ISO 27001: Componentes de la defensa en profundidad
ISO 27001
La norma ISO 27001 proporciona los requisitos para poder implementar un de Seguridad de la Información.
Las empresas tienen la obligación de aplicar la defensa en profundidad en base a una serie de niveles, aplicando, para ello, las tecnologías que mejor se adapten a los procesos del negocio y los activos que tienen que proteger.
Estas tecnologías deben estar coordinadas y organizadas, así como proporcionar información a los responsables de la seguridad del Sistema de Gestión de Seguridad de la Información basada en ISO27001 para permitirles conocer el estado de la seguridad dentro de la empresa y tomar decisiones.
Los niveles que componen la Seguridad Lógica dentro de las organizaciones y las tecnologías más comunes utilizadas en cada uno de ellos son:
Seguridad en el perímetro
Es el nivel donde se limitan las fronteras de la organización con el exterior. Este nivel ha sufrido cambios en las infraestructuras actuales, siendo muy difícil delimitarlo por la introducción de nuevas tecnologías (móviles, accesos remotos y redes wifi) que han provocado una pérdida de control de los límites del perímetro en las organizaciones y el aumento de los accesos.
En este nivel se deben implementar tecnologías que permitan:
- Delimitar los accesos desde y hacia la organización.
- Proporcionar seguridad de los servicios ofrecidos.
- Registrar y controlar los accesos que se han producido en el perímetro de la organización.
- Filtrar y controlar los accesos de entrada y salida de la información.
Se deben considerar múltiples aspectos para diseñar una infraestructura perimetral segura.
Los factores claves a considerar deben ser:
- Implementar una estrategia de seguridad basado en la defensa en profundidad.
- Basar la seguridad en más de una tecnología o producto.
- Segmentar el perímetro en zonas delimitadas y protegidas mediante la creación de zonas externas, zonas desmilitarizadas y zonas internas. Utilizar la tecnología de traducción de direcciones (NAT) para ocultar el direccionamiento interno. Implementar los servicios externos (web, correo, etc.) en zonas desmilitarizadas, y controladas, poniendo en marcha reglas de filtrado para estos servicios.
- Implementar tecnología Proxy en los servicios comunes. La tecnología Proxy proporciona un nivel de seguridad adicional evitando la exposición directa de los equipos internos con las redes externas. Los servicios recomendados para aplicar la tecnología proxy son la navegación web y los servicios de mensajería.
- Utilizar las capacidades de seguridad que ofrecen los elementos que componen el perímetro (cortafuegos, detectores de intrusos, etc…).
- Mantener una política de actualización de todas las tecnologías.
- Implementar tecnología cortafuegos.
- Utilizar el principio del “menor privilegio” en la política de accesos de la organización. Por defecto, se debe denegar todo si no está explícitamente permitido. Las reglas de filtrado se deben basar en la necesidad de acceder. Los usuarios deben tener acceso a los servicios que tienen aprobados, denegando el acceso al resto de servicios.
- Se utilizarán tecnologías de filtrado para implementar la política de acceso.
- Comprobar cada componente después de su instalación, para asegurar que realiza la función para la que ha sido asignado. Los componentes se deben instalar de forma securizada (deshabilitar servicios inseguros, securizar las comunicaciones, eliminar accesos por defecto, etc…), las instalaciones por defecto o malas configuraciones pueden producir agujeros de seguridad en la organización.
- Comprobar de manera periódica la configuración y las reglas de filtrado para detectar posibles errores de configuración en los componentes.
- Realizar auditorías periódicamente para detectar posibles problemas de seguridad en las infraestructuras.
Una vez descritos los principales puntos a tener en cuenta en la actualización y ajustes del perímetro pasamos a describir las principales tecnologías que se están implantando en las empresas para proporcionar una seguridad inteligente y gestionada que nos permita tener un mayor nivel de confiabilidad y control en la seguridad dentro de nuestra organización.
Tecnología cortafuegos
La tecnología fundamental en la defensa en profundidad son los cortafuegos. Esta tecnología nos va a permitir regular el tráfico de información en diferentes niveles y zonas, proporcionando una protección ante los ataques tanto internos como externos.
Dependiendo de cómo despleguemos nuestra infraestructura de cortafuegos, proporcionaremos un mayor nivel de privacidad y confidencialidad de las comunicaciones, protegiendo los activos de las organizaciones.
Actualmente, ha surgido una nueva tecnología en la seguridad perimetral, que integra en una única solución varias tecnologías de protección denominados UTM (Unified Threat Management).
Los UTM son dispositivos que permiten gestionar las amenazas de una forma unificada en un sólo dispositivo, proporcionando la Gestión de la Seguridad en el perímetro en único elemento que realiza las funciones de antivirus de pasarela, filtrado cortafuegos y detección de intrusos.
Como se ha explicado anteriormente, la seguridad no debe basarse en un único dispositivo.
Dado el aspecto crítico de este tipo de dispositivos es necesario elegir fabricantes que cumplan con garantías de calidad y fiabilidad en este tipo de sistemas.
Centro de Respaldo
Un punto fundamental en las organizaciones es la disponibilidad de sus servicios y sistemas. La información es un activo que tiene un gran valor para la organización, requiriendo de una protección adecuada.
Esta protección debe incluir el aseguramiento de la continuidad del negocio en caso de una catástrofe que impida el funcionamiento correcto de la organización y sus activos.
Los usuarios tienen cada día más acceso a más información (electrónica).
Este acceso implica exponer a las organizaciones a una mayor variedad de amenazas y generan unas necesidades de disponibilidad y continuidad de los procesos de negocio que requieren de una gestión y un control por parte de los responsables de la información.
Estos requerimientos suponen la necesidad de disponer de soluciones que proporcionen una salvaguarda de la información y permitan la continuidad del negocio en caso de catástrofe total en la organización.
La solución existente para resolver el problema de la continuidad y disponibilidad de la información en las organizaciones son los Centros de Respaldo.
Estos centros son una inversión que nos va a permitir disponer de una infraestructura que soporte el negocio de nuestra organización en caso de una catástrofe en los centros principales, permitiendo ofrecer los servicios fundamentales de acceso a la información y la continuidad de los procesos de forma temporal o parcial durante el tiempo que estén indisponibles los servicios en los centros principales de nuestra organización.
Las posibilidades que nos están dando las tecnologías en el ámbito de la disponibilidad de la información, la distribución de la información y las comunicaciones entre diferentes localizaciones, han hecho de los centros de respaldo un punto a tener en cuenta en todas las organizaciones con unos requerimientos críticos de acceso y disponibilidad de la información, siendo una solución fundamental para la continuidad del negocio de las organizaciones.
Software para SGSI
El Software ISO 27001 presta solución a todas estas cuestiones que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa. Toda protección es importante, por mínima que sea, pues el mínimo descuido puede ocasionar una violación de los datos de la misma.