Saber si realmente tenemos un nivel de seguridad adecuado para proteger la información en nuestra empresa, es una pregunta que nos hemos planteado alguna vez. Para resolverla, una de las mejores iniciativas que podemos llevar a cabo, es realizar unaauditoría basada en un código de buenas prácticas en materia de seguridad de la información que esté aceptada internacionalmente. En este artículo vamos a tomar como referencia la norma ISO 27002 del 2013.
En alguna ocasión hemos oido hablar de la implantación de Sistemas de Gestión de Seguridad de la Información (SGSI), de acuerdo con la norma ISO 27001. Pero no siempre es necesario comenzar implantando un SGSI para disponer de una seguridad de la información adecuada en nuestra organización.
La norma ISO 27002 es un código de buenas prácticas que desarrolla los controles de seguridad que vienen recogidos en el Anexo A de la norma ISO 27001.
Una auditoría sobre la norma ISO 27002, nos servirá como punto de partida para disponer de una imagen clara del nivel de madurez de nuestra empresa en materia de seguridad de la información. Es uno de los principales pilares en la definición de un plan director de seguridad .
A la hora de abordar una auditoría de este tipo, tenemos que tener en cuenta que, como código de buenas prácticas, no podemos hablar de cumplimiento sino del grado de madurez en la implantación de estos controles.
Pero ¿Por dónde empezamos? Lo primero que debemos tener claro antes de comenzar con la auditoría es determinar cuál va a ser su alcance. Para ello es importante tener presente dos aspectos:
- La extensión de la auditoría. Si queremos auditar toda nuestra organización o sólo los procesos llevados a cabo en un área determinada, como por ejemplo los procesos relacionados con RRHH.
- Selección de controles. Qué controles de la norma vamos a revisar durante la auditoría. Por ejemplo si hacemos auditorías anuales, podemos optar por hacer auditorias parciales, y así cada año establecer un conjunto de controles a revisar (auditar una selección de los controles más críticos para la organización).
En el caso de que se hayan llevado a cabo auditorías con anterioridad, es recomendable que revisemos los informes con los resultados obtenidos, ya que nos ayudará a determinar el estado en el que se encuentra la empresa antes de realizar la auditoría.
Una primera auditoría la podemos realizar nosotros mismos utilizando recursos internos o también podemos contratar a un auditor externo; las dos opciones son totalmente válidas. Las auditorias posteriores deben ser realizadas por auditores externos.
¿Qué personal de nuestra empresa va a estar involucrado? Para realizar una auditoría de la norma ISO 27002, no solo es necesaria la participación del área de tecnologías de la información, también requiere de la colaboración de otros departamentos, como por ejemplo el departamento de compras o el de RRHH.
Las buenas prácticas de seguridad definidas en la ISO 27002 se encuentran recogidas en 114 controles de seguridad, repartidos en 14 dominios de seguridad. Cada uno de estos dominios está asociado a una temática específica. Por cada uno de los dominios temáticos debemos revisar los siguientes aspectos:
- Políticas de seguridad de la información: En este punto debemos verificar que existen unas políticas y normativas de seguridad de la información aprobadas por la dirección y distribuidas adecuadamente entre nuestros empleados.
- Organización de la seguridad de la información: Aspectos como la correcta asignación de responsabilidades de seguridad o la definición de medidas de seguridad para dispositivos móviles y teletrabajo serán los aspectos a revisar en este dominio.
- Seguridad en relación con los recursos humanos: Debemos evaluar las medidas de seguridad existentes antes, durante y después de la contratación, incluyendo la existencia de acuerdos de confidencialidad, concienciación, etc.
- Gestión de activos: La norma requiere que exista un inventario de los activos que traten o almacenen información corporativa. A su vez, también es necesario que se defina una clasificación de la información y se establezcan medidas de seguridad para la gestión de soportes.
- Control de acceso: En este dominio debemos verificar que se han implantado sistemas de autenticación adecuados, tanto al acceso a las aplicaciones como al sistema operativo. Del mismo modo, es necesario revisar la existencia de un proceso adecuado de gestión de permisos de acceso de acuerdo con las necesidades del negocio.
- Cifrado: Comprobar la existencia de mecanismos de cifrado tanto para el almacenamiento como la transmisión de la información que consideremos sensible para la organización; teniendo en cuenta en todo momento la gestión de las claves de cifrado (creación, distribución, destrucción, etc.).
- Seguridad física y ambiental: Las medidas de seguridad existentes en el acceso físico a las instalaciones y en especial a las zonas más críticas como el Centro de Proceso de Datos (CPD) o el archivo. Es importante verificar que el CPD dispone de medidas que garanticen la integridad física de los sistemas de información (climatización, detección y extinción de incendios, suministro eléctrico de respaldo, etc.)
- Seguridad en operaciones: Aspectos como la definición de procedimientos operativos, sistemas de antivirus, copias de respaldo, gestión de vulnerabilidades, son los puntos a revisar en uno de los dominios más extensos de la norma.
- Seguridad en comunicaciones: La norma dedica un dominio a la seguridad de las comunicaciones y en especial a la red corporativa, siendo necesario verificar tanto la existencia de mecanismos para garantizar su seguridad (sistemas firewall, sistemas IDS/ IPS o la segmentación de la red), como su correcta implantación y configuración.
- Adquisición, desarrollo y mantenimiento de sistemas: El estudio contempla verificar la existencia de análisis de requerimientos de seguridad previos al desarrollo y adquisición de nuevos sistemas de información. Sin olvidar la existencia de una metodología de desarrollo que tenga en cuenta aspectos de seguridad.
- Relaciones con proveedores: En este punto debemos comprobar los aspectos contractuales en la contratación de terceros (acuerdos de confidencialidad, acuerdos de nivel de servicio, etc.), así como el seguimiento existente sobre los servicios prestados por estos.
- Gestión de incidentes de seguridad de la información: Este punto es uno de los más importantes de la norma, y para auditarlo debidamente debemos comprobar que existe un proceso de gestión de incidencias en el que se incluya cómo actuar ante un incidente de seguridad de la información.
- Aspectos de seguridad de la información en la gestión de la continuidad de negocio: En lo que respecta a continuidad de negocio, la norma propone el desarrollo de planes de continuidad de negocio para los sistemas de información de la organización. Estos planes deben ser revisados y probados periódicamente.
- Cumplimiento: En este apartado debe focalizarse la revisión del cumplimiento legal en aspectos como la LOPD, la gestión de los derechos de propiedad intelectual u otra legislación aplicable. Adicionalmente debemos comprobar que se realizan revisiones de seguridad, ya sean por terceros o con carácter interno.
Los resultados de esta auditoría deben estar debidamente documentados en un informe, indicando las no conformidades, observaciones, y oportunidades de mejora detectadas durante la auditoría. A partir de esta información debemos planificar y documentar las acciones correctoras propuestas para subsanar las no conformidades detectadas durante la auditoría. Toda esta información nos permitirá identificar las fortalezas y los puntos débiles de nuestra organización en materia de seguridad. Lo que nos ayudará a confeccionar un plan director de seguridad con el que mejorar los niveles de seguridad de nuestra empresa.
Fuente INTECO