Todos los procesos empresariales impulsados por la tecnología están expuestos a amenazas a la seguridad y la privacidad. Las tecnologías sofisticadas son capaces de combatir los ataques a la ciberseguridad, pero no son suficientes: las organizaciones deben asegurarse de que los procesos empresariales, las políticas y el comportamiento de la fuerza de trabajo también minimicen o mitiguen estos riesgos.

Debido a que este camino no es ni fácil ni claro, las empresas adoptan marcos que ayudan a orientar hacia las mejores prácticas de seguridad de la información (InfoSec). Aquí es donde entran en juego los sistemas de gestión de la seguridad de la información: echemos un vistazo.

¿Qué es un ISMS (Information Security Management Systems)?

Un sistema de gestión de la seguridad de la información, es un marco de políticas y controles que gestionan la seguridad y los riesgos de forma sistemática y a través de toda la seguridad de la información de la empresa.

Estos controles de seguridad pueden seguir las normas de seguridad comunes o estar más enfocados a su industria. Por ejemplo, ISO 27001 es un conjunto de especificaciones que detallan cómo crear, administrar e implementar políticas y controles del ISMS. La ISO no ordena acciones específicas, sino que proporciona directrices para el desarrollo de estrategias apropiadas para el ISMS.

El marco del ISMS suele centrarse en la evaluación y la gestión de riesgos. Piense en él como un enfoque estructurado para el equilibrio entre la mitigación de riesgos y el costo (riesgo) en que se incurre. Las organizaciones que operan en sectores verticales de la industria estrictamente regulados, como la atención sanitaria o la defensa nacional, pueden necesitar un amplio alcance de actividades de seguridad y una estrategia de mitigación de riesgos.

Mejora continua de la seguridad de la información

Si bien el Sistema de Gestión de la Seguridad de la Información (ISMS), está diseñado para establecer capacidades de gestión integral de la seguridad de la información, la transformación digital requiere que las organizaciones adopten mejoras continuas y la evolución de sus políticas y controles de seguridad. La estructura y los límites definidos por un ISMS pueden aplicarse sólo durante un período de tiempo limitado y la fuerza de trabajo puede tener dificultades para adoptarlos en las etapas iniciales. El reto para las organizaciones es hacer evolucionar estos mecanismos de control de la seguridad a medida que cambian sus riesgos, su cultura y sus recursos.

Según la norma ISO 27001, la implementación del ISMS sigue un modelo de Planificar-Hacer- Verificar-Actuar (PCDA , siglas en inglés de Plan-Do-Check-Act) para la mejora continua de los procesos del SGI:

  •  Planificar. Identificar los problemas y recopilar información útil para evaluar el riesgo de seguridad. Definir las políticas y procesos que pueden utilizarse para abordar las causas fundamentales de los problemas. Desarrollar métodos para establecer una mejora continua de las capacidades de gestión de la seguridad de la información.
  •  Hacer. Aplicar las políticas y procedimientos de seguridad concebidos. La implementación sigue las normas ISO, pero la implementación real se basa en los recursos disponibles de su empresa.
  • ➢  Verificar. Supervisar la eficacia de las políticas y controles del ISMS. Evaluar los resultados tangibles así como los aspectos de comportamiento asociados a los procesos del SGSI.
  • ➢  Actuar. Concéntrese en la mejora continua. Documentar los resultados, compartir el conocimiento y usar un circuito de retroalimentación para abordar futuras iteraciones del modelo PCDA de implementación de políticas y controles del ISMS.

 

Marcos populares de la ISMS

La ISO 27001 es líder en seguridad de la información, pero otros marcos ofrecen también una valiosa orientación. Estos otros marcos suelen tomar prestado de la ISO 27001 o de otras directrices específicas de la industria.

  • ➢  ITIL, el marco de trabajo ITSM ampliamente adoptado, tiene un componente dedicado llamado Gestión de la Seguridad de la Información (ISM). El objetivo de ISM es alinear la seguridad de la TI y de la empresa para garantizar que la InfoSec se gestione de forma eficaz en todas las actividades.
  • ➢  COBIT, otro marco centrado en la tecnología de la información, dedica mucho tiempo a la forma en que la gestión de activos y la gestión de la configuración son fundamentales para la seguridad de la información, así como para casi todas las demás funciones de la ITSM, incluso las que no están relacionadas con InfoSec.

 

Controles de seguridad del ISMS

Los controles de seguridad del ISMS abarcan múltiples dominios de seguridad de la información, como se especifica en la norma ISO 27001. El catálogo contiene directrices prácticas con los siguientes objetivos:

  • ➢  Políticas de seguridad de la información. Una dirección y un apoyo generales ayudan a establecer políticas de seguridad adecuadas. La política de seguridad es única para su empresa, concebida en el contexto de sus cambiantes necesidades empresariales y de seguridad.
  • ➢  Organización de la seguridad de la información. Aborda las amenazas y los riesgos dentro de la red corporativa, incluidos los ciberataques de entidades externas, las amenazas internas, los fallos del sistema y la pérdida de datos.
  • ➢  Gestión de activos. Este componente abarca los activos de la organización dentro y fuera de la red informática de la empresa, lo que puede implicar el intercambio de información empresarial sensible.
  • ➢  Seguridad de los recursos humanos. Políticas y controles relativos a su personal, actividades y errores humanos, incluyendo medidas para reducir el riesgo de amenazas internas y capacitación de la fuerza laboral para reducir lapsos de seguridad no intencionales.
  • ➢  Seguridad física y ambiental. Estas directrices cubren las medidas de seguridad para proteger el hardware físico de TI de daños, pérdidas o accesos no autorizados. Si bien muchas organizaciones están aprovechando la transformación digital y manteniendo la información confidencial en redes de nubes seguras fuera de las instalaciones, debe considerarse la seguridad de los dispositivos físicos utilizados para acceder a esa información.
  • ➢  Gestión de las comunicaciones y las operaciones. Los sistemas deben funcionar respetando y manteniendo las políticas y controles de seguridad. Las operaciones diarias de TI, como el suministro de servicios y la gestión de problemas, deben seguir las políticas de seguridad de TI y los controles del SGSI.
  • ➢  Control de acceso. Este dominio de políticas se ocupa de limitar el acceso al personal autorizado y de controlar el tráfico de la red para detectar comportamientos anómalos. Los permisos de acceso se relacionan con los medios digitales y físicos de la tecnología. Las funciones y responsabilidades de los individuos deben estar bien definidas, y el acceso a la información empresarial sólo debe estar disponible cuando sea necesario.
  • ➢  Adquisición, desarrollo y mantenimiento de sistemas de información. Las mejores prácticas de seguridad deben mantenerse a lo largo de todo el ciclo de vida del sistema informático, incluidas las fases de adquisición, desarrollo y mantenimiento.
  • ➢  Seguridad de la información y gestión de incidentes. Identificar y resolver los problemas de la TI de manera que se minimice el impacto para los usuarios finales. En entornos de infraestructura de red complejos, pueden requerirse soluciones tecnológicas avanzadas para identificar métricas de incidentes perspicaces y mitigar proactivamente los posibles problemas.
  • ➢  Gestión de la continuidad del negocio. Evitar las interrupciones de los procesos comerciales siempre que sea posible. Lo ideal sería que cualquier situación de desastre fuera seguida inmediatamente por la recuperación y los procedimientos para minimizar los daños.
  • Cumplimiento. Los requisitos de seguridad deben ser aplicados por los organismos reguladores.
  • Criptografía. Entre los controles más importantes y eficaces para proteger la información sensible, no es una bala de plata por sí sola. Por lo tanto, el ISMS rige la forma en que se aplican y gestionan los controles criptográficos.
  • Relaciones con los proveedores. Es posible que los proveedores y los socios comerciales de terceros necesiten acceder a la red y a los datos sensibles de los clientes. Puede que no sea posible aplicar controles de seguridad a algunos proveedores. Sin embargo, deben adoptarse controles adecuados para mitigar los posibles riesgos mediante políticas de seguridad de la tecnología de la información y obligaciones contractuales.

 

Estos componentes y dominios ofrecen las mejores prácticas generales para el éxito de la InfoSec. Aunque pueden variar sutilmente de un marco a otro, considerar y alinearse con estos dominios proporcionará mucho en el camino de la seguridad de la información.

Fuente de la noticia: BMC