Seguridad Información ISO 27001

Mejores prácticas de Seguridad de la Información basado en la ISO 27001

Esta norma contiene 114 controles adaptables a cada organización. De estos controles podemos rescatar mejores prácticas y aplicarlas a nuestro beneficio.
Escuche este artículo

Seguridad de la información, Seguridad informática y Ciberseguridad hoy en día son términos muy conocidos dentro de las organizaciones. Pero también implica que sabemos muy bien del concepto sin embargo no aplicamos la Seguridad de la Información como tal.

Según Wikipedia “La seguridad de la información es el conjunto de medidas preventivas y reactivas de las organizaciones y sistemas tecnológicos que permiten resguardar y proteger la información buscando mantener la confidencialidad, la disponibilidad e integridad de datos”

Veamos 2 escenarios:

  1. Una Organización grande cuenta con un CISO (Director de seguridad de la información) que es el responsable de gestionar la implantación de estrategias y medidas de seguridad de la información.
  2. Una Organización pequeña (Pyme) cuenta con un Soporte Técnico encargado de velar por el funcionamiento de los equipos informáticos y nada más.

¿Qué diferencia existe en ambos escenarios? Pues que uno cuenta con un experto en Seguridad de la Información y el otro no. ¿A qué se debe? Probablemente a un tema económico. Valgan verdades una organización pequeña no tiene los medios para contratar un profesional de ese nivel.

Esto sin embargo no deber servir de excusa para conocer, entender y aplicar la seguridad de la información que tiene arraigo en la ISO 27001:2013 Gestión de la seguridad de la información.

Esta norma contiene 114 controles adaptables a cada organización. De estos controles podemos rescatar mejores prácticas y aplicarlas a nuestro beneficio.

A criterio personal estas son las mejores prácticas que deben ser consideradas:

  • Concientización a “todo” el personal de la organización: Es conocido que el eslabón más débil ante un ataque informático es el ser humano. Entonces la educación y concientización comienza desde la Alta Dirección hasta el personal de menor jerarquía.

Ejemplo: “Correos de dudosa procedencia deben ser enviados a SPAM e informar al área de TI (Tecnología de información)”.

  • Contraseñas robustas y diferenciadas por aplicación o servicio: Es muy común entre los usuarios colocar la misma contraseña a todos los servicios y aplicaciones (Facebook, Instagram, LinkedIn, Twitter, Gmail corporativo). Entonces ¿Si se logra hackear una cuenta, se tendría acceso a las demás?

Una buena práctica es establecer contraseñas robustas por cada aplicación usando caracteres especiales (@, #) o usar gestores de contraseña (Lastpass) con cifrado seguro para nuestras credenciales.

  • Mantener equipos informáticos actualizados: ¿Existen organizaciones que tienen sus Servidores sin actualizar? Lamentablemente sí. Es algo que muchas veces se traduce en desidia por parte del personal de TI o no existen políticas definidas ni procedimientos implementados.

Las actualizaciones de seguridad son necesarias para corregir fallas en los Sistemas Operativos instalados en Servidores, Computadoras y Laptops. Lo interesante ante todo es que son gratuitos.

El firmware muchas veces ignorado también es de vital importancia en los dispositivos de comunicaciones (Firewall, Conmutadores y Puntos de Acceso) ya que permite cerrar brechas y vulnerabilidades.

De nada sirve tener una buena infraestructura si no la tenemos actualizada periódicamente.

  • Gestión y control de medios extraíbles: La película The Recruit (El discípulo) 2003, muestra como una trabajadora de la CIA, retiraba información de forma sistemática utilizando una memoria USB perfectamente acoplada a un termo portátil para café. Eso significa que los puertos USB de la computadora estaban activos para que cualquier usuario pueda robar información.

Estas lecciones aprendidas nos ayudan a entender que si nuestra información es crítica entonces debemos actuar y tomar medidas para salvaguardarla.

  • Copias de seguridad de la información: Si sufrimos un ataque informático en nuestra computadora personal y desaparece por arte de magia toda nuestra información ¿Tenemos un respaldo de nuestra información crítica?  Si eso lo pasamos al ámbito organizacional ¿contamos con un sistema de respaldo incremental? ¿Cómo organización, hacemos regularmente pruebas de restauración de esos respaldos?  

No debemos ir muy lejos para saber que los servicios en la Nube (Cloud) ya son los aliados perfectos para respaldar nuestra información.

  • Respuesta ante incidentes de seguridad: El Servidor de Archivos dejó de funcionar por un ataque de Ransomware, y no tenemos acceso a la información. ¿Cuánto tiempo tardaría el área de TI en poner en funcionamiento el Servidor dañado? ¿Qué pasaría si nos quedamos sin Internet, o sin energía eléctrica?

Las organizaciones no pueden darse el lujo de perder una mañana y mucho menos un día ya que eso significaría pérdidas económicas. Entonces es necesario contar un plan de respuesta ante diversos incidentes.

Un Servidor redundante sería lo más adecuado ante una eventualidad permitiendo la disponibilidad del servicio ante la caída del otro equipo.

Hemos visto mejores prácticas para la información digital pero también debemos considerar el termino de “mesas limpias” para la información física. Cualquier documento impreso e importante debe ser guardado de forma adecuada evitando la filtración o robo de la misma. La educación y concientización sobre Seguridad de la información es algo que debe ser una constante en nuestra vida cotidiana y profesional.

Créditos: Fotografía por Unsplash.com

Entérese primero

Suscríbase y sea el primero en recibir en exclusiva, análisis, tendencias, informes y podcasts de su mercado:

Le podría interesar