La importancia de los controles en un Sistema de Gestión de Seguridad de la Información
Sistema de Gestión de Seguridad de la Información
En el artículo de hoy hablaremos sobre los controles en un Sistema de Gestión de Seguridad de la Información. No obstante, antes de comenzar, vamos a recordar qué es exactamente y cuáles son las funciones de un Sistema de Gestión de Seguridad.
¿Qué es un Sistema de Gestión de Seguridad?
Un Sistema de Gestión de Seguridad de la Información o, Information Security Management System, de sus siglas en inglés, es un conjunto de sistemas y procedimientos utilizados para recopilar información diferentes fuentes para posteriormente compilarla de forma que pueda presentarse en un formato legible.
Teniendo en cuenta esta definición, un Sistema de Gestión de Seguridad de la Información (SGSI) debe cumplir las siguientes características: Confidencialidad (no revelar información a los no autorizados), Integridad (mantener la información exactamente de la forma en la que se recibió) y Disponibilidad (posibilidad de acceder a la información por los autorizados siempre que sea necesario).
Controles en un SGSI en la nube
Una vez definido lo que es un Sistema de Gestión de Seguridad de la Información basado en la norma ISO 27001:2013, pasamos a los controles de dicho sistema.
La definición y alcance de estos controles, se encuentra definido en las normas ISO 27017 e ISO 27018. Estos, hacen referencia a uno de los temas más relevantes con los que tienen que tratar los SGSI, la computación en las nubes.
La tecnología cloud o de la nube, llegó a nuestros tiempos relativamente hace poco tiempo como una tecnología disruptiva. Las facilidades de trabajo que ofrece a la hora de compartir, almacenar, acceder y trabajar con los archivos es tal, que hoy en día parece impensable poder trabajar sin ellas.
Es por eso que, al ser un repositorio de información tan utilizado, también sea el objetivo de diferentes ataques maliciosos o «hackings». Por este motivo, la necesidad de una norma encargada de maximizar la seguridad en la nube y establecer controles en la misma dio lugar a la publicación de ISO 27017 e ISO 27018.
ISO 27017 e ISO 27018
Código de práctica para los controles de seguridad de la información. Tenemos que recordar que ISO 27017, proviene de ISO 27001. Esto quiere decir que, los controles de seguridad en los que está basada, provienen de la norma ISO 27002. Sin embargo, debido al creciente uso de la tecnología de la nube, ha sido necesaria una ampliación del alcance de la norma para tratar de forma más adecuada las partes que la norma ISO 27002 no abarcaba.
Especificando aún más, debemos decir que ISO 27017 se centra de forma general en la información de los servicios en la nube, mientras que ISO 27018 intenta proteger los datos personales de la nube.
Debemos aclarar que estas dos normas son una extensión del alcance de ISO 27001 para cubrir los puntos a los que dicha norma no llega (tecnología basada en la nube).
Es por eso que, por el momento no es certificable como una norma en sí, sin embargo, se puede conseguir una acreditación que demuestre el cumplimiento de los requisitos de esta norma.
¿Cuáles son los nuevos controles de seguridad en la nube para los Sistemas de Gestión de Seguridad de la Información?
ISO 27017 ha presentado cambios principalmente en el control de acceso siendo más restrictiva en los siguientes puntos:
- 9.2.1 Registro de usuarios y la cancelación del registro
- 9.2.2 Usuario
- 9.2.3 Gestión de acceso privilegiado
- 9.4.1 Información de restricción de acceso
- 9.4.4 Utilización de los programas de servicios públicos privilegiados
Sin embargo, ISO 27018 si ha propuesto nuevos controles de seguridad:
- Alineación de gestión de la seguridad de redes virtuales y físicas
- Roles y responsabilidades compartidas dentro de un entorno de cloud computing
- Endurecimiento de la máquina virtual
- Eliminación de los activos de los clientes de servicios cloud
- Segregación en entornos informáticos virtuales
- Seguimiento de los servicios en la nube
- La seguridad operacional
Como podemos ver, ISO 27001 es una de las normas con más predisposición al cambio. El avance de la tecnología y su constante podría implicar que encontrásemos diferentes formas de tratar la información. Por ello, siempre que se encuentren nuevas tecnologías para procesar información, será necesaria una revisión de la norma o la publicación de otra que aumente el alcance de la misma.
Software ISO 27001
Toda empresa de hoy en día trabaja con datos. Para los clientes, la privacidad de sus datos es algo fundamental. Disponer de una certificación basada en esta norma, puede suponer una gran ventaja competitiva que los clientes pueden apreciar, por lo tanto, este puede ser un motivo fundamental a la hora de elegir nuestra empresa.
Sin embargo, la implementación de la norma podría ser complicada. Para solucionar este tipo de problemas, queremos presentarle el software ISOTools Excellence, que no solo le facilitará la implementación del sistema, sino que cumplirá a la perfección con las tres características fundamentales de un SGSI: Confidencialidad, Integridad y Disponibilidad.