Academia cero control lavado de activos

Manual para implementar la seguridad de la información, según la ISO 27001

Contar con una adecuada gestión en seguridad de la información permite proteger el activo más importante de la organización, los datos.

Manual para implementar la seguridad de la información, según la ISO 27001

Introducción

En la actualidad la mayoría de empresas se han unido a la transformación digital y con ello, han empezado a almacenar su información de manera virtual, por medio de dispositivos electrónicos o en la nube. Sin embargo, esto no quiere decir que no se vayan a ver enfrentados a riesgos cibernéticos; es por esto que es tan importante contar con un sistema de gestión de seguridad de la información que permita proteger los datos con el fin de evitar consecuencias fatales.

La ISO 27001 brinda diferentes herramientas que contribuyen a las buenas prácticas para asegurar, integrar y tener de manera confidencial toda la información y de los sistemas que la almacenan para evitar algún tipo de ciberataques, haciendo más competitiva y cuidando la reputación de la compañía.

En el siguiente eBook usted encontrará los parámetros que debe seguir para establecer un sistema de seguridad de la información acorde a lo que necesita su empresa para evaluar los riesgos que se puedan presentar y a su vez poder aplicar los controles necesarios para mitigarlos.

¿Qué es seguridad de la información?

Se define como un proceso integrado que permite proteger la identificación y gestión de la información y los riesgos a los que esta se puede ver enfrentada, a través de estrategias y acciones de mitigación que dan la posibilidad de asegurar y mantener de manera confidencial los datos de una empresa. 

Según la Universidad Libre de Colombia “Son todas las medidas preventivas y de reacción del individuo, la organización y las tecnologías, para proteger la información; buscando mantener en esta la confidencialidad, la autenticidad e Integridad.

Hay que tener claro que los términos Seguridad de la información y Seguridad Informática son diferentes. La segunda trata solamente de la seguridad en el medio informático, mientras que la primera es para cualquier tipo de información, sea esta digital o impresa.

La seguridad de la información abarca muchas cosas, pero todas estas giran en torno a la información. Por ejemplo la disponibilidad, comunicación, identificación de problemas, análisis de riesgos, la integridad, confidencialidad y recuperación de los riesgos”. 

Para llevar a cabo la implementación de esta dentro de las instituciones se deben tener en cuenta tres elementos que son claves:

Para llevar a cabo la implementación de esta dentro de las instituciones se deben tener en cuenta tres elementos que son claves

  • Personas: Son aquellos que se encarga de realizar la gestión y de tratar la información, pueden ser empleados, directivos, autoridades competentes, clientes, proveedores, contratistas y prestadores de servicio. 
  • Procesos: Son las actividades que se llevan a cabo con el fin de cumplir con los objetivos planteados, la mayoría de estas incluyen información o dependen de esta por lo que resultan siendo vulnerables.
  • Tecnología: Está relacionado a los servicios e infraestructura de la empresa, esta es la que lleva el manejo y el desarrollo de la información, brinda la oportunidad de almacenar, recuperar, difundir y darle mantenimiento a los datos de valor que se encuentran allí.

    ¿Qué es la norma ISO 27001? 


¿Qué es la norma ISO 27001? 

Es una norma internacional creada por la Organización Internacional de Normalización (ISO) que garantiza el uso de buenas prácticas en materia de seguridad de la información. Además, brinda herramientas para gestionarla dentro de una organización. 

Este estándar internacional fue creado para proporcionar un modelo para establecer, implementar, monitorear, revisar y mantener un sistema de gestión de seguridad de la información (SGSI).

En el 2005 fue publicada su primera versión enfocada en la norma británica BS 7799-2 y en el 2013 se realizó su actualización ajustándose a las novedades tecnológicas que trae el mercado y basándose en normas como la ISO/IEC 17799:2005, la serie ISO 13335, ISO/IEC TR 18044:2004 y las directrices de la Ocde para sistemas y redes de seguridad de la información . Esta se puede aplicar a cualquier tipo de empresa sin importar su origen o tamaño.  

Esta normativa permite que los datos suministrados sean confidenciales, íntegros, disponibles y legales, con el fin de estar protegidos frente a los riesgos que se puedan presentar. Contar con este sistema dentro de la organización genera confianza entre los clientes, proveedores y empleados, además es un referente mundial. 

Implementarla permite evaluar y controlar los riesgos que se hayan identificado con el fin de crear un plan que ayude a mitigarlos y en caso tal evitarlos.

También hay que tener en cuenta que la ISO 27001 otorga certificación permitiendo que la entidad pueda demostrarle a sus clientes, empleados y proveedores que están blindados frente a este tema.

Lo que permite:

  • Obtener el diagnóstico por medio de entrevistas.
  • Análisis exhaustivo de todos los riesgos que se puedan presentar.
  • Crear un plan de acción acorde a las necesidades puntuales de la empresa.
  • Diseño de procedimientos.
  • Entender los requerimientos de seguridad de la información de una organización y la necesidad de establecer una política y objetivos para la seguridad de la información. 
  • Implementar y operar controles para manejar los riesgos de la seguridad de la información. 
  • Monitorear y revisar el desempeño y la efectividad del Sistema de Gestión de Seguridad de la Información (SGSI).
  • Mejoramiento continuo en base a la medición del objetivo.

Importancia de la ISO 27001

En la actualidad las compañías se enfrentan a que su información sufra algún tipo de fraude, hackeo, sabotaje, vandalismo, espionaje o un mal uso por parte del recurso humano, muchos de estos actos delictivos pueden ser causados por ingenieros, hackers, empleados u organizaciones dedicadas al robo de datos que lo único que buscan es interferir en la reputación de empresa, es por esto que se debe contar con herramientas que permitan evitar que se presenten este tipo de sucesos.

Contar con un sistema enfocado en la seguridad de la información permite cumplir con los requerimientos legales, ya muchos países lo exigen y la ISO 27001 ofrece una metodología que permite cumplir con todo lo exigido.

El obtener la certificación genera un valor agregado frente a sus competidores y confianza en sus clientes y futuros clientes.

Por otro lado, brinda la posibilidad de que no se presenten incidentes que puedan generar costosas pérdidas, es así como se puede ahorrar dinero y evitar consecuencias perjudiciales.

Estructura de la norma ISO 27001

¿Qué es la norma ISO 27001? 


  • Objeto y campo de la aplicación: Brinda las herramientas para saber cómo es el uso de la norma, que beneficios trae y cómo se debe aplicar.

  • Referencias normativas: Son los documentos que se deben tener en cuenta para aplicar las recomendaciones de la norma.

  • Términos y definiciones: Es un glosario que permite entender las palabras claves de lo que está descrito allí.

  • Contexto de la organización: Es uno de los requisitos fundamentales de la norma, se busca entender el contexto de la empresa y cuáles son sus necesidades para verificar cuál será el alcance del sistema de gestión de información de la seguridad que se va a poner en marcha.

  • Liderazgo: Es importante generar una cultura dentro de la compañía alrededor de esto, es por esto que todos los empleados deben estar enterados de los planes de acción que se van a llevar a cabo y de qué manera ellos contribuyen al cumplimiento del mismo, es así como los líderes deben nombrar responsables y dar a conocer las políticas establecidas.

  • Planificación: Acá se establecen los objetivos y cuál va a ser el camino que se va a seguir para lograrlos, cómo será la implementación del sistema de gestión de seguridad de la información teniendo en cuenta los riesgos que se han identificado previamente. 

  • Soporte: Para el adecuado funcionamiento del sistema se debe contar con los recursos necesarios que permitan ser competentes, contar con una óptima comunicación y que se pueda documentar la información requerida para cada caso.

  • Operación: Para tener una gestión eficaz se debe planificar, implementar, monitorear y controlar cada uno de los procesos, valorar cada riesgos y crear una solución para cada uno de ellos.

  • Evaluación de desempeño: Se debe realizar el seguimiento, la medición, el análisis y la evaluación  del sistema implementado, con el fin de verificar que está cumpliendo con lo establecido.
  • Mejora: Identificar qué aspectos no están funcionando correctamente para ajustarlos y que puedan cumplir con su objetivo final.

Protocolos de seguridad de la información

Es importante entender que cuando se hacen búsquedas en internet el navegador está intercambiando datos con las diferentes páginas que se visitan, ya sea de manera automática o consciente. Para proteger esta información se utilizan protocolos que garantizan la seguridad e integridad de los mismos, por medio de reglas establecidas.

Se diseñaron con el fin de prevenir que agentes externos no autorizados puedan tener acceso a estos datos y están compuestos por:

  • Cifrado de datos: Cuando el mensaje es enviado por el emisor lo que hace es ocultar la información hasta que esta llegue al receptor. 
  • Lógica: Debe contar con un orden en donde primero van los datos del mensaje, el significado y en qué momento este se va a enviar.
  • Autenticación: Esta técnica se utiliza para saber que la información está siendo manipulada por un ente autorizado y no está sufriendo algún tipo de intervención por agentes externos.

Sistema de gestión de seguridad de la información, según la ISO 27001

¿Qué es?

El SGSI (Sistema de Gestión de Seguridad de la Información) es el concepto central sobre el que se construye ISO 27000. De acuerdo con la norma la seguridad de la información consiste en la preservación de la confidencialidad, integridad y disponibilidad, bajo estos tres términos se realiza el análisis y evaluación de los activos de información. 

Este concepto se encuentra enfocado en cuatro fundamentos:

Disponibilidad

Confidencialidad

Integridad

Autenticación

Tener acceso a la información necesaria|. En este punto es importante evitar que el sistema tenga problemas o que algún ente externo intente acceder de manera ilícita a los programadores de la compañía. 

Información que solo está disponible para el personal autorizado, por ende esta no debe ser distribuida por terceros. 

La información que está registrada debe ser la correcta y no contar con errores o algún tipo de modificaciones. Esto se hace con el fin de evitar amenazas externas o errores humanos.

Esta información la brinda directamente un usuario y se debe validar que los datos otorgados son los correctos.

 

Este proceso permite garantizar que se está gestionando de manera adecuada la seguridad de la información, debe ser documentado y registrado para que toda la organización tenga conocimiento del mismo y sepa cómo actuar frente a situaciones de posible amenaza. 

¿Para qué sirve?

Sistema de gestión de seguridad de la información, según la ISO 27001

La información de una compañía es uno de los activos más importantes que se tiene, es por esto que es tan indispensable protegerla, ya que esta es esencial para el cumplimiento de los objetivos.

Como lo hemos mencionado a lo largo de este documento todas las empresas están expuestas a sufrir ataques cibernéticos de cualquier tipo, que puedan afectar de manera perjudicial la operabilidad.

Un SGSI es un instrumento de gran ayuda para cumplir con la legalidad y la protección de los datos, pues este permite que se definan los procedimientos y controles que se llevarán a cabo para mantener los datos blindados. Además, permite que se establezcan las políticas que se le darán a conocer a todos los miembros de la organización y saber a profundidad cuáles son los riesgos que pueden sufrir y de qué manera pueden mitigarlos.

¿Qué incluye?

Sistema de gestión de seguridad de la información, según la ISO 27001

Manual de seguridad

Este es el documento el cual contiene la guía de cómo se debe implementar y seguir el sistema de gestión de seguridad de la información. Allí se va a radicar toda la información como objetivos, alcance, responsables, políticas, directrices, entre otras actividades que se decidan llevar a cabo.

Procedimientos

Estos van relacionados a las actividades operativas, ya que estos serán los encargados de dar los parámetros que se deben seguir para que la gestión sea eficaz, la planificación, la operación y el control sean los adecuados en los procesos de seguridad de la información. 

Instrucciones

Es la descripción de lo que se debe hacer paso a paso, cuáles son las tareas y actividades que se deben cumplir para que la gestión sea eficiente.

Registros

Es la evidencia de la información que ha sido documentada a lo largo de la gestión, para verificar que se estén cumpliendo con los objetivos propuestos.

¿Cómo se implementa?

fases-sgsi

Pasos que debe seguir:

  1. Apoyo de la alta gerencia, directores y junta directiva.
  2. Establecer la metodología que se va a implementar. 
  3. Definir el alcance del SGSI.
  4. Redactar una política de seguridad de la información.
  5. Definir evaluación de riesgos.
  6. Llevar a cabo la evaluación y el tratamiento de riesgos.
  7. Dar a conocer cómo va ser su aplicabilidad.
  8. Tener claro el plan de tratamiento de riesgos.
  9. Definir cómo se medirá la efectividad de los controles.
  10. Implementar todos los controles y procedimientos necesarios
  11. Crear cultura dentro de la empresa a través de programas de capacitación y concientización.
  12. Monitorear y medir el SGSI para verificar si está siendo efectivo.
  13. Hacer auditoría interna.
  14. Si hay que hacer mejoras en algunas de las fases ponerlo en práctica.

Definir la política de seguridad

Aquí se deben determinar los objetivos, el marco general , los requerimientos legales, los criterios con los que serán evaluados los riesgos y para esto se debe establecer la metodología, y estar aprobada por la dirección o junta directiva.

Definir el alcance del SGSI

Que se logrará una vez se ponga en marcha el plan de acción dentro de la organización teniendo en cuenta los activos, las tecnologías y descripción de cada uno de ellos. 

Identificación de los riesgos

Reconocer las posibles amenazas a las que puede estar expuesta la compañía, quienes son los responsables directos, a qué son vulnerables y cuál será el impacto en caso de que se llegue a violar la confidencialidad, integridad y disponibilidad de los activos.

Análisis y evaluación de los riesgos

Evaluar el impacto que tendría alguno de los riesgos si se llega a materializar, identificar cuál es la probabilidad de ocurrencia y cómo esto podría afectar a los controles que ya están implementados, de igual manera verificar si se puede aceptar o debe ser mitigado.

Tratamiento de riesgos

Aplicar los controles adecuados, clasificar los niveles de riesgo, evitarlo si es posible o transferirlo a terceros si es posible. 

Aplicabilidad

Establecer los objetivos de control y seleccionar los controles que se van a implementar.

Gestión

Definir cómo será el tratamiento de los riesgos, aplicar este tratamiento teniendo en cuenta los controles que fueron identificados, y las responsabilidades de cada uno, implementar estos controles, definir el sistema de métricas, generar conciencia dentro de la oficia y fomentar una cultura que permita que todos los empleados tenga conocimiento de SGSI, gestionar su operación y utilizar los recursos necesarios para su cumplimiento.

Monitoreo

Revisión periódica del SGSI para identificar si se está cumpliendo con la normativa, con los objetivos planteados y la efectividad de la misma, así mismo como reportar las mejoras que se deben hacer y cuáles serán las acciones que se van a llevar a cabo para lograr esto. 

Ventajas de implementar la ISO 27001

  • Da la posibilidad que los procesos de seguridad estén equilibrados y a la vez coordinados entre sí.
  • Aunque es imposible reducir a cero el riesgo si da la oportunidad de que se creen metodologías que contribuyan a la mitigación de los mismos y aumentar la seguridad en la información que se tiene.
  • En caso de que se llegue a presentar un riesgo permite que este no cause pérdidas tan profundas y que se cuente con un plan de acción para actuar de manera eficaz.
  • Permite que se cumplan con los requerimientos legales exigidos por los entes de control.
  • Genera valor agregado dentro de la compañía, pues cabe resaltar que no son muchas las empresas que cuenten con esta certificación.
  • Gracias a la eficiencia que se emplea permite que se reduzcan costos.
  • Genera confianza con todos los miembros de la entidad, ya sean clientes, proveedores o empleados.
  • Da la posibilidad de que se puedan activar alertas en caso de que se llegue a presentar alguna actividad sospechosa.
  • Permite hacerles seguimiento a los controles de seguridad.
  • Es una herramienta que da la posibilidad de planificar y darle seguimiento a los procesos.
  • Contribuye a la imagen corporativa (reputación).
  • Contar con una metodología clara y eficaz.
  • Reduce el riesgo de pérdida o robo de la información.

Descargue el eBook gratuito sobre seguridad de la información de acuerdo a ISO 27001

Compártalo en sus redes sociales