Controles de Seguridad en la Gestión de la Información ISO 27001

Clase 22 de 39Curso de Preparación para la Certificación en la Norma ISO 27001 (2020)

Clase anteriorSiguiente clase

Resumen

¿Cómo se gestiona la seguridad de la información?

Entender la gestión de riesgos y la política de seguridad de la información es crucial para cualquier organización comprometida con la protección de sus activos. Estos componentes forman la base de un sistema de gestión de seguridad de la información (SGSI) efectivo, que ayuda a mitigar riesgos inherentes a medida que se expanden y evolucionan las empresas. Estos sistemas son respaldados por el anexo A de la norma ISO 27001, que proporciona un catálogo detallado de controles de seguridad esenciales.

¿Qué incluye la política de seguridad de la información?

La política de seguridad de la información es el primer control que encontramos en el catálogo de seguridad. Está conformada por dos controles específicos:

  1. Política de seguridad: Es la directriz general emitida por la alta dirección que define la base del sistema de gestión de seguridad.
  2. Revisión de la política: Esta política debe revisarse periódicamente, cada seis meses o como máximo anualmente, para asegurarse de que refleje los cambios y el crecimiento de la empresa. La revisión continua es fundamental para adaptarse a nuevas circunstancias o amenazas.

¿Cómo se organiza la seguridad de la información?

La organización de la seguridad de la información consta de varios controles que establecen roles y responsabilidades claros dentro de la empresa:

  1. Roles y responsabilidades de seguridad de la información: Claramente identifica a las personas responsables de gestionar riesgos y de implementar los diferentes aspectos del sistema de gestión de seguridad de la información.

  2. Segregación de tareas: Es crucial mantener separadas las líneas de defensa dentro de la organización. De esta manera se evitan conflictos de interés, como cuando la seguridad de la información dicta las reglas de firewall, pero no las implementa.

  3. Contacto con autoridades: Es vital estar en comunicación constante con las entidades regulatorias para cumplir con la normativa vigente.

  4. Contactos con grupos especiales de interés: Los inversionistas deben recibir reportes de la gestión de seguridad.

  5. Seguridad en la gestión de proyectos: La seguridad debe estar involucrada en los proyectos desde el principio para evitar problemas al final.

  6. Dispositivos móviles y teletrabajo: Se deben crear estrategias adecuadas para asegurar la continuidad del proceso desde ubicaciones remotas.

¿Qué importancia tiene la seguridad relativa al recurso humano?

En la norma ISO 27001, la seguridad no solo abarca aspectos tecnológicos; también se centra en el recurso humano, incluyendo varias etapas:

Antes del empleo

  • Investigación de antecedentes: Verificar el historial del candidato puede prevenir riesgos potenciales.
  • Términos y condiciones: Asegurar que los contratos sean legales y no haya subcontrataciones no oficiales.

Durante el empleo

  • Responsabilidad de gestión: El empleado debe conocer y entender sus responsabilidades.
  • Capacitación en seguridad: Ofrecer cursos anuales sobre prácticas de seguridad es crucial para todos los empleados.
  • Procesos disciplinarios: Definir claramente las consecuencias del mal uso de los recursos de la empresa.

Después del empleo

  • Cambio de rol o salida: Es necesario actualizar o desactivar accesos y gestionar adecuadamente la devolución de activos.

¿Cómo se gestionan los activos en la seguridad de la información?

La gestión de activos es un componente esencial en la seguridad de la información. Aquí los controles se centran en:

  1. Inventario y propietarios de activos: Identificar a los dueños de cada activo para responsabilizarse de su mantenimiento y uso.
  2. Uso aceptable de los activos: Definir criterios claros para el uso adecuado de los recursos tecnológicos e informativos.
  3. Devolución y eliminación de activos: Gestionar la devolución de equipos al final de su vida útil y asegurarse de que no se acumulen innecesariamente.
  4. Clasificación y etiquetado de la información: La clasificación por confidencialidad, integridad y disponibilidad es esencial. El etiquetado ayuda a gestionar estos datos de forma efectiva.
  5. Gestión de soportes: Asegurar la eliminación y el manejo adecuado de soportes físicos y digitales, especialmente durante el tránsito a terceros.

Estos elementos y controles conforman la base de una gestión de seguridad de la información robusta y efectiva, que permite a las organizaciones seleccionar y aplicar las medidas más adecuadas a sus necesidades específicas. Continúa explorando estas temáticas y adaptando las prácticas a tu entorno corporativo para asegurar un manejo seguro y eficiente de la información.