos y 34 controles tecnológicos.

La ejecución de estos controles se presenta en el método más usado que es la matriz de riesgos en donde se hace el análisis de los activos en donde se ve representado el proceso el riesgo inherente, las posibles amenazas, vulnerabilidad, se realiza la aplicación de los controles que se encuentran ubicados en la etapa de tratamiento de riesgos, luego de este tratamiento el resultado es el riesgo residual y se finaliza con un plan de tratamiento, su gestión se puede realizar desde un mapa de calor el cual gráficamente nos permite visualizar, cuáles activos se encuentran con mayor riesgos y que debemos atacar para prever la materialización del riesgo.

El orden adecuado para todo este proceso la organizaciones puede establecer una metodología de trabajo referente al análisis de riesgos en IT el cual consiste en identificar el riesgo, realizar el análisis del mismo valorarlo, determinar controles, identificar el nivel de exposición, realizar la evaluación del riesgo, crear la matriz de amenazas, categorizar los riesgos, se documentan los controles definitivos y se presentan los resultados a la alta dirección, quienes tomarán decisiones frente a estos resultados con el fin de tomar decisiones basadas en el cumplimiento de los objetivos.

En conclusión, con la nueva ISO 27002 se pueden gestionar los riesgos de tecnología de la información de manera ágil y con mayor autonomía, se puede apalancar este proceso a través de softwares configurables que permiten agilizar más el proceso, visualmente generar un plus frente al gestión de los riesgos, notificar en tiempo real y tomar decisiones eficaces que me permiten tener controlados los procesos para el cumplimiento de los objetivos.

Software Seguridad de la Información

Esta integración de complementos de Sistemas de Gestión de Seguridad de la información requiere de gran disciplina, orden y pensamiento sistémico. Esto es así para que llegue a ser realmente útil y aporte beneficios a la organización. Este grado de utilidad se puede llegar a conseguir siempre que se realice la gestión de forma eficiente y automatizada mediante un software de Gestión de Seguridad de la Información como ISOTools.

Sistema de Gestión Seguridad de la Información

Un sistema de gestión de seguridad de la información (SGSI) es un conjunto de elementos que interactúan entre sí para proteger la confidencialidad, disponibilidad e integridad de un conglomerado de datos que, combinados y relacionados, tienen sentido.

Se trata de información que corresponde a un inventario de activos de la organización y que tiene una relevancia capital hoy en día. ¿Qué nos distingue de otras empresas? El manejo de los datos. Ello, además, le confiere ventajas competitivas y comparativas a una organización. Toda compañía cuenta con este conjunto de elementos, solo que en algunos casos son más formales que otros.

Hay organizaciones que deciden implementar marcos normativos de referencia, como NIST, ISO/IEC 27001, OWA o CIS. Estos se implementan dependiendo de la naturaleza de la organización, ubicación y cultura organizacional.

La formalización le da una distinción a las organizaciones ante las que tienen sistemas de gestión de seguridad de la información informales. El formal se destaca en que cuenta con una política, objetivos, roles, responsabilidades, procedimientos, procesos, análisis de riesgos, gestión de cambios y un conjunto de controles más o menos estructurados.

Si no se tienen todos esos elementos, puede que el SGSI sea incipiente o muy empírico. Por ejemplo, en una empresa de elaboración de tortas todos conocen bien sus fórmulas y recetas, saben cuáles son los proveedores de calidad, manejan datos sobre las preferencias de los clientes, y toda esta información la guardan celosamente. Así protegen sus datos, esos serían los elementos que interactúan entre sí para proteger la confidencialidad, integridad y disponibilidad de la información.

En ese sentido, los beneficios de contar con un SGSI formal y que tenga un marco normativo de referencia reconocido a nivel mundial parte porque los organismos que emiten estos estándares se han dedicado a estudiar el comportamiento en las organizaciones, la tecnología, la forma en que se utilizan los activos de información y, en consecuencia, emanan requisitos y recomendaciones que algunas organizaciones suelen adoptar porque confían en que usar esas normas traerá un mejor desempeño.

Las empresas pueden adoptar un solo marco de referencia o la combinación de ellos, puesto que no son mutuamente excluyentes, sino que son equivalentes entre sí y son compatibles. Cada uno tiene sus fortalezas. ¿En qué consisten los beneficios de tener un SGSI formal? Algunos de ellos son estos:

Confianza interna y externa

Contar con un SGSI transmite una imagen a las personas. Hay que considerar que los SGSI están orientados a que las personas dentro de la organización y los individuos con los que ellas se relacionan fuera de la empresa actúen en pro de proteger la integridad, confidencialidad y disponibilidad de la información. El hecho de que las personas reconozcan que existe una entidad capaz de regular su conducta, el uso de la información y los medios con los cuales se opera esa información genera cierto grado de confianza. Por ejemplo, si se hace una negociación entre dos empresas: un proveedor y un cliente, una de las preguntas que se hacen es si se dispone de algún marco normativo que regule el SGSI, y eso inspira confianza en la negociación, si es que el SGSI formal existe.

Entablar una relación comercial con una organización que no tenga SGSI formal es un riesgo porque no sabemos si la gestión de la seguridad de la información se está haciendo de la forma correcta. El reconocimiento inmediato (interno y externo) es un beneficio importante y deseable que, además, trae un plus: las personas de la organización van a tener un punto de partida para saber cuáles son los comportamientos correctos o no por parte de los individuos, de la tecnología, del sistema y de las otras empresas… porque se normaliza el comportamiento de los diferentes componentes, eso despierta cierto carácter preventivo en el funcionamiento de la organización.

Priorizar para cuidar

El SGSI ayuda a priorizar los activos de información en función a su valor. Eso hace que los esfuerzos sean equivalentes en cuanto a la importancia que tienen ciertos. Las empresas tienen un conjunto de activos, pero algunos tienen mayor valor que otros. Los marcos normativos nos permiten identificar de forma metódica esos activos de mayor valor porque nos permite reconocer su relación con los procesos del negocio y las consecuencias que podríamos tener si se pierde la confidencialidad, disponibilidad e integridad de esos activos. La priorización es muy importante porque permite alinear los esfuerzos para proteger la información más valiosa.

Permite generar controles adecuados a la naturaleza de cada activo de información

Al utilizar las metodologías formales empiezan a surgir relaciones entre los riesgos de seguridad de la información y la capacidad que tienen los controles para aceptar, transferir o mitigar los riesgos. Además, el conjunto de controles que ya está en el marco normativo suele tener recomendaciones de cómo aplicar tales controles. En ese sentido, las organizaciones pisan sobre un terreno firme, en el que saben que cada control es adecuado para cada riesgo identificado.

Software para Sistema de Gestión de Seguridad de la Información ISOTools

La ISO 27001 para los Sistemas de Gestión de Seguridad de la Información es sencilla de implantar, automatizar y mantener con la Plataforma Tecnológica ISOTools.

Con ISOTools se da cumplimiento a los requisitos basados en el ciclo PHVA (Planear – Hacer – Verificar – Actuar) para establecer, implementar, mantener y mejorar el Sistema Gestión de la Seguridad de la Información, así como se da cumplimiento de manera complementaria a las buenas prácticas o controles establecidos en ISO 27002.

El software para ISO 27001 permite integrarla con otras normas, como ISO 9001, ISO 14001 y 45001 de una forma sencilla, gracias a su estructura modular.

Controles Tecnológicos ISO 27002:2022

La infraestructura tecnológica es el medio para la operación, explotación y transmisión de la información en todo su ciclo de vida. Por eso su cuidado es fundamental. La norma ISO/IEC 27002:2022 contempla los controles tecnológicos en el apartado 8.

En el 8.1 – Dispositivos de punto final de usuario se encuentra un control preventivo que tiene como objeto proteger la información contra los riesgos introducidos por el uso de dispositivos de punto final de usuario.

El estándar también busca preservar la confidencialidad, disponibilidad e integridad de la información al limitar y administrar los derechos de acceso privilegiado (8.2). Es muy importante que solo los usuarios, los componentes y servicios de software autorizados reciban derechos de acceso privilegiado.

Con el propósito de asegurar solo el acceso autorizado y evitar el acceso no autorizado a la información y otros activos asociados, existe el punto 8.3 Restricción de acceso a la información. Allí se indica que el acceso a la información y otros activos asociados debe estar restringido de acuerdo con la política específica del tema establecida sobre control de acceso. El punto 8.4 Acceso al código fuente, respectivamente, apunta que el acceso de lectura y escritura al código fuente, las herramientas de desarrollo y las bibliotecas de software debe administrarse adecuadamente. Con ello se busca evitar la introducción de funciones no autorizadas, evitar cambios no intencionales o maliciosos y mantener la confidencialidad de la propiedad intelectual valiosa.

La autenticación segura (8.5) también es un tema cubierto por la norma ISO/IEC 27002. Este control aduce que las tecnologías y los procedimientos de autenticación segura deben implementarse en función de las restricciones de acceso a la información y la política específica del tema sobre el control de acceso. El apartado 8.6 Gestión de la capacidad tiene el propósito de asegurar la capacidad requerida de las instalaciones de procesamiento de información, recursos humanos, oficinas y otras instalaciones.

La protección contra malware (8.7) no queda relegada, puesto que el control expone que la protección contra el malware debe implementarse y respaldarse mediante la conciencia adecuada del usuario. ¿Con qué fin? Con el de garantizar que la información y otros activos asociados estén protegidos contra malware.

Uno de los 34 puntos de los controles tecnológicos es el 8.8 Gestión de vulnerabilidades técnicas, allí queda claro que se debe obtener información sobre las vulnerabilidades técnicas de los sistemas de información en uso, se debe evaluar la exposición de la organización a tales vulnerabilidades y se deben tomar las medidas apropiadas, para prevenir la explotación de vulnerabilidades técnicas.

La gestión de la configuración queda a cargo del (8.9), el cual indica que las configuraciones, incluidas las de seguridad, de hardware, software, servicios y redes deben establecerse, documentarse, implementarse, monitorearse y revisarse con el fin de que funcionen correctamente con la configuración de seguridad requerida, y que la configuración no se altere por cambios no autorizados o incorrectos.

La eliminación de información no puede dejarse al descuido y el comité técnico de la ISO lo sabe. Por eso el punto 8.10 es categórico al precisar que la información almacenada en sistemas de información, dispositivos o en cualquier otro medio de almacenamiento debe ser eliminada cuando ya no sea necesaria. Con esto se pretende evitar la exposición innecesaria de información confidencial y cumplir con los requisitos legales, estatutarios, reglamentarios y contractuales para la eliminación de información. Por su parte, el enmascaramiento de datos (8.11) es un control preventivo que expresa que este se debe utilizar de acuerdo con la política específica del tema de la organización sobre el control de acceso y otras políticas relacionadas con el tema específico, y los requisitos comerciales, teniendo en cuenta la legislación aplicable, con el fin de limitar la exposición de datos confidenciales, incluida la PII, y para cumplir con los requisitos legales, estatutarios, reglamentarios y contractuales.

El punto 8.12 – Prevención de fuga de datos trata de que las medidas de prevención de fuga de datos deben aplicarse a los sistemas, redes y cualquier otro dispositivo que procese, almacene o transmita información confidencial.

El apartado 8, además, cuenta con los siguientes controles:

• 13 Copia de seguridad de la información
• 14 Redundancia de las instalaciones de procesamiento de información
• 15 Registro
• 16 Actividades de seguimiento
• 17 Sincronización del reloj
• 18 Uso de programas de utilidad privilegiados
• 19 Instalación de software en sistemas operativos
• 20 Seguridad de redes
• 21 Seguridad de los servicios de red
• 22 Segregación de redes
• 23 Filtrado web
• 24 Uso de criptografía
• 25 Ciclo de vida de desarrollo seguro
• 26 Requisitos de seguridad de la aplicación
• 27 Arquitectura del sistema seguro y principios de ingeniería
• 28 Codificación segura
• 29 Pruebas de seguridad en desarrollo y aceptación
• 30 Desarrollo subcontratado
• 31 Separación de los entornos de desarrollo, prueba y producción
• 32 Gestión de cambios
• 33 Información de prueba
• 34 Protección de los sistemas de información durante las pruebas de auditoría

Software Seguridad de la Información ISOTools

Para una gestión eficaz de los controles de Seguridad de la Información se hace imprescindible mantener bajo control las vulnerabilidades y amenazas de cada proceso, ya tengan que ver o no con activos de la organización. Para ello se ha de contar con las metodologías que sean necesarias como ISO 27001, cuyos controles se detallen en la ISO 27002 y han sido modificados recientemente en 2022.

Todos estos controles de Seguridad de la Información, así como las mejores prácticas para su gestión automatizada, se encuentran recogidos en el Software de Gestión de Seguridad de la Información ISOTools. Gracias a ISOTools consigue una gestión eficiente de la Seguridad de la Información, desde la implementación hasta la certificación. 

ISO/IEC 27002:2022

ISO/IEC 27002:2022 – Seguridad de la información, ciberseguridad y protección de la privacidad — Controles de seguridad de la información es el más reciente de los estándares publicados por la Organización Internacional de Normalización (ISO) incluye controles genéricos de seguridad de la información basados en las mejores prácticas reconocidas internacionalmente, además ofrece una guía de implementación.

En ISOTools nos proponemos explicar todo el apartado 5, que incluye 37 controles, a lo largo de 3 artículos. En esta tercera entrega abordaremos desde el punto 5.24 hasta el 5.37. ¿Por qué nos enfocamos en todo el apartado 5? Porque explica el primero de 4 temas. Estos son los controles:

1. físicos, si se trata de objetos físicos;
2. propiedades de seguridad de la información (confiabilidad, disponibilidad e integridad).
3. personas, si se refieren a individuos;
4. tecnológicos, si se trata de tecnología.

El apartado 5 es, además, el más extenso y por ello ocupará nuestra atención.

Cuando leemos el punto 5.24 Planificación y preparación de la gestión de incidentes de seguridad de la información nos encontramos con esta tabla explicativa:

Luego llegamos al 5.25 Evaluación y decisión sobre eventos de seguridad de la información, que es un control detectivo diseñado para asegurar una categorización y priorización efectiva de los eventos de seguridad de la información.

El control 5.26 Respuesta a incidentes de seguridad de la información es un control correctivo que busca garantizar una respuesta eficiente y eficaz a los incidentes de seguridad de la información.

Aprendiendo de los incidentes de seguridad de la información (5.27) es un control preventivo del que podemos conocer más gracias a la siguiente tabla:

A continuación, mencionaremos la totalidad de controles que incluye el punto 5 de la norma:

• 28 Recopilación de pruebas: es un control que consiste en establecer e implementar procedimientos para la identificación, recopilación, adquisición y preservación de evidencia relacionada con eventos de seguridad de la información.
• 29 Seguridad de la información durante la interrupción: la norma enfatiza que la organización debe planificar cómo mantener la seguridad de la información en un nivel adecuado durante la interrupción. Su leitmotiv es proteger la información y otros activos asociados durante la interrupción.
• 30 Preparación de las TIC para la continuidad del negocio: El estándar nos alienta a pensar en todo. Por eso la preparación de las TIC debe planificarse, implementarse, mantenerse y probarse en función de los objetivos de continuidad del negocio y los requisitos de continuidad de las TIC. El punto es garantizar la disponibilidad de la información de la organización y otros activos asociados durante la interrupción.
• 31 Requisitos legales, estatutarios, reglamentarios y contractuales: este control apunta que los requisitos legales, estatutarios, reglamentarios y contractuales relevantes para la seguridad de la información y el enfoque de la organización para cumplir con estos requisitos deben identificarse, documentarse y mantenerse actualizados.
• Si queremos conocer más sobre 32 Derechos de propiedad intelectual podemos remitirnos a la siguiente tabla:

• 33 Protección de registros: este control no deja lugar a dudas cuando expresa que los registros deben protegerse contra pérdida, destrucción, falsificación, acceso no autorizado y publicación no autorizada. Se propone garantizar el cumplimiento de los requisitos legales, estatutarios, reglamentarios y contractuales, así como las expectativas de la comunidad o la sociedad relacionadas con la protección y disponibilidad de los registros.
• 34 Privacidad y protección de PII: este es un control preventivo que amerita que la organización identifique y cumpla los requisitos relacionados con la preservación de la privacidad y la protección de la PII de acuerdo con las leyes y reglamentos aplicables y los requisitos contractuales.
• 35 Revisión independiente de la seguridad de la información: las nociones de ética y eficiencia se hacen presente en este control, según el cual el enfoque de la organización para gestionar la seguridad de la información y su implementación, incluidas las personas, los procesos y las tecnologías, debe revisarse de forma independiente a intervalos planificados o cuando se produzcan cambios significativos. Con esto se pretende asegurar la idoneidad, adecuación y eficacia continuas del enfoque de la organización para gestionar la seguridad de la información.
• 36 Cumplimiento de políticas, normas y estándares de seguridad de la información: el compliance es más importante que nunca. Por eso el cumplimiento de la política de seguridad de la información de la organización, las políticas específicas del tema, las reglas y los estándares debe revisarse periódicamente para garantizar que la seguridad de la información se implemente y opere de acuerdo con la política de seguridad de la información de la organización, las políticas, las reglas y los estándares específicos del tema.
• 37 Procedimientos operativos documentados: los procedimientos operativos para las instalaciones de procesamiento de información deben documentarse y ponerse a disposición del personal que los necesite. El propósito de este control es garantizar el funcionamiento correcto y seguro de las instalaciones de procesamiento de información.

Aunque llegamos al final del apartado 5, en ISOTools seguiremos informando sobre ISO/IEC 27002: 2022, porque, como pioneros y expertos, nos corresponde expresar todo lo que conocemos acerca de este estándar, pues nuestros asesores están ampliamente familiarizados y listos para acompañarte en tu recorrido hacia la excelencia.

Software Seguridad de la Información ISOTools

La ISO 27001 para los Sistemas de Gestión de Seguridad de la Información es sencilla de implantar, automatizar y mantener con la Plataforma Tecnológica ISOTools.

Con ISOTools se da cumplimiento a los requisitos basados en el ciclo PHVA (Planear – Hacer – Verificar – Actuar) para establecer, implementar, mantener y mejorar el Sistema Gestión de la Seguridad de la Información, así como se da cumplimiento de manera complementaria a las buenas prácticas o controles establecidos en ISO 27002.

ISO/IEC 27002:2022

ISO/IEC 27002:2022 fue publicada este año y en el mundo de la estandarización estamos de fiesta. El estándar se ajusta a las necesidades de seguridad de la información de hoy en día, es completo, cuenta con 37 controles organizacionales, 8 controles de personas, 14 controles físicos y 34 controles tecnológicos. En ISOTools nos proponemos explicar todo el apartado 5, que incluye 37 controles, a lo largo de 3 artículos.

ISO/IEC 27002:2022 – Seguridad de la información, ciberseguridad y protección de la privacidad — Controles de seguridad de la información establece controles, objetivos de cada control, una guía para implementarlos (¡la ISO no deja nada al azar!) e información adicional, en la mayoría de los casos. En el texto anterior a este explicamos lo referente a los controles que van desde el 5.1 hasta el 5.3. El resto lo abordaremos a continuación:

• 4 Responsabilidades de la dirección: este control consiste en que la gerencia debe exigir a todo el personal que aplique la seguridad de la información de acuerdo con la política de seguridad de la información establecida, las políticas y los procedimientos específicos del tema de la organización. El objetivo es asegurar que la gerencia comprenda su papel en la seguridad de la información y emprender acciones destinadas a garantizar que todo el personal conozca y cumpla con sus responsabilidades de seguridad de la información.
• 5 Contacto con las autoridades: este control conmina a la organización a establecer y mantener contacto con las autoridades pertinentes. La guía de este apartado indica que la organización debe especificar cuándo y por quién se debe contactar a las autoridades (p. ej., fuerzas del orden, organismos reguladores, autoridades de supervisión) y cómo se deben informar oportunamente los incidentes de seguridad de la información identificados.

Los contactos con las autoridades también deben utilizarse para facilitar la comprensión de las expectativas actuales y futuras de estas autoridades (por ejemplo, las normas de seguridad de la información aplicables).

• 6 Contacto con grupos de interés especial: según este control a organización debe establecer y mantener contacto con grupos de interés especial u otros foros especializados en seguridad y asociaciones profesionales.
• 7 Inteligencia de amenazas: relata que la información relacionada con las amenazas a la seguridad de la información debe recopilarse y analizarse para generar información sobre amenazas. El objetivo es proporcionar conciencia del entorno de amenazas de la organización para que se puedan tomar las medidas de mitigación adecuadas.
• 8 Seguridad de la información en la gestión de proyectos: su objetivo es garantizar que los riesgos de seguridad de la información relacionados con proyectos y entregables se aborden de manera efectiva en la gestión de proyectos a lo largo del ciclo de vida del proyecto.
• 9 Inventario de información y otros activos asociados: este control indica que se debe desarrollar y mantener un inventario de información y otros activos asociados, incluidos los propietarios. Su propósito es identificar la información de la organización y otros activos asociados con el fin de preservar su seguridad de la información y asignar la propiedad adecuada
• 10 Uso aceptable de la información y otros activos asociados: refiere que deben identificarse, documentarse e implementarse reglas para el uso aceptable y procedimientos para el manejo de la información y otros activos asociados. El control ofrece una guía que expresa que el personal y los usuarios externos que utilicen o tengan acceso a la información de la organización y otros activos asociados deben conocer los requisitos de seguridad de la información para proteger y manejar la información de la organización y otros activos asociados. Deben ser responsables del uso que hagan de las instalaciones de procesamiento de información.
• 11 Devolución de bienes: el personal y otras partes interesadas, según corresponda, deben devolver todos los activos de la organización que estén en su poder al cambiar o terminar su empleo, contrato o acuerdo.

 La clasificación de la información pertenece al control 5.12 y fija que la información debe clasificarse de acuerdo con las necesidades de seguridad de la información de la organización en función de la confidencialidad, la integridad, la disponibilidad y los requisitos pertinentes de las partes interesadas.

El etiquetado de la información (5.13) exhorta a desarrollar e implementar un conjunto apropiado de procedimientos para el etiquetado de la información de acuerdo con el esquema de clasificación de la información adoptado por la organización.

Para mantener la seguridad de la información transferida dentro de una organización y con cualquier parte externa interesada se creó el control relacionado con la transferencia de información (5.14). Para controlar el acceso se confeccionó el control 5.15. Con él se espera garantizar el acceso autorizado y evitar el acceso no autorizado a la información y otros activos asociados.

En cuanto a la gestión de identidad (5.16), busca permitir la identificación única de personas y sistemas que acceden a la información de la organización y otros activos asociados y permitir la asignación adecuada de derechos de acceso.

El apartado 5.17 es información de autenticación y se propone garantizar la autenticación adecuada de la entidad y evitar fallas en los procesos de autenticación.

Los derechos de acceso son tratados en 5.18, el control busca que el acceso a la información y otros activos asociados se defina y autorice de acuerdo con los requisitos comerciales. La seguridad de la información en las relaciones con los proveedores pertenece al campo 5.19 y el control espera mantener un nivel acordado de seguridad de la información en las relaciones con los proveedores.

Los últimos 3 apartados son:

• 20 Abordar la seguridad de la información en los acuerdos con proveedores
• 21 Gestión de la seguridad de la información en la cadena de suministro de las TIC
• 22 Seguimiento, revisión y gestión de cambios de servicios de proveedores
• 23 Seguridad de la información para el uso de servicios en la nube

Software Seguridad de la Información ISOTools

La ISO 27001 para los Sistemas de Gestión de Seguridad de la Información es sencilla de implantar, automatizar y mantener con la Plataforma Tecnológica ISOTools.

Con ISOTools se da cumplimiento a los requisitos basados en el ciclo PHVA (Planear – Hacer – Verificar – Actuar) para establecer, implementar, mantener y mejorar el Sistema Gestión de la Seguridad de la Información, así como se da cumplimiento de manera complementaria a las buenas prácticas o controles establecidos en ISO 27002.

ISO/IEC 27002:2022

ISO/IEC 27002:2022 – Seguridad de la información, ciberseguridad y protección de la privacidad — Controles de seguridad de la información, proporciona un conjunto de referencia de controles genéricos de seguridad de la información, incluida una guía de implementación. Aborda la ciberseguridad y protección de datos y ha evolucionado con respecto a su primera publicación en 2005. Ahora el contenido es más completo e integral y se basa en resiliencia, protección, defensa y gestión.

El estándar cuenta con controles que se detallan desde la cláusula 5 hasta la 8 y se denominan temas. Los controles se clasifican como:

1. físicos, si se trata de objetos físicos;
2. propiedades de seguridad de la información (confiabilidad, disponibilidad e integridad).
3. personas, si se refieren a individuos;
4. tecnológicos, si se trata de tecnología.

Organización de controles ISO 27002:2022

Para entender la manera en que los controles están dispuestos en la norma, debemos tomar en cuenta que estos se organizan de la siguiente manera:

• Tipo de control: es un atributo para ver los controles desde la perspectiva de cuándo y cómo el control modifica el riesgo con respecto a la ocurrencia de un incidente de seguridad de la información. Los valores de los atributos consisten en preventivo, detectivo y correctivo.
• Propiedades de seguridad de la información: son un atributo para ver los controles desde la perspectiva de qué característica de la información contribuirá a preservar el control.
• Conceptos de ciberseguridad: son un atributo para ver los controles desde la perspectiva de la asociación de controles a los conceptos de ciberseguridad definidos en el marco de ciberseguridad descrito en ISO/IEC TS 27110. Los valores de atributo consisten en identificar, proteger, detectar, responder y recuperar.
• Capacidades operativas: Las capacidades operativas son un atributo para ver los controles desde la perspectiva del profesional de las capacidades de seguridad de la información
• Dominios de seguridad: es un atributo para ver los controles desde la perspectiva de seguridad de la información. Busca garantizar la idoneidad, la adecuación y la eficacia continuas de la dirección de gestión y el apoyo a la seguridad de la información de acuerdo con los requisitos comerciales, legales, estatutarios, reglamentarios y contractuales.

Reconocer un control ISO 27002:2022

¿Cómo saber que estamos ante un control? Es fácil reconocerlo, puesto que cada uno de ellos cuenta con un título, tabla de atributos, control, propósito, orientación y otra información. El primero que encontraremos es el control cinco, que está referido a los controles organizacionales. El apartado 5.1 alude a las políticas de seguridad de la información. Lo que observaremos, a continuación, será esta tabla:

Controles organizacionales ISO 27002:2022

En concreto, el control expresa que: “la política de seguridad de la información y las políticas específicas del tema deben ser definidas, aprobadas por la gerencia, publicadas, comunicadas y reconocidas por el personal relevante y las partes interesadas relevantes, y revisadas a intervalos planificados y si ocurren cambios significativos”. El objetivo es garantizar la idoneidad, la adecuación y la eficacia continuas de la dirección de gestión y el apoyo a la seguridad de la información de acuerdo con los requisitos comerciales, legales, estatutarios, reglamentarios y contractuales.

También se ofrece una guía en la que consta que, al más alto nivel, la organización debería definir una “política de seguridad de la información” que sea aprobada por la alta dirección y que establezca el enfoque de la organización para gestionar su seguridad de la información.

El estándar insta a tomar en consideración los requisitos derivados de:

• estrategia comercial y requisitos;
• reglamentos, legislación y contratos;
• los riesgos y amenazas actuales y proyectados para la seguridad de la información.
• La norma es enfática cuando propone que la política de seguridad de la información debe contener declaraciones relativas a:
  • definición de seguridad de la información;
  • objetivos de seguridad de la información o el marco para establecer objetivos de seguridad de la información;
  • principios para guiar todas las actividades relacionadas con la seguridad de la información;
  • compromiso de satisfacer los requisitos aplicables relacionados con la seguridad de la información;
  • compromiso con la mejora continua del sistema de gestión de seguridad de la información;
  • asignación de responsabilidades para la gestión de la seguridad de la información a roles definidos;
  • procedimientos para el manejo de exenciones y excepciones.

Políticas ISO 27002-2022

Según la norma ISO/IEC 27002: 2018 la política de seguridad de la información debe estar respaldada por políticas específicas del tema según sea necesario, para exigir aún más la implementación de controles de seguridad de la información. Las políticas de temas específicos generalmente se estructuran para abordar las necesidades de ciertos grupos objetivo dentro de una organización o para cubrir ciertas áreas de seguridad. Las políticas específicas de un tema deben estar alineadas y complementarse con la política de seguridad de la información de la organización. Las diferencias entre ambas se pueden visualizar claramente en la siguiente tabla:

Roles y responsabilidades ISO 27002 2022

En cuanto a los roles y responsabilidades de seguridad de la información (5.2) deben definirse y asignarse de acuerdo con las necesidades de la organización.

La segregación de funciones es el tema que ocupa el 5.3 y tiene como objetivo reducir el riesgo de fraude, error y elusión de los controles de seguridad de la información.

La norma incluye aspectos dignos de estudio y será una herramienta poderosa para quienes trabajamos arduamente en la seguridad de la información. En la próxima entrega ofreceremos más datos de ISO/IEC 27002:2022

Software Seguridad de la Información ISOTools

La ISO 27001 para los Sistemas de Gestión de Seguridad de la Información es sencilla de implantar, automatizar y mantener con la Plataforma Tecnológica ISOTools.

Con ISOTools se da cumplimiento a los requisitos basados en el ciclo PHVA (Planear – Hacer – Verificar – Actuar) para establecer, implementar, mantener y mejorar el Sistema Gestión de la Seguridad de la Información, así como se da cumplimiento de manera complementaria a las buenas prácticas o controles establecidos en ISO 27002.

Este software, permite integrar la ISO 27001 con otras normas, como ISO 9001, ISO 14001 y 45001 de una forma sencilla gracias a su estructura modular.

Capacitación en Seguridad de la Información

La capacitación es clave para las organizaciones y cuando hablamos de Seguridad de la Información aún más ya que existe un alto riesgo de continuidad de negocio por un bajo nivel de cualificación. Habitualmente, el error humano o las malas prácticas en materia de TI son las principales causas de eventos de riesgo en esta materia.

Estas capacitaciones y formaciones permiten que los recursos dentro de la organización, sin importar su nivel intelectual o formación profesional, desarrollen habilidades y mejoren el rendimiento en sus procesos, ganen confianza, cuenten con una capacidad resolutiva ante posibles vulnerabilidades, mejora la conducta de los recursos, ayuda a que se generen nuevos cambios tanto internos como externos, se mejoren las relaciones y los empleados se sientan valorados dentro de la organización.

Dentro de la capacitación y formación de un sistema de seguridad de la información, se debe partir de la norma internacional ISO 27001 y sus derivaciones. Toda la familia de normas ISO 27000 son de gran importancia. La ISO27001 en seguridad de la información como elemento principal desde donde se implementa el sistema en las organizaciones, teniendo en cuenta sus elementos bases que son la Confiabilidad, Integridad y Confidencialidad con el fin de gestionar la privacidad de los datos, su protección y enfocarse en la gestión del riesgo, establecer las causas e instaurar controles para su tratamiento.

Cómo debe ser la capacitación en Seguridad de la Información

Se debe realizar un recorrido por las normas ISO que refuerzan esa implementación de la norma ISO 27001, como la norma ISO 27017 encargada de los controles para los clientes y proveedores; Norma ISO 27018 enfocada a las buenas prácticas referentes a los controles y protección de datos para los servicios en la nube de los proveedores y Norma ISO 27032 y la más reciente encargada de la ciberseguridad, ya que es uno de los elementos que llega como refuerzo más fuerte en el sistema de seguridad de la información, por factores que representan mayores riesgos.

Para desarrollar una adecuada capacitación y formación la organización debe tener establecido un sistema de seguridad de la información el cual establezca las necesidades y expectativas del sistema y la participación de los Steakholders. Debe haber un compromiso por parte de la alta dirección en cuanto a la planificación de las capacitaciones y el objetivo que debe cumplir. Deben ser conscientes del factor costos beneficio que pueden tener las capacitaciones, pues, aunque no se desconoce que una capacitación de seguridad de la información es de un alto costo, esto va a permitir generar un mayor rendimiento para todos sus colaboradores.

Beneficios de la capacitación en Seguridad de la Información

Estos son algunos de los beneficios que las organizaciones obtendrían al capacitar a sus empleados en sistemas de seguridad de la información:

Identificación: No solo le permite la identificación de los riesgos evaluación y control, le permite identificar esas habilidades que las personas capacitadas desconocen y les permiten realizar su labor de manera efectiva, eficaz y eficiente.

• Eficiencia del Sistemas: Permite que los recursos capacitados puedan realizar un eficiente análisis de los controles no solo en el sistema, si no en sus inventarios los cuales son administrados por cada dueño del proceso, que debe calificar la vulnerabilidad de sus inventarios y ser el custodio de sus activos.
• Satisfacción Organizacional: Los recursos al ser capacitados y formados de la forma adecuada genera un valor agregado no solo para sí mismos, sino para la organización, generando confianza en la protección de sus procesos, generando mayor desarrollo y actualización de nuevas tecnologías corporativas, ya que sus empleados se encuentran motivados, sienten el compromiso con la organización, y se centran en cumplir los objetivos de la organización.
• Evaluación de la Capacitación y Formación: Este es tal vez el proceso más sencillo que corre por parte de la organización, pues es donde sus recursos empiezan a mostrar sus habilidades en la gestión del sistema de seguridad de la información y materializan lo aprendido.

En conclusión, una buena capacitación y formación permite que el recurso humano sea eficiente, efectivo, resolutivo, frentes a los sistemas de seguridad de la información, gestionando sus principios fundamentales enfocados en la confidencialidad, integridad y confiabilidad de sus activos, gestión de riesgos, prevención de ataques cibernéticos, gestión en la nube, entre otros. Es por eso que las herramientas tecnológicas como Software especializados parametrizables permiten no solo capacitar el personal, si no gestionar el sistema.

Software Seguridad de la Información

La capacitación es importante, sin embargo, para una gestión eficaz que resulte de utilidad para la organización será necesario implementar un Sistema de Gestión de Seguridad de la Información y hacer una gestión eficiente del mismo. Gracias a un Software de Gestión de Seguridad de la Información como ISOTools el control y el impacto en los Riesgos de Seguridad de la Información será máximo y su gestión ganará en eficacia y eficiencia.