La seguridad de la información es un tema que ha cobrado mucha importancia en los últimos tiempos, en relación al contexto actual post pandemia muchas empresas cada vez más se adentran en los campos de la transformación digital, donde la seguridad de la información es vital para el desarrollo de las actividades automatizadas en los sistemas de la gestión de información en distintos entornos informáticos.
Para abordar la ciberseguridad debemos conocer un poco de ella. Empezaremos diciendo que nace desde que en la humanidad empieza la era digital y con ello los riesgos que estos atraen.
La gestión de riesgos se trata de identificar y proteger los activos valiosos de una organización. Los procedimientos de gestión de riesgos son procesos fundamentales para preparar a las organizaciones para un futuro ataque de ciberseguridad, para evaluar la resistencia de los productos y servicios a posibles ataques antes de comercializarlos y para prevenir el fraude en la cadena de suministro.
En el anterior artículo tratamos cómo las organizaciones se beneficias del uso de contar con un Sistema de Gestión de Seguridad de la Información. Vimos cómo ayuda a generar confianza, tanto de forma interna como externa, cómo gracias a la priorización de activos se hace más eficiente el SGSI y cómo permite generar controles adecuados en función de la naturaleza de cada activo.
Lo primero que debemos saber antes de abordar cómo gestionar los riesgos en tecnologías de la información, lo primero que tenemos que tener en cuenta es que es el riesgo y que es riesgo en tecnologías de información.
Un sistema de gestión de seguridad de la información (SGSI) es un conjunto de elementos que interactúan entre sí para proteger la confidencialidad, disponibilidad e integridad de un conglomerado de datos que, combinados y relacionados tienen sentido.
La norma ISO 27001 es una norma internacional cuyo enfoque se centra en el aseguramiento, integridad y confidencialidad de los datos, información y sistemas. Entre los elementos que ayudan a una adecuada gestión de un sistema de seguridad informática se encuentran la gestión o evaluación de los riesgos y otro elemento fundamental es el inventario de activos de información del cual se hablará en este apartado.
El pasado 9 de agosto el Foro Internacional de Acreditación (IAF, por sus siglas en inglés), publicó el documento Requisitos de transición para ISO/IEC 27001:2022 con el propósito establecer las reglas necesarias para que los organismos de certificación actúen de forma coordinada y asegurar que, en un tiempo prudencial, las organizaciones que implementen la norma tengan la oportunidad de adquirir experiencia, capacitar a su equipo de trabajo y adaptarse al nuevo estándar. Y las que no están certificadas, pueden tener tiempo de emplear el estándar, siempre y cuando sea antes de 2025.
La infraestructura tecnológica es el medio para la operación, explotación y transmisión de la información en todo su ciclo de vida. Por eso su cuidado es fundamental. La norma ISO/IEC 27002:2020 contempla los controles tecnológicos en el apartado 8.
ISO/IEC 27002:2022 – Seguridad de la información, ciberseguridad y protección de la privacidad — Controles de seguridad de la información sucede a la edición del 2013 y proporciona un conjunto de referencia de controles genéricos de seguridad de la información, incluida una guía de implementación. En este texto abordaremos lo atinente al punto 7 – controles físicos.
