Define Controles de Seguridad

Clase 8 de 22Curso de Certificación ISO 27001 para Empresas

Clase anteriorSiguiente clase

Resumen

La implementación de controles de seguridad es un pilar fundamental en cualquier sistema de gestión de seguridad de la información. Entender cómo seleccionar, aplicar y documentar estos controles según la norma ISO 27001 puede marcar la diferencia entre un sistema robusto y uno vulnerable. A continuación, exploraremos los aspectos clave para definir controles de seguridad efectivos y cómo crear una declaración de aplicabilidad que cumpla con los requisitos de la norma.

¿Cómo se relacionan los riesgos con los controles de seguridad?

Para todo sistema de gestión de seguridad de la información, existe un principio fundamental que debemos tener claro: para cada riesgo de seguridad identificado, existe un control en la norma ISO 27001 que puede mitigarlo. Esto no es casualidad, sino el resultado del exhaustivo trabajo realizado por expertos cuando desarrollaron la nueva versión de esta norma internacional.

La ISO 27001 ha sido diseñada meticulosamente para abarcar la mayor cantidad posible de:

  • Activos de información.
  • Riesgos de ciberseguridad.
  • Tipos de organizaciones, independientemente de su tamaño o sector.

Esta característica hace que la norma sea extremadamente versátil y aplicable a prácticamente cualquier contexto empresarial, proporcionando un marco completo para la gestión de la seguridad de la información.

Tipos de controles por categoría

Los controles de seguridad se dividen en diferentes categorías, cada una enfocada en un aspecto específico de la seguridad de la información:

Controles organizacionales

Estos controles establecen las bases para la gestión de la seguridad a nivel institucional:

  • Creación de políticas de seguridad.
  • Definición de roles y responsabilidades.
  • Modelado e inteligencia de amenazas (análisis del entorno empresarial según la tecnología utilizada).
  • Análisis de seguridad de proveedores y aliados de negocio.

Controles del personal

Se centran en el factor humano, reconociendo que las personas son tanto la primera línea de defensa como un potencial punto débil:

  • Capacitaciones en seguridad para todo el personal dentro del alcance.
  • Reglas específicas para teletrabajadores.
  • Procesos disciplinarios para casos de compromiso de la seguridad.
  • Acuerdos de confidencialidad para información sensible.
  • Iniciativas para fomentar la cultura de seguridad.

Controles físicos

Aplicables a empresas con instalaciones físicas como sedes, cuartos técnicos o centros de datos:

  • Seguridad en instalaciones y oficinas (control de acceso, uso de dispositivos).
  • Medidas ante desastres naturales (sismos, inundaciones).
  • Protección de redes de datos contra intervenciones no autorizadas.
  • Políticas de borrado seguro de información (safe delete) para equipos dados de baja.

Controles tecnológicos

Enfocados en la infraestructura y soluciones tecnológicas:

  • Seguridad en entornos cloud.
  • Gestión de vulnerabilidades en sistemas.
  • Políticas de cifrado de datos.
  • Filtrado web para la navegación de usuarios corporativos.

¿Cómo crear una declaración de aplicabilidad efectiva?

La declaración de aplicabilidad (SOA - Statement of Applicability) es un documento crucial exigido por la norma ISO 27001. Consiste en un listado detallado de los controles viables a aplicar por la empresa, junto con su justificación.

Para crear una declaración de aplicabilidad efectiva, considera estas recomendaciones clave:

  1. Justifica adecuadamente la no aplicabilidad de controles: Cuando decidas excluir un control, debes proporcionar razones sólidas, ya que el auditor cuestionará estas decisiones.

  2. Recopila evidencias claras de la aplicación de cada control: Como regla fundamental, "un control sin evidencia no funciona para ISO 27001".

  3. Adapta los controles a tus recursos disponibles: No todas las empresas necesitan implementar todos los controles directamente. Por ejemplo, si no cuentas con una plataforma de pagos online, puedes delegar esta responsabilidad a un proveedor que cumpla con las normativas de seguridad.

Caso práctico: la declaración de aplicabilidad de Nutriglobal

El caso de Nutriglobal ilustra cómo estructurar una declaración de aplicabilidad efectiva:

  • Utilizaron una tabla sencilla que lista todos los controles del Anexo A.
  • Para cada control, indicaron:
    • Si aplica o no.
    • El objetivo del control.
    • Una breve descripción.
    • El grupo al que pertenece.
    • Justificación (en caso de no aplicar).
    • Método de implementación.
    • Evidencia de implementación.

Un ejemplo interesante es el caso de Platzi, que excluyó el control A.8.30 orientado al desarrollo de software tercerizado. La justificación fue clara: todo el código de su plataforma es generado internamente y ningún externo tiene acceso a él, haciendo este control innecesario para su contexto.

Mejores prácticas para la implementación de controles

Para implementar efectivamente los controles de seguridad:

  • Lee detenidamente cada control uno por uno.
  • Utiliza la norma ISO 27002 como referencia, ya que incluye descripciones detalladas de cada control.
  • Analiza inmediatamente cómo aplicarás cada control y si cuentas con los recursos necesarios.
  • Recuerda que la declaración de aplicabilidad es uno de los elementos más escrutados por los auditores durante la certificación.

La definición adecuada de controles de seguridad y una declaración de aplicabilidad bien estructurada son componentes esenciales para un sistema de gestión de seguridad de la información robusto y conforme con ISO 27001. ¿Has implementado alguno de estos controles en tu organización? Comparte tu experiencia y las dificultades que has encontrado en el proceso.