Controles de Continuidad y Cumplimiento en Seguridad de la Información

Clase 30 de 39Curso de Preparación para la Certificación en la Norma ISO 27001 (2020)

Clase anteriorSiguiente clase

Resumen

¿Por qué la continuidad de negocio es esencial en la gestión de la seguridad?

La continuidad de negocio se ha convertido en un tema crucial para las empresas en los últimos años. Garantizar la continuidad de las operaciones es vital para mitigar la interrupción de servicios que pueden resultar en pérdidas significativas. La Norma ISO 22301, dedicada exclusivamente a este ámbito, establece cómo las organizaciones deben manejar la continuidad de negocio. Sin embargo, la ISO 27001 también incorpora aspectos de continuidad desde la perspectiva de la seguridad de la información, destacando su importancia desde un enfoque integral.

¿Qué implica la planificación de la continuidad de seguridad de la información?

Planificar adecuadamente tu plan de continuidad es el primer paso. Esta planificación debe incluir dos componentes clave: el Plan de Continuidad de Negocio (BCP/PCN) y el Plan de Recuperación de Desastres (DRP).

  • Plan de Continuidad de Negocio (BCP/PCN):

    • Asegura operaciones en ausencia de tecnología.
    • Proporciona guías para operar cuando las tecnologías principales fallan.

  • Plan de Recuperación de Desastres (DRP):

    • Enfocado en la recuperación y restauración de servicios tecnológicos fallidos.

La planificación meticulosa de estas áreas garantiza que la organización pueda manejar de manera efectiva cualquier interrupción.

¿Cómo se implementa y verifica el plan de continuidad?

Una vez definido el plan de continuidad, es crucial implementarlo:

  1. Definición de roles e infraestructuras: Asignar funciones, determinar las infraestructuras esenciales y mejorar continuamente.

  2. Ejecución de pruebas: La norma ISO sugiere realizar pruebas de continuidad al menos una vez al año, simulando interrupciones controladas. Es importante capacitar al personal para que sepa reaccionar durante estas pruebas.

  3. Alta disponibilidad de recursos: Asegurar que cuentas con redundancias críticas, como enlaces y firewalls, para mantener los servicios operacionales en caso de fallos.

¿Cómo se aseguran las empresas del cumplimiento normativo?

El cumplimiento de normativas es otro pilar fundamental abordado en la ISO 27001. Este conjunto de controles está orientado a garantizar que las organizaciones cumplen con las leyes y regulaciones del sector y país en el que operan.

¿Cuáles son los principales aspectos del cumplimiento normativo?

Existen ocho controles esenciales que las empresas deben considerar para cumplir con las normativas:

  • Identificación de legislación aplicable: Comprende la normativa específica que rige el sector; por ejemplo, entidades financieras deben seguir regulaciones de una superfinanciera.

  • Derechos de propiedad intelectual: Asegurar el cumplimiento en licenciamiento y propiedad intelectual, esencial en desarrollos de software.

  • Protección de registros: Proteger información clave como patentes o productos exclusivos de la organización.

  • Privacidad y protección de datos: Cumplimiento de leyes de protección de datos vigentes, evitando sanciones significativas.

  • Control de criptografía: Manejar y asegurar el intercambio de información a través de protocolos seguros, como HTTPS y VPNs.

  • Revisión independiente de la seguridad de la información: Realizar auditorías internas y externas, garantizando una evaluación objetiva y continua del sistema de gestión de seguridad.

¿Qué papel juegan las políticas de seguridad y normativas técnicas?

Las políticas internas de seguridad deben estar alineadas con normativas específicas, como las que afectan transacciones con tarjetas de crédito o comercio electrónico. La comprobación técnica del cumplimiento implica asegurar que las tecnologías empleadas (como canales cifrados y protocolos de transmisión) soporte los estándares de seguridad requeridos.

Las empresas deben adoptar un enfoque proactivo, seleccionando controles pertinentes a su organización y adaptándolos a sus necesidades específicas. Este enfoque no solo cumple con requisitos normativos, sino que, más importante aún, fortalece la posición de seguridad ante posibles amenazas de ciberseguridad.