ISO 27001 e ISO 27002 

Las normas ISO 27001 e ISO 27002 son los dos estándares más reconocidos y utilizados en el mundo de la gestión de la seguridad de la información. Ambas forman parte de la familia de normas ISO/IEC 27000, centradas en proteger la información y la gestión de riesgos de las organizaciones. Sin embargo, aunque están muy relacionadas entre sí, cumplen con propósitos diferentes y se complementan mutuamente. En este artículo, vamos explorar las diferencias clave entre las normas ISO 27001 e ISO 27002, y cómo el software ISOTools puede ayudarte a implementar ambas normas de forma eficiente y personalizada. 

¿Qué es ISO 27001? 

La norma ISO 27001 es una estándar internacional que sienta los requisitos para implementar un Sistema de Gestión de Seguridad de la Información (SGSI). Su principal objetivo es ayudar a las empresas a gestionar y proteger sus activos de información de forma sistemática y eficaz. ISO/IEC 27001 está centrada en identificar de riesgos, implementar controles y mejorar de forma continua el SGSI. 

Características clave de ISO 27001 

• Enfoque basado en riesgos: ISO 27001 requiere que las empresas identifiquen, evalúen y traten los riesgos que tengan relación con la seguridad de la información. 
• Certificación: se trata de una norma certificable, por lo que las empresas pueden obtener una certificación oficial que demuestra su cumplimiento con ISO 27001. 
• Estructura de alto nivel (HLS): sigue la estructura común de las normas ISO, lo que facilita su integración con otros sistemas de gestión, como ISO 9001, de gestión de calidad, o ISO 14001, de gestión del medio ambiente. 

¿Qué es ISO 27002? 

Por su parte, la norma ISO 27002 es una guía de buenas prácticas para implementar controles de seguridad de la información. A diferencia de la ISO 27001, no se trata de una norma certificable. Es un documento de apoyo que ofrece recomendaciones detalladas acerca de cómo implementar los controles mencionados en el Anexo A de la norma ISO 27001. 

Características clave de ISO 27002 

• Enfoque en controles: ISO 27002 está centrada en proporcionar una guía práctica acerca de cómo implementar y gestionar controles de seguridad concretos. 
• No es certificable: al ser una guía, no está diseñada para ser certificada por las organizaciones, sino para complementar la implementación de la norma ISO 27001. 
• Detalle y profundidad: ofrece explicaciones detalladas acerca de cada control, lo que incluye su propósito, implementación y consideraciones extras. 

Principales diferencias entre ISO 27001 e ISO 27002 

Aunque las dos normas están muy relacionadas con la seguridad de la información en las organizaciones, existen algunas diferencias entre ellas. A continuación, se presentan las principales: 

Propósito y alcance 

• ISO 27001: establece los requisitos para implementar un Sistema de Gestión de Seguridad de la Información y se puede certificar. Su enfoque es más amplio, ya que abarca la gestión de riesgos, la política de seguridad y la mejora continua. 
• ISO 27002: ofrece las directrices de forma detallada para implementar los controles de seguridad. No se puede certificar y su alcance está limitado a la orientación práctica. 

Estructura y contenido de la ISO 27001 e ISO 27002

• ISO 27001: sigue la estructura de alto nivel común a otras normas ISO, facilitando su integración con otros sistemas de gestión. Incluye requisitos concretos para implementar, operar y mantener el Sistema de Gestión de Seguridad de la Información. 
• ISO 27002: no sigue la estructura HLS. En su lugar, se organiza en torno a los controles de seguridad desarrollados en el Anexo A de la norma ISO 27001 y proporciona una explicación detallada de cada uno de ellos. 

Certificación 

• ISO 27001: es un estándar certificable. Las empresas pueden obtener una certificación oficial que demuestra su cumplimiento con los requisitos de la norma. 
• ISO 27002: no se puede certificar. Se trata de una guía de apoyo que ayuda a las empresas a implementar controles de seguridad de forma efectiva. 

Enfoque en la gestión de riesgos 

• ISO 27001: requiere que las empresas identifiquen y gestionen los riesgos relacionados con la seguridad de la información. Este enfoque basado en riesgos es clave para implementar el SGSI. 
• ISO 27002: no está centrado en la gestión de riesgos, sino en implementar controles específicos. Sin embargo, estos controles están diseñados para mitigar los riesgos identificados en el marco de la norma ISO 27001. 

Aplicación práctica de la ISO 27001 e ISO 27002

• ISO 27001: proporciona un marco genérico para la gestión de la seguridad de la información. Las empresas deben adaptar este marco a sus necesidades concretas. 
• ISO 27002: ofrece recomendaciones prácticas y con detalles sobre cómo implementar controles de seguridad. Es muy útil para las empresas que buscan orientación específica sobre la forma de implementar los controles. 

Las normas ISO 27001 e ISO 27002 son los dos estándares más reconocidos y utilizados en el mundo de la gestión de la seguridad de la información.
Compartir en X

ISOTools facilita la implementación de ISO 27001 e ISO 27002 

Implementar un SGSI basado en ISO 27001 con base en las directrices de ISO 27002 es un proceso complejo y desafiante. Sin embargo, con el software ISOTools, este proceso se simplifica. 

Facilidad de uso

ISOTools es una plataforma intuitiva y fácil de usar que permite a las empresas gestionar su SGSI eficientemente. Su interfaz amigable, las tareas de implementación, seguimiento y mejora continua hacen el software accesible para todos los usuarios. 

Personalización 

Cada empresa tiene sus propias necesidades concretas en cuanto a gestionar la seguridad de la información. ISOTools se adapta a tus necesidades, permitiéndote personalizar su SGSI según tus propios requisitos y procesos. Esto incluye la selección de los controles de seguridad más relevantes de ISO 27002. 

Aplicaciones específicas de ISO 27001 e ISO 27002

ISOTools ofrece un enfoque modular, lo que significa que puedes elegir solo las aplicaciones que necesitan. Esto evita la sobrecarga de funciones innecesarias y garantiza que el sistema se adapte a las necesidades de tu empresa. 

 Soporte incluido con la ISO 27001 e ISO 27002

Uno de los mayores beneficios de ISOTools es que el soporte está incluido en el precio, por lo que no habrá cargos extras o inesperados. Además, contarás con un equipo de consultores expertos siempre disponibles para resolver tus dudas y proporcionarte orientación en el día a día. 

Integración con otras normas 

ISOTools facilita la integración de ISO 27001 con otras normas, como ISO 9001 o ISO 14001. Esto es muy útil para empresas que buscan implementar un sistema de gestión integrado (SGI). 

Las normas ISO 27001 e ISO 27002 son estándares complementarios que juegan un papel crucial en la gestión de la seguridad de la información. Mientras que la ISO 27001 establece los requisitos para un Sistema de Gestión de Seguridad de Información certificable, la norma ISO 27002 ofrece una guía detallada para implementar los controles de seguridad. Las dos normas son muy necesarias para proteger los activos de información en la empresa. 

Con ISOTools, implementar estas normas es un proceso sencillo y eficiente. Su facilidad de uso, personalización, enfoque modular y soporte, convierten a ISOTools en el software ideal para gestionar el SGSI efectivamente. Te ayuda a cumplir con los requisitos de ISO 27001 e ISO 27002, y te permite adaptar el sistema a tus necesidades concretas. 

Si buscas una solución integral y personalizable para gestionar la seguridad de la información, ISOTools es la elección perfecta. Con su apoyo, implementarás y mantendrás un SGSI fuerte, garantizando la protección de tus activos de información y la continuidad del negocio. 

Las normas ISO 27001 e ISO 27002, pertenecientes a la familia ISO 27000, desempeñan un papel fundamental en la gestión de la seguridad de la información. Aunque están interrelacionadas, cumplen funciones diferentes dentro de un sistema de gestión. En este artículo, exploraremos las diferencias entre ISO 27001 e ISO 27002, además de sus similitudes, y cómo las organizaciones pueden beneficiarse de su implementación utilizando herramientas tecnológicas como el Software ISO 27001 de ISOTools.

Diferencias entre ISO 27001 e ISO 27002

A continuación, se destacan las principales diferencias entre ISO 27001 e ISO 27002. Dos normas fundamentales para la gestión de la seguridad de la información:

• Propósito: Mientras que la ISO 27001 está diseñada para establecer los requisitos necesarios para implementar un Sistema de Gestión de Seguridad de la Información (SGSI), la ISO 27002 actúa como una guía práctica que proporciona directrices detalladas para la implementación de controles específicos.
• Certificación: Una diferencia clave radica en que la ISO 27001 es certificable, lo que permite a las organizaciones obtener una certificación oficial que valide su compromiso con la seguridad de la información. Por otro lado, la ISO 27002 no es certificable, ya que su objetivo principal es servir como referencia complementaria.
• Enfoque: La ISO 27001 responde a la pregunta de «qué hacer» al establecer los controles y procesos necesarios para proteger la información, mientras que la ISO 27002 detalla «cómo hacerlo» mediante la descripción de buenas prácticas y ejemplos.
• Estructura: La estructura de la ISO 27001 se basa en requisitos específicos que deben cumplirse, mientras que la ISO 27002 se centra en proporcionar buenas prácticas para implementar y gestionar los controles.

ISO 27001: El pilar del Sistema de Gestión de Seguridad de la Información (SGSI)

La ISO 27001 es un estándar internacional que establece los requisitos para implementar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI). Su objetivo principal es garantizar la confidencialidad, integridad y disponibilidad de la información dentro de una organización.

Aspectos clave de la ISO 27001:

1. Enfoque basado en riesgos:

• Identifica y evalúa los riesgos de seguridad de la información.
• Permite diseñar controles específicos para mitigarlos.

2. Certificación:

• Las organizaciones pueden certificar su cumplimiento, demostrando a clientes y partes interesadas su compromiso con la seguridad.

3. Estructura HLS:

• Facilita la integración con otras normas ISO, como ISO 9001 o ISO 14001.

4. Anexo A:

• Contiene 93 controles que las organizaciones pueden implementar según sus necesidades.

ISO 27002: La guía para la implementación de controles

La ISO 27002 complementa a la ISO 27001 proporcionando directrices detalladas para implementar los controles de seguridad mencionados en el Anexo A de la ISO 27001. No establece requisitos, sino que actúa como un marco de mejores prácticas.

Aspectos clave de la ISO 27002:

Aplicación práctica:

• Explica «cómo» implementar cada control, incluyendo ejemplos y situaciones comunes.

Actualización continua:

• Se adapta a las nuevas amenazas tecnológicas y prácticas emergentes en seguridad de la información.

No certificable:

• Sirve como una herramienta de referencia, pero no permite obtener una certificación independiente.

Similitudes entre ISO 27001 e ISO 27002

1. Objetivo común: Ambas normas buscan proteger la confidencialidad, integridad y disponibilidad de la información.
2. Basadas en riesgos: Promueven un enfoque basado en la identificación y mitigación de riesgos.
3. Complementariedad: La ISO 27002 proporciona las herramientas necesarias para implementar los controles definidos en la ISO 27001.

El impacto de las diferencias entre ISO 27001 e ISO 27002 en el sector empresarial

Para las empresas, implementar un SGSI basado en ISO 27001 e ISO 27002 significa:

• Protección frente a ciberataques:
  • La gestión adecuada de riesgos reduce la vulnerabilidad ante amenazas externas.
• Confianza de los clientes:
  • La certificación en ISO 27001 demuestra un compromiso con la seguridad, aumentando la reputación empresarial.
• Cumplimiento normativo:
  • Ayuda a cumplir regulaciones como GDPR, PCI DSS y otras relacionadas con la protección de datos.
• Eficiencia operativa:
  • La implementación de controles optimiza procesos internos, minimizando interrupciones.

ISO 27001 y 27002: similitudes
Compartir en X

Cómo ISOTools puede transformar la implementación de la ISO 27001

El Software ISO 27001 de ISOTools es una solución diseñada para facilitar la adopción y gestión de un SGSI. Algunas de sus ventajas son:

• Automatización de procesos: Simplifica tareas como la identificación de riesgos, el seguimiento de controles y la generación de informes.
• Gestión centralizada: Permite a las organizaciones gestionar toda la documentación, auditorías y acciones correctivas desde una única plataforma.
• Cumplimiento continuo: Asegura que los controles se mantengan actualizados y alineados con las mejores prácticas.
• Visualización de datos: Ofrece dashboards intuitivos para monitorear el estado del SGSI en tiempo real.

Beneficios específicos para las empresas

• Reducción de costes: Al optimizar los procesos de auditoría y mantenimiento del SGSI.
• Mayor agilidad: Gracias a herramientas que permiten identificar rápidamente áreas de mejora.
• Mejor toma de decisiones: Al contar con información actualizada y centralizada.

ISO 27001 e ISO 27002 son normas esenciales para construir un entorno empresarial seguro frente a las crecientes amenazas digitales. Mientras que la ISO 27001 establece el marco general, la ISO 27002 proporciona los detalles para implementar controles efectivos. Al integrar estas normas con herramientas tecnológicas como el Software ISO 27001 de ISOTools, las organizaciones cumplen con los estándares internacionales a la vez que optimizan sus operaciones, garantizando la protección de su información y mejorando su competitividad en el mercado.

¿Listo para la puesta a punto de la gestión de la seguridad de la información de tu empresa? Descubre cómo ISOTools puede ayudarte a lograrlo.

Código de práctica para la seguridad de la información

La norma ISO 27002, también conocida como «Código de práctica para la seguridad de la información«, ofrece directrices y mejores prácticas para el establecimiento, implementación, mantenimiento y mejora de un sistema de gestión de la seguridad de la información (SGSI) en una organización. Entre los diversos aspectos de seguridad cubiertos por la norma, se encuentra la seguridad física y del entorno.

La seguridad física y del entorno en ISO 27002 se refiere a las medidas y controles necesarios para proteger los activos de información física y las instalaciones que los albergan. Estos activos pueden incluir servidores, equipos de red, dispositivos de almacenamiento, documentos impresos y cualquier otro medio físico que contenga información sensible.

Algunas de las áreas clave que se abordan en relación con la seguridad física y del entorno en ISO 27002 incluyen:

• Acceso físico: Se deben establecer controles para limitar y controlar el acceso físico a áreas críticas o sensibles, como salas de servidores o centros de datos. Esto puede incluir sistemas de control de acceso, cerraduras electrónicas, tarjetas de acceso, vigilancia por video, etc.
• Protección contra amenazas ambientales: Las organizaciones deben implementar medidas para proteger los activos de información contra amenazas ambientales como incendios, inundaciones, terremotos, fallas eléctricas, etc. Esto puede incluir sistemas de extinción de incendios, sistemas de alimentación ininterrumpida (UPS), sistemas de detección de inundaciones, etc.
• Gestión de activos: Se deben establecer políticas y procedimientos para la identificación, clasificación y seguimiento de los activos de información física. Esto permite tener un control adecuado sobre los activos y garantizar su protección.
• Eliminación segura: Cuando los activos de información física llegan al final de su vida útil o ya no son necesarios, se deben seguir procedimientos adecuados para su eliminación segura. Esto puede incluir la destrucción física de discos duros, la eliminación segura de documentos impresos o el borrado seguro de datos en dispositivos electrónicos.
• Seguridad en áreas públicas: Si la organización tiene áreas de acceso público, como vestíbulos o salas de espera, se deben tomar medidas para garantizar que los activos de información estén protegidos adecuadamente. Esto puede incluir la instalación de cerraduras en casilleros, restricciones de acceso a áreas sensibles, etc.

Estos son solo algunos ejemplos de las medidas de seguridad física y del entorno que se abordan en la norma ISO 27002. La norma proporciona una guía detallada sobre cómo implementar y mantener estos controles para garantizar la protección adecuada de los activos de información física.

Recuerda que es importante consultar la versión más actualizada de la norma ISO 27002 y adaptar las medidas de seguridad física y del entorno a las necesidades y circunstancias específicas de tu organización.

Software ISOTools para proteger los activos de la información

ISOTools es un software de gestión empresarial que se ha convertido en un aliado esencial para las organizaciones que desean implementar y mantener la norma ISO 27002 de manera eficiente. Ofrece una plataforma completa que facilita la planificación, implementación, seguimiento y mejora continua de un SGSI basado en esta norma. A continuación, se destacan algunas de las ventajas clave de ISOTools:

1. Automatización de Procesos

ISOTools automatiza muchos de los procesos relacionados con la seguridad de la información. Esto permite a las organizaciones ahorrar tiempo y recursos al gestionar tareas como la identificación de activos, la evaluación de riesgos, la documentación de políticas y procedimientos, y la revisión de controles de seguridad.

2. Centralización de Información

El software centraliza toda la información relacionada con la seguridad de la información, lo que facilita el acceso y la colaboración entre los miembros del equipo. Esto es esencial para mantener a todos los departamentos de la organización alineados con los estándares de seguridad.

3. Seguimiento y Reportes

ISOTools permite un seguimiento constante del estado de los controles de seguridad, lo que facilita la identificación de problemas y la toma de medidas correctivas. Además, genera informes detallados que son útiles para demostrar el cumplimiento con la norma ISO 27002 a partes interesadas internas y externas.

4. Adaptabilidad

Cada organización es única, y ISOTools se adapta a las necesidades específicas de cada una. Puede personalizarse para satisfacer los requisitos de seguridad de la información de cualquier sector o industria.

5. Mantenimiento Continuo

La seguridad de la información es un proceso en constante evolución. ISOTools ayuda a las organizaciones a mantenerse actualizadas con los cambios en las amenazas y los requisitos normativos, garantizando la mejora continua del SGSI.

Proteger los activos de la información es crucial en la actualidad, y la norma ISO 27002 es un estándar reconocido internacionalmente para lograrlo. La implementación de esta norma se ha vuelto mucho más sencilla y efectiva gracias al software ISOTools, que automatiza procesos, centraliza información, ofrece seguimiento y adaptabilidad, y permite el mantenimiento continuo de la seguridad de la información.

Si tu organización está buscando fortalecer su seguridad de la información y cumplir con la norma ISO 27002, ISOTools es una solución que simplificará todo el proceso. No comprometas la seguridad de tus activos de información; opta por ISOTools y mantén tus datos seguros y protegidos.

Protección de infraestructuras críticas

La seguridad de la información es una prioridad para la protección de infraestructuras críticas. Esto se debe a que la información es uno de los activos más importantes de una organización y su seguridad es fundamental para garantizar la continuidad de los negocios. La seguridad de la información es una disciplina que abarca una variedad de áreas, desde la protección de la información hasta la prevención de amenazas. Esto incluye la protección de los sistemas informáticos, la protección de la información almacenada en los sistemas, el control de acceso a los sistemas y la prevención de ataques cibernéticos.

La protección de dato es un método en inmutable progreso. Esto se debe a que los ataques cibernéticos se vuelven cada vez más sofisticados y los riesgos para la seguridad de la información aumentan. Esto significa que las organizaciones deben estar preparadas para enfrentar estos desafíos y garantizar la seguridad de sus sistemas. Además, las organizaciones deben estar preparadas para implementar medidas de seguridad adecuadas para proteger sus sistemas y datos.

Seguridad de la Información

Una de las principales áreas de la seguridad de la información es la protección de infraestructuras críticas. Incluye la protección de los sistemas informáticos, la protección de la información almacenada en los sistemas, el control de acceso a los sistemas y la prevención de ataques cibernéticos. Esto significa que las organizaciones deben estar preparadas para implementar medidas de seguridad adecuadas para proteger sus sistemas y datos. Esto incluye la implementación de políticas de seguridad, la implementación de controles de seguridad, la implementación de herramientas de seguridad y la implementación de procedimientos de seguridad.

Además, las organizaciones deben estar preparadas para responder a incidentes de seguridad. Esto significa que las organizaciones deben estar preparadas para detectar, investigar y responder a incidentes de seguridad. Esto incluye la implementación de procedimientos de respuesta a incidentes, la implementación de herramientas de detección de incidentes y la implementación de herramientas de análisis de incidentes. Esto ayudará a las organizaciones a identificar y responder a incidentes de seguridad de manera eficaz.

El futuro para la protección de infraestructuras críticas es prometedor. Esto se debe a que las organizaciones están cada vez más conscientes de los riesgos para la seguridad de la información y están tomando medidas para proteger sus sistemas y datos. Esto significa que las organizaciones están invirtiendo en tecnologías de seguridad avanzadas, como la ciberseguridad, la seguridad de la información en la nube y la seguridad de la red. Esto ayudará a las organizaciones a proteger sus sistemas y datos de forma eficaz.

Continuidad de negocio 

El futuro de la seguridad de la información para la protección de infraestructuras críticas también incluye el uso de tecnologías de inteligencia artificial para mejorar la seguridad de la información. Esto significa que las organizaciones pueden utilizar tecnologías como el aprendizaje automático y la minería de datos para mejorar la seguridad de la información. Esto ayudará a las organizaciones a identificar amenazas potenciales y responder a ellas de manera eficaz.

La seguridad de la información es una parte fundamental para la protección de infraestructuras críticas. Esto implica la implementación de medidas de seguridad adecuadas para garantizar que los datos y la información se mantengan seguros y protegidos. Estas medidas incluyen el uso de herramientas de cifrado, la implementación de políticas de seguridad, la vigilancia de la red y el uso de soluciones de seguridad avanzadas. Estas medidas ayudan a prevenir el acceso no autorizado a los datos y la información, así como a proteger los sistemas y la infraestructura crítica.

En conclusión, la seguridad de la información es una prioridad para la protección de infraestructuras críticas. Esto se debe a que la información es uno de los activos más importantes de una organización y su seguridad es fundamental para garantizar la continuidad de los negocios. Las organizaciones deben estar preparadas para implementar medidas de seguridad adecuadas para proteger sus sistemas y datos. Además, el futuro de la seguridad de la información para la protección de infraestructuras críticas incluye el uso de tecnologías de inteligencia artificial para mejorar la seguridad de la información. Por tanto, ayudará a las organizaciones a proteger sus sistemas y datos de forma eficaz y garantizar la continuidad de los negocios.

Software para los Sistemas de Gestión SI

ISOTools es una solución tecnológica que facilita la implementación, automatización y mantenimiento de la norma con el software ISO 27001 para los Sistemas de Gestión de Seguridad de la Información. Además, a través de ISOTools, se pueden cumplir los requisitos basados en el ciclo PHVA (Planear – Hacer – Verificar – Actuar). Los necesitaremos para establecer, implementar, mantener y mejorar el Sistema de Gestión de Seguridad de la Información. Una solución que cumple de manera complementaria las buenas prácticas o controles establecidos en la norma ISO 27002.

Lo que hace posible la integración con otras normas como ISO 9001, ISO 14001 e ISO 45001 es la estructura modular de este software, lo que permite una integración más sencilla y eficiente.

Protección de datos en Ecuador

En la era digital, la protección de los datos personales se ha convertido en un tema de suma importancia. Ecuador, al igual que en muchos otros países, se han implementado reglamentos para garantizar la privacidad y seguridad de la información de los ciudadanos. A lo largo de este artículo, exploraremos el Reglamento de Protección de Datos en Ecuador y analizaremos las novedades más relevantes que todos debemos tener en cuenta.

Antecedentes del Reglamento de Protección de Datos en Ecuador

El Reglamento de Protección de Datos en Ecuador se basa en la Ley Orgánica de Datos Personales (LOPD) y tiene como objetivo regular el tratamiento de los datos personales en el país. Fue aprobado el 10 de mayo de 2021 y establece las directrices y obligaciones tanto para las organizaciones como para los ciudadanos en lo que respecta a la protección de datos.

Principios fundamentales del Reglamento

El Reglamento de Protección de Datos en Ecuador se sustenta en una serie de principios fundamentales que garantizan el correcto tratamiento de la información personal. Estos principios incluyen:

2.1 Consentimiento informado: Las organizaciones deben obtener el consentimiento explícito y libre de los individuos antes de recopilar y procesar sus datos personales.

2.2 Finalidad legítima: Los datos personales solo pueden ser recopilados y utilizados para fines legítimos y específicos, previamente informados a los titulares de los datos.

2.3. Proporcionalidad y calidad: Los datos recopilados deben ser adecuados, pertinentes y limitados a lo necesario para cumplir con la finalidad establecida.

2.4 Seguridad: Se deben implementar medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos personales y prevenir su acceso no autorizado, divulgación, modificación o destrucción.

Novedades destacadas del Reglamento

3.1 Derechos de los titulares de datos: El Reglamento de Protección de Datos en Ecuador reconoce una serie de derechos para los titulares de datos personales, como el acceso, rectificación, cancelación y oposición al tratamiento de sus datos. Además, se introduce el derecho a la portabilidad de datos, que permite a los ciudadanos transferir sus datos personales de una organización a otra.

3.2 Obligaciones de las organizaciones: Las organizaciones que procesan datos personales deben cumplir con diversas obligaciones, como mantener un registro de actividades de tratamiento, implementar medidas de seguridad adecuadas, notificar brechas de seguridad, designar un Encargado de Protección de Datos, y realizar evaluaciones de impacto en la protección de datos cuando sea necesario.

3.3 Transferencia internacional de datos: El Reglamento establece requisitos específicos para la transferencia de datos personales fuera del territorio ecuatoriano. De este modo se asegura que se mantenga un nivel adecuado de protección de datos en países o empresas receptoras.

3.4 Autoridad de Control: Se crea una Autoridad de Control encargada de supervisar y hacer cumplir el Reglamento de Protección de Datos en Ecuador. Por tanto, esta autoridad tiene la facultad de imponer sanciones en caso de incumplimiento de las disposiciones del reglamento.

Obligaciones de las organizaciones

4.1 Registro de bases de datos: Las organizaciones que traten datos personales deben llevar un registro de sus bases de datos, que incluya información sobre su finalidad, categoría de datos tratados, medidas de seguridad implementadas, entre otros aspectos.

4.2 Evaluación de impacto en la protección de datos: En determinados casos, se debe realizar una evaluación de impacto en la protección de datos para identificar los riesgos y establecer medidas de mitigación antes de llevar a cabo un tratamiento de datos.

 4.3 Designación de un oficial de protección de datos: Algunas organizaciones deben designar un oficial de protección de datos, encargado de velar por el cumplimiento de la normativa de protección de datos y servir como punto de contacto con la ARCO.

Salvaguardad la privacidad y seguridad

Para enfatizar, la protección de datos personales es un tema crucial en el entorno digital actual, y el Reglamento de Protección de Datos en Ecuador busca establecer los lineamientos y obligaciones necesarias para salvaguardar la privacidad y seguridad de los ciudadanos. Al conocer las novedades destacadas de este reglamento, las organizaciones y los individuos pueden tomar medidas proactivas para garantizar el cumplimiento de las normas y proteger adecuadamente la información personal. En un mundo cada vez más interconectado, es fundamental estar al tanto de las regulaciones y adaptarse a ellas para asegurar la integridad y confidencialidad de los datos.

Software para la Seguridad de la Información ISO 27001

El programa ISOTools Excellence ISO 27001 para la gestión de riesgos y seguridad informática es altamente versátil y puede adaptarse a las necesidades específicas de cada empresa gracias a sus múltiples aplicaciones configurables. Al integrar estas aplicaciones, el software garantiza que la información manejada por las organizaciones mantenga su disponibilidad, integridad y confidencialidad.

Además de facilitar la certificación de la norma ISO 27001, este software es una herramienta fundamental para la gestión de la seguridad informática y el cumplimiento de los requisitos establecidos en el Reglamento General de Protección de Datos.

Código de práctica para la seguridad de la información

La norma ISO 27002, también conocida como «Código de práctica para la seguridad de la información«, ofrece directrices y mejores prácticas para el establecimiento, implementación, mantenimiento y mejora de un sistema de gestión de la seguridad de la información (SGSI) en una organización. Entre los diversos aspectos de seguridad cubiertos por la norma, se encuentra la seguridad física y del entorno.

La seguridad física y del entorno en ISO 27002 se refiere a las medidas y controles necesarios para proteger los activos de información física y las instalaciones que los albergan. Estos activos pueden incluir servidores, equipos de red, dispositivos de almacenamiento, documentos impresos y cualquier otro medio físico que contenga información sensible.

Algunas de las áreas clave que se abordan en relación con la seguridad física y del entorno en ISO 27002 incluyen:

• Acceso físico: Se deben establecer controles para limitar y controlar el acceso físico a áreas críticas o sensibles, como salas de servidores o centros de datos. Esto puede incluir sistemas de control de acceso, cerraduras electrónicas, tarjetas de acceso, vigilancia por video, etc.
• Protección contra amenazas ambientales: Las organizaciones deben implementar medidas para proteger los activos de información contra amenazas ambientales como incendios, inundaciones, terremotos, fallas eléctricas, etc. Esto puede incluir sistemas de extinción de incendios, sistemas de alimentación ininterrumpida (UPS), sistemas de detección de inundaciones, etc.
• Gestión de activos: Se deben establecer políticas y procedimientos para la identificación, clasificación y seguimiento de los activos de información física. Esto permite tener un control adecuado sobre los activos y garantizar su protección.
• Eliminación segura: Cuando los activos de información física llegan al final de su vida útil o ya no son necesarios, se deben seguir procedimientos adecuados para su eliminación segura. Esto puede incluir la destrucción física de discos duros, la eliminación segura de documentos impresos o el borrado seguro de datos en dispositivos electrónicos.
• Seguridad en áreas públicas: Si la organización tiene áreas de acceso público, como vestíbulos o salas de espera, se deben tomar medidas para garantizar que los activos de información estén protegidos adecuadamente. Esto puede incluir la instalación de cerraduras en casilleros, restricciones de acceso a áreas sensibles, etc.

Estos son solo algunos ejemplos de las medidas de seguridad física y del entorno que se abordan en la norma ISO 27002. La norma proporciona una guía detallada sobre cómo implementar y mantener estos controles para garantizar la protección adecuada de los activos de información física.

Recuerda que es importante consultar la versión más actualizada de la norma ISO 27002 y adaptar las medidas de seguridad física y del entorno a las necesidades y circunstancias específicas de tu organización.

Software para el Sistema de Gestión de Seguridad de la Información

La norma ISO 27002, es una norma internacional que proporciona directrices y mejores prácticas para establecer, implementar, mantener y mejorar un sistema de gestión de seguridad de la información (SGSI) en una organización.

ISO 27002 es parte de la serie de normas ISO/IEC 27000, que se enfoca en la seguridad de la información y proporciona un marco integral para la gestión de la seguridad. Aunque ISO 27001 es la norma principal que especifica los requisitos para un SGSI, ISO 27002 se centra en los controles de seguridad que se pueden implementar para proteger los activos de información de una organización.

La norma ISO 27002 abarca un amplio rango de controles de seguridad y ofrece directrices detalladas para su implementación. Estos controles se agrupan en diferentes categorías, como la gestión de la organización, la gestión de activos, la seguridad en el personal, el control de acceso, la seguridad física, la seguridad en las operaciones, la seguridad en las comunicaciones, la adquisición, el desarrollo y el mantenimiento de sistemas de información, la gestión de incidentes de seguridad y la gestión de la continuidad del negocio.

Al seguir las directrices del Software de ISOTools basados en la norma ISO 27001, una organización puede identificar y evaluar los riesgos de seguridad de la información, implementar controles adecuados y monitorear y mejorar continuamente su SGSI. Esto ayuda a garantizar la confidencialidad, integridad y disponibilidad de la información, protegiéndola de amenazas internas y externas.

En resumen, desde nuestra plataforma ofrecemos un conjunto de controles y directrices que las organizaciones pueden utilizar para gestionar la seguridad de la información de manera efectiva, ayudando a proteger los activos de información y mitigar los riesgos de seguridad.

ISO 27002

El objetivo de este punto de la norma ISO 27001 es la preservación de los activos de información como soporte del negocio algunos ejemplos activos son los siguientes que mostraremos a continuación.

• Recursos de información: Las bases de datos y registros, documentación del sistema, los manuales de usuario, los materiales de capacitación, los diferentes procedimientos operativos o de soporte, los diversos planes de continuidad y contingencia, la información archivada, etc.
• Recursos de software: Los software de las aplicaciones, los sistemas operativos, las herramientas del desarrollo y la publicación de contenidos, proficientes, etc.
• Activos físicos: esta formado por el equipamiento informático, los equipos de comunicaciones, los medio u otros equipos técnicos, moblaje, lugares de instalación, etc.
• Servicios: prestación de servicios informáticos y de comunicaciones, proficientes generales.

Los activos de la información deben estar clasificados teniendo en cuenta la sensibilidad y criticidad de la información que contenga o que cumplan con los objetivos de señalar cómo ha de ser trata y protegida la información.

Los pasos de la clasificación tienen que predecir y examinar el hecho de que dicha clasificación de un ítem de información determinando no es precisamente tiene que mantener invariable por siempre, y que se puede variar según la política explícita por la propia organización. Es ineludible que se considere las cantidades de categorías para definir la clasificación dado que los esquemas son demasiado complejos y estos pueden volverse difíciles o resultar poco prácticos.

Responsabilidad sobre los activos

Los activos de la información según la norma ISO 27000, tienen que ser comprendidos y tener asignados un responsable y deberán identificar a los responsables o propietarios para todos los activos y asignarles la responsabilidad del mantenimiento en los dibersos controles adecuados.

La ejecución estos controles específicos puede ser encargada por el mismo propietario de forma provechosa, Sin embargo, el propietario permanece como el responsable de la adecuada resguardo de los activos.

El término identifica a individuos o entidades de forma comprometida, que cuente con la aprobación por parte de la dirección, para el controlar la producción, desarrollos, mantenimientos, la utilización y seguridad de los activos. El vocablo propietario no figura que la persona disponga de los derechos de propiedad reales del activo.

Es preciso obtener y conservar un inventario de activos de los información, exponiendo los propietarios de los activos y los detalles relevantes.

Utilizar un código de barras para facilitar las tareas de ejecución de inventario y vincular los equipos de TI que ingresan y salen de las instalaciones con los empleados.

Actividades de control del riesgo

1.- Inventario de activos: Los activos deben estar visiblemente identificados, elaborando y manteniendo un inventario con los más importantes. 

• La idea es realizar un inventario de activos que nos permita.
• Identificar los activos de la información que den soporte al negocio.
• Clasificar los activos por su importancia.
• Archivar los activos por el tipo de activo o información.
• Identificar al propietario del activo.

2.- Propiedad de los activos: La información y activos de los inventarios que se encuentran asociados a los recursos para tratar la información que deberían pertenecer a una parte designada de la Organización.

Deberes del propietario de un activo de la Información:

• Asegurar que los activos son inventariados
• Afirmar que los activos son archivados y protegidos de forma adecuada;
• Precisar e inspeccionar de forma periódicamente las prohibiciones de los accesos y las clasificaciones de activos importantes, donde se tiene en cuenta las políticas que se aplican en el control de acceso.
• Avalar el manejo adecuado cuando el activo es eliminado o destruido.

3.- Uso aceptable de los activos: Corresponderían en identificar, evidenciar e instituir medidas para el uso conveniente de la información y los activos asociados a recursos de tratamiento de la información.

El uso admisible de los activos que consisten en los procesos de:

• Documentar el uso adecuado de la información, donde se describan los requisitos de la seguridad de la información de los activos, instalaciones entre otros.
• Notificar a los empleados afectados con el objetivo de evitar el uso indebido.

4.- Devolución de activos: Todo los colaboradores y usuarios deben devolver todos los activos de la compañía que encuentren en su responsabilidad, una vez culminado los  acuerdos contratos de prestación de servicios o actividades que se relacionan con su contrato de empleo.

• Requisitos para implementar este control:
• Determinar procesos de finalización de uso donde se incluya la cláusula de devolución de activos físicos y/o electrónicos
• Instituir los procedimientos transferencias y borrados de la información de forma inequívoca en el caso que sea oportuno (Uso de los equipos adecuados, traspaso y restitución de los equipos etc.).

Fugas de datos en 27002

Una fuga de datos se provoca cuando los datos que son sensibles están expuestos en público de forma involuntaria. Esta exhibición de datos puede ocurrir en el tránsito, en sosiego o en usanza.

Los datos que son expuestos en tránsito pueden contener los datos enviados por medio de correos electrónicos, salas de chat, llamadas, etc. Los datos expuestos en reposo resultan del almacenamiento en la nube configuraciones mal elaborados, también de una base de datos mal protegida o de dispositivos perdidos. Los datos que son expuestos en uso, pueden proceder a ejecutar de capturas de pantalla, impresoras, unidades USB o portapapeles. Una fuga de datos no se compra con una brecha de datos, aunque la primera pueda dar lugar a la segunda. La diferencia es que una fuga de datos no es el resultado de un intento de pillaje informático, sino que se origina por errores humanos.

Formas de prevenir fugas de datos

Las técnicas y tecnologías que utilizan para prevenir fugas de datos son, en la mayoría, los mismos que las que se utilizan para prevenir brechas también. En su mayoría las estrategias para advertir las pérdidas de datos sensibles inician con la ejecución de evaluaciones de riesgo (se incluyen las evaluaciones de riesgo de terceros) y la elaboración de políticas  y procedimientos que se basan en dichas evaluaciones.

No obstante, para llevar una correcta evaluación de riesgos, primero hay que tener en cuenta es  qué datos se tienen y dónde se encuentran ubicados.

1. Detección de clasificación de Datos: Usa una solución que pueda detectar y clasificar datos sensibles de forma automática. Una vez realizado esto, se pueden eliminar datos ROT (redundantes, obsoletos y triviales) con el objetivo de optimizar las estrategias para proteger los datos. Catalogar los datos hace más sencillo asignar los controles adecuados y así monitorear cómo interactúan los usuarios con los datos sensibles.
2. Restringir los derechos de Acceso: Siempre es una buena idea limitar el número de usuarios que tienen acceso a datos sensibles, ya que esto reduce el riesgo de sufrir una fuga.
3. Filtrado del contenido de los Emails: Utiliza una solución de filtrado de contenido que se apoye en una tecnología de inspección profunda de contenidos para encontrar datos sensibles en el contenido, las imágenes y los archivos adjuntos que se ubican en los correos electrónicos. Si este filtro se encuentran los datos sensibles, se enviará una alerta al administrador para que este pueda realizar verificación  de la legitimidad del uso de estos datos.
4. Control de Impresión: Las impresoras pueden almacenar archivos sensibles a los que pueden tener acceso personas no autorizadas. Solicitar a los usuarios que utilicen un código personal para acceder a las impresoras, realizar limitaciones las funcionalidades de las impresoras en función del rol del usuario, también asegurarse de que los documentos que contengan datos sensibles sólo puedan imprimirse una sola vez o que los usuarios no dejen en la bandeja de la impresora ningún documento impreso con datos sensibles pueden ser un buen punto.
5. Cifrado: Cifrar los datos sensibles tanto en reposo como en tránsito es siempre una buena idea y es especialmente relevante cuando almacenamos datos sensibles en la nube.
6. Protección de Dispositivos: Una solución básica para prevenir que se filtren datos sensibles de cualquier dispositivo (sobremesas, portátiles, móviles, servidores). Algunos se pueden bloquear y poner en retiro o cifrar automáticamente datos sensibles tan rápido como abandonen ese dispositivo. Algunas soluciones también pueden ser la restricción  determinada de las funciones como el copiado, impresión o la transferencia de datos a una unidad USB o a una plataforma en la nube.
7. Control de Dispositivos: Es normal para cualquier usuario guardar documentos sensibles en sus teléfonos inteligentes o tabletas. Las políticas de gestión de los dispositivos, es importante tener soluciones que monitoreen y controlen qué dispositivos se están utilizando y por qué usuario, aparte de herramientas que faciliten al equipo de soporte informático o de ciberseguridad obligar el uso de contraseñas complejas, prestar servicios de forma remota al dispositivo y a su vez controlar qué aplicaciones se pueden instalar. La mayoría de las soluciones pueden también rastrear la localización del dispositivo o incluso eliminar su contenido si el dispositivo se pierde o es extraviado.
8. Configuración de Almacenamiento en la Nube: Las fugas de datos causadas por una configuración errónea de los repositorios de almacenamiento son muy comunes. 
9. Alertas e informes en tiempo Real: Una de las formas más eficaces de evitar la fuga de datos es hacer un seguimiento de los cambios realizados a los datos sensibles. Los administradores deben tener registros permanentes de que usuario accede, a qué datos, qué acciones se realizan y cuándo. Los administradores deben recibir un aviso en tiempo real cuando se accede, se mueve, se comparte, se modifica o se borran datos sensibles e importantes, estar enterado y hacer revisiones de cualquier sospecha o por cualquier parte no autorizada. Esto puede ser útil para realizar seguimiento el acceso a los datos sensibles almacenados en la nube. Si se genera una alerta, el administrador puede iniciar una investigación sobre el hecho ocurrido, posiblemente empezando por verificar los permisos del contenedor de almacenamiento.

Para concluir, es importante identificar con los pasos mencionados anteriormente, las formas de prevenir las fugas de datos, y seguir el paso a paso según los conceptos para poder evitar malwares dentro de nuestro sistema organizacional.

Riesgos IT

Lo primero que debemos saber antes de abordar cómo gestionar los riesgos en tecnologías de la información, lo primero que tenemos que tener en cuenta es que es el riesgo y que es riesgo en tecnologías de información.

 ¿Qué son los Riesgos IT?

• Riesgo: Es un posible incidente con una probabilidad de ocurrencia para la afectación de alguna actividad o proceso en curso para ejecutar o ser ejecutado en tiempos y espacios diferenciales que pueden traer consecuencias negativas o positivas las cuales pueden afectar el desarrollo de mis estrategias para el cumplimiento de los objetivos organizacionales.
• Riegos de Tecnología de Información: Se define como la probabilidad de el efecto sobre una causa, producto de la frecuencia probable de ocurrencia de un evento positivo o negativo dentro de un sistema de tecnologías de la información. Es por ello que surge la necesidad de la aplicación de controles que actúen sobre el riesgo “activo” sobre la causa que lo genera con el fin de minimizar el impacto.

ISO 27001 para Seguridad de la Información

La norma ISO 27001 cuenta con unos principios en los cual es el porcentaje de su éxito dentro de los Sistemas de Gestión de seguridad de la información los cuales son la confiabilidad, integridad y disponibilidad de la información, esta información se encuentra sujeta a diferentes activos que dentro de las organizaciones se convierte en inventarios de activos los cuales se evalúan con el fin de poder valorar su estado de riesgo frente al sistema, a esto lo llamamos determinación del nivel del riesgo el cual es el resultado de verificar el impacto y la probabilidad con los diferentes controles para los procesos desarrollados dentro de la organización.

Nueva ISO 27002:2022

La pregunta entonces es, ¿Cómo nos puede ayudar a gestionar los riesgos de Tecnologías de la Información la nueva ISO 27002:2022? A lo cual se responde que esta nueva actualización guía es mucho más eficaz y rápida, en donde las organizaciones tienen mayor autonomía frente al desarrollo de sus criterios, respecto a la administración de los riesgos de seguridad de la información.

Esta nueva norma cuenta entre sus elementos relevantes la toma de decisiones basada en riesgos, está enfocado en 4 temas principales los cuales corresponde a elementos físicos, las propiedades de la seguridad de la información, personas y tecnológicos, los cuales cuentan con un total de 93 controles divididos en 37 controles organizacionales, 8 controles de personas, 14 controles físicos y 34 controles tecnológicos.

La ejecución de estos controles se presenta en el método más usado que es la matriz de riesgos en donde se hace el análisis de los activos en donde se ve representado el proceso el riesgo inherente, las posibles amenazas, vulnerabilidad, se realiza la aplicación de los controles que se encuentran ubicados en la etapa de tratamiento de riesgos, luego de este tratamiento el resultado es el riesgo residual y se finaliza con un plan de tratamiento, su gestión se puede realizar desde un mapa de calor el cual gráficamente nos permite visualizar, cuáles activos se encuentran con mayor riesgos y que debemos atacar para prever la materialización del riesgo.

El orden adecuado para todo este proceso la organizaciones puede establecer una metodología de trabajo referente al análisis de riesgos en IT el cual consiste en identificar el riesgo, realizar el análisis del mismo valorarlo, determinar controles, identificar el nivel de exposición, realizar la evaluación del riesgo, crear la matriz de amenazas, categorizar los riesgos, se documentan los controles definitivos y se presentan los resultados a la alta dirección, quienes tomarán decisiones frente a estos resultados con el fin de tomar decisiones basadas en el cumplimiento de los objetivos.

En conclusión, con la nueva ISO 27002 se pueden gestionar los riesgos de tecnología de la información de manera ágil y con mayor autonomía, se puede apalancar este proceso a través de softwares configurables que permiten agilizar más el proceso, visualmente generar un plus frente al gestión de los riesgos, notificar en tiempo real y tomar decisiones eficaces que me permiten tener controlados los procesos para el cumplimiento de los objetivos.

Software Seguridad de la Información

Esta integración de complementos de Sistemas de Gestión de Seguridad de la información requiere de gran disciplina, orden y pensamiento sistémico. Esto es así para que llegue a ser realmente útil y aporte beneficios a la organización. Este grado de utilidad se puede llegar a conseguir siempre que se realice la gestión de forma eficiente y automatizada mediante un software de Gestión de Seguridad de la Información como ISOTools.

Sistema de Gestión Seguridad de la Información

Un sistema de gestión de seguridad de la información (SGSI) es un conjunto de elementos que interactúan entre sí para proteger la confidencialidad, disponibilidad e integridad de un conglomerado de datos que, combinados y relacionados, tienen sentido.

Se trata de información que corresponde a un inventario de activos de la organización y que tiene una relevancia capital hoy en día. ¿Qué nos distingue de otras empresas? El manejo de los datos. Ello, además, le confiere ventajas competitivas y comparativas a una organización. Toda compañía cuenta con este conjunto de elementos, solo que en algunos casos son más formales que otros.

Hay organizaciones que deciden implementar marcos normativos de referencia, como NIST, ISO/IEC 27001, OWA o CIS. Estos se implementan dependiendo de la naturaleza de la organización, ubicación y cultura organizacional.

La formalización le da una distinción a las organizaciones ante las que tienen sistemas de gestión de seguridad de la información informales. El formal se destaca en que cuenta con una política, objetivos, roles, responsabilidades, procedimientos, procesos, análisis de riesgos, gestión de cambios y un conjunto de controles más o menos estructurados.

Si no se tienen todos esos elementos, puede que el SGSI sea incipiente o muy empírico. Por ejemplo, en una empresa de elaboración de tortas todos conocen bien sus fórmulas y recetas, saben cuáles son los proveedores de calidad, manejan datos sobre las preferencias de los clientes, y toda esta información la guardan celosamente. Así protegen sus datos, esos serían los elementos que interactúan entre sí para proteger la confidencialidad, integridad y disponibilidad de la información.

En ese sentido, los beneficios de contar con un SGSI formal y que tenga un marco normativo de referencia reconocido a nivel mundial parte porque los organismos que emiten estos estándares se han dedicado a estudiar el comportamiento en las organizaciones, la tecnología, la forma en que se utilizan los activos de información y, en consecuencia, emanan requisitos y recomendaciones que algunas organizaciones suelen adoptar porque confían en que usar esas normas traerá un mejor desempeño.

Las empresas pueden adoptar un solo marco de referencia o la combinación de ellos, puesto que no son mutuamente excluyentes, sino que son equivalentes entre sí y son compatibles. Cada uno tiene sus fortalezas. ¿En qué consisten los beneficios de tener un SGSI formal? Algunos de ellos son estos:

Confianza interna y externa

Contar con un SGSI transmite una imagen a las personas. Hay que considerar que los SGSI están orientados a que las personas dentro de la organización y los individuos con los que ellas se relacionan fuera de la empresa actúen en pro de proteger la integridad, confidencialidad y disponibilidad de la información. El hecho de que las personas reconozcan que existe una entidad capaz de regular su conducta, el uso de la información y los medios con los cuales se opera esa información genera cierto grado de confianza. Por ejemplo, si se hace una negociación entre dos empresas: un proveedor y un cliente, una de las preguntas que se hacen es si se dispone de algún marco normativo que regule el SGSI, y eso inspira confianza en la negociación, si es que el SGSI formal existe.

Entablar una relación comercial con una organización que no tenga SGSI formal es un riesgo porque no sabemos si la gestión de la seguridad de la información se está haciendo de la forma correcta. El reconocimiento inmediato (interno y externo) es un beneficio importante y deseable que, además, trae un plus: las personas de la organización van a tener un punto de partida para saber cuáles son los comportamientos correctos o no por parte de los individuos, de la tecnología, del sistema y de las otras empresas… porque se normaliza el comportamiento de los diferentes componentes, eso despierta cierto carácter preventivo en el funcionamiento de la organización.

Priorizar para cuidar

El SGSI ayuda a priorizar los activos de información en función a su valor. Eso hace que los esfuerzos sean equivalentes en cuanto a la importancia que tienen ciertos. Las empresas tienen un conjunto de activos, pero algunos tienen mayor valor que otros. Los marcos normativos nos permiten identificar de forma metódica esos activos de mayor valor porque nos permite reconocer su relación con los procesos del negocio y las consecuencias que podríamos tener si se pierde la confidencialidad, disponibilidad e integridad de esos activos. La priorización es muy importante porque permite alinear los esfuerzos para proteger la información más valiosa.

Permite generar controles adecuados a la naturaleza de cada activo de información

Al utilizar las metodologías formales empiezan a surgir relaciones entre los riesgos de seguridad de la información y la capacidad que tienen los controles para aceptar, transferir o mitigar los riesgos. Además, el conjunto de controles que ya está en el marco normativo suele tener recomendaciones de cómo aplicar tales controles. En ese sentido, las organizaciones pisan sobre un terreno firme, en el que saben que cada control es adecuado para cada riesgo identificado.

Software para Sistema de Gestión de Seguridad de la Información ISOTools

La ISO 27001 para los Sistemas de Gestión de Seguridad de la Información es sencilla de implantar, automatizar y mantener con la Plataforma Tecnológica ISOTools.

Con ISOTools se da cumplimiento a los requisitos basados en el ciclo PHVA (Planear – Hacer – Verificar – Actuar) para establecer, implementar, mantener y mejorar el Sistema Gestión de la Seguridad de la Información, así como se da cumplimiento de manera complementaria a las buenas prácticas o controles establecidos en ISO 27002.

El software para ISO 27001 permite integrarla con otras normas, como ISO 9001, ISO 14001 y 45001 de una forma sencilla, gracias a su estructura modular.

Controles Tecnológicos ISO 27002:2022

La infraestructura tecnológica es el medio para la operación, explotación y transmisión de la información en todo su ciclo de vida. Por eso su cuidado es fundamental. La norma ISO/IEC 27002:2022 contempla los controles tecnológicos en el apartado 8.

En el 8.1 – Dispositivos de punto final de usuario se encuentra un control preventivo que tiene como objeto proteger la información contra los riesgos introducidos por el uso de dispositivos de punto final de usuario.

El estándar también busca preservar la confidencialidad, disponibilidad e integridad de la información al limitar y administrar los derechos de acceso privilegiado (8.2). Es muy importante que solo los usuarios, los componentes y servicios de software autorizados reciban derechos de acceso privilegiado.

Con el propósito de asegurar solo el acceso autorizado y evitar el acceso no autorizado a la información y otros activos asociados, existe el punto 8.3 Restricción de acceso a la información. Allí se indica que el acceso a la información y otros activos asociados debe estar restringido de acuerdo con la política específica del tema establecida sobre control de acceso. El punto 8.4 Acceso al código fuente, respectivamente, apunta que el acceso de lectura y escritura al código fuente, las herramientas de desarrollo y las bibliotecas de software debe administrarse adecuadamente. Con ello se busca evitar la introducción de funciones no autorizadas, evitar cambios no intencionales o maliciosos y mantener la confidencialidad de la propiedad intelectual valiosa.

La autenticación segura (8.5) también es un tema cubierto por la norma ISO/IEC 27002. Este control aduce que las tecnologías y los procedimientos de autenticación segura deben implementarse en función de las restricciones de acceso a la información y la política específica del tema sobre el control de acceso. El apartado 8.6 Gestión de la capacidad tiene el propósito de asegurar la capacidad requerida de las instalaciones de procesamiento de información, recursos humanos, oficinas y otras instalaciones.

La protección contra malware (8.7) no queda relegada, puesto que el control expone que la protección contra el malware debe implementarse y respaldarse mediante la conciencia adecuada del usuario. ¿Con qué fin? Con el de garantizar que la información y otros activos asociados estén protegidos contra malware.

Uno de los 34 puntos de los controles tecnológicos es el 8.8 Gestión de vulnerabilidades técnicas, allí queda claro que se debe obtener información sobre las vulnerabilidades técnicas de los sistemas de información en uso, se debe evaluar la exposición de la organización a tales vulnerabilidades y se deben tomar las medidas apropiadas, para prevenir la explotación de vulnerabilidades técnicas.

La gestión de la configuración queda a cargo del (8.9), el cual indica que las configuraciones, incluidas las de seguridad, de hardware, software, servicios y redes deben establecerse, documentarse, implementarse, monitorearse y revisarse con el fin de que funcionen correctamente con la configuración de seguridad requerida, y que la configuración no se altere por cambios no autorizados o incorrectos.

La eliminación de información no puede dejarse al descuido y el comité técnico de la ISO lo sabe. Por eso el punto 8.10 es categórico al precisar que la información almacenada en sistemas de información, dispositivos o en cualquier otro medio de almacenamiento debe ser eliminada cuando ya no sea necesaria. Con esto se pretende evitar la exposición innecesaria de información confidencial y cumplir con los requisitos legales, estatutarios, reglamentarios y contractuales para la eliminación de información. Por su parte, el enmascaramiento de datos (8.11) es un control preventivo que expresa que este se debe utilizar de acuerdo con la política específica del tema de la organización sobre el control de acceso y otras políticas relacionadas con el tema específico, y los requisitos comerciales, teniendo en cuenta la legislación aplicable, con el fin de limitar la exposición de datos confidenciales, incluida la PII, y para cumplir con los requisitos legales, estatutarios, reglamentarios y contractuales.

El punto 8.12 – Prevención de fuga de datos trata de que las medidas de prevención de fuga de datos deben aplicarse a los sistemas, redes y cualquier otro dispositivo que procese, almacene o transmita información confidencial.

El apartado 8, además, cuenta con los siguientes controles:

• 13 Copia de seguridad de la información
• 14 Redundancia de las instalaciones de procesamiento de información
• 15 Registro
• 16 Actividades de seguimiento
• 17 Sincronización del reloj
• 18 Uso de programas de utilidad privilegiados
• 19 Instalación de software en sistemas operativos
• 20 Seguridad de redes
• 21 Seguridad de los servicios de red
• 22 Segregación de redes
• 23 Filtrado web
• 24 Uso de criptografía
• 25 Ciclo de vida de desarrollo seguro
• 26 Requisitos de seguridad de la aplicación
• 27 Arquitectura del sistema seguro y principios de ingeniería
• 28 Codificación segura
• 29 Pruebas de seguridad en desarrollo y aceptación
• 30 Desarrollo subcontratado
• 31 Separación de los entornos de desarrollo, prueba y producción
• 32 Gestión de cambios
• 33 Información de prueba
• 34 Protección de los sistemas de información durante las pruebas de auditoría

Software Seguridad de la Información ISOTools

Para una gestión eficaz de los controles de Seguridad de la Información se hace imprescindible mantener bajo control las vulnerabilidades y amenazas de cada proceso, ya tengan que ver o no con activos de la organización. Para ello se ha de contar con las metodologías que sean necesarias como ISO 27001, cuyos controles se detallen en la ISO 27002 y han sido modificados recientemente en 2022.

Todos estos controles de Seguridad de la Información, así como las mejores prácticas para su gestión automatizada, se encuentran recogidos en el Software de Gestión de Seguridad de la Información ISOTools. Gracias a ISOTools consigue una gestión eficiente de la Seguridad de la Información, desde la implementación hasta la certificación. 

ISO/IEC 27002:2022

ISO/IEC 27002:2022 – Seguridad de la información, ciberseguridad y protección de la privacidad — Controles de seguridad de la información es el más reciente de los estándares publicados por la Organización Internacional de Normalización (ISO) incluye controles genéricos de seguridad de la información basados en las mejores prácticas reconocidas internacionalmente, además ofrece una guía de implementación.

En ISOTools nos proponemos explicar todo el apartado 5, que incluye 37 controles, a lo largo de 3 artículos. En esta tercera entrega abordaremos desde el punto 5.24 hasta el 5.37. ¿Por qué nos enfocamos en todo el apartado 5? Porque explica el primero de 4 temas. Estos son los controles:

1. físicos, si se trata de objetos físicos;
2. propiedades de seguridad de la información (confiabilidad, disponibilidad e integridad).
3. personas, si se refieren a individuos;
4. tecnológicos, si se trata de tecnología.

El apartado 5 es, además, el más extenso y por ello ocupará nuestra atención.

Cuando leemos el punto 5.24 Planificación y preparación de la gestión de incidentes de seguridad de la información nos encontramos con esta tabla explicativa:

Luego llegamos al 5.25 Evaluación y decisión sobre eventos de seguridad de la información, que es un control detectivo diseñado para asegurar una categorización y priorización efectiva de los eventos de seguridad de la información.

El control 5.26 Respuesta a incidentes de seguridad de la información es un control correctivo que busca garantizar una respuesta eficiente y eficaz a los incidentes de seguridad de la información.

Aprendiendo de los incidentes de seguridad de la información (5.27) es un control preventivo del que podemos conocer más gracias a la siguiente tabla:

A continuación, mencionaremos la totalidad de controles que incluye el punto 5 de la norma:

• 28 Recopilación de pruebas: es un control que consiste en establecer e implementar procedimientos para la identificación, recopilación, adquisición y preservación de evidencia relacionada con eventos de seguridad de la información.
• 29 Seguridad de la información durante la interrupción: la norma enfatiza que la organización debe planificar cómo mantener la seguridad de la información en un nivel adecuado durante la interrupción. Su leitmotiv es proteger la información y otros activos asociados durante la interrupción.
• 30 Preparación de las TIC para la continuidad del negocio: El estándar nos alienta a pensar en todo. Por eso la preparación de las TIC debe planificarse, implementarse, mantenerse y probarse en función de los objetivos de continuidad del negocio y los requisitos de continuidad de las TIC. El punto es garantizar la disponibilidad de la información de la organización y otros activos asociados durante la interrupción.
• 31 Requisitos legales, estatutarios, reglamentarios y contractuales: este control apunta que los requisitos legales, estatutarios, reglamentarios y contractuales relevantes para la seguridad de la información y el enfoque de la organización para cumplir con estos requisitos deben identificarse, documentarse y mantenerse actualizados.
• Si queremos conocer más sobre 32 Derechos de propiedad intelectual podemos remitirnos a la siguiente tabla:

• 33 Protección de registros: este control no deja lugar a dudas cuando expresa que los registros deben protegerse contra pérdida, destrucción, falsificación, acceso no autorizado y publicación no autorizada. Se propone garantizar el cumplimiento de los requisitos legales, estatutarios, reglamentarios y contractuales, así como las expectativas de la comunidad o la sociedad relacionadas con la protección y disponibilidad de los registros.
• 34 Privacidad y protección de PII: este es un control preventivo que amerita que la organización identifique y cumpla los requisitos relacionados con la preservación de la privacidad y la protección de la PII de acuerdo con las leyes y reglamentos aplicables y los requisitos contractuales.
• 35 Revisión independiente de la seguridad de la información: las nociones de ética y eficiencia se hacen presente en este control, según el cual el enfoque de la organización para gestionar la seguridad de la información y su implementación, incluidas las personas, los procesos y las tecnologías, debe revisarse de forma independiente a intervalos planificados o cuando se produzcan cambios significativos. Con esto se pretende asegurar la idoneidad, adecuación y eficacia continuas del enfoque de la organización para gestionar la seguridad de la información.
• 36 Cumplimiento de políticas, normas y estándares de seguridad de la información: el compliance es más importante que nunca. Por eso el cumplimiento de la política de seguridad de la información de la organización, las políticas específicas del tema, las reglas y los estándares debe revisarse periódicamente para garantizar que la seguridad de la información se implemente y opere de acuerdo con la política de seguridad de la información de la organización, las políticas, las reglas y los estándares específicos del tema.
• 37 Procedimientos operativos documentados: los procedimientos operativos para las instalaciones de procesamiento de información deben documentarse y ponerse a disposición del personal que los necesite. El propósito de este control es garantizar el funcionamiento correcto y seguro de las instalaciones de procesamiento de información.

Aunque llegamos al final del apartado 5, en ISOTools seguiremos informando sobre ISO/IEC 27002: 2022, porque, como pioneros y expertos, nos corresponde expresar todo lo que conocemos acerca de este estándar, pues nuestros asesores están ampliamente familiarizados y listos para acompañarte en tu recorrido hacia la excelencia.

Software Seguridad de la Información ISOTools

La ISO 27001 para los Sistemas de Gestión de Seguridad de la Información es sencilla de implantar, automatizar y mantener con la Plataforma Tecnológica ISOTools.

Con ISOTools se da cumplimiento a los requisitos basados en el ciclo PHVA (Planear – Hacer – Verificar – Actuar) para establecer, implementar, mantener y mejorar el Sistema Gestión de la Seguridad de la Información, así como se da cumplimiento de manera complementaria a las buenas prácticas o controles establecidos en ISO 27002.

ISO/IEC 27002:2022

ISO/IEC 27002:2022 fue publicada este año y en el mundo de la estandarización estamos de fiesta. El estándar se ajusta a las necesidades de seguridad de la información de hoy en día, es completo, cuenta con 37 controles organizacionales, 8 controles de personas, 14 controles físicos y 34 controles tecnológicos. En ISOTools nos proponemos explicar todo el apartado 5, que incluye 37 controles, a lo largo de 3 artículos.

ISO/IEC 27002:2022 – Seguridad de la información, ciberseguridad y protección de la privacidad — Controles de seguridad de la información establece controles, objetivos de cada control, una guía para implementarlos (¡la ISO no deja nada al azar!) e información adicional, en la mayoría de los casos. En el texto anterior a este explicamos lo referente a los controles que van desde el 5.1 hasta el 5.3. El resto lo abordaremos a continuación:

• 4 Responsabilidades de la dirección: este control consiste en que la gerencia debe exigir a todo el personal que aplique la seguridad de la información de acuerdo con la política de seguridad de la información establecida, las políticas y los procedimientos específicos del tema de la organización. El objetivo es asegurar que la gerencia comprenda su papel en la seguridad de la información y emprender acciones destinadas a garantizar que todo el personal conozca y cumpla con sus responsabilidades de seguridad de la información.
• 5 Contacto con las autoridades: este control conmina a la organización a establecer y mantener contacto con las autoridades pertinentes. La guía de este apartado indica que la organización debe especificar cuándo y por quién se debe contactar a las autoridades (p. ej., fuerzas del orden, organismos reguladores, autoridades de supervisión) y cómo se deben informar oportunamente los incidentes de seguridad de la información identificados.

Los contactos con las autoridades también deben utilizarse para facilitar la comprensión de las expectativas actuales y futuras de estas autoridades (por ejemplo, las normas de seguridad de la información aplicables).

• 6 Contacto con grupos de interés especial: según este control a organización debe establecer y mantener contacto con grupos de interés especial u otros foros especializados en seguridad y asociaciones profesionales.
• 7 Inteligencia de amenazas: relata que la información relacionada con las amenazas a la seguridad de la información debe recopilarse y analizarse para generar información sobre amenazas. El objetivo es proporcionar conciencia del entorno de amenazas de la organización para que se puedan tomar las medidas de mitigación adecuadas.
• 8 Seguridad de la información en la gestión de proyectos: su objetivo es garantizar que los riesgos de seguridad de la información relacionados con proyectos y entregables se aborden de manera efectiva en la gestión de proyectos a lo largo del ciclo de vida del proyecto.
• 9 Inventario de información y otros activos asociados: este control indica que se debe desarrollar y mantener un inventario de información y otros activos asociados, incluidos los propietarios. Su propósito es identificar la información de la organización y otros activos asociados con el fin de preservar su seguridad de la información y asignar la propiedad adecuada
• 10 Uso aceptable de la información y otros activos asociados: refiere que deben identificarse, documentarse e implementarse reglas para el uso aceptable y procedimientos para el manejo de la información y otros activos asociados. El control ofrece una guía que expresa que el personal y los usuarios externos que utilicen o tengan acceso a la información de la organización y otros activos asociados deben conocer los requisitos de seguridad de la información para proteger y manejar la información de la organización y otros activos asociados. Deben ser responsables del uso que hagan de las instalaciones de procesamiento de información.
• 11 Devolución de bienes: el personal y otras partes interesadas, según corresponda, deben devolver todos los activos de la organización que estén en su poder al cambiar o terminar su empleo, contrato o acuerdo.

 La clasificación de la información pertenece al control 5.12 y fija que la información debe clasificarse de acuerdo con las necesidades de seguridad de la información de la organización en función de la confidencialidad, la integridad, la disponibilidad y los requisitos pertinentes de las partes interesadas.

El etiquetado de la información (5.13) exhorta a desarrollar e implementar un conjunto apropiado de procedimientos para el etiquetado de la información de acuerdo con el esquema de clasificación de la información adoptado por la organización.

Para mantener la seguridad de la información transferida dentro de una organización y con cualquier parte externa interesada se creó el control relacionado con la transferencia de información (5.14). Para controlar el acceso se confeccionó el control 5.15. Con él se espera garantizar el acceso autorizado y evitar el acceso no autorizado a la información y otros activos asociados.

En cuanto a la gestión de identidad (5.16), busca permitir la identificación única de personas y sistemas que acceden a la información de la organización y otros activos asociados y permitir la asignación adecuada de derechos de acceso.

El apartado 5.17 es información de autenticación y se propone garantizar la autenticación adecuada de la entidad y evitar fallas en los procesos de autenticación.

Los derechos de acceso son tratados en 5.18, el control busca que el acceso a la información y otros activos asociados se defina y autorice de acuerdo con los requisitos comerciales. La seguridad de la información en las relaciones con los proveedores pertenece al campo 5.19 y el control espera mantener un nivel acordado de seguridad de la información en las relaciones con los proveedores.

Los últimos 3 apartados son:

• 20 Abordar la seguridad de la información en los acuerdos con proveedores
• 21 Gestión de la seguridad de la información en la cadena de suministro de las TIC
• 22 Seguimiento, revisión y gestión de cambios de servicios de proveedores
• 23 Seguridad de la información para el uso de servicios en la nube

Software Seguridad de la Información ISOTools

La ISO 27001 para los Sistemas de Gestión de Seguridad de la Información es sencilla de implantar, automatizar y mantener con la Plataforma Tecnológica ISOTools.

Con ISOTools se da cumplimiento a los requisitos basados en el ciclo PHVA (Planear – Hacer – Verificar – Actuar) para establecer, implementar, mantener y mejorar el Sistema Gestión de la Seguridad de la Información, así como se da cumplimiento de manera complementaria a las buenas prácticas o controles establecidos en ISO 27002.

ISO/IEC 27002:2022

ISO/IEC 27002:2022 – Seguridad de la información, ciberseguridad y protección de la privacidad — Controles de seguridad de la información, proporciona un conjunto de referencia de controles genéricos de seguridad de la información, incluida una guía de implementación. Aborda la ciberseguridad y protección de datos y ha evolucionado con respecto a su primera publicación en 2005. Ahora el contenido es más completo e integral y se basa en resiliencia, protección, defensa y gestión.

El estándar cuenta con controles que se detallan desde la cláusula 5 hasta la 8 y se denominan temas. Los controles se clasifican como:

1. físicos, si se trata de objetos físicos;
2. propiedades de seguridad de la información (confiabilidad, disponibilidad e integridad).
3. personas, si se refieren a individuos;
4. tecnológicos, si se trata de tecnología.

Organización de controles ISO 27002:2022

Para entender la manera en que los controles están dispuestos en la norma, debemos tomar en cuenta que estos se organizan de la siguiente manera:

• Tipo de control: es un atributo para ver los controles desde la perspectiva de cuándo y cómo el control modifica el riesgo con respecto a la ocurrencia de un incidente de seguridad de la información. Los valores de los atributos consisten en preventivo, detectivo y correctivo.
• Propiedades de seguridad de la información: son un atributo para ver los controles desde la perspectiva de qué característica de la información contribuirá a preservar el control.
• Conceptos de ciberseguridad: son un atributo para ver los controles desde la perspectiva de la asociación de controles a los conceptos de ciberseguridad definidos en el marco de ciberseguridad descrito en ISO/IEC TS 27110. Los valores de atributo consisten en identificar, proteger, detectar, responder y recuperar.
• Capacidades operativas: Las capacidades operativas son un atributo para ver los controles desde la perspectiva del profesional de las capacidades de seguridad de la información
• Dominios de seguridad: es un atributo para ver los controles desde la perspectiva de seguridad de la información. Busca garantizar la idoneidad, la adecuación y la eficacia continuas de la dirección de gestión y el apoyo a la seguridad de la información de acuerdo con los requisitos comerciales, legales, estatutarios, reglamentarios y contractuales.

Reconocer un control ISO 27002:2022

¿Cómo saber que estamos ante un control? Es fácil reconocerlo, puesto que cada uno de ellos cuenta con un título, tabla de atributos, control, propósito, orientación y otra información. El primero que encontraremos es el control cinco, que está referido a los controles organizacionales. El apartado 5.1 alude a las políticas de seguridad de la información. Lo que observaremos, a continuación, será esta tabla:

Controles organizacionales ISO 27002:2022

En concreto, el control expresa que: “la política de seguridad de la información y las políticas específicas del tema deben ser definidas, aprobadas por la gerencia, publicadas, comunicadas y reconocidas por el personal relevante y las partes interesadas relevantes, y revisadas a intervalos planificados y si ocurren cambios significativos”. El objetivo es garantizar la idoneidad, la adecuación y la eficacia continuas de la dirección de gestión y el apoyo a la seguridad de la información de acuerdo con los requisitos comerciales, legales, estatutarios, reglamentarios y contractuales.

También se ofrece una guía en la que consta que, al más alto nivel, la organización debería definir una “política de seguridad de la información” que sea aprobada por la alta dirección y que establezca el enfoque de la organización para gestionar su seguridad de la información.

El estándar insta a tomar en consideración los requisitos derivados de:

• estrategia comercial y requisitos;
• reglamentos, legislación y contratos;
• los riesgos y amenazas actuales y proyectados para la seguridad de la información.
• La norma es enfática cuando propone que la política de seguridad de la información debe contener declaraciones relativas a:
  • definición de seguridad de la información;
  • objetivos de seguridad de la información o el marco para establecer objetivos de seguridad de la información;
  • principios para guiar todas las actividades relacionadas con la seguridad de la información;
  • compromiso de satisfacer los requisitos aplicables relacionados con la seguridad de la información;
  • compromiso con la mejora continua del sistema de gestión de seguridad de la información;
  • asignación de responsabilidades para la gestión de la seguridad de la información a roles definidos;
  • procedimientos para el manejo de exenciones y excepciones.

Políticas ISO 27002-2022

Según la norma ISO/IEC 27002: 2018 la política de seguridad de la información debe estar respaldada por políticas específicas del tema según sea necesario, para exigir aún más la implementación de controles de seguridad de la información. Las políticas de temas específicos generalmente se estructuran para abordar las necesidades de ciertos grupos objetivo dentro de una organización o para cubrir ciertas áreas de seguridad. Las políticas específicas de un tema deben estar alineadas y complementarse con la política de seguridad de la información de la organización. Las diferencias entre ambas se pueden visualizar claramente en la siguiente tabla:

Roles y responsabilidades ISO 27002 2022

En cuanto a los roles y responsabilidades de seguridad de la información (5.2) deben definirse y asignarse de acuerdo con las necesidades de la organización.

La segregación de funciones es el tema que ocupa el 5.3 y tiene como objetivo reducir el riesgo de fraude, error y elusión de los controles de seguridad de la información.

La norma incluye aspectos dignos de estudio y será una herramienta poderosa para quienes trabajamos arduamente en la seguridad de la información. En la próxima entrega ofreceremos más datos de ISO/IEC 27002:2022

Software Seguridad de la Información ISOTools

La ISO 27001 para los Sistemas de Gestión de Seguridad de la Información es sencilla de implantar, automatizar y mantener con la Plataforma Tecnológica ISOTools.

Con ISOTools se da cumplimiento a los requisitos basados en el ciclo PHVA (Planear – Hacer – Verificar – Actuar) para establecer, implementar, mantener y mejorar el Sistema Gestión de la Seguridad de la Información, así como se da cumplimiento de manera complementaria a las buenas prácticas o controles establecidos en ISO 27002.

Este software, permite integrar la ISO 27001 con otras normas, como ISO 9001, ISO 14001 y 45001 de una forma sencilla gracias a su estructura modular.