Organizaciones seguras: 10 buenos hábitos en seguridad de la información
Seguridad de la información
En la era de la tecnología, la seguridad de la información se convierte en un requisito imprescindible para cualquier empresa u organización, ya que la información es uno de los activos más valiosos y poderosos de los que disponen, pudiendo impulsar hacia el éxito a una empresa, o destruirla.
La gestión adecuada de la Seguridad de la Información, incrementa la confianza tanto de clientes, como de manera interna en la empresa, ofreciendo libertad para innovar, crear y crecer, permitiendo ampliar la cartera de clientes sobre la base fundamental de la confidencialidad.
Existen datos, que sugieren que una gestión ineficiente, y la ausencia de controles básicos, crean problemas adicionales que elevan la cifra de fraudes y abusos hasta un 50%. Así tenemos de ejemplo gastos extraordinarios, juicios legales por incumplimiento de obligaciones contractuales y demás circunstancias, que pueden llevar a una organización si no al cese de la actividad, a consecuencias realmente desastrosas.
Es por ello, que la implementación de la norma ISO/IEC 27001 – Gestión de la Seguridad de la Información, se considera una herramienta eficaz, con la que se consigue una gestión efectiva y segura de la información. Nos ayuda a identificar los riesgos y priorizarlos, a proteger correctamente los datos que se consideren críticos, y mitigar rápidamente las brechas de seguridad que puedan surgir. Más información sobre la ISO 27001 y el Plan de tratamiento de riesgos de la seguridad de la información, haciendo clic aquí.
Todo ello se logra con unos buenos hábitos en la seguridad de la información, conformando una organización segura y confiable que valora sus activos, adoptando controles y procedimientos más eficientes y coherentes con la planeación estratégica del negocio.
Una organización segura cumple esencialmente con 10 buenos hábitos en la seguridad de la información:
- Apoyo de la alta dirección. La alta dirección debe ser quien soporte la seguridad de la información, aportando recursos y presupuestos a este respecto, y realizando declaraciones claras de que, para la empresa, la seguridad de la información es una prioridad. El hecho de que sea la alta dirección la responsable de establecer las prioridades y pautas para una organización, evidencia que sin su apoyo sería inconcebible una organización segura.
- Documentar e identificar regularmente los flujos de datos sensibles, ya sea hacia la organización, a través o fuera de la misma. Con ello se logra que una empresa u organización enfoque su tiempo, esfuerzo y dinero en la protección de sus datos sensibles. Debe conocerse lo que se protege.
- Inventario actualizado y documentado de todos los sistemas que procesan, transmiten o almacenan datos sensibles, abarcando desde el sistema operativo, hasta las principales aplicaciones instaladas. El objetivo de este inventario, consiste en conocer qué sistemas se debe proteger, de manera que pueda determinar si una vulnerabilidad de seguridad es relevante para los mismos.
- Separar los sistemas sensibles de los no sensibles. Nos permite minimizar la superficie de ataque de los sistemas sensibles, así como el control y registro del acceso a los mismos.
- Estricto cumplimiento del proceso de control de cambios. Todos los cambios, incluidos los de emergencia, tienen que ser documentados, revisados y aprobados, ya que pueden dar lugar a una vulnerabilidad que no será detectada hasta que aparezca una brecha de seguridad evidente.
- Fuerte proceso de gestión de la configuración. La gestión de la configuración, consiste en el registro y actualización de todas las versiones y actualizaciones de software instalados, y de la ubicación y direcciones de red de los dispositivos de hardware. Mediante una herramienta de software de configuración o la automatización del proceso de construcción, se alcanza el endurecimiento de los sistemas sensibles, controlando regularmente su configuración, manteniéndola y evitando que el servidor sea desplazado.
- Cuanta menos información sensible se almacene en los sistemas, mejor. A través de una política de retención de datos bien documentada, toda la información confidencial que debe mantenerse, bien por tema de negocio o por aspectos legales, se revisa y justifica con regularidad procurando que sea almacenada en el menor número de sistemas posible, y eliminándose de forma segura cuando ya no sean de utilidad.
- Cifrado de los datos sensibles que han sido almacenados y/o transmitidos. Con un procedimiento de gestión de claves de cifrado bien implementado, será más difícil que los datos sensibles puedan ser desencriptados y utilizados por el atacante.
- Recoger y revisar sistemáticamente los registros de los sistemas sensibles. Los procesos automatizados, permiten que se detecten eventos predefinidos, enviando una alerta al empleado que corresponda para que investigue el caso.
- Realizar regularmente análisis de vulnerabilidad o pruebas de penetración en los sistemas sensibles, con objeto de “probar las defensas” y confirmar que los controles de la seguridad de la información de la organización funcionan adecuadamente. De esta manera, evitamos que sean los hackers quienes realicen la prueba.
Software ISO 27001
Con la ayuda de la plataforma tecnológica ISOTools, puede automatizar el Sistema de Gestión de Seguridad de la Información basado en la norma ISO 27001 de su empresa u organización. Cumplirá con todos los requisitos necesarios para llevar a su empresa al éxito, logrando ser una organización segura y confiable de una forma rápida y sencilla.