Como administrar la seguridad de red según la norma ISO 27001
ISO 27001
A medida que más personas y empresas se encuentran interconectadas entre sí, más información se intercambia, desde la que consideran trivial y desechable, hasta la que es mucho más sensible y necesaria para la vida de las personas y la supervivencia del negocio. La protección de esta información es gracias a la norma ISO 27001.
Es por eso que la infraestructura de red de hoy en día es tan importante, y tan atractiva para los piratas informáticos. Por lo tanto, para asegurarnos del rendimiento de la red y evitar que se generen situaciones en las que la información que lleva se vea comprometida, es necesario tomar medidas de seguridad.
¿Qué es la gestión de seguridad de la red?
Se puede definir la gestión de la seguridad de red siendo un proceso diseñado para proteger una red y los datos que fluyen mediante los riesgos en cuanto al acceso no autorizado, mal utilización, mal funcionamiento, modificación, destrucción o divulgación indebida, al tiempo que permite que se establezcan ordenadores autorizados, usuarios y aplicaciones para llevar a cabo las actividad. Si empresa puede contar con una red interna y externa.
Mediante los administrativos, físicos y controles tecnológicos, la gestión de la seguridad de la red busca generar un entorno seguro basado en capas de componentes protectores que apoyan y se complementan entre sí para incrementar la seguridad en general.
Amenazas comunes a las redes y los datos en tránsito
Por su propia naturaleza, una infraestructura de red es susceptible a dos tipos de taques:
- Ataques pasivos: cuando un atacante de red sólo intercepta los datos que viajan mediante la red. A menudo, los ataques pasivos se utilizan en el comienzo de los ataques más elaborados, como un medio para reunir información.
- Ataques activos: cuando un atacante de red trabaja activamente para cambiar los datos de tránsito, o los componentes de red.
Gestión de red de acuerdo con la norma ISO 27001
Al igual que cualquier sistema de gestión, la norma ISO 27001 se basa en el ciclo PHVA (Planificar-Hacer-Verificar-Actuar), que se integra de forma perfecta con el enfoque de gestión de seguridad de la red.
En cuanto a las actividades de planificación de gestión de red, es necesario definir los objetivos de seguridad de la red para que sea protegida y administrada. Una vez que se definen los objetivos de seguridad de la red, es necesario definir todos los controles que se deben realizar, sobre la base de los riesgos más relevantes que existen en el contexto de la organización.
La aplicación de los controles de seguridad se puede utilizar dentro del plan de tratamiento del riesgo definido para la aplicación de todos los controles del Sistema de Gestión de Seguridad de la Información. De acuerdo a la norma ISO 27002, los controles de gestión de la seguridad de red deben ser considerados como:
- Controles de red: un conjunto de controles generales deben aplicarse, como la definición de las responsabilidades y procedimientos para la gestión de equipos de red, la separación de funciones entre las redes y los ordenadores, la utilización de las soluciones de cifrado para proteger los datos en tránsito e interconectado sistemas, supervisando y registrando las actividades de la red que se llevan a cabo, la autenticación y otros medios para que se restringa el acceso y la utilización de los recursos de la red.
- Seguridad de los servicios de red: las soluciones de red que se esperan, y los niveles de rendimiento y seguridad deben ser definidos e incluso en los acuerdos de nivel de servicio, así como el medio por el cual la empresa puede verificar si se está cumpliendo con todos los niveles de servicio. Estos acuerdos de servicio deben ser considerados de forma interna y externa.
- La segregación de las redes: los servicios, los sistemas de información, los usuarios, las estaciones de trabajo y los servidores deben encontrase por separado en distintas redes, según los criterios que han sido definidos como la exposición al riesgo y el valor de negocio, y un estricto control de flujo de datos entre estas redes debe estar establecida.
La gestión de seguridad de la red también puede hacer uso de otros controles para mejorar su eficacia, como puede ser la política de control de acceso, la gestión del cambio, la protección contra el malware y la gestión de vulnerabilidades técnicas. La verificación de los controles de red se puede realizar mediante auditorías periódicas y revisiones por parte de la dirección, lo que puede conducir a distintos controles y ajustes mediante las acciones correctivas o planes de mejora.
Los beneficios de la seguridad de la red
Existen muchos beneficios de una empresa puede lograr mediante la adopción de la gestión de seguridad de la red:
- Aumentar la productividad, como resultado de una red mucho más fiable y menos interrupciones en el negocio.
- Mantenimiento del cumplimento de la normativa, ya que la seguridad de la red es un punto común en muchas regulaciones.
- Reducir el riesgo de las acciones legales, ya que los esfuerzos que se realizan para proteger los datos de los clientes muestran la debida diligencia de la empresa y el debido cuidado.
- Incremento de la reputación de la organización, debido a los esfuerzos realizados para proteger los datos de los clientes muestran el compromiso de la empresa para controlar la seguridad.
Comunicaciones fiables conducen la intensa actividad
En el mundo en que vivimos estamos constantemente conectados, los negocios se pueden hacer entre socios que se encuentran en cualquier parte del mundo, manteniendo la infraestructuras de red en funcionamiento, esto no sólo es un reto operativo, sino un punto vital en la competitividad de las organizaciones.
Al adoptar un enfoque de gestión de seguridad de la red, en línea con las prácticas definidas por la norma ISO 27001, una empresa puede incrementar sus oportunidades no sólo para mejorar la planificación y asignar sus recursos, sino también para beneficiarse de una infraestructura mucho más fiable y resistente en términos de negocio de competitividad.
Software ISO 27001
El estándar internacional ISO 27001, junto con todas las normas que componen su familia, generan todos los requisitos necesarios para poder implementar un Sistema de Gestión de Seguridad de la Información de una forma rápida y sencilla, además el Software ISOTools Excellence para ISO 27001 presta solución a todas estas cuestiones que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa.