Ley de Ciberseguridad de Chile

Chile no es ajeno a la realidad empresarial actual en la que la ciberseguridad tiene un rol importante. Es por ello que Chile, en los últimos años, ha dado grandes pasos para fortalecer su marco legal en materia de protección de datos y seguridad digital. La Ley de Ciberseguridad de Chile es un elemento fundamental en este proceso, ya que establece un conjunto de normas y directrices que garantizan la integridad, confidencialidad y disponibilidad de la información en el entorno digital. A continuación, vamos a explorar los detalles de esta ley, sus implicaciones y cómo el software ISOTools facilita su implementación en las organizaciones chilenas.

Contexto de la Ley de Ciberseguridad de Chile

Para entender el contexto de esta ley, hay que tener en cuenta que Chile ha experimentado un gran crecimiento en el uso de las nuevas tecnologías, lo que trae consigo nuevos desafíos en ciberseguridad. Los ciberataques, el robo de datos y las vulnerabilidades en sistemas críticos ponen en evidencia la necesidad de contar con un marco legal fuerte que proteja a todos los ciudadanos y ciudadanas y a las instituciones. La Ley de Ciberseguridad de Chile es una respuesta a estas necesidades, estableciendo un marco regulatorio para prevenir, detectar y responder a las amenazas cibernéticas.

Esta ley pone el foco en la protección de datos personales, abordando aspectos relacionados con la seguridad de infraestructuras críticas, la coordinación entre entidades públicas y privadas, y la promoción de una cultura de ciberseguridad en todo el país. Su objetivo es crear un entorno digital, seguro y confiable, que fomente la innovación y el desarrollo económico.

Principales aspectos de la Ley de Ciberseguridad de Chile

1. Protección de datos personales

Uno de los pilares fundamentales de la Ley de Ciberseguridad de Chile es la protección de datos personales. La ley establece obligaciones claras para las empresas que manejan información sensible, como implementar medidas técnicas y organizativas que garanticen la seguridad de todos los datos. Esto incluye encriptar la información, la gestión de accesos y la notificación de brechas en la seguridad en caso de que ocurran.

2. Seguridad de infraestructuras críticas

La ley incluye la forma de proteger las infraestructuras críticas, incluyendo los sistemas de energía, transporte, salud y comunicaciones. Estas infraestructuras son esenciales para que funcione el país, y un ciberataque contra ellas podría tener consecuencias muy graves. La Ley de Ciberseguridad de Chile establece la obligación de identificar y proteger estas infraestructuras y desarrollar planes de contingencia para responder a incidentes.

3. Coordinación entre entidades públicas y privadas

La ciberseguridad es un desafío que necesita de la colaboración de todos los actores involucrados en ella. Esta ley promueve la forma de crear mecanismos de coordinación de entidades públicas y privadas, para compartir información sobre amenazas y buenas prácticas. Esto incluye crear un Comité Interministerial de Ciberseguridad, encargado de supervisar la implementación de la ley y proponer políticas públicas.

4. Promoción de una cultura de ciberseguridad

Además de las medidas técnicas, la Ley de Ciberseguridad de Chile busca fomentar una cultura de ciberseguridad en todo el país. Esto implica hacer campañas de sensibilización, formar a profesionales en la materia e implantar buenas prácticas en la sociedad. El objetivo es que todos los actores involucrados, desde las grandes empresas hasta los usuarios individuales, estén concienciados acerca de la importancia de proteger sus datos y sistemas.

5. Sanciones y responsabilidades

La ley establece un régimen de sanciones para las organizaciones que no cumplen con las obligaciones. Estas sanciones incluyen multas económicas, suspensión de actividades o responsabilidad penal en casos más graves. Además, hay que indemnizar a los afectados si se produce una violación de la seguridad de los datos.

Implicaciones para las organizaciones

La Ley de Ciberseguridad de Chile tiene implicaciones para organizaciones tanto públicas y privadas. En primer lugar, las empresas deben asegurarse de tener políticas y procesos fuertes para gestionar la seguridad de la información. Esto incluye medidas técnicas, como firewalls y sistemas de detección de intrusiones, y la formación de los trabajadores y trabajadoras en materia de ciberseguridad.

Además, las organizaciones tienen que estar preparadas para responder a incidentes de seguridad rápida y de forma efectiva. Esto implica crear planes de contingencia, hacer simulacros y designar un responsable de ciberseguridad en cada organización.

Por último, es importante destacar que la ley afecta a grandes empresas y a pymes. En ocasiones, las pequeñas y medianas empresas son más vulnerables a los ciberataques por la falta de recursos y conocimientos en la materia. Por ello, es importante que todas las organizaciones, independientemente de su tamaño, tomen medidas para cumplir con las obligaciones de la Ley de Ciberseguridad de Chile.

Cumple con la Ley de Ciberseguridad de Chile con ISOTools

No cabe duda de que puede ser algo complicado empezar a cumplir con la Ley de Ciberseguridad de Chile, sobre todo para empresas que no cuentan con un departamento de TI especializado. Sin embargo, el software ISOTools simplifica el proceso, a través de una solución integral y personalizable que se adapta a las necesidades de cada empresa.

ISOTools es un software diseñado para simplificar la gestión de la seguridad de la información, permitiendo a las organizaciones implementar y mantener sus sistemas de gestión de ciberseguridad de forma eficiente. Con ISOTools, puedes:

• Personaliza tu sistema: ISOTools se adapta a tus necesidades específicas, incluyendo solo las aplicaciones que tú elijas. Esto te permite crear un sistema de gestión de ciberseguridad a medida, sin pagar por funcionalidades que no necesitas.
• Gestiona riesgos: ISOTools identifica, evalúa y gestiona los riesgos de ciberseguridad, ayudándote a cumplir con los requisitos de la ley.
• Automatiza procesos: ISOTools automatiza tareas repetitivas, como la notificación de incidentes o la actualización de políticas, ahorrando tiempo y reduciendo el margen de error.
• Soporte incluido: una de las mayores ventajas de ISOTools es que el soporte está incluido en el precio. Esto significa que no tendrás que preocuparte por cargos extras o inesperados, y contarás con un equipo de consultores que resolverán tus dudas del día a día.
• Fomenta la cultura de ciberseguridad: ISOTools facilita la formación y sensibilización de los trabajadores, ayudándote a promover una cultura de ciberseguridad.

ISOTools es una solución ideal para las empresas que buscan cumplir con la Ley de Ciberseguridad de Chile de manera eficiente y sin complicaciones. Con su enfoque personalizable, su soporte integral y su facilidad de uso, ISOTools es un aliado estratégico para garantizar la seguridad de la información. Simplifica la ciberseguridad en tu empresa con ISOTools y enfócate en lo que importa.

Perspectiva de Cumplimiento desde una empresa eléctrica coordinada

En el complejo escenario de la Ciberseguridad y Protección de Infraestructura Crítica Industrial en Chile, las empresas eléctricas coordinadas se ven desafiadas por una serie de actualizaciones normativas. Esta reflexión surge de la experiencia y perspectiva de Marcos González, Encargado de CIP de Pacific Hydro Chile, quien se presenta como un experto invitado en representación de los clientes eléctricos coordinados. Estos clientes están inmersos en la imperativa tarea de cumplir con las regulaciones de Ciberseguridad/CIP en el país.

La inspiración para este análisis proviene del seminario virtual del pasado 2 de noviembre, titulado «Enfrentando actualizaciones en Ciberseguridad y Protección de Infraestructura Crítica Industrial«. En este evento, se abordaron temas críticos que delinean el panorama actual y futuro del cumplimiento normativo en el sector eléctrico chileno. Marcos González comparte sus reflexiones como parte integral de la comunidad que enfrenta directamente los desafíos y cambios regulatorios en este contexto dinámico.

En esta reflexión se sumerge en las complejidades que rodean la implementación de las normativas gubernamentales en Ciberseguridad y Protección de Infraestructura Crítica, destacando las preocupaciones clave y las estrategias para abordarlas de manera efectiva. A través de la lente de Marcos González, se exploran las recomendaciones específicas y las lecciones aprendidas durante la experiencia práctica de Pacific Hydro Chile en la gestión del cumplimiento normativo.

En última instancia, esta reflexión no solo destaca los desafíos y problemas inherentes a la adaptación a las actualizaciones normativas, sino que también arroja luz sobre las oportunidades para establecer procesos de gestión sostenibles y cultivar una cultura de seguridad de la información. La voz de Marcos González aporta una valiosa perspectiva práctica, delineando la importancia de la colaboración y la agilidad en la búsqueda de soluciones integrales en el cambiante paisaje de la ciberseguridad industrial en Chile.

Perspectiva de Cumplimiento desde una empresa eléctrica coordinada por Marcos González

Existen variadas normas y regulaciones que como empresa eléctrica coordinada debemos responder e implementar en tiempos y plazos muy acotados.

Para abordar y atender los actuales requerimientos de estas materias, y como prepararnos para integrar naturalmente lo nuevo que se viene en el marco Legal y Normativo para el sector industrial en protección de infraestructuras críticas, se mencionaron los principales problemas y desafíos al momento de integrar normas y leyes gubernamentales. Entre las cuales podemos mencionar las siguientes: 

• Formatos y repositorios de marcos normativos y registros operacionales.
• Plazos destinatarios y formas de cumplimiento.
• Duplicidad/Traslape de requerimientos (Controles).
• Cobertura y alcance de los cumplimientos.
• Responsabilidades/Gobernabilidad para cada cumplimiento.

Algunas recomendaciones

1. Alinearse a un formato base común documental y mejores prácticas de desarrollo normativo.
2. Considerar alguna herramienta que permita soportar la transformación digital de la gestión de cumplimiento global.
3. Flexibilizar y priorizar plazos según necesidades propias de cada cumplimiento.
4. Abordar cumplimiento con una mirada ágil y no secuencialmente.
5. Utilizar herramientas que permiten hacer mapeo normativo NIST / Audit Scripts.
6. Buscar el cumplimiento por el beneficio del control y no por el mero “Check” de cumplimiento.
7. Estandarizar hacia arriba los niveles y controles de cumplimiento independiente que la obligatoriedad sea menor.
8. No llenarse de cargos sino más bien roles.

En definitiva, estas exigencias vienen para quedarse. Por tanto, se deben establecer procesos de gestión que perduren en el tiempo y no quedarse con sólo una charla a la vez que se genera una Cultura de Seguridad de la información al interior de la compañía. Además, tenemos que tener en cuenta el abordaje de todas estas normas de manera íntegra y no abordarlas como islas.

Software de ISOTools para actualizaciones normativas y regulaciones

En este desafiante entorno de actualizaciones normativas y regulaciones en el ámbito de la Ciberseguridad y Protección de Infraestructura Crítica Industrial, contar con herramientas efectivas se vuelve esencial para garantizar un cumplimiento normativo eficiente.

ISOTools, con su enfoque innovador y tecnológico, se erige como un aliado estratégico para empresas como Pacific Hydro Chile y profesionales como Marcos González, Encargado de CIP. Esta plataforma ofrece soluciones integrales para la gestión de cumplimiento normativo, facilitando la adaptación ágil a las nuevas regulaciones.

Desde la centralización de formatos normativos hasta el seguimiento y actualización en tiempo real, ISOTools proporciona un marco robusto que permite a las empresas eléctricas coordinadas no solo cumplir con las normativas en curso, sino también anticiparse y prepararse para los futuros cambios en el panorama legal. Con ISOTools, la gestión del cumplimiento normativo se convierte en un proceso eficaz y colaborativo, respaldando la creación de una cultura de seguridad de la información sólida y sostenible en el corazón de la organización.

Tecnología para almacenar y compartir datos sensibles

En la actualidad, la seguridad de la información se ha convertido en un asunto primordial para las personas y las organizaciones, debido a que cada día dependen cada vez más de la tecnología para almacenar y compartir datos sensibles. Por lo tanto, el buen uso y la concienciación sobre seguridad de la información se han vuelto esenciales para protegerse contra amenazas cibernéticas. Sin embargo, a pesar de ello, existen problemas comunes que dificultan esta concienciación y que deben ser abordados para garantizar una mayor seguridad, los cuales mencionaremos a continuación:

1. Falta de Comprensión

Uno de los problemas más comunes es la falta de comprensión sobre lo que implica la seguridad de la información. Muchas personas y organizaciones no comprenden completamente los riesgos a los que están expuestos y, por lo tanto, no toman las medidas adecuadas para protegerse. Esto puede llevar a la negligencia en la gestión de contraseñas, la descarga de software no seguro y la exposición inadvertida de información confidencial.

2. Falta de Educación

La educación en seguridad de la información es esencial para crear conciencia, pero es un área en la que a menudo se invierte poco. Las personas pueden no estar al tanto de las mejores prácticas de seguridad, como el uso de contraseñas robustas, la autenticación de dos factores y la identificación de correos electrónicos de phishing. Esto puede dejar a las personas y a las organizaciones vulnerables a ataques cibernéticos.

3. Complacencia

Otro problema común es la complacencia. Después de un período sin incidentes, las personas y las organizaciones pueden relajarse en cuanto a las medidas de seguridad, creyendo erróneamente que no serán blanco de ataques. Sin embargo, los ciberdelincuentes están en constante evolución y siempre buscan nuevas formas de infiltrarse en sistemas y robar información.

4. Falta de Recursos

Las organizaciones a menudo luchan con la asignación de recursos suficientes para la seguridad de la información. Esto puede manifestarse en la falta de personal dedicado a la seguridad cibernética o en la falta de presupuesto para herramientas y capacitación. Sin los recursos adecuados, es difícil mantenerse al día con las amenazas emergentes y protegerse de manera efectiva.

5. Falta de Concienciación Cultural

La seguridad de la información debe ser una preocupación de todos en una organización, desde la alta dirección hasta los empleados de nivel de entrada. La falta de una cultura de seguridad puede dar lugar a prácticas descuidadas, como compartir contraseñas o dejar la información confidencial en lugares públicos. Sin un compromiso total en toda la organización, es difícil mantener un alto nivel de seguridad.

Cómo Superar los Problemas de Concienciación sobre Seguridad de la Información

1. Educación Continua

La educación es clave para superar la falta de comprensión y la falta de educación en seguridad de la información. Las organizaciones deben invertir en programas de capacitación regulares para sus empleados, que aborden temas como la identificación de amenazas, la gestión de contraseñas y las mejores prácticas de seguridad en línea. Además, es importante mantenerse actualizado sobre las últimas tendencias en seguridad cibernética y compartir ese conocimiento en toda la organización.

2. Cultura de Seguridad

Crear una cultura de seguridad es esencial para abordar la complacencia y la falta de concienciación cultural. Esto implica fomentar la responsabilidad en todos los niveles de la organización y promover la importancia de la seguridad de la información como una prioridad empresarial. La alta dirección debe liderar con el ejemplo y establecer políticas claras de seguridad.

3. Asignación de Recursos

Las organizaciones deben asignar recursos adecuados a la seguridad de la información. Esto incluye la contratación de personal de seguridad cibernética calificado, la inversión en herramientas de seguridad actualizadas y la dedicación de presupuesto a la capacitación y concienciación en seguridad. La seguridad no debe ser considerada como un gasto, sino como una inversión en la protección de datos críticos.

4. Monitoreo y Evaluación

El monitoreo constante de la seguridad de la información es esencial para identificar y abordar posibles vulnerabilidades. Las organizaciones deben implementar sistemas de monitoreo de seguridad y realizar evaluaciones periódicas de riesgos. Esto les permitirá tomar medidas preventivas antes de que ocurra un incidente.

5. Colaboración y Comunicación

La colaboración y la comunicación son fundamentales en la lucha contra las amenazas cibernéticas. Las organizaciones deben compartir información sobre amenazas y vulnerabilidades con otros actores del sector y participar en iniciativas de colaboración en seguridad. La comunicación efectiva con los empleados también es esencial para informarles sobre las últimas amenazas y las mejores prácticas.

En resumen, la concienciación sobre seguridad de la información es esencial en la era digital actual. Si bien existen problemas comunes que dificultan la seguridad de la información, estos pueden superarse mediante la educación continua, la promoción de una cultura de seguridad, la asignación de recursos adecuados y la colaboración efectiva. La seguridad de la información debe ser una prioridad para individuos y organizaciones por igual para protegerse contra las amenazas cibernéticas en constante evolución.

Software para la concienciación sobre la importancia de los activos de la información

ISOTools es una herramienta invaluable para fortalecer la concienciación sobre seguridad de la información en cualquier organización. Este software ofrece una plataforma centralizada y fácil de usar que permite a las empresas gestionar eficazmente sus políticas y procedimientos de seguridad de la información, así como la formación y capacitación de su personal. Con características como la automatización de recordatorios y la generación de informes detallados, ISOTools facilita la difusión de prácticas de seguridad de clase mundial entre los empleados, fomentando una cultura de protección de datos y minimizando los riesgos de brechas de seguridad.

Además, su capacidad para mantenerse al día con las normativas y estándares internacionales garantiza que las organizaciones puedan adaptarse rápidamente a los cambios en el entorno de la seguridad de la información, manteniendo así la integridad de sus activos digitales y la confianza de sus clientes y socios comerciales.

Matriz IPER para ISO 45001

Las matrices de riesgos son instrumentos de gran utilidad, ya que nos permite identificar todo tipo de riesgos concurrentes con la actividad de la organización.

El uso de esta herramienta está muy desarrollado, principalmente en las empresas certificadas por la norma ISO 45001, esta nos muestra en su punto 6.1 que se ha ejecutar una serie de acciones para plantear los riesgos y oportunidades, con el objetivo de aseverar la obtención de objetivos, evitar riesgos y, en resumen, conseguir la mejora continua del (SGSST). Todo ello pasa por la identificación de riesgos y oportunidades y la evaluación de su impacto en la empresa y contexto para su acción. Una de los equipos más útiles con las que cuentan las sociedades para identificar, evaluar y gestionar los riesgos a los que se enfrentan es la matriz de riesgos.

Esta específicamente es un documento que permite realizar la identificación de las actividades que realiza una empresa, los riesgos inherentes a las mismas y la probabilidad de que estos riesgos se concreten. Para que sea eficaz es preciso que colaboren en su confección todas las partes interesadas, procesos y áreas productivas, operativas y funcionales de la organización, además de que sea sujeta a revisiones periódicas.

1. Se debe identificar los riesgos y oportunidades que se presentan tanto en los procesos de una organización, como aquellos referentes al contexto interno o externo que logren afectar al sistema o a sus partes interesadas. Para tener en consideración revisemos los siguientes puntos:

Seguimiento general: El contexto interno y externo, necesidades y expectativas de las partes interesadas, además del alcance del SGSST.

Determinar qué estimamos como riesgo u oportunidad: peligros, riesgos y oportunidades para la SST y el sistema de gestión, los requisitos legales y otros que pueden impactar. Se han de tener en cuenta aspectos como: estrategia, estructura, recursos humanos, procesos, competitividad, aspectos sociales y políticos, innovación, desarrollo tecnológico, proveedores, entre otros.

2. Se deberán evaluar los riesgos y oportunidades, en contextos normales, como en un escenario de emergencia (6.1.2.3 Evaluación de las oportunidades para la SST)
3. Este punto es a la acción. Se deben identificar y programar todas las acciones derivadas de los distintos análisis de riesgos y oportunidades (procedimientos, instrucciones, formaciones) y evaluar su eficacia. (6.1.4 Planificación de acciones).

Elementos indispensables para crear una matriz de riesgos

En una primera etapa en la que se estudian los objetivos estratégicos de la empresa, se elaborará la matriz de riesgos, que ha de contar con:

1. Identificación de riesgos. Los riesgos pueden ser inherentes a la propia actividad de la empresa o influenciados por el entorno.
2. Resolución de la probabilidad y el impacto de los riesgos: Establecer una categorización donde se establezca la probabilidad de que un riesgo ocurra. Además de la probabilidad de que ocurran los riesgos, es preciso incluir en este punto el impacto que puede tener sobre la empresa.
3. Evaluación del riesgo: Cuando creas una matriz de riesgos es evaluar si los controles determinados por la organización para mitigar los riesgos son eficaces.  Una evaluación eficaz de riesgo establece el nivel del mismo, pudiendo ser bajo, tolerable, moderado, importante o intolerable. Los expertos se encargan de realizar la matriz de riesgos
4. Cálculo del riesgo neto o residual: Se calcula teniendo en cuenta el grado concreto de los riesgos inherentes, si se conoce el riesgo residual, la gerencia, podrá tomar decisiones para continuar o no con una acción, dependiendo de su nivel de riesgo.

Estados críticos que ha de considerar una matriz de riesgos

Como ya hemos visto, la gestión de riesgos según la norma 45001 es un proceso dinámico, por lo tanto, se necesita volver a evaluar el riesgo habitualmente. Por esto es que se necesita un instrumento manejable, que documente los procesos y evalúe el riesgo general de la compañía. Por ello, en la elaboración se necesita la colaboración de diferentes entidades de negocios, ya sean funcionales u operativas.

La matriz de riesgos ha de mostrar una orientación metódica. Esta tendrá que avalar que los riesgos son identificados y convenidos de forma adecuada, aquí 5 puntos fundamentales:

1. Todo proceso ha de tener asignado un responsable para su análisis, ejecución, seguimiento y mejora. Por consiguiente, estará eficazmente informado y capacitado para realizar sus funciones.
2.  Los objetivos de cada proceso han de ser revisados, los procesos serán igualmente analizados según su criticidad en búsqueda de riesgos y oportunidades.
3. La matriz ha de permitir recopilar y analizar la mayor cantidad de información relevante, teniendo en cuenta todos los puntos críticos
4. Debe promover la participación de los empleados, generando una cultura de riesgo en la organización
5. Identificará todos los riesgos, aunque procedan de procesos poco demandantes o se vea una baja probabilidad o severidad. La evaluación de riesgos debe admitir, catalogarlos de acuerdo a su nivel y acceder a anticipar según niveles de criticidad; crear controles y comprobar su capacidad para cada riesgo.

ISO 27002

El objetivo de este punto de la norma ISO 27001 es la preservación de los activos de información como soporte del negocio algunos ejemplos activos son los siguientes que mostraremos a continuación.

• Recursos de información: Las bases de datos y registros, documentación del sistema, los manuales de usuario, los materiales de capacitación, los diferentes procedimientos operativos o de soporte, los diversos planes de continuidad y contingencia, la información archivada, etc.
• Recursos de software: Los software de las aplicaciones, los sistemas operativos, las herramientas del desarrollo y la publicación de contenidos, proficientes, etc.
• Activos físicos: esta formado por el equipamiento informático, los equipos de comunicaciones, los medio u otros equipos técnicos, moblaje, lugares de instalación, etc.
• Servicios: prestación de servicios informáticos y de comunicaciones, proficientes generales.

Los activos de la información deben estar clasificados teniendo en cuenta la sensibilidad y criticidad de la información que contenga o que cumplan con los objetivos de señalar cómo ha de ser trata y protegida la información.

Los pasos de la clasificación tienen que predecir y examinar el hecho de que dicha clasificación de un ítem de información determinando no es precisamente tiene que mantener invariable por siempre, y que se puede variar según la política explícita por la propia organización. Es ineludible que se considere las cantidades de categorías para definir la clasificación dado que los esquemas son demasiado complejos y estos pueden volverse difíciles o resultar poco prácticos.

Responsabilidad sobre los activos

Los activos de la información según la norma ISO 27000, tienen que ser comprendidos y tener asignados un responsable y deberán identificar a los responsables o propietarios para todos los activos y asignarles la responsabilidad del mantenimiento en los dibersos controles adecuados.

La ejecución estos controles específicos puede ser encargada por el mismo propietario de forma provechosa, Sin embargo, el propietario permanece como el responsable de la adecuada resguardo de los activos.

El término identifica a individuos o entidades de forma comprometida, que cuente con la aprobación por parte de la dirección, para el controlar la producción, desarrollos, mantenimientos, la utilización y seguridad de los activos. El vocablo propietario no figura que la persona disponga de los derechos de propiedad reales del activo.

Es preciso obtener y conservar un inventario de activos de los información, exponiendo los propietarios de los activos y los detalles relevantes.

Utilizar un código de barras para facilitar las tareas de ejecución de inventario y vincular los equipos de TI que ingresan y salen de las instalaciones con los empleados.

Actividades de control del riesgo

1.- Inventario de activos: Los activos deben estar visiblemente identificados, elaborando y manteniendo un inventario con los más importantes. 

• La idea es realizar un inventario de activos que nos permita.
• Identificar los activos de la información que den soporte al negocio.
• Clasificar los activos por su importancia.
• Archivar los activos por el tipo de activo o información.
• Identificar al propietario del activo.

2.- Propiedad de los activos: La información y activos de los inventarios que se encuentran asociados a los recursos para tratar la información que deberían pertenecer a una parte designada de la Organización.

Deberes del propietario de un activo de la Información:

• Asegurar que los activos son inventariados
• Afirmar que los activos son archivados y protegidos de forma adecuada;
• Precisar e inspeccionar de forma periódicamente las prohibiciones de los accesos y las clasificaciones de activos importantes, donde se tiene en cuenta las políticas que se aplican en el control de acceso.
• Avalar el manejo adecuado cuando el activo es eliminado o destruido.

3.- Uso aceptable de los activos: Corresponderían en identificar, evidenciar e instituir medidas para el uso conveniente de la información y los activos asociados a recursos de tratamiento de la información.

El uso admisible de los activos que consisten en los procesos de:

• Documentar el uso adecuado de la información, donde se describan los requisitos de la seguridad de la información de los activos, instalaciones entre otros.
• Notificar a los empleados afectados con el objetivo de evitar el uso indebido.

4.- Devolución de activos: Todo los colaboradores y usuarios deben devolver todos los activos de la compañía que encuentren en su responsabilidad, una vez culminado los  acuerdos contratos de prestación de servicios o actividades que se relacionan con su contrato de empleo.

• Requisitos para implementar este control:
• Determinar procesos de finalización de uso donde se incluya la cláusula de devolución de activos físicos y/o electrónicos
• Instituir los procedimientos transferencias y borrados de la información de forma inequívoca en el caso que sea oportuno (Uso de los equipos adecuados, traspaso y restitución de los equipos etc.).

Decreto 1072

La ISO 45001 es un estándar internacional para la gestión de la seguridad y salud en el trabajo. El objetivo de este estándar es mejorar la seguridad y salud de los trabajadores en todo el mundo al establecer un marco para la gestión de riesgos y la prevención de accidentes en el lugar de trabajo. El Decreto 1072 de Colombia, por su parte, es una regulación de seguridad laboral del gobierno colombiano.

El Decreto 1072, regula la seguridad y salud en el trabajo en Colombia y establece las obligaciones para las empresas en cuanto a prevenir accidentes y mejorar la seguridad en el lugar de trabajo. La ISO 45001 se alinea con el Decreto 1072 en varios aspectos importantes. En primer lugar, ambos establecen la necesidad de que las empresas establezcan una política de seguridad y salud en el trabajo, y establezcan objetivos para mejorar la seguridad en el lugar de trabajo. Ambos requieren que las empresas realicen evaluaciones de riesgos y establezcan controles para mitigar los riesgos identificados. La ISO 45001 también requiere la realización de auditorías internas periódicas para evaluar la eficacia de las medidas de seguridad y salud en el trabajo, lo que también está contemplado en el Decreto 1072.

Otra área en la que se alinean ambos estándares es en la importancia de la participación y consulta de los trabajadores en la gestión de la seguridad y salud en el trabajo. La ISO 45001 establece que los trabajadores deben ser consultados y participar en la identificación de riesgos y en la toma de decisiones relacionadas con la seguridad y salud en el trabajo, mientras que el Decreto 1072 establece que los trabajadores deben tener un papel activo en la promoción de la seguridad y salud en el trabajo y en la prevención de accidentes.

Otro aspecto importante es la documentación, El Decreto 1072 requiere que las empresas mantengan registros de los accidentes y enfermedades relacionadas con el trabajo, así como de las medidas tomadas para prevenir accidentes y mejorar la seguridad en el lugar de trabajo, La ISO 45001 también requiere la documentación detallada de los procesos de seguridad y salud en el trabajo.

La ISO 45001 también promueve la continuidad de mejora en la gestión de la seguridad y salud en el trabajo, a través de la evaluación continua del desempeño y la identificación de áreas para mejorar. Esto es esencial para cumplir con el Decreto 1072, ya que el gobierno colombiano establece la obligación de las empresas de mejorar continuamente sus sistemas de gestión de seguridad y salud en el trabajo.

Además, la ISO 45001 promueve la colaboración con otras partes interesadas, como proveedores, clientes y autoridades reguladoras, para mejorar la seguridad y salud en el trabajo. Esto también es importante para cumplir con el Decreto 1072, ya que el gobierno colombiano promueve la colaboración entre empresas y otros actores para mejorar la seguridad y salud en el trabajo a nivel nacional.

También promueve la comunicación efectiva sobre seguridad y salud en el trabajo, incluyendo la educación y capacitación de los trabajadores. Esto es esencial para cumplir con el Decreto 1072, ya que el gobierno colombiano establece la obligación de las empresas de capacitar a los trabajadores sobre seguridad y salud en el trabajo. La capacitación de los trabajadores es esencial para asegurar que entiendan los riesgos y los controles apropiados para mitigarlos, y puedan contribuir a un ambiente laboral seguro.

En resumen, la implementación de ISO 45001 es una excelente manera para las empresas colombianas para cumplir con las regulaciones establecidas en el Decreto 1072. Proporciona un marco sólido y probado para la gestión de la seguridad y salud en el trabajo, promueve la continuidad de mejora, la colaboración con otras partes interesadas y la comunicación efectiva. Esto no solo ayudará a cumplir con las regulaciones gubernamentales, sino que también puede mejorar la eficiencia operativa, la productividad y la reputación de la empresa. Es importante que las empresas colombianas tomen en cuenta la importancia de cumplir con los requisitos legales y reglamentarios y que consideran implementar ISO 45001 como una manera efectiva para lograrlo.

Fugas de datos en 27002

Una fuga de datos se provoca cuando los datos que son sensibles están expuestos en público de forma involuntaria. Esta exhibición de datos puede ocurrir en el tránsito, en sosiego o en usanza.

Los datos que son expuestos en tránsito pueden contener los datos enviados por medio de correos electrónicos, salas de chat, llamadas, etc. Los datos expuestos en reposo resultan del almacenamiento en la nube configuraciones mal elaborados, también de una base de datos mal protegida o de dispositivos perdidos. Los datos que son expuestos en uso, pueden proceder a ejecutar de capturas de pantalla, impresoras, unidades USB o portapapeles. Una fuga de datos no se compra con una brecha de datos, aunque la primera pueda dar lugar a la segunda. La diferencia es que una fuga de datos no es el resultado de un intento de pillaje informático, sino que se origina por errores humanos.

Formas de prevenir fugas de datos

Las técnicas y tecnologías que utilizan para prevenir fugas de datos son, en la mayoría, los mismos que las que se utilizan para prevenir brechas también. En su mayoría las estrategias para advertir las pérdidas de datos sensibles inician con la ejecución de evaluaciones de riesgo (se incluyen las evaluaciones de riesgo de terceros) y la elaboración de políticas  y procedimientos que se basan en dichas evaluaciones.

No obstante, para llevar una correcta evaluación de riesgos, primero hay que tener en cuenta es  qué datos se tienen y dónde se encuentran ubicados.

1. Detección de clasificación de Datos: Usa una solución que pueda detectar y clasificar datos sensibles de forma automática. Una vez realizado esto, se pueden eliminar datos ROT (redundantes, obsoletos y triviales) con el objetivo de optimizar las estrategias para proteger los datos. Catalogar los datos hace más sencillo asignar los controles adecuados y así monitorear cómo interactúan los usuarios con los datos sensibles.
2. Restringir los derechos de Acceso: Siempre es una buena idea limitar el número de usuarios que tienen acceso a datos sensibles, ya que esto reduce el riesgo de sufrir una fuga.
3. Filtrado del contenido de los Emails: Utiliza una solución de filtrado de contenido que se apoye en una tecnología de inspección profunda de contenidos para encontrar datos sensibles en el contenido, las imágenes y los archivos adjuntos que se ubican en los correos electrónicos. Si este filtro se encuentran los datos sensibles, se enviará una alerta al administrador para que este pueda realizar verificación  de la legitimidad del uso de estos datos.
4. Control de Impresión: Las impresoras pueden almacenar archivos sensibles a los que pueden tener acceso personas no autorizadas. Solicitar a los usuarios que utilicen un código personal para acceder a las impresoras, realizar limitaciones las funcionalidades de las impresoras en función del rol del usuario, también asegurarse de que los documentos que contengan datos sensibles sólo puedan imprimirse una sola vez o que los usuarios no dejen en la bandeja de la impresora ningún documento impreso con datos sensibles pueden ser un buen punto.
5. Cifrado: Cifrar los datos sensibles tanto en reposo como en tránsito es siempre una buena idea y es especialmente relevante cuando almacenamos datos sensibles en la nube.
6. Protección de Dispositivos: Una solución básica para prevenir que se filtren datos sensibles de cualquier dispositivo (sobremesas, portátiles, móviles, servidores). Algunos se pueden bloquear y poner en retiro o cifrar automáticamente datos sensibles tan rápido como abandonen ese dispositivo. Algunas soluciones también pueden ser la restricción  determinada de las funciones como el copiado, impresión o la transferencia de datos a una unidad USB o a una plataforma en la nube.
7. Control de Dispositivos: Es normal para cualquier usuario guardar documentos sensibles en sus teléfonos inteligentes o tabletas. Las políticas de gestión de los dispositivos, es importante tener soluciones que monitoreen y controlen qué dispositivos se están utilizando y por qué usuario, aparte de herramientas que faciliten al equipo de soporte informático o de ciberseguridad obligar el uso de contraseñas complejas, prestar servicios de forma remota al dispositivo y a su vez controlar qué aplicaciones se pueden instalar. La mayoría de las soluciones pueden también rastrear la localización del dispositivo o incluso eliminar su contenido si el dispositivo se pierde o es extraviado.
8. Configuración de Almacenamiento en la Nube: Las fugas de datos causadas por una configuración errónea de los repositorios de almacenamiento son muy comunes. 
9. Alertas e informes en tiempo Real: Una de las formas más eficaces de evitar la fuga de datos es hacer un seguimiento de los cambios realizados a los datos sensibles. Los administradores deben tener registros permanentes de que usuario accede, a qué datos, qué acciones se realizan y cuándo. Los administradores deben recibir un aviso en tiempo real cuando se accede, se mueve, se comparte, se modifica o se borran datos sensibles e importantes, estar enterado y hacer revisiones de cualquier sospecha o por cualquier parte no autorizada. Esto puede ser útil para realizar seguimiento el acceso a los datos sensibles almacenados en la nube. Si se genera una alerta, el administrador puede iniciar una investigación sobre el hecho ocurrido, posiblemente empezando por verificar los permisos del contenedor de almacenamiento.

Para concluir, es importante identificar con los pasos mencionados anteriormente, las formas de prevenir las fugas de datos, y seguir el paso a paso según los conceptos para poder evitar malwares dentro de nuestro sistema organizacional.

El control de seguridad de la información y su acceso es un elemento esencial de la seguridad que determina quién tiene permiso estipulado para tener el acceso a determinados datos, aplicaciones, recursos y en qué circunstancias. El objetivo principal es limitar el acceso a la información y a las instalaciones de procesamiento de información de la igual representación que las claves y listas de asistentes con aprobación anterior resguardan las plazas físicas, las directivas de los controles de acceso que protegen las plazas digitales. Es decir, permiten que las personas o usuarios adecuados ingresen y que la que es ajena a las plazas digitales se queden fuera.

Las directivas de control de acceso dependen de medidas técnicas como la autenticación y la autorización, que es el que permiten a las diferentes organizaciones comprobar de forma evidente que los usuarios son quienes dicen ser y que cuentan con el nivel apropiado de acceso con base en elementos contextuales como el dispositivo, la ubicación, el rol, la responsabilidad entre otros.

El control de seguridad de la información impide que los infiltrados u otros usuarios no autorizados se hagan con la información confidencial, como por ejemplo los datos de clientes y la propiedad intelectual. También apoya a la reducción de riesgos de filtración de datos por parte de los empleados y mantiene controlado las amenazas web. En vez de manipular los diversos permisos manualmente, las empresas con mayor seguridad dependen de soluciones de administración de identidad y acceso para las implementaciones directivas de control de acceso.

ISO 27002

La norma ISO 27002:2022 propone no únicamente el cuidar la información desde la perspectiva de resguardar la información para los intereses de las diversas organizaciones, sino que también de controlar en caso este tenga información confidencial para los intereses de la organización. Se procede a establecer criterios de controles de la información. Esto se debe conservar debido a que es una información que resulta totalmente relevante en las operaciones de la organización. Esto reduce en gran manera el filtrado de información no deseada, malwares que provienen de forma externa a la organización.

Una vez teniendo definida la información controlada y actualizada en la organización, se debe implementar los métodos adecuados para proceder con los diversos controles de la información. Esta gestión, si conferenciamos de información que presentemente debe tener un control donde aportan puntos importantes en la organización que son muy alta relevancia, en caso se filtre a usuarios que no están asociadas a la organización, se recomiendan implementar métodos más rigurosos que únicamente eliminarlo de forma convencional.

Entre estos métodos contamos con algunos ejemplos:

1.- Seguridad de las operaciones:

Los ordenamientos deben estar documentados (cuando corresponda) y deben estar disponibles.

¿Qué debemos documentar?

• Los documentos de instrucciones al menos se deberían abordar actividades que afectarán al proceso de la información y aquellas que la protegen.
• Siguiendo este principio deberíamos incluir
  • Los procesos de la verificación, instalación, configuración y administración de sistemas y aplicaciones.
  • El proceso y manejo de las informaciones.
  • Los métodos de la gestión del respaldo de las diferentes informaciones, que incluyen las pruebas y las verificaciones de las copias de seguridad.
  • Las gestiones de las programaciones operacionales en cuestión de procesos que requieran clasificación de tiempos.
  • Acuerdo con los requisitos de la norma ISO 27001 también se debe incluir la administración de faltas y condiciones excepcionales donde se pueden definir como incidentes de seguridad.
  • Las Instrucciones especiales de administración de medios para la información confidencial, incluida la eliminación segura. Recuperación / reinicio del sistema.
  • Los métodos de la gestión de los registros y los elementos de seguimiento de auditoría.
  • Las instrucciones de monitoreo de red y activos de información.

¿Qué significa que estén disponibles?

• Esto se traduce en que deberíamos realizar actividades de formación y concienciación sobre los procedimientos sobre el tratamiento de la información y su cuidado o seguridad Gestión de cambios
• Protección ante software malicioso

2.- Gestión de Cambios

Los procesos de cambio pueden conllevar riesgos asociados para la seguridad de la información. Por esta razón, la norma nos propone controles para que analicemos los procesos de cambio tanto:

• Comerciales
• Instalaciones o infraestructuras (Equipos y Software)
• Sistemas de procesamiento de información

Actualmente, resulta indiscutible comentar que los controles a instituir para la gestión de cambios serán el resultado de los análisis de riesgos y de la aplicabilidad de los controles proporcionados.

3.- Gestión de la Capacidad

• Esta gestión trata de evitar las pérdidas de disponibilidad o provecho de los diversos sistemas por falta de capacidad.
• Para gestión de la capacidad se refiere a tener un control del uso de los recursos. Esto se traduce en controles para:
  • Realizar mediciones y Seguimientos del uso de los recursos
  • Previsión de uso a futuro (predecir los cuellos de botella)
  • Realizar Planificación de las ampliaciones de capacidad de los recursos cuando este sea necesario.

Para enfatizar, cabe mencionar que la responsabilidad completa en cuanto al control de la de la información es de la misma organización, implícitamente durante la gestión que se requiere por personas ajenas a la organización. Debido a que el primordial interesado en contar con información correcta e impedir que filtren su información, es de la misma organización. Al ser un elemento de cada vez mayor interés e impacto, la inversión de tiempo y recursos serán cada vez más eminentes.

La Plataforma ISOTools facilita la automatización de la ISO 27001

La ISO 27001 para los SGSI es sencilla de implantar, automatizar y mantener con la Plataforma Tecnológica ISOTools.

Con ISOTools se da cumplimiento a los requisitos basados en el ciclo PHVA (Planear – Hacer – Verificar – Actuar) para establecer, implementar, mantener y mejorar el Sistema Gestión de la Seguridad de la Información, así como se da cumplimiento de manera complementaria a las buenas prácticas o controles establecidos en ISO 27002.

Seguridad de la Información

Para la gestión de la Seguridad de la Información es útil contar con un determinado marco de trabajo. Las normas digitales que administran la forma en que una operación maneja los datos son medidas obligatorias que toda empresa debe realizar seguimientos. Estas deben ser implementadas desde los puntos de vista legales per las empresas pueden también aplicar estos modelos de forma discrecional con el objetivo de edificar una defensa integral contra los ciberataques, a esto se le denomina como marco de seguridad cibernética.

Un marco de seguridad de seguridad de la información es un conjunto de expedientes, normas y requisitos que definen las políticas, procedimientos y los procesos en lo que se basan las diferentes organizaciones. En estos casos es donde todos los departamentos asociados muestran ya sea fuera y dentro de la organización, como los negocios gestionan la información, servicios y sistemas.

La importancia de un marco de seguridad cibernética se encuentra en la forma en que ayuda a los líderes de TI y de ciberseguridad a realizar las gestiones de los riesgos de su organización de una forma debida, también se muestran los procedimientos a seguir una vez surge una situación de urgencia.

Los criterios que se deben tener en cuenta para implementar un marco de seguridad de la información, debes tener en cuenta algunas normas de ciberseguridad son los siguientes:

1.- Normas ISO para Seguridad de la Información:

Las normas ISO 27001 y 27701 fueron creadas por la organización internacional de normalización.

ISO 27001 – Sistema de Gestión de la seguridad de la información: Estas se centran en una orientación de la seguridad de la información que se basan en los riesgos. Las ISO 27001 incluye categorías como la política de seguridad, la seguridad de recursos humanos y gestión de activos. También el control de acceso, la criptografía y la seguridad física y ambiental. Además de ser una guía en las gestiones de los incidentes, la continuidad de actividades y los cumplimientos de las normas gubernamentales.

ISO 27701 – Gestión de la privacidad de la información: Con el objetivo de proteger la privacidad de los datos, las normas ISO 27701, obligan a los que controlan los datos dar prioridades a la protección de la información de identificación personal en cada una de las evaluaciones de los riesgos para la seguridad de la información.

El centro para la seguridad de internet (CSI), es una de las organizaciones de seguridad cibernética más reconocidas. Este ofrece soluciones prácticas minuciosas para las empresas. Además, busca ayudar a las empresas con el objetivo de asegurar los sistemas informáticos y los datos contra los ataques cibernéticos.

Las normas oficiales que también se deben tener en cuenta. Los estándares de la industria y el gobierno son una necesidad para las diferentes organizaciones que buscan desarrollar sus programas de seguridad de la información. Si la organización se encuentra dentro de la zona de cobertura y no incluyes las directrices adecuadas en tu marco de ciberseguridad, hay una posibilidad alta de que seas sancionado. Para evitar dichas sanciones nombraremos las políticas mas relevantes de las que se deben ocupar.

2.- HIPAA:

Si tu organización maneja información del personal de la salud, se deben seguir modelos de seguridad de la ley de portabilidad y responsabilidad de seguros médicos. En estos casos no te indica específicamente las prácticas o herramientas que deben utilizarse.

3.- PCI DSS:

Si tu organización incluye algún tipo de pago ya sea de tarjeta de crédito o débito, deberías ver las directrices del estándar de seguridad de datos de la industria de tarjeta de pago. El PCI DSS fue creado por Visa, American Express y Mastercard.

4.- NIST:

El instituto nacional de estándares y tecnología, proporciona una sólida base de seguridad digital para cualquier propietario de una organización que desee conseguir un lucrativo contrato federal para su compañía. El NIST es un recurso importante que se puede utilizar para muchos objetivos. Como por ejemplo identificar riesgos de seguridad de la información, detectar actividades atípicas, entre otros.

5.- DISA:

Son una necesidad legal, está enfocado principalmente en los departamentos de defensa, tiene una característica especial que consiste en actualizar con más frecuencia los protocolos de seguridad de la información. Esto se convierte en una nueva fuente de información para cualquier organización que desee implementar o desarrollar un marco de seguridad cibernética.

6.- RGPD:

El reglamento de protección de Datos, está encaminado en la protección y el tratamiento de datos personales. Este se ejecutó por primera vez en 2018.

Para concluir, es importante tener los conocimientos previos por donde comenzar a gestionar los diferentes criterios y así construir nuestro marco de seguridad cibernética ideal para la organización.

Software para Sistema de Gestión de Seguridad de la Información ISOTools

La ISO 27001 para los Sistemas de Gestión de Seguridad de la Información es sencilla de implantar, automatizar y mantener con la Plataforma Tecnológica ISOTools.

Con ISOTools se da cumplimiento a los requisitos basados en el ciclo PHVA (Planear – Hacer – Verificar – Actuar) para establecer, implementar, mantener y mejorar el Sistema Gestión de la Seguridad de la Información, así como se da cumplimiento de manera complementaria a las buenas prácticas o controles establecidos en ISO 27002.

Este software, permite integrar la ISO 27001 con otras normas, como ISO 9001, ISO 14001 y 45001 de una forma sencilla gracias a su estructura modular.

Sistema de Gestión Seguridad de la Información

Un sistema de gestión de seguridad de la información (SGSI) es un conjunto de elementos que interactúan entre sí para proteger la confidencialidad, disponibilidad e integridad de un conglomerado de datos que, combinados y relacionados, tienen sentido.

Se trata de información que corresponde a un inventario de activos de la organización y que tiene una relevancia capital hoy en día. ¿Qué nos distingue de otras empresas? El manejo de los datos. Ello, además, le confiere ventajas competitivas y comparativas a una organización. Toda compañía cuenta con este conjunto de elementos, solo que en algunos casos son más formales que otros.

Hay organizaciones que deciden implementar marcos normativos de referencia, como NIST, ISO/IEC 27001, OWA o CIS. Estos se implementan dependiendo de la naturaleza de la organización, ubicación y cultura organizacional.

La formalización le da una distinción a las organizaciones ante las que tienen sistemas de gestión de seguridad de la información informales. El formal se destaca en que cuenta con una política, objetivos, roles, responsabilidades, procedimientos, procesos, análisis de riesgos, gestión de cambios y un conjunto de controles más o menos estructurados.

Si no se tienen todos esos elementos, puede que el SGSI sea incipiente o muy empírico. Por ejemplo, en una empresa de elaboración de tortas todos conocen bien sus fórmulas y recetas, saben cuáles son los proveedores de calidad, manejan datos sobre las preferencias de los clientes, y toda esta información la guardan celosamente. Así protegen sus datos, esos serían los elementos que interactúan entre sí para proteger la confidencialidad, integridad y disponibilidad de la información.

En ese sentido, los beneficios de contar con un SGSI formal y que tenga un marco normativo de referencia reconocido a nivel mundial parte porque los organismos que emiten estos estándares se han dedicado a estudiar el comportamiento en las organizaciones, la tecnología, la forma en que se utilizan los activos de información y, en consecuencia, emanan requisitos y recomendaciones que algunas organizaciones suelen adoptar porque confían en que usar esas normas traerá un mejor desempeño.

Las empresas pueden adoptar un solo marco de referencia o la combinación de ellos, puesto que no son mutuamente excluyentes, sino que son equivalentes entre sí y son compatibles. Cada uno tiene sus fortalezas. ¿En qué consisten los beneficios de tener un SGSI formal? Algunos de ellos son estos:

Confianza interna y externa

Contar con un SGSI transmite una imagen a las personas. Hay que considerar que los SGSI están orientados a que las personas dentro de la organización y los individuos con los que ellas se relacionan fuera de la empresa actúen en pro de proteger la integridad, confidencialidad y disponibilidad de la información. El hecho de que las personas reconozcan que existe una entidad capaz de regular su conducta, el uso de la información y los medios con los cuales se opera esa información genera cierto grado de confianza. Por ejemplo, si se hace una negociación entre dos empresas: un proveedor y un cliente, una de las preguntas que se hacen es si se dispone de algún marco normativo que regule el SGSI, y eso inspira confianza en la negociación, si es que el SGSI formal existe.

Entablar una relación comercial con una organización que no tenga SGSI formal es un riesgo porque no sabemos si la gestión de la seguridad de la información se está haciendo de la forma correcta. El reconocimiento inmediato (interno y externo) es un beneficio importante y deseable que, además, trae un plus: las personas de la organización van a tener un punto de partida para saber cuáles son los comportamientos correctos o no por parte de los individuos, de la tecnología, del sistema y de las otras empresas… porque se normaliza el comportamiento de los diferentes componentes, eso despierta cierto carácter preventivo en el funcionamiento de la organización.

Priorizar para cuidar

El SGSI ayuda a priorizar los activos de información en función a su valor. Eso hace que los esfuerzos sean equivalentes en cuanto a la importancia que tienen ciertos. Las empresas tienen un conjunto de activos, pero algunos tienen mayor valor que otros. Los marcos normativos nos permiten identificar de forma metódica esos activos de mayor valor porque nos permite reconocer su relación con los procesos del negocio y las consecuencias que podríamos tener si se pierde la confidencialidad, disponibilidad e integridad de esos activos. La priorización es muy importante porque permite alinear los esfuerzos para proteger la información más valiosa.

Permite generar controles adecuados a la naturaleza de cada activo de información

Al utilizar las metodologías formales empiezan a surgir relaciones entre los riesgos de seguridad de la información y la capacidad que tienen los controles para aceptar, transferir o mitigar los riesgos. Además, el conjunto de controles que ya está en el marco normativo suele tener recomendaciones de cómo aplicar tales controles. En ese sentido, las organizaciones pisan sobre un terreno firme, en el que saben que cada control es adecuado para cada riesgo identificado.

Software para Sistema de Gestión de Seguridad de la Información ISOTools

La ISO 27001 para los Sistemas de Gestión de Seguridad de la Información es sencilla de implantar, automatizar y mantener con la Plataforma Tecnológica ISOTools.

Con ISOTools se da cumplimiento a los requisitos basados en el ciclo PHVA (Planear – Hacer – Verificar – Actuar) para establecer, implementar, mantener y mejorar el Sistema Gestión de la Seguridad de la Información, así como se da cumplimiento de manera complementaria a las buenas prácticas o controles establecidos en ISO 27002.

El software para ISO 27001 permite integrarla con otras normas, como ISO 9001, ISO 14001 y 45001 de una forma sencilla, gracias a su estructura modular.

Controles Tecnológicos ISO 27002:2022

La infraestructura tecnológica es el medio para la operación, explotación y transmisión de la información en todo su ciclo de vida. Por eso su cuidado es fundamental. La norma ISO/IEC 27002:2022 contempla los controles tecnológicos en el apartado 8.

En el 8.1 – Dispositivos de punto final de usuario se encuentra un control preventivo que tiene como objeto proteger la información contra los riesgos introducidos por el uso de dispositivos de punto final de usuario.

El estándar también busca preservar la confidencialidad, disponibilidad e integridad de la información al limitar y administrar los derechos de acceso privilegiado (8.2). Es muy importante que solo los usuarios, los componentes y servicios de software autorizados reciban derechos de acceso privilegiado.

Con el propósito de asegurar solo el acceso autorizado y evitar el acceso no autorizado a la información y otros activos asociados, existe el punto 8.3 Restricción de acceso a la información. Allí se indica que el acceso a la información y otros activos asociados debe estar restringido de acuerdo con la política específica del tema establecida sobre control de acceso. El punto 8.4 Acceso al código fuente, respectivamente, apunta que el acceso de lectura y escritura al código fuente, las herramientas de desarrollo y las bibliotecas de software debe administrarse adecuadamente. Con ello se busca evitar la introducción de funciones no autorizadas, evitar cambios no intencionales o maliciosos y mantener la confidencialidad de la propiedad intelectual valiosa.

La autenticación segura (8.5) también es un tema cubierto por la norma ISO/IEC 27002. Este control aduce que las tecnologías y los procedimientos de autenticación segura deben implementarse en función de las restricciones de acceso a la información y la política específica del tema sobre el control de acceso. El apartado 8.6 Gestión de la capacidad tiene el propósito de asegurar la capacidad requerida de las instalaciones de procesamiento de información, recursos humanos, oficinas y otras instalaciones.

La protección contra malware (8.7) no queda relegada, puesto que el control expone que la protección contra el malware debe implementarse y respaldarse mediante la conciencia adecuada del usuario. ¿Con qué fin? Con el de garantizar que la información y otros activos asociados estén protegidos contra malware.

Uno de los 34 puntos de los controles tecnológicos es el 8.8 Gestión de vulnerabilidades técnicas, allí queda claro que se debe obtener información sobre las vulnerabilidades técnicas de los sistemas de información en uso, se debe evaluar la exposición de la organización a tales vulnerabilidades y se deben tomar las medidas apropiadas, para prevenir la explotación de vulnerabilidades técnicas.

La gestión de la configuración queda a cargo del (8.9), el cual indica que las configuraciones, incluidas las de seguridad, de hardware, software, servicios y redes deben establecerse, documentarse, implementarse, monitorearse y revisarse con el fin de que funcionen correctamente con la configuración de seguridad requerida, y que la configuración no se altere por cambios no autorizados o incorrectos.

La eliminación de información no puede dejarse al descuido y el comité técnico de la ISO lo sabe. Por eso el punto 8.10 es categórico al precisar que la información almacenada en sistemas de información, dispositivos o en cualquier otro medio de almacenamiento debe ser eliminada cuando ya no sea necesaria. Con esto se pretende evitar la exposición innecesaria de información confidencial y cumplir con los requisitos legales, estatutarios, reglamentarios y contractuales para la eliminación de información. Por su parte, el enmascaramiento de datos (8.11) es un control preventivo que expresa que este se debe utilizar de acuerdo con la política específica del tema de la organización sobre el control de acceso y otras políticas relacionadas con el tema específico, y los requisitos comerciales, teniendo en cuenta la legislación aplicable, con el fin de limitar la exposición de datos confidenciales, incluida la PII, y para cumplir con los requisitos legales, estatutarios, reglamentarios y contractuales.

El punto 8.12 – Prevención de fuga de datos trata de que las medidas de prevención de fuga de datos deben aplicarse a los sistemas, redes y cualquier otro dispositivo que procese, almacene o transmita información confidencial.

El apartado 8, además, cuenta con los siguientes controles:

• 13 Copia de seguridad de la información
• 14 Redundancia de las instalaciones de procesamiento de información
• 15 Registro
• 16 Actividades de seguimiento
• 17 Sincronización del reloj
• 18 Uso de programas de utilidad privilegiados
• 19 Instalación de software en sistemas operativos
• 20 Seguridad de redes
• 21 Seguridad de los servicios de red
• 22 Segregación de redes
• 23 Filtrado web
• 24 Uso de criptografía
• 25 Ciclo de vida de desarrollo seguro
• 26 Requisitos de seguridad de la aplicación
• 27 Arquitectura del sistema seguro y principios de ingeniería
• 28 Codificación segura
• 29 Pruebas de seguridad en desarrollo y aceptación
• 30 Desarrollo subcontratado
• 31 Separación de los entornos de desarrollo, prueba y producción
• 32 Gestión de cambios
• 33 Información de prueba
• 34 Protección de los sistemas de información durante las pruebas de auditoría

Software Seguridad de la Información ISOTools

Para una gestión eficaz de los controles de Seguridad de la Información se hace imprescindible mantener bajo control las vulnerabilidades y amenazas de cada proceso, ya tengan que ver o no con activos de la organización. Para ello se ha de contar con las metodologías que sean necesarias como ISO 27001, cuyos controles se detallen en la ISO 27002 y han sido modificados recientemente en 2022.

Todos estos controles de Seguridad de la Información, así como las mejores prácticas para su gestión automatizada, se encuentran recogidos en el Software de Gestión de Seguridad de la Información ISOTools. Gracias a ISOTools consigue una gestión eficiente de la Seguridad de la Información, desde la implementación hasta la certificación. 

ISO/IEC 27002:2022

ISO/IEC 27002:2022 – Seguridad de la información, ciberseguridad y protección de la privacidad — Controles de seguridad de la información, proporciona un conjunto de referencia de controles genéricos de seguridad de la información, incluida una guía de implementación. Aborda la ciberseguridad y protección de datos y ha evolucionado con respecto a su primera publicación en 2005. Ahora el contenido es más completo e integral y se basa en resiliencia, protección, defensa y gestión.

El estándar cuenta con controles que se detallan desde la cláusula 5 hasta la 8 y se denominan temas. Los controles se clasifican como:

1. físicos, si se trata de objetos físicos;
2. propiedades de seguridad de la información (confiabilidad, disponibilidad e integridad).
3. personas, si se refieren a individuos;
4. tecnológicos, si se trata de tecnología.

Organización de controles ISO 27002:2022

Para entender la manera en que los controles están dispuestos en la norma, debemos tomar en cuenta que estos se organizan de la siguiente manera:

• Tipo de control: es un atributo para ver los controles desde la perspectiva de cuándo y cómo el control modifica el riesgo con respecto a la ocurrencia de un incidente de seguridad de la información. Los valores de los atributos consisten en preventivo, detectivo y correctivo.
• Propiedades de seguridad de la información: son un atributo para ver los controles desde la perspectiva de qué característica de la información contribuirá a preservar el control.
• Conceptos de ciberseguridad: son un atributo para ver los controles desde la perspectiva de la asociación de controles a los conceptos de ciberseguridad definidos en el marco de ciberseguridad descrito en ISO/IEC TS 27110. Los valores de atributo consisten en identificar, proteger, detectar, responder y recuperar.
• Capacidades operativas: Las capacidades operativas son un atributo para ver los controles desde la perspectiva del profesional de las capacidades de seguridad de la información
• Dominios de seguridad: es un atributo para ver los controles desde la perspectiva de seguridad de la información. Busca garantizar la idoneidad, la adecuación y la eficacia continuas de la dirección de gestión y el apoyo a la seguridad de la información de acuerdo con los requisitos comerciales, legales, estatutarios, reglamentarios y contractuales.

Reconocer un control ISO 27002:2022

¿Cómo saber que estamos ante un control? Es fácil reconocerlo, puesto que cada uno de ellos cuenta con un título, tabla de atributos, control, propósito, orientación y otra información. El primero que encontraremos es el control cinco, que está referido a los controles organizacionales. El apartado 5.1 alude a las políticas de seguridad de la información. Lo que observaremos, a continuación, será esta tabla:

Controles organizacionales ISO 27002:2022

En concreto, el control expresa que: “la política de seguridad de la información y las políticas específicas del tema deben ser definidas, aprobadas por la gerencia, publicadas, comunicadas y reconocidas por el personal relevante y las partes interesadas relevantes, y revisadas a intervalos planificados y si ocurren cambios significativos”. El objetivo es garantizar la idoneidad, la adecuación y la eficacia continuas de la dirección de gestión y el apoyo a la seguridad de la información de acuerdo con los requisitos comerciales, legales, estatutarios, reglamentarios y contractuales.

También se ofrece una guía en la que consta que, al más alto nivel, la organización debería definir una “política de seguridad de la información” que sea aprobada por la alta dirección y que establezca el enfoque de la organización para gestionar su seguridad de la información.

El estándar insta a tomar en consideración los requisitos derivados de:

• estrategia comercial y requisitos;
• reglamentos, legislación y contratos;
• los riesgos y amenazas actuales y proyectados para la seguridad de la información.
• La norma es enfática cuando propone que la política de seguridad de la información debe contener declaraciones relativas a:
  • definición de seguridad de la información;
  • objetivos de seguridad de la información o el marco para establecer objetivos de seguridad de la información;
  • principios para guiar todas las actividades relacionadas con la seguridad de la información;
  • compromiso de satisfacer los requisitos aplicables relacionados con la seguridad de la información;
  • compromiso con la mejora continua del sistema de gestión de seguridad de la información;
  • asignación de responsabilidades para la gestión de la seguridad de la información a roles definidos;
  • procedimientos para el manejo de exenciones y excepciones.

Políticas ISO 27002-2022

Según la norma ISO/IEC 27002: 2018 la política de seguridad de la información debe estar respaldada por políticas específicas del tema según sea necesario, para exigir aún más la implementación de controles de seguridad de la información. Las políticas de temas específicos generalmente se estructuran para abordar las necesidades de ciertos grupos objetivo dentro de una organización o para cubrir ciertas áreas de seguridad. Las políticas específicas de un tema deben estar alineadas y complementarse con la política de seguridad de la información de la organización. Las diferencias entre ambas se pueden visualizar claramente en la siguiente tabla:

Roles y responsabilidades ISO 27002 2022

En cuanto a los roles y responsabilidades de seguridad de la información (5.2) deben definirse y asignarse de acuerdo con las necesidades de la organización.

La segregación de funciones es el tema que ocupa el 5.3 y tiene como objetivo reducir el riesgo de fraude, error y elusión de los controles de seguridad de la información.

La norma incluye aspectos dignos de estudio y será una herramienta poderosa para quienes trabajamos arduamente en la seguridad de la información. En la próxima entrega ofreceremos más datos de ISO/IEC 27002:2022

Software Seguridad de la Información ISOTools

La ISO 27001 para los Sistemas de Gestión de Seguridad de la Información es sencilla de implantar, automatizar y mantener con la Plataforma Tecnológica ISOTools.

Con ISOTools se da cumplimiento a los requisitos basados en el ciclo PHVA (Planear – Hacer – Verificar – Actuar) para establecer, implementar, mantener y mejorar el Sistema Gestión de la Seguridad de la Información, así como se da cumplimiento de manera complementaria a las buenas prácticas o controles establecidos en ISO 27002.

Este software, permite integrar la ISO 27001 con otras normas, como ISO 9001, ISO 14001 y 45001 de una forma sencilla gracias a su estructura modular.

Capacitación en Seguridad de la Información

La capacitación es clave para las organizaciones y cuando hablamos de Seguridad de la Información aún más ya que existe un alto riesgo de continuidad de negocio por un bajo nivel de cualificación. Habitualmente, el error humano o las malas prácticas en materia de TI son las principales causas de eventos de riesgo en esta materia.

Estas capacitaciones y formaciones permiten que los recursos dentro de la organización, sin importar su nivel intelectual o formación profesional, desarrollen habilidades y mejoren el rendimiento en sus procesos, ganen confianza, cuenten con una capacidad resolutiva ante posibles vulnerabilidades, mejora la conducta de los recursos, ayuda a que se generen nuevos cambios tanto internos como externos, se mejoren las relaciones y los empleados se sientan valorados dentro de la organización.

Dentro de la capacitación y formación de un sistema de seguridad de la información, se debe partir de la norma internacional ISO 27001 y sus derivaciones. Toda la familia de normas ISO 27000 son de gran importancia. La ISO27001 en seguridad de la información como elemento principal desde donde se implementa el sistema en las organizaciones, teniendo en cuenta sus elementos bases que son la Confiabilidad, Integridad y Confidencialidad con el fin de gestionar la privacidad de los datos, su protección y enfocarse en la gestión del riesgo, establecer las causas e instaurar controles para su tratamiento.

Cómo debe ser la capacitación en Seguridad de la Información

Se debe realizar un recorrido por las normas ISO que refuerzan esa implementación de la norma ISO 27001, como la norma ISO 27017 encargada de los controles para los clientes y proveedores; Norma ISO 27018 enfocada a las buenas prácticas referentes a los controles y protección de datos para los servicios en la nube de los proveedores y Norma ISO 27032 y la más reciente encargada de la ciberseguridad, ya que es uno de los elementos que llega como refuerzo más fuerte en el sistema de seguridad de la información, por factores que representan mayores riesgos.

Para desarrollar una adecuada capacitación y formación la organización debe tener establecido un sistema de seguridad de la información el cual establezca las necesidades y expectativas del sistema y la participación de los Steakholders. Debe haber un compromiso por parte de la alta dirección en cuanto a la planificación de las capacitaciones y el objetivo que debe cumplir. Deben ser conscientes del factor costos beneficio que pueden tener las capacitaciones, pues, aunque no se desconoce que una capacitación de seguridad de la información es de un alto costo, esto va a permitir generar un mayor rendimiento para todos sus colaboradores.

Beneficios de la capacitación en Seguridad de la Información

Estos son algunos de los beneficios que las organizaciones obtendrían al capacitar a sus empleados en sistemas de seguridad de la información:

Identificación: No solo le permite la identificación de los riesgos evaluación y control, le permite identificar esas habilidades que las personas capacitadas desconocen y les permiten realizar su labor de manera efectiva, eficaz y eficiente.

• Eficiencia del Sistemas: Permite que los recursos capacitados puedan realizar un eficiente análisis de los controles no solo en el sistema, si no en sus inventarios los cuales son administrados por cada dueño del proceso, que debe calificar la vulnerabilidad de sus inventarios y ser el custodio de sus activos.
• Satisfacción Organizacional: Los recursos al ser capacitados y formados de la forma adecuada genera un valor agregado no solo para sí mismos, sino para la organización, generando confianza en la protección de sus procesos, generando mayor desarrollo y actualización de nuevas tecnologías corporativas, ya que sus empleados se encuentran motivados, sienten el compromiso con la organización, y se centran en cumplir los objetivos de la organización.
• Evaluación de la Capacitación y Formación: Este es tal vez el proceso más sencillo que corre por parte de la organización, pues es donde sus recursos empiezan a mostrar sus habilidades en la gestión del sistema de seguridad de la información y materializan lo aprendido.

En conclusión, una buena capacitación y formación permite que el recurso humano sea eficiente, efectivo, resolutivo, frentes a los sistemas de seguridad de la información, gestionando sus principios fundamentales enfocados en la confidencialidad, integridad y confiabilidad de sus activos, gestión de riesgos, prevención de ataques cibernéticos, gestión en la nube, entre otros. Es por eso que las herramientas tecnológicas como Software especializados parametrizables permiten no solo capacitar el personal, si no gestionar el sistema.

Software Seguridad de la Información

La capacitación es importante, sin embargo, para una gestión eficaz que resulte de utilidad para la organización será necesario implementar un Sistema de Gestión de Seguridad de la Información y hacer una gestión eficiente del mismo. Gracias a un Software de Gestión de Seguridad de la Información como ISOTools el control y el impacto en los Riesgos de Seguridad de la Información será máximo y su gestión ganará en eficacia y eficiencia.

Inventario de activos SGSI

Para poder identificar adecuadamente los activos de seguridad de la información, lo primero que debemos tener claro es que son los activos de información, estos se conocen como los recursos que utilizan los sistemas de gestión de seguridad informática para hacer posible el cumplimiento de los objetivos en la organización.

El inventario de activos satisface uno de los elementos más significativos del sistema de gestión de la seguridad de la información. Entre los cuales se encuentran los elementos físicos, software, documentos, servicios, personas, instalaciones, hardware, todos aquellos activos que generan valor en la organización.

La importancia de la realización de los inventarios de activos en seguridad informática es tener la trazabilidad de los activos, tener en el radar aquellos activos en estado crítico y aplicarles a estos los controles de riesgo que permitan tenerlos “bajo control”, no tenerlos controlados puede representar un riego para los procesos ya que estos se encuentran directamente asociados a la actividad de la organización.

Se debe tener en cuenta que los activos es un requerimiento necesario para dar cumplimiento con la norma ISO27001. Adicional se debe tener en cuenta que las organizaciones que dentro del desarrollo de sus procesos tiene proyectos de seguridad informática deben tener el respaldo ya que no solo se benefician a sí mismos, sino que generan confianza a sus stakeholders.

Agilizar la ejecución de inventario de activos de seguridad informática

El aporte de la alta dirección permitirá agilizar para la ejecución de los inventarios de seguridad informática, el cual se puede realizar de la siguiente manera:

Recoger activos por área: Para realizar esta acción hay varias opciones que permitirán realizar esta tarea con éxitos. La primera es agendar reuniones programadas con las diferentes áreas, para una reunión previa, informando la actividad a realizar, con el fin que se puedan recopilar toda la información del inventario. Se debe presentar en esta reunión, la plantilla en la cual se registrarán los datos de los activos.

Una idea de plantilla para identificación de los activos en donde el usuario pueda registrar la información contiene el nombre del activo, la descripción del mismo, código si cuenta con uno, responsable del activo, valoración, cualitativa o cuantitativa, estos como algunos criterios relevantes dentro del levantamiento.

Recopilación de la Información y clasificación: Cada área debe registrar los activos y realizar la clasificación del mismo con información relevante como tipo de activo, sea este físico o digital, el lugar donde se almacena.

Ponderación: Para realizar la ponderación de los activos del inventario se deben tener en cuenta los criterios de la seguridad informática que son la Confidencialidad, el cual especifica que la información sea accesible de forma única a las personas que se encuentra autorizadas. Integridad el cual hace referencia a la información que se encuentra almacenada en los dispositivos que no ha sido manipulada por terceros de manera malintencionada. Esto da fiabilidad que la información no será modificada por personas no autorizadas y Disponibilidad, que hace referencia a la información que debe estar disponible siempre para las personas autorizadas para accederla y tratarla, y además puede recuperarse en caso de que ocurra un incidente de seguridad que cause su pérdida o corrupción. Es decir; permite que la información esté disponible cuando sea necesario.

Cada uno de estos criterios debe ser ponderado conforme como se califiquen estos activos en la organización y se califiquen por cada dueño de proceso, por ejemplo; nivel Alto (3), medio (2) y bajo (1), esto con el fin de darle un valor a cada activo y conocer el grado de vulnerabilidad de sus activos, los cuales serán clasificado en una matriz de riesgos, pasaran por un tratamiento, controles y ser llevados a un mapa de calor para mantener controlado estos activos.

En conclusión, en una organización que se encuentre certificada en ISO 27001 o desea hacerlo, es indispensable sino obligatorio, contar con un inventario de activos que permitan ser controlados y que brinde confianza a sus colaboradores. En vista de los posibles errores humanos que puedan ser cometidos, se cuentan con softwares que se permiten controlar esta operación con módulos que, guardan el registro de los inventarios, son configurables sus plantillas, cuentan con módulos de riesgos, en fin, un sin número de elementos que van a permitir a contar con sistemas de seguridad informática, robustos y confiables.

Software Seguridad de la Información

Esta integración de complementos de Sistemas de Gestión de Seguridad de la información requiere de gran disciplina, orden y pensamiento sistémico para que llegue a ser realmente útil y aporte beneficios a la organización. Este grado de utilidad se puede llegar a conseguir siempre que se realice la gestión de forma eficiente y automatizada mediante un software de Gestión de Seguridad de la Información como ISOTools.

ISO 27032 para ciberseguridad

Con la evolución de la tecnología y el gran avance del internet para navegar en las diferentes plataformas, se encuentra la facilidad de realizar acciones en la red. Desde la creación de páginas web, envió de documentos y pagos en línea. Los cibernautas se ven gravemente comprometidos si no encuentran los elementos adecuados que los protejan. Al igual que la vulnerabilidad que pueden sufrir las organizaciones, y es de ahí donde nace la seguridad informática con la norma ISO 27001; la cual cuenta con un gran respaldo como la inclusión de la norma ISO 27032 de ciberseguridad.

En ese orden de idea las ISO 27032 fue creada por la organización internacional de normalización como complemento de la norma ISO 27001, para asegurar las transacciones online (en línea), proteger el envío de documentación, protección de la información personal intercambiada en internet, y la protección de los computadores tanto hardware como software, al interactuar con la red.

Seguridad informática y ciberseguridad

En esta norma también son tomados en cuenta los tres pilares fundamentales de la seguridad informática los cuales se encargarán de darle valor a los activos de la organización los cuales son:

Disponibilidad: Propiedad de que la información sea accesible y actualizable. Que el sistema informático se mantenga trabajando sin sufrir ninguna degradación en cuanto a accesos. Es necesario que se ofrezcan los recursos que requieran los usuarios autorizados cuando se necesiten. La información deberá permanecer accesible a elementos autorizados

Confidencialidad: Requiere que la información sea accesible solo para aquellas personas autorizadas. Para ello, será necesario acceder a la información mediante autorización y control. La confidencialidad hace referencia a la necesidad de ocultar o mantener secreto sobre determinada información o recursos.

Integridad: Supone que la información se mantenga inalterada ante accidentes o intentos maliciosos. Solo se podrá modificar la información mediante autorización.

En este sentido, se puede definir la ciberseguridad como un conjunto de herramientas, conceptos de seguridad, acciones, formación, directrices, prácticas idóneas, seguros, tecnología y métodos de riesgos que se utilizan con el fin de proteger los activos de una organización y a los stakeholders cibernautas.

Para establecer un Sistemas de Seguridad Informática es muy recomendable realizar un análisis de brecha o análisis (GAP). A nivel informático encontrar ese espacio de manera estratégica permite saber en dónde nos encontramos ahora, “el estado actual del SGSI” y dónde se quiere estar, “el o los objetivos a cumplir”. Al realizar el análisis y evaluar las necesidades se puede comprender cuál es el nivel en el que se encuentra el sistema en la organización. Recordando que las normas ISO a la fecha se encuentran integradas se puede apoyar su implementación en las normas ISO/IEC 27031:2011; ISO 22301:2012; ISO/IEC 27005:2018; e ISO 31000, entre otras.

Implementación de un GAP

Los pasos para la implementación de un (GAP) o un análisis de brecha son:

• Elaboración de los cuestionarios.
• Entrevistas e inspecciones en sitio.
• Consolidación de resultados.
• Análisis de resultados.
• Elaboración de informes.
• Fase de priorización controles plan estratégico de seguridad de la información (PESI).
• Fase de implementación ISO 27032.

Otro punto importante dentro de la implementación de sistemas de gestión de seguridad informática es tener en cuenta dentro de sus estrategias, priorizar la documentación referente a políticas, procedimientos, formatos, estándares etc…, entre otros aspectos estructura física y controles de tipo tecnológico, como centralización de virus, controles de acceso entre otros.

La gestión de los riesgos en ciberseguridad está enfocada en cuatro áreas prevención, protección y detección, respuesta y comunicación y recuperación y aprendizaje discriminados así:

• Prevención: Esta se basa en la implantación de medidas y controles que limiten y contengan los posibles impactos de posibles eventos de ataque de ciberseguridad.
• Protección y detección: En esta instancia se pasa de lo inherente a lo residual, implementación de controles y monitoreo de los mismos preferiblemente en mapas de calor.
• Respuesta y comunicación: Correspondiente a las acciones que se toman de manera inmediata en caso de tener incidentes que vulneren la ciberseguridad.
• Recuperación y Aprendizaje: La capacidad de recuperación las cuales salen de las acciones tomadas con el fin de reparar posibles daños cibernéticos, adicional de decir procedimiento y reducir probabilidades de ocurrencia.

En conclusión, esta norma nos permite transitar de manera segura por la red, hacer el cruce de información y documentación de manera segura, permite tomar acciones rápidas frente a posibles incidentes y proteger la información de cualquier clase de las organizaciones. Para tener un mayor control de todos los aspectos se encuentran software que ayudan a la administración, configuración, control entre otros de este tipo de (SGSI) de manera integrada.

Software SGSI

Soluciones tecnológicas como el Software ISOTools, que permiten la automatización y el acceso a la información generada por los procesos en tiempo real, es una ventaja que no puede perderse.

Ejercer control sobre su proceso productivo en la Industria 4.0, desde el hallazgo hasta la toma de decisiones, le protegerá de los ataques y mejorará, su capacidad de reacción.

ISO 31000

La palabra riesgo aparece en el panorama y en la organización poco preparada todo se torna gris. La continuidad del negocio se ve amenazada. La perspectiva de que tanto esfuerzo en levantar la empresa se diluya en la incertidumbre de lo que sucederá – o la certeza de que lo que viene es muy malo – es aterradora. Los resultados – lamentablemente – son bastante conocidos: despidos, multas, estrés laboral, accidente, etc. Estas consecuencias y el cúmulo de pensamientos que se nos vienen a la cabeza cuando abordamos el tema de los riesgos podrían ser muchísimo más llevaderos si de la amalgama terrorífica sacamos ideas claras, por ejemplo:

• ¿Cuáles son los tipos de riesgos que existen?
• ¿Cuáles de ellos atañen a mi organización?
• ¿Puedo mitigar, aceptar o transferir los riesgos?

En este texto nos referiremos a la primera interrogante, pues estamos convencidos de que darle forma a cada riesgo y asignarle una clasificación es una manera de comprenderlo. Solo entonces estaremos en capacidad de abordarlo, puesto que no se puede gestionar lo que se desconoce.

El riesgo es definido por la norma ISO 31000 2018 – Gestión de riesgos como el efecto de la incertidumbre sobre los objetivos. Trabajar con el estándar nos ayuda a tomar decisiones, establecer y lograr objetivos y mejorar el desempeño. Gracias a este texto podemos inferir que toda organización está sometida a un conjunto de riesgos. Ellos comprenden varios niveles:

• Riesgos estratégicos: están relacionados con los objetivos estratégicos de la organización. Por ejemplo, si la estrategia de una organización apunta a introducirse en nuevos mercados, pero se desconocen las consecuencias de incumplir las expectativas de los clientes y usuarios, se incurriría en un riesgo estratégico.
• Riesgos operacionales: Tienen que ver con el propósito de los procesos que componen el negocio. Se presentan en la ejecución de tales procesos, y, si se materializan, pueden imposibilitar que la organización o parte de ella cumpla su función. A su vez se subdividen en:

• Riesgos tecnológicos: Aluden a los equipos de tecnologías de información y comunicación y/o sus operaciones. Por ejemplo: sistemas operativos, aplicaciones, comunicaciones en las redes, entre otros. También abarcan ciberseguridad, privacidad y seguridad de la información.
• Riesgos financieros: Apuntan a las operaciones financieras, como pagos, deudas, ofertas, cobros y costos.
• Riesgos legales: Están ligados al cumplimiento de los requisitos legales y reglamentarios.
• Riesgos reputacionales: Son aquellos que tienen que ver con la imagen de la organización ante terceros.

• Riesgos de procesos: Son riesgos relacionados con los resultados de un proceso y sus interacciones. Si se materializan, afectan la eficacia y la eficiencia de la organización.
• Riesgos de proyecto: Se presentan durante el ciclo de vida de un proyecto y pueden tener las mismas características de los riesgos operacionales localizados en esa fracción de tiempo que representa el proyecto.

Cultura del riesgo

Muchas grandes empresas que durante años fueron referencias de éxito han enfrentado riesgos que no han podido gestionar con eficacia. Kodak, Nokia y Toshiba son algunos ejemplos. Pero estos fracasos pueden resultar aleccionadores para las organizaciones que siguen en pie. Una de las múltiples enseñanzas que podemos extraer es que es primordial instaurar una cultura corporativa que conciba al riesgo como parte de todas las actividades que se llevan a cabo en la compañía. Esto no quiere decir que siempre debamos pensar que está a punto de ocurrir alguna desgracia, sino que seamos conscientes de que todos los aspectos de la dinámica corporativa acarrean riesgos y que vale la pena adelantarse elaborando una política que exprese cómo se atenderá cada uno. Esta medida carecería de sentido sin la existencia de recursos que sirvan para gestionar los riesgos y sin precisión en cuanto a responsables de cada riesgo. La política y la gestión tienen que ir de la mano de los objetivos, misión, visión, valores y estrategias de la empresa. Sin concatenar estos elementos cruciales sería inviable atender los riesgos eficazmente.

¿Cómo saber si en su empresa existe una cultura del riesgo? Consideramos que sí existe, siempre existe, pues la cultura tiene que ver con la forma en que en la organización se perciben los riesgos, cómo los gestionan, qué conocen sobre ellos, en qué momento se abordan y qué papel adoptan los líderes y equipos de trabajo. Lo que realmente interesa es que esa cultura sea capaz de dotarnos de herramientas que nos ayuden a enfrentar los cambios, innovar, cumplir con la ley, fijar posiciones éticas y atender todo lo que suponga una amenaza capaz de materializarse.

ISOTools como herramienta de Gestión de Riesgos

ISOTools es una excelente herramienta para la implementación de un sistema de Gestión de Riesgos. Además de automatizar y promover una monitorización eficaz del proceso, permite una mejor coordinación de las tareas entre los directivos o responsables que hayan sido delegados para tal función.

Siguiendo los principios y las directrices de la norma ISO 31000, esta herramienta aporta ventajas que merecen ser destacadas:

• Ahorra tiempo durante la ejecución de las tareas.
• Permite realizar auto evaluaciones para definir el estado actual de la organización.
• Permite un mejor registro de los datos de los diferentes procesos.
• Realiza comparativas entre análisis de riesgos.
• Permite visualizar el avance de los proyectos y las actividades.
• Relaciona actividades similares o que guarden relación.
• Ofrece cuadros de mando para ilustrar cualquier momento del proceso.
• Permite la realización de análisis de incidencias.
• Ayuda a monitorizar la ejecución de soluciones específicas.

Norma ISO / IEC 19989-1:2020

Los avances tecnológicos representan hoy una de las principales ventajas con las que una organización puede contar, para estar a la vanguardia y satisfacer las necesidades de sus clientes y colaboradores, por medio de programas que generen mayor confianza, seguridad y control de la información, para ello los sistemas biométricos representan la mejor opción y lo mejor es que ahora estan normalizados por medio de la ISO / IEC 19989-1: 2020.

Esta nueva tecnología combina lo mejor de las características biológicas de una persona, las usa para el control del acceso a la información y datos, mediante un sistema biométrico que se adapta a las necesidades de cualquier organización, ofreciendo diversos beneficios y estando a la par de los avances más modernos en el mundo de la tecnología, dando como resultado mayor rapidez, precisión y facilidad en su utilización.

¿Qué es la Norma ISO / IEC 19989-1: 2020 seguridad de los sistemas biométricos?

Publicado en septiembre del presente año y desarrollado por el comité técnico SO / IEC JTC 1 / SC 27, este estándar establece la Seguridad de la información, criterios y metodología para la implementación de la seguridad de los sistemas biométricos.

Desarrollada con el objetivo principal de evaluar la seguridad inmersa en el reconocimiento biométrico y la detección temprana de irrupciones o ataques que puedan afectar al sistema de verificación e identificación biométrica, este estándar define específicamente los componentes funcionales de seguridad inherentes a las clases SFR en ISO / IEC 15408-2 y las actividades complementarias referentes a la metodología especificada en ISO / IEC 18045 para las clases SAR de ISO / IEC 15408-3.

La Norma ISO / IEC 19989-1: 2020 favorece la información, protección de la privacidad y la ciberseguridad, por medio de una evaluación completa de la seguridad de un sistema biométrico, sus componentes de seguridad extendidos y las actividades inmersas en esta metodología, dando una orientación completa para cualquier evaluador.

¿Qué es un sistema biométrico de seguridad?

A través de las características fisiológicas es posible realizar el reconocimiento de una persona, al hacerlo de forma automatizada, estaríamos hablando de la metodología conocida como biometría, este método utiliza diferentes plantillas biométricas que estan aisladas y no son la información personal, estos datos contienen las características de seguridad y suelen ser el iris, la huella dactilar, reconocimiento facial, de retina y de voz.

Este método es muy superior a cualquier otro, por el alto nivel de seguridad de la información, su sistema definitivamente no puede ser manipulado por actividades externas de ingeniería inversa, que le permitirían a una persona a acceder a los datos e información personal de sus registros, ya que está programado de tal forma que, no se pueda vulnerar para recrear los datos de donde se formaron inicialmente.

Principales beneficios normalización de un sistema biométrico de seguridad bajo la ISO

En la actualidad los sistemas biométricos estan siendo los más utilizados en las organizaciones, debido al alto nivel de seguridad de la información y control de acceso, a pesar de existir gran variedad de beneficios, a continuación, mencionaremos los más relevantes;

Es uno de los sistemas de mayor confiabilidad; debido a las características de control biométrico acceso, como reconocimiento de facial, de voz, huella dactilar, entre potras, el acceso a la información y datos de cada persona es unico, por tanto está altamente seguro y salvaguardado de no perderse o que alguien pueda robar la información.

Fomenta la inclusión; por sus características biométricas cualquier persona puede hacer uso de este tipo de sistemas, indiferentemente de su físico o del conocimiento previo sobre el tema, pues solo se basa en pasos sencillos y de facil comprensión, además de que no requiere de nada en especial, salvo de la persona que la va a utilizar.

El control de acceso es unico para la identificación; cada persona tiene un solo tipo rasgo de reconocimiento biológico, entre tantas variables la huella digital es una de las más usadas, además del reconocimiento de voz, que genera una huella vocal diferente para cada usuario, por ello solo podrá acceder a la información la persona a la cual correspondan los datos biométricos registrados evitando la suplantación.

Minimiza los costos de mantenimiento; como cualquier sistema programable, solo requerirá la instalación inicial y la revisión periódica a largo plazo o al momento de un mantenimiento correctivo, sin embargo, la reducción de costo más significativa se basa en que no requiere otros dispositivos para el acceso como tarjetas, llaves, celulares, entre otros, solo necesita al usuario de forma presencial y el equipo de reconocimiento,

Esta tipo de tecnología está en auge actualmente; en el mercado es muy común contar con dispositivos a la vanguardia y con sistemas tecnólogos innovadores, que cuentan con los últimos avances de la ciencia, desde los teléfonos inteligentes Android, televisores Smart, hasta carros con sistemas de conducción automáticos, por ende, los sistemas biométricos cuentan con funciones muy similares a esas, que aumentan la receptividad en su uso y facilitan estas transiciones tecnológicas.

Posiciona la imagen de corporativa; al contar con este tipo de sistemas innovadores, la organización tendrá mayor competitividad, confiabilidad y seguridad, lo cual sin duda, impacta significativamente en su imagen, la percepción y satisfacción de sus usuarios o colaboradores, demostrando ser una empresa que cuenta con alta resiliencia a los cambios y avances tecnológicos.

Sin duda, este tipo de sistemas es uno de los más usados en el mercado actual, además de estar ubicado en una creciente tendencia, debido a las enormes ventajas que ofrece, al estar normalizado por la ISO, garantiza estar bajo los más altos entandares de calidad, por medio de un análisis completo de todo su contexto.

Finalmente, el sistema biométrico de seguridad normalizado, es la solución efectiva para cualquier organización que se encuentre en la búsqueda, de modelos tecnológicos innovadores y que estén a la vanguardia, supliendo óptimamente la seguridad de la información y ofreciendo un acceso con mayor confiabilidad, además, de ser un sistema infranqueable, es flexible y adaptable a cualquier entorno laboral, por sus diversas posibilidades de uso.

La Plataforma ISOTools facilita la automatización de la evaluación de riesgos de seguridad de la información

La ISO 27001 para los Sistemas de Gestión de Seguridad de la Información es sencilla de implantar, automatizar y mantener con la Plataforma Tecnológica ISOTools.

Con ISOTools se da cumplimiento a los requisitos basados en el ciclo PHVA (Planear – Hacer – Verificar – Actuar) para establecer, implementar, mantener y mejorar el Sistema Gestión de la Seguridad de la Información, así como se da cumplimiento de manera complementaria a las buenas prácticas o controles establecidos en ISO 27002.

Este software, permite integrar la ISO 27001 con otras normas, como ISO 9001,
ISO 14001 y OHSAS 18001 de una forma sencilla gracias a su estructura modular.