Organización para la Seguridad de la Información - ISO 27002:2013

Organización para la seguridad de la información

La norma ISO/IEC 27001:2013 ofrece una orientación similar a la versión ISO/IEC 27001:2007 en el apartado de organización para la seguridad, si bien existe un cambio en los puntos de control incluidos en la norma ISO/IEC 27002:2013 a la que la anterior norma refiere para mayor desglose, con especial atención a la evolución en el uso de los dispositivos móviles y teletrabajo surgidos en el ámbito laboral.

 

A este respecto, la idea de la organización de seguridad se basa en una exhaustiva definición de roles y puestos, en los que las responsabilidades dentro del sistema de información deben ser claras y asignadas a personal o puestos de la organización concretos.

 

Independientemente del tamaño, alcance y contexto de la organización, parece difícil el efectuar o mantener una implantación o certificación ISO 27001:2013 sin establecer algunos roles especialmente relevantes para la evolución del sistema de gestión de seguridad de la información. Detallamos algunos de los más frecuentes o que pudieran ser de utilidad: 

 

• Dirección - Comité de Dirección: Imprescindible su compromiso y entendimiento del SGSI, participando en las reuniones y decisiones estratégicas del sistema de gestión, asignando recursos y disponiendo de lo necesario para su correcta implementación.

• Responsable de Seguridad: Persona encargada de coordinar y controlar la puesta en marcha de medidas y controles de seguridad, valorando su eficiencia y eficacia. También dispone de otras responsabilidades sobre el sistema de información en cuanto a decisiones operativas.

• Departamento de Seguridad: Personal directamente involucrado y nombrado para la ejecución de configuraciones, instalación de equipos y controles así como otros aspectos técnicos y de gestión relacionados con la seguridad de la información. Suelen participar directamente y reportan información o el feedback de las decisiones tomadas por Dirección y el Responsable de Seguridad. Suelen ser nombrados en base a su compromiso, experiencia y conocimiento de los sistemas de la organización.

• Delegado de protección de datos (Data Protection Officer): Puesto todavía no extendido, si bien en un futuro debería cobrar mucho protagonismo con la aprobación del Reglamento Europeo de Protección de Datos, cuya existencia en las organizaciones de más de 250 trabajadores o en las Administraciones Públicas es obligatorio. Se encarga de tomar las decisiones pertinentes en lo relativo a la protección de datos dentro de la organización, atender solicitudes ARCO y establecer o proponer a Dirección las medidas de índole técnica u organizativa necesarias para llevar a cabo el cumplimiento de dicho Reglamento entre otras funciones.

• Administradores / Responsables de sistemas/ TI: Encargados de la gestión técnica de los equipos, pueden formar parte del Departamento de seguridad y de forma general es personal con amplios conocimientos del sistema de información y con capacidad puntual para la toma de decisiones, así como para el asesoramiento y valoración de las incompatibilidades o problemas que pudieran surgir tras la elección de salvaguardas o cambios y modificaciones en los sistemas.

• Operadores / Técnicos de seguridad: Personal encargado de poner en práctica las decisiones tomadas por el Departamento de Seguridad.

Estos son algunos de los posibles roles que pueden aparecer en la organización, si bien por su complejidad y casuística, se han omitido otros roles que también pudieran ser de gran importancia, como dirección de RRHH, departamento financiero, etc.

 

Es importante que estas responsabilidades estén perfectamente definidas y que no entren en conflicto, así como la existencia de una trazabilidad en las tareas que pueden realizar, con la finalidad de establecer un sistema de segregación de tareas en la organización y que personal con acceso al sistema de información pudiera tener acceso a privilegios o roles no autorizados. (Ejemplos sencillos: Independencia del Departamento de Compras y Aprovisionamiento con otros departamentos para que no puedan efectuar compras no preaprobadas o la asignación de permisos y roles por parte de personal de TI con autorización operativa para ello en los sistemas de información sin contar con una validación adicional para su puesta en operación).

 

Se mantienen idénticos los puntos de control de la ISO27002:2013 referentes a contactos con otras autoridades y grupos de interés, con la finalidad de que la organización disponga de grupos y expertos en seguridad de la información para acudir en caso de detectar problemas fuera de su alcance y conocimiento técnico. Este aspecto probablemente en una pyme no sea tan relevante, pero en sistemas SCADA o de infraestructuras críticas (aeropuertos, centrales nucleares, etc.) es una obligatoriedad el comunicar los incidentes de información a las autoridades, con la finalidad de difundir a otras organizaciones el ataque y su prevención o mitigación, así como ayudar a la organización para reducir las consecuencias del ataque o incidente en cuestión, ya que disponen de protocolos específicos para situaciones que la organización pudiera no ser capaz de abordar por sí misma.

 

Por otra parte, la organización para la seguridad en la ISO27001:2013 propone la implementación e inclusión de medidas de seguridad de la información en la gestión de cualquier proyecto, garantizando la seguridad en la transmisión de datos y solicitando garantías a otras organizaciones en la custodia de información o tratamiento de la misma en el caso de efectuar proyectos conjuntos. Es importante que el personal que lleva, coordina y ejecuta dichos proyectos disponga de una capacitación, concienciación y formación en cuanto a seguridad de la información se refiere, debido a la facilidad de tránsito de información y que en muchos casos, esta ejecución de proyectos no se efectúa en las instalaciones corporativas.

 

 

Por último, se reorienta la visión de los dispositivos móviles y teletrabajo, siendo en la ISO 27001:2013 ya no un punto meramente técnico u operativo, sino ya en el ámbito estratégico o de organización debido a la proliferación y existencia de estos dispositivos en el ámbito corporativo. Un buen sistema para su control puede ser el establecimiento de políticas de operación con dispositivos móviles, con un listado de actuaciones permitidas y las restricciones establecidas en el uso y configuración de estos dispositivos. De forma análoga, para teletrabajo deberían indicarse también estas restricciones en otra política con contenidos que restrinjan el uso e incluyan las medidas de seguridad a tener en cuenta. Es recomendable el cifrado y el uso de VPN en todas estas comunicaciones establecidas. Estas políticas deben ser difundidas y comprendidas por todos los empleados TI y por los usuarios de los dispositivos.

 

 

Con esta reseña se pretende plasmar una pequeña visión de cómo enfoca la ISO 27001:2013 el apartado de organización para la seguridad, lo que implica y algunas diferencias relevantes en cuanto a lo establecido en la ISO 27001:2007.

 

Espero que les haya servido.

 

 

Saludos.