Conoce los Controles de Seguridad ISO 27001 (Parte 1).

Estándares y metodologías ISO 27001

Implementar TIC bajo modelos probados y aprobados internacionalmente conlleva grandes beneficios para las empresas que adoptan e IMPLEMENTAN adecuadamente estas normas, tal es el caso de los estándares ISO.

---

Ahora vivimos tiempos donde se debe poner especial foco y análisis sobre las amenazas a nuestra infraestructura TIC y por supuesto a nuestra INFORMACIÓN en ella contenida, que es lo que da el valor a la adecuada toma de decisiones estratégicas, la cual está en riesgo continuo de ser bloqueada por factores y acciones naturales o humanas, y por lo tanto, de quedar fuera de operaciones con las desastrosas consecuencias que traería al negocio.

Dado que hablamos de seguridad y nos referimos específicamente a la información, estos tres artículos harán referencia a los Controles de Seguridad bajo el estándar de 27001, y por lo que sucede actualmente en el mundo, haremos mención de tres de ellos que deberían ser completa y correctamente implementados en el corto plazo:

No detallaremos la parte de documentación, definición, auditoría para certificación y certificación propiamente dicha, eso es motivo de otro análisis, por lo que iniciaremos diciendo que esta norma ISO 27001 , en adición a la parte administrativa de políticas, marcos de referencia y metodología, contiene un anexo “A”, el cual está diseñado como guía para entender los diferentes dominios requeridos a ser cubiertos en la implementación funcional de la TIC, dicho anexo contiene los llamados CONTROL DE SEGURIDAD, mismos que van del A5 al A18.

Como ya definimos, y dada nuestra realidad y tendencias informáticas para este año, nos centraremos en tres de ellos.

Control de Seguridad A9: Control de Acceso.

Este control, se puede subdividir en 4 rubros: los requisitos del negocio para el control de acceso, la gestión del acceso de los usuarios, el control de acceso a aplicaciones y sistemas y, por último las responsabilidades del usuario.

Partamos de la premisa de que una gran fuente de ataques informáticos es el uso poco metodológico y seguro de aplicaciones críticas ( ERP, CRM, Correo, etc..) lo cual al ser una fuente primaria y conocida de riesgo, debe robustecerse tanto como sea posible, pues a través de este medio es como comúnmente se afectan e inhabilitan los sistemas TIC.

Tomando el enfoque de análisis de riesgo, podemos decir que, según datos de la industria, de todos los ataques, un gran porcentaje fueron oportunistas, esto es al azar, otro modus operandi utilizado son los ataques por la vía del espionaje y cabe destacar que gran parte de estos fueron llevados a cabo por excolaboradores, todo lo anterior a pesar de que aproximadamente el 74% de las empresas reportaron que tienen “implementados” filtros de correo, y el 62% tiene IDS, por lo que, podemos deducir, que este nivel de seguridad o no es suficiente, o, esté puede ser el factor REAL, dichas implementaciones NO son sólidas, sino más bien, o parciales o que carecen de metodología cimentada.

A manera de definición y planeacion de ejecución, para entender en dónde estamos parados actualmente, deberíamos de tener evidencias y resultados concretos al preguntarnos lo siguiente: ¿Cómo saber si hay solidez en nuestro actual entorno?

Un análisis inicial debe contener al menos los siguientes aspectos en términos de la implementación de las políticas y los procedimientos (preferentemente automatizados) y su adecuado uso. Por esta razón deben ser analizados y revisados a detalle los siguientes servicios de nuestra(s) aplicación(es) de, a manera de ejemplo representativo, el correo corporativo:

Dominio

• Directorio
• Certificación
• Federación
• Gestión de derechos
• Administración de identidad y acceso local y/o remota

Este es el punto de partida para robustecer y tomar el control de acceso, al menos en esta importante fuente particular de peligro, de una manera metodológica de nuestros usuarios con acceso local o remoto, de tal suerte que con una implementación sólida y con el asesoramiento de nuestros SOCIOS CONSULTORES TECNOLÓGICOS expertos del tema, además de reforzar y mejorar el control de acceso, y por lo tanto la seguridad de la información, se avanza en el camino del cumplimiento de la norma ISO, un marco que nos da claridad y objetividad para responder contundentemente a el “cómo saber si…?”.

Nuevamente las sociedades tecnológicas con consultores expertos facilitará el camino y marcará la diferencia

En resumen, para alinear nuestra TIC a cumplir diferentes objetivos de negocio, y en este caso particular el de maximizar la disponibilidad y lograr una recuperación exitosa y expedita de nuestros sistemas, es INDISPENSABLE que todo el personal de nuestra empresa sea CORRESPONSABLE en la definición, ejecución, cumplimiento
y MEJORA CONTINUA del plan de seguridad de la información, pues de ella, la información, “vive” nuestra empresa y sin ella estamos a merced de nuestros competidores y de las leyes del mercado.

CLARO, SIMPLE, CONTUNDENTE Y CONGRUENTE.

---

En SERVICES4iT estamos genuinamente comprometidos en desarrollar soluciones tecnológicas que permitan que las organizaciones como la tuya logren sus objetivos de Negocio utilizando la tecnología correcta.

---

¿Cómo te Apoyaremos durante esta cuarentena?

Te daremos las mejores recomendaciones para poder llevar la operación de TI de tu Oficina a casa de manera segura:

• Conexiones VPN Seguras y Telefonía IP (En tu Smartphone o Laptop).
• Ciberseguridad (Ver artículo “Ciberseguridad en Casa”)
• Soporte Técnico Remoto (Ver Sitio de Soporte)
• Servicios de Nube para llevar tus aplicaciones a Nube Pública (IaaS y SaaS)
• Servicios de Protección en Nube con Servicios de BaaS (Backup as a Service) y Disaster Recovery as a Service (DRaaS). (Ver artículo “¿Que es BaaS y DRaaS?”) y Nuestro Servicio sin costo por 30 días de PROTEGER.MX. Presiona Aquí. 
• Presiona la siguiente imagen para mayor Información.

Deseándoles Salud y que sus Organizaciones sigan Productivas ayudando a que nuestra economía siga moviéndose.