ISO 27001 y la seguridad en el intercambio de información
ISO 27001:2013
ISO 27001 es una norma internacional que cada día es adoptada por más empresas preocupadas por la seguridad de su información y de sus bases de datos. Cada vez son más las noticias que nos encontramos sobre violación de la información, ya sea en cuentas personales o profesionales. Por este motivo hay que estar en un continuo aprendizaje en esta materia para dotar a nuestra organización de la máxima seguridad de la información que se pueda alcanzar.
En este post vamos a tratar qué consideraciones debemos tener a la hora de intercambiar información, al utilizar servicios de comercio electrónico y cómo realizar un seguimiento para asegurar que los controles de seguridad implantados son eficaces.
Intercambio de información
El intercambio de información puede darse dentro de la misma empresa o entre distintas empresas, pero sea como sea deben existir controles de seguridad que ofrezcan seguridad y protección a la información que se está intercambiando.
Cuando esto ocurra es necesario establecer una política que acoja a todos los medios de intercambio que la organización emplee. Los aspectos que esta política debería incluir son:
- Procedimientos de un correcto uso de los medios.
- Controles para evitar la modificación, la interceptación, el copiado o la destrucción de la información.
- Controles de protección contra el código malicioso.
- Técnicas de ingeniería social.
- Uso de cifrado en datos que se consideren necesarios.
La norma ISO-27001, en su valoración de riesgos, debe considerar el caso en que la empresa intercambie información sensible con una tercera parte. Si esto ocurre, en el acuerdo hecho entre ambas partes deben quedar reflejado responsabilidades y procedimientos para el envío, transmisión, recepción y confirmación.
En este mismo sentido se incluyen controles de autenticación, responsabilidades de propiedad de datos, el establecimiento de registros de auditoría y gestión de incidentes.
Si esa información se envía en un soporte mediante correo postal o mensajería, hay que considerar posibles incidentes durante el transporte, tales como accesos indebidos o modificaciones. Para evitar estos problemas se pueden tomar medidas como el embalado y el hacer el envío con una empresa de confianza.
Igualmente existe envío de mensajes electrónicos, por ello debería ser una actividad protegida contra accesos no autorizados y otras amenazas.
Por todo esto, si una organización quiere realizar un intercambio de información segura debe:
- Crear procedimientos de intercambio para todos los medios de comunicación que utilicen.
- Establecer acuerdos respecto al intercambio de información con personal externo.
- Realizar acuerdos con los transportistas para efectuar un envío postal de información seguro.
Servicios de comercio electrónico
El comercio electrónico lleva asociadas ciertas vulnerabilidades como fraudes o modificación de la información. Si una empresa utiliza este tipo de comercio, debe protegerse siguiendo indicaciones como:
- Controles de autenticación.
- Controles de integridad de datos.
- Controles de confidencialidad con la información que se trata.
- Controlar la evidencia del envío.
- Controles de los medios de pago.
- Definir responsabilidades para cada incidente.
Toda relación comercial online debe estar sostenida por un acuerdo documentado y aprobado por ambas partes y en él se definirán las responsabilidades de cada una.
En las transacciones se utilizará la firma electrónica, verificando que es válida y, la información, privacidad y los detalles de la misma deben estar sujetos a la confidencialidad total. Otros mecanismos de seguridad empleados son:
- Utilizar protocolos de información seguros en la información intercambiada.
- Proteger la información que se pone a disposición del público contra modificaciones no autorizadas.
- Definir controles de integridad de la información pública.
- Realizar pruebas que verifiquen la fortaleza del servidor.
Además no hay que olvidar la legislación vigente aplicable de cada sitio web y aplicar cualquier control asociada a ella.
En definitiva, toda relación de comercio electrónico segura requiere:
- Protección de la información implicada.
- Un acuerdo entre partes que indique el modo de autenticación, los requisitos de confidencialidad e integridad, evidencias de envío y recepción, y la verificación de la información de pago.
- Para las transacciones online reparar en la firma electrónica, confidencialidad y privacidad de la información, en el cifrado de los canales de comunicación, en los protocolos seguros y en el almacenamiento seguro de la información de la transacción.
- Proteger cualquier información disponible al público.
Seguimiento
Los controles implantados no sirven de nada si no se realiza un seguimiento y se comprueba su eficacia.
Una de las herramientas para realizar el seguimiento puede ser los registros de auditoría. Un registro de auditoría aporta información como la identificación del usuario, fecha y hora de cada paso de la actividad, si se ha realizado con éxito o el intento ha sido fallido, información o sistemas a los que el usuario ha accedido y de qué privilegios se ha servido.
De los resultados del seguimiento de los registros de actividad se obtendrán fallos en los sistemas que pueden iniciar acciones correctivas en cada caso.
Por otro lado, según la criticidad identificada en el análisis de riesgos se debe emprender un control del uso de ciertos sistemas de la información y evaluar sus resultados por si hubiera que iniciar algún tipo de acción correctiva.
Para que los registros de auditoría sean eficaces en las investigaciones, los relojes de todos los sistemas de la empresa deben estar sincronizados.
La norma ISO27001 también está sujeta a procesos de auditoría periódicos, y al igual que en otros controles, en el caso de encontrar alguna no conformidad se emprenderán acciones correctivas que pongan solución.
Así que si una organización quiere llevar a cabo un seguimiento de los controles aplicados en seguridad de la información adecuado debe:
- Establecer registros de auditoría de las actividades más relevantes.
- Definir procedimientos para el seguimiento del uso de recursos de tratamiento de la información.
- Revisar los resultados de las actividades de seguimiento y emprender las acciones correctivas que fueran necesarias.
- Sincronizar los relojes de todos los sistemas de tratamiento de información de la empresa.
Software para ISO 27001
El Software ISO para Riesgos y Seguridad de la Información, está capacitado para responder a numerosos controles para el tratamiento de la información gracias a las aplicaciones que contiene y que son totalmente configurables según los requerimientos de cada organización. Además, este software permite la automatización del Sistema de Gestión de Seguridad de la Información ISO 27001, lo cual aporta un ahorro de recursos, entre ellos dinero y tiempo.