ISO 27001: Contrarrestar las amenazas
Sistema de Gestión de Seguridad de la Información
La norma ISO 27001 proporciona las herramientas necesarias para seleccionar las categorías que protejan la confidencialidad, la integridad y la disponibilidad de la información de dos formas complementarias entre sí.
Por una parte se evitan incidentes de seguridad gracias a la supervisión de las actividades que realizan los equipos y las redes, además de los usuarios.
Por otra parte, se debe colaborar en recuperar e investigar los casos en los que se produzcan incidentes de seguridad. Se deben generar informes útiles que ayuden a tomar decisiones en materia de seguridad.
Las herramientas utilizadas durante la auditoria forense y técnica sirven para poder investigar los puntos débiles que presentan los Sistemas de Gestión de Seguridad de la Información ISO27001 y las aplicaciones que se utilizan durante la fase diseño, por lo que podremos utilizar una vigilancia correcta de la política de seguridad implementada en la organización.
Para poder realizar esto se analizan los sistemas y las aplicaciones, con lo que se podrán detectar vulnerabilidades existentes, parches y actualizaciones que se tienen que aplicar, analizando los registros de actividad, los dispositivos y las herramientas utilizadas, además de analizar los puertos, los computadores, los dispositivos de red y otros tipos de la empresa. Otro análisis que se debe realizar es a los ficheros y los datos, realizar auditorías de contraseñas, depurar datos borrados y realizar pruebas de diseño seguro en aplicaciones web y desarrollos de software.
Todos los productos de continuidad se utilizan como apoyo técnico en la ejecución de planes para conseguir la mayor normalidad en caso de que se produzca un accidente grave. Se deben automatizar los procesos que se realizan en el Sistema de Gestión de Seguridad de la Información para facilitar la reanudación de las actividades en el menor tiempo posible, recuperando datos, aplicaciones e información al producirse un incidente de seguridad.
Los productos que encontramos dentro de la categoría control de tráfico de red que facilita la utilización eficiente de todas las infraestructuras de comunicaciones que tiene la organización, utilizando la monitorización y el análisis de su actividad. Se debe diseñar y planificar la política de seguridad relativa a las infraestructuras con las que cuenta la empresa.
Las herramientas utilizadas para cumplir la legalidad hacen que sea posible cumplir con la legislación y los normativos que son aplicables a las organizaciones en materia de seguridad de la información. Facilita la gestión de forma automatizada de los aspectos relacionados con el cumplimiento, como pueden ser:
- Políticas
- Medidas implantadas, etc.
Se tiene que facilitar el control del nivel de cumplimiento con el fin de facilitar la mejora continua y detectar las debilidades del Sistema de Gestión de Seguridad de la Información ISO-27001.
Resulta necesario realizar inventarios de activos de información, registrar las actividades que se realizan, los incidentes, realizar un flujo de gestión de incidentes, etc.
Los productos de los eventos que apoyan la gestión de los incidentes de seguridad, como puede ser la detección temprana de actividades que indican algún tipo de riesgo de que se produzca un incidente, hasta la propia detección del incidente, analizarlo y realizar las actuaciones necesarias para disminuir el impacto y favorecer la investigación.
Se analiza y relacionan los registros de las actividades en el Sistema de Gestión de Seguridad de la Información, además de los dispositivos utilizados para controlar la seguridad.
Todas las herramientas que gestionan y controlan el acceso a los activos de información de la organización facilitan la administración de la identidad de los usuarios de los Sistemas Informáticos de las empresas y además, garantiza el acceso remoto seguro. Es fundamental realizar una correcta aplicación de las políticas de seguridad de la organización, implementadas gracias al Sistema de Gestión de Seguridad de la Información ISO 27001.
Los productos pueden ser instrumentos de prevención, que se encuentren destinados a evitar posibles riesgos sobre los activos de información, además se tiene que determinar lo que ha ocurrido si se produce un incidente.
Los primeros pasos que se deben realizar es una auditoría del Sistema de Gestión de Seguridad de la Información, en las que se pueden utilizar aplicaciones y datos que determinan los diferentes puntos débiles que pueden iniciar un incidente de seguridad.
En las denominadas auditorías forenses se investigan los equipos una vez que ha sucedido el incidente, se analiza el rastro para establecer el inicio, además se podrá determinar el responsable, si es que lo hubiera, y se debe facilitar la recuperación y prevenir futuros incidentes utilizando medidas preventivas.
Diferentes funcionalidades distinguen las diferentes categorías utilizadas en los productos de auditoría técnica y forense:
- Herramientas para desarrollar de forma segura las aplicaciones metodológicas y los estándares de desarrollo seguro en el ciclo de vida del software en cuestión.
- Auditoría de código, son herramientas que revisan las diferentes vulnerabilidades de diseño en las aplicaciones del software para evitar el lanzamiento al mercado de aplicaciones que resulten vulnerables frente a los ataques más conocidos.
- Escanear los puertos para ubicar los puertos abiertos de los sistemas conectados a la red.
- Gestionar las actualizaciones, parches y vulnerabilidades de los productos que se identifican al realizar pruebas automatizadas.
- Hacking ético, es una herramienta que se utiliza para realizar ataques controlados con los que poder descubrir los posibles fallos del sistema en seguridad, evitando de esta forma que ocurran incidentes.
- Realizar una auditoría de contraseñas utilizando aplicaciones prediseñadas para controlar el cumplimiento de la política de contraseñas de la organización.
La gran mayoría de productos utilizados se utilizan para proteger a la empresa de forma completa, aunque en muchos casos se pueden utilizar ordenadores personales. La aplicación de la norma ISO27001 es muy recomendable para organizaciones que en sus actividades necesiten revisar y presentar informes de adecuación de algún tipo de norma y además, se necesiten realizar de forma periódica.
Software para ISO 27001
El Software ISOTools Excellence para ISO-27001 para la Seguridad de la Información se encuentra compuesta por diferentes aplicaciones que, al unirlas, trabajan para que la información que manejan las empresas no pierda ninguna de sus propiedades más importantes: disponibilidad, integridad y confidencialidad.