CursosEmpresasBlogLiveConfPrecios

Controles de Seguridad en la Gestión de la Información ISO 27001

Clase 22 de 39Curso de Preparación para la Certificación en la Norma ISO 27001 (2020)

Contenido del curso

Gestión de Riesgos

Tomar examen
Resumen

Comprender los controles que ofrece el anexo A de la ISO 27001 es fundamental para construir un sistema de gestión de seguridad de la información sólido y alineado con las necesidades reales de cada organización. Estos controles funcionan como un catálogo de seguridad del cual puedes seleccionar únicamente aquellos que apliquen a tu empresa, sin obligación de implementarlos todos. A continuación se explican los primeros grupos de controles: política de seguridad, organización, recurso humano y gestión de activos.

¿Qué implica definir una política de seguridad de la información?

La política de seguridad de la información es la directriz que emite la alta dirección hacia toda la compañía [01:01]. Establece las bases sobre las cuales funciona el sistema de gestión y marca el compromiso organizacional con la protección de los datos.

Este grupo contempla dos controles específicos:

  • Definición de la política: crear el documento formal con las directrices generales de seguridad.
  • Revisión periódica: no basta con publicarla una sola vez. La norma recomienda revisarla entre cada seis meses y un año como máximo [01:30]. El negocio crece, cambia y la política debe actualizarse en consecuencia.

¿Cómo se organiza la seguridad de la información dentro de la empresa?

La organización de la seguridad de la información agrupa cinco controles que definen la estructura operativa del sistema de gestión [01:50].

¿Por qué son esenciales los roles, la segregación de tareas y el contacto con autoridades?

  • Roles y responsabilidades: identifica desde el inicio del proyecto quién gestiona los riesgos, quién implementa el sistema y quién ejecuta los controles [02:05].
  • Segregación de tareas: la segunda línea de defensa (seguridad de la información) define directrices, pero la primera línea las ejecuta. Por ejemplo, seguridad define cómo deben configurarse las reglas de firewall, pero no las implementa directamente, evitando así conflictos de interés [02:25]. De igual forma, auditoría interna, como tercera línea de defensa, realiza revisiones independientes sin modificar la infraestructura.
  • Contacto con las autoridades: mantener comunicación continua con entes regulatorios resulta indispensable. Si operas en el sector financiero, la superintendencia financiera de tu país emite normatividad que debe aplicarse al sistema de gestión [03:10].

¿Qué papel juegan los grupos de interés y la seguridad en proyectos?

  • Contacto con grupos especiales de interés: inversionistas y otras partes interesadas deben recibir reportes sobre el estado de la gestión de seguridad [03:35].
  • Seguridad en la gestión de proyectos: el área de seguridad debe involucrarse desde el inicio de cada proyecto, especialmente aquellos con cambios tecnológicos [03:45]. Un error común es convocar al oficial de seguridad solo al final, cuando el sistema está listo para producción, lo que genera demoras y posibles incumplimientos.
  • Dispositivos móviles y teletrabajo: estrategias para garantizar la continuidad del proceso desde ubicaciones remotas, un aspecto que ha cobrado gran relevancia [04:20].

¿Qué controles aplican al recurso humano y a la gestión de activos?

La ISO 27001 insiste en no centrarse exclusivamente en lo tecnológico. La seguridad relativa al recurso humano abarca tres momentos del ciclo laboral [04:40].

¿Qué se debe considerar antes, durante y después del empleo?

Antes del empleo:

  • Investigación de antecedentes del candidato [05:05].
  • Verificación de términos y condiciones contractuales: contratos legales, sin subcontratación irregular.

Durante el empleo:

  • Responsabilidad de gestión: el funcionario debe conocer claramente sus funciones, qué se espera de él y qué puede hacer con los sistemas de información [05:30].
  • Capacitación en seguridad: debe realizarse al menos una vez al año, con un lenguaje comprensible para cualquier colaborador, sin tecnicismos excesivos [05:50].
  • Procesos disciplinarios: definir con claridad qué sucede si el empleado utiliza los equipos corporativos para actividades no autorizadas como redes sociales en horario laboral [06:10].

Después del empleo o cambio de rol:

  • Actualización de perfiles y permisos cuando un funcionario cambia de área [06:35].
  • Desactivación de cuentas de usuario y devolución de activos al momento del retiro.

La gestión de activos amplía el panorama hacia toda la clasificación de activos de información [06:55]:

  • Inventario de activos: identificar cada recurso de información y tecnológico.
  • Propietarios de activos: el dueño no es el área de tecnología ni seguridad, sino el responsable del proceso de negocio que utiliza el activo día a día [07:10].
  • Uso aceptable y devolución: definir el uso adecuado de equipos e infraestructura, y asegurar que los activos obsoletos sean devueltos, no almacenados en cajones.
  • Clasificación de la información: categorizar según confidencialidad, integridad y disponibilidad [07:40].
  • Etiquetado: rotular la información física y digital con códigos que permitan su identificación en directorios o sistemas.
  • Gestión de soportes extraíbles: controlar la entrega de información a terceros, la eliminación del medio utilizado y la custodia del soporte físico en tránsito cuando el archivo se almacena fuera de las instalaciones [08:10].

Recuerda que el anexo A no te obliga a implementar todos los controles. Selecciona los que mejor se alineen con la realidad de tu organización y con el alcance definido para tu sistema de gestión. ¿Ya identificaste cuáles controles aplican a tu empresa? Comparte tu experiencia en los comentarios.