Saltar al contenido principal

Control de Seguridad de la información

Control de Seguridad de la información en la nube de la nueva ISO 27002

Portada » Blog Calidad y Excelencia » Control de Seguridad de la información en la nube de la nueva ISO 27002

El control de seguridad de la información y su acceso es un elemento esencial de la seguridad que determina quién tiene permiso estipulado para tener el acceso a determinados datos, aplicaciones, recursos y en qué circunstancias. El objetivo principal es limitar el acceso a la información y a las instalaciones de procesamiento de información de la igual representación que las claves y listas de asistentes con aprobación anterior resguardan las plazas físicas, las directivas de los controles de acceso que protegen las plazas digitales. Es decir, permiten que las personas o usuarios adecuados ingresen y que la que es ajena a las plazas digitales se queden fuera.

Descarga gratis e-book: La norma ISO 27001

Las directivas de control de acceso dependen de medidas técnicas como la autenticación y la autorización, que es el que permiten a las diferentes organizaciones comprobar de forma evidente que los usuarios son quienes dicen ser y que cuentan con el nivel apropiado de acceso con base en elementos contextuales como el dispositivo, la ubicación, el rol, la responsabilidad entre otros.

El control de seguridad de la información impide que los infiltrados u otros usuarios no autorizados se hagan con la información confidencial, como por ejemplo los datos de clientes y la propiedad intelectual. También apoya a la reducción de riesgos de filtración de datos por parte de los empleados y mantiene controlado las amenazas web. En vez de manipular los diversos permisos manualmente, las empresas con mayor seguridad dependen de soluciones de administración de identidad y acceso para las implementaciones directivas de control de acceso.

ISO 27002

La norma ISO 27002:2022 propone no únicamente el cuidar la información desde la perspectiva de resguardar la información para los intereses de las diversas organizaciones, sino que también de controlar en caso este tenga información confidencial para los intereses de la organización. Se procede a establecer criterios de controles de la información. Esto se debe conservar debido a que es una información que resulta totalmente relevante en las operaciones de la organización. Esto reduce en gran manera el filtrado de información no deseada, malwares que provienen de forma externa a la organización.

Una vez teniendo definida la información controlada y actualizada en la organización, se debe implementar los métodos adecuados para proceder con los diversos controles de la información. Esta gestión, si conferenciamos de información que presentemente debe tener un control donde aportan puntos importantes en la organización que son muy alta relevancia, en caso se filtre a usuarios que no están asociadas a la organización, se recomiendan implementar métodos más rigurosos que únicamente eliminarlo de forma convencional.

Entre estos métodos contamos con algunos ejemplos:

1.- Seguridad de las operaciones:

Los ordenamientos deben estar documentados (cuando corresponda) y deben estar disponibles.

¿Qué debemos documentar?

  • Los documentos de instrucciones al menos se deberían abordar actividades que afectarán al proceso de la información y aquellas que la protegen.
  • Siguiendo este principio deberíamos incluir
    • Los procesos de la verificación, instalación, configuración y administración de sistemas y aplicaciones.
    • El proceso y manejo de las informaciones.
    • Los métodos de la gestión del respaldo de las diferentes informaciones, que incluyen las pruebas y las verificaciones de las copias de seguridad.
    • Las gestiones de las programaciones operacionales en cuestión de procesos que requieran clasificación de tiempos.
    • Acuerdo con los requisitos de la norma ISO 27001 también se debe incluir la administración de faltas y condiciones excepcionales donde se pueden definir como incidentes de seguridad.
    • Las Instrucciones especiales de administración de medios para la información confidencial, incluida la eliminación segura. Recuperación / reinicio del sistema.
    • Los métodos de la gestión de los registros y los elementos de seguimiento de auditoría.
    • Las instrucciones de monitoreo de red y activos de información.

¿Qué significa que estén disponibles?

  • Esto se traduce en que deberíamos realizar actividades de formación y concienciación sobre los procedimientos sobre el tratamiento de la información y su cuidado o seguridad Gestión de cambios
  • Protección ante software malicioso

2.- Gestión de Cambios

Los procesos de cambio pueden conllevar riesgos asociados para la seguridad de la información. Por esta razón, la norma nos propone controles para que analicemos los procesos de cambio tanto:

  • Comerciales
  • Instalaciones o infraestructuras (Equipos y Software)
  • Sistemas de procesamiento de información

Actualmente, resulta indiscutible comentar que los controles a instituir para la gestión de cambios serán el resultado de los análisis de riesgos y de la aplicabilidad de los controles proporcionados.

3.- Gestión de la Capacidad

  • Esta gestión trata de evitar las pérdidas de disponibilidad o provecho de los diversos sistemas por falta de capacidad.
  • Para gestión de la capacidad se refiere a tener un control del uso de los recursos. Esto se traduce en controles para:
    • Realizar mediciones y Seguimientos del uso de los recursos
    • Previsión de uso a futuro (predecir los cuellos de botella)
    • Realizar Planificación de las ampliaciones de capacidad de los recursos cuando este sea necesario.

Para enfatizar, cabe mencionar que la responsabilidad completa en cuanto al control de la de la información es de la misma organización, implícitamente durante la gestión que se requiere por personas ajenas a la organización. Debido a que el primordial interesado en contar con información correcta e impedir que filtren su información, es de la misma organización. Al ser un elemento de cada vez mayor interés e impacto, la inversión de tiempo y recursos serán cada vez más eminentes.

La Plataforma ISOTools facilita la automatización de la ISO 27001

La ISO 27001 para los SGSI es sencilla de implantar, automatizar y mantener con la Plataforma Tecnológica ISOTools.

Con ISOTools se da cumplimiento a los requisitos basados en el ciclo PHVA (Planear – Hacer – Verificar – Actuar) para establecer, implementar, mantener y mejorar el Sistema Gestión de la Seguridad de la Información, así como se da cumplimiento de manera complementaria a las buenas prácticas o controles establecidos en ISO 27002.

E-book gratis la norma ISO 27001

¿Desea saber más?

Entradas relacionadas

Cómo da cumplimiento la ISO 45001 al Decreto 1072

Decreto 1072 La ISO 45001 es un estándar internacional para la gestión de la seguridad y salud en…

Ver más
Cómo verificar el Sistema de Gestión de Riesgos

Tercera etapa del ciclo PHVA La verificación del sistema de gestión de riesgos corresponde a la tercera etapa…

Ver más