Norma ISO 27001: La importancia de controlar la instalación de software
Norma ISO 27001
Hoy en día, todas las organizaciones del mundo necesitan instalar un software para los sistemas operativos, las aplicaciones de oficina, las aplicaciones financieras, etc. Por regla general la instalación del software no se encuentra totalmente controlado, lo que puede generar riesgos, la norma ISO 27001 puede ayudar a las organizaciones con la implantación de un Sistema de Gestión de Seguridad de la Información basado en la norma ISO 27001, exactamente, en el Anexo A.12.6.2.
La primera recomendación es que el software sea instalado sólo por el personal autorizado de la organización, por lo general será el personal de TI. Esto se puede aplicar con la ayuda de la política de seguridad de la información. Para comprobar esto, la empresa puede realizar controles periódicos para analizar el software instalado en el equipo de un trabajador seleccionado al azar.
Otra forma de aplicarlo es limitar los privilegios de los usuarios a un mínimo, aunque esto no siempre será posible, porque existen perfiles que necesitan tener privilegios de administradores en el Sistema de Gestión de Seguridad de la Información. Estos privilegios deben ser revisados cada cierto tiempo, ya que un trabajador puede cambiar de área, departamento, etc. lo que puede significar que usted tiene que habilitar unos privilegios y desactivar otros.
Para las organizaciones pequeñas, la mejor recomendación es la misma que ya hemos nombrado. El software puede ser instalado por cada trabajador, pero antes de la instalación, una parte responsable debe ser notificada y la información tiene que registrarse en un inventario.
La práctica general es que las empresas establezcan una regla general a la hora de instalar el software en el equipo corporativo, siendo sólo de uso profesional, ya que el software consume recursos de la organización. En todo tipo de software se ve afectado por amenazas, por lo que la utilización del software por personal no profesional, puede incrementar innecesariamente los riesgos.
Si organización es pequeña, otras situaciones pueden ser posibles, pero en este casi también existen riesgos y deben ser administrados.
Reglas para instalar el software
Para la instalación de nuevo software, la recomendación es que siempre seguir las mismas reglas, que pueden definirse es una política de seguridad en la que se establezca el control, con el siguiente contenido como ejemplo:
- Los trabajadores no pueden descargar el software desde internet, o traer el software de su casa sin autorización.
- Cuando un trabajador detecta la necesidad de utilizar un software en particular, necesita transmitir una solicitud al departamento TI. La solicitud tiene que almacenarse como un registro.
- El departamento de TI tiene que determinar si la empresa tiene licencia del programa solicitado.
- Si no existe licencia, el departamento de TI notifica al trabajador y procederá a instalar el software en el ordenador del usuario que lo ha solicitado.
- Si no hay licencia, una de ellas debe evaluar si el programa solicitado es realmente necesario para el desempeño de las funciones del trabajador. Para evaluar, la viabilidad financiera de la compra del software también tiene que ser analizado, cuando el software cuesta dinero.
- Si el software cuesta dinero, se debe analizar si la existe una herramienta similar en el mercado que sea más barata.
- La alta dirección debe participar en la decisión sobre la adquisición de un nuevo software.
- Una vez que se ha tomado la decisión, en el departamento de TI se procederá a incluir el software en su inventario e instalará el software.
Aplicaciones del repositorio y el inventario de software
Si está utilizando como base la metodología de gestión de riesgos, el software también se debe considerar como un activo en su inventario durante la evaluación de riesgos, ya que como sabe existen amenazas y vulnerabilidades relacionadas con el software.
Es recomendable que el departamento de TI defina un repositorio para almacenar todas las versiones corporativas y definitivas de las aplicaciones que se utilizan en la empresa. Este repositorio debe ser accesible sólo por el personal autorizado, es decir, el que forme parte de la red interna de la empresa. Esto facilitará la instalación del software en los equipos de los trabajadores cuando sea necesario.
Es importante identificar todo el software que se instalan en la organización. Para este propósito se pueden utilizar herramientas que analicen lo que se está instalando en cada uno de los ordenadores mediante una red interna. Esta herramienta permite comprobar si alguien ha instalado el software de forma incontrolada, es decir, sin necesidad de abrir una solicitud de conformidad con la regla establecida en la sección anterior.
Si su empresa es muy pequeña o no se puede establecer este repositorio, lo que recomendamos en identificar una simple lista de los softwares instalados en cada equipo.
Los riesgos sobre la instalación de software sin la norma ISO 27001
El software se ha convertido en algo muy utilizado que nadie considera las implicaciones de seguridad que supone, sin embargo, el software puede ser muy peligroso si no se maneja de forma correcta.
Software ISO 27001
El Software ISOTools Excellence para la norma ISO 27001 presta solución a todas estas cuestiones que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa. Toda protección es importante, por mínima que sea, pues el mínimo descuido puede ocasionar una violación de los datos de la misma.