ISO 27001 ¿Cómo proteger la información de terceras personas?
ISO 27001
La norma ISO 27001 ofrece el alcance de la organización para poder gestionar la implementación del Sistema de Seguridad de la Información. Se debe revisar de forma independiente en intervalos de tiempo planificados.
La revisión independiente tiene que ser iniciada por la alta dirección de la organización. La revisión independiente es necesaria para poder asegurar la mejora continua y la eficacia del alcance a la hora de gestionar el Sistema de Seguridad de la Información. Durante la revisión se tienen que incluir oportunidades para la evaluación de la mejora y la necesidad de cambio favoreciendo el acercamiento de la organización a la seguridad, incluyendo la política de seguridad y los objetivos de control.
La revisión debe ser realizada por personas independientes al área que se quiere revisar. Dichas personas deben contar con los conocimientos y habilidades apropiados para tal fin.
Los resultados obtenidos de la revisión se deben registrar y tienen que ser enviados a la gerencia de la organización para que puedan ser revisados. Se tiene que generar un registro donde queden guardados todos los resultados, para poder acudir a ellos en el momento en el que sea oportuno.
Si los resultados de la revisión arrojan datos sobre que la implementación o el mantenimiento del Sistema de Seguridad de la Información según ISO27001 no es adecuada, la alta dirección de la organización debe plantearse la implantación de acciones correctivas.
A la hora de hacer la revisión se pueden realizar entrevistas, comprobar expedientes o revisar documentos incluidos en la política de seguridad.
Seguridad en los accesos de terceras personas
El principal objetivo es mantener la seguridad de los activos de información de la organización que sean accesibles a terceras personas.
La Seguridad de la Información de la empresa y las instalaciones que procesan dicha información no pueden ser reducidas porque se introduzca personal ajeno a la organización.
Lo que se debe hacer es controlar el acceso de dichas personas a los dispositivos de tratamiento de información de la empresa.
En el momento en que sea necesaria la intrusión de terceras personas, la organización deberá realizar una evaluación de riesgo para determinar las implicaciones de seguridad y las medidas de control requeridas. Dichas medidas de seguridad tiene que estar definidas y encontrarse en el contrato que se realice con dicha persona.
Identificar los riesgos por el acceso de terceras personas
El Sistema de Seguridad de la Información ISO-27001 establece comprobaciones para controlar que las personas ajenas al sistema que deseen entrar se encuentren perfectamente identificadas, evitando así ciertos riesgos en los activos de información y en las instalaciones en las que se procesa la información de la organización.
Cuando resulta indispensable permitir el acceso a terceras personas a la información de la organización se debe realizar una evaluación de riesgo que se realiza para identificar los controles que deben ser implantados. Identificar los riesgos asociados al acceso de terceras personas se debe tener en cuenta con los siguientes puntos:
- Las instalaciones del procesamiento de la información a la que terceras personas necesitan tener acceso.
- Controlar el tipo de acceso que tendrán terceros a la información y a las instalaciones encardas de procesar la información:
- Acceso físico.
- Acceso a la base de datos de la empresa.
- Conectividad de red en la empresa.
- El lugar donde se produce el acceso a la información, dentro de la organización o fuera.
- El valor y la sensibilidad de la información utilizada.
- Los diferentes controles utilizados para proteger la información de posibles ataques.
- La persona externa encargada de utilizar la información de la organización.
- La empresa autoriza a una persona a tener acceso a la información que se encuentra identificada, verificada y si fuera necesario tiene que ser reconfirmada.
- Establecer controles específicos a terceras personas a la hora de guardar, procesar, comunicar, compartir e intercambiar la información de la organización.
- El impacto que genera que el acceso no se encuentre disponible a terceras personas.
- Las prácticas y procedimientos necesarios para combatir los incidentes y daños potenciales en la Seguridad de la Información.
- Establecer los requisitos legales que amparan a la organización.
- Conocer como los intereses de los terceros pueden verse afectados a la hora de realizar el acuerdo.
Para poder permitir el acceso a terceras personas a la información de la organización se debe haber implementado, con anterioridad, los controles necesarios y haber comprobado que estos son factibles. Cuando se firma un contrato se tienen que definir los términos y las condiciones para tener acceso a la información.
Nos tenemos que cerciorar de que las terceras personas que tienen un contrato con nosotros se encuentran al tanto de sus obligaciones y aceptan las responsabilidades que implica acceder, procesar, manipular o comunicar la información de empresa.
La información se puede exponer a un riesgo cuando está en manos de terceras personas si éstas efectúan una gestión inadecuada de la seguridad. Los controles de seguridad tienen que ser identificados para administrar el acceso de terceras personas a las instalaciones de procesamiento de la información de la empresa.
El acuerdo entre la organización y terceras personas tiene que incluir:
- Proveedores de servicios, proveedores de red, servicio telefónico, mantenimiento y servicios de apoyo.
- Servicios de gestión de seguridad.
- Clientes.
- Consultores de gerencia y auditores.
- Proveedores de productos de software y servicios de información.
- Limpieza, cafetería y otros servicios de apoyo externo.
- Personal temporal, estudiantes y contratados de tiempo limitado.
Gracias a todos estos acuerdos ser reduce mucho el riesgo al que se somete la información de la organización a la hora de trabajar con terceras personas.
Software para SSI
El Software ISO27001 presta solución a todas estas cuestiones que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa.