loader
talkie

Cuando hablamos de información estamos hablando del conocimiento que tenemos, de todas las tecnologías de información y comunicación, de la información que se almacena en dispositivos, en bases de datos, información que se está utilizando en las computadoras o que se trasiega a través de la red de comunicaciones de la empresa; todo esto es información: archivos electrónicos, conversaciones, charlas, impresos, bases de datos y sistemas de información.

¿Qué tipos de información tienen las empresas?

Las empresas tienen información propia de la empresa, dependiendo del tipo de empresa  se tiene  información de sus clientes -importante darle un tratamiento a esa información para que no se filtre y comiencen a darse la venta de bases de datos de clientes en el “mercado negro”-. Además,  es necesario proteger  la información de los socios comerciales, y la información de los colaboradores.

¿Cómo clasificamos esta información?

Para la clasificación de la información se toma como base  la norma ISO 27001, ahí tenemos:

Pública: Información a la que todos podemos tener acceso.

Interna o privada: Sólo cierto grupo de la empresa puede tener acceso, lo cual va con declaraciones de confidencialidad, mediante inventario de la información.

Confidencial: En ciertos países se le da la categoría, a esta información, de secreto de estado, en Costa Rica se le llama información confidencial -casi todas las empresas de gobierno utilizan esta clasificación de la norma ISO 27001-.

Los activos de información son soportados por otros  activos  -equipos de computación, router ( Un rúter,​ enrutador​ -del inglés router- o encaminador​ es un dispositivo que permite interconectar redes con distinto prefijo en su dirección IP. Su función es la de establecer la mejor ruta que destinará a cada paquete de datos para llegar a la red y al dispositivo de destino.) , etc.-, que los soportan. Todos estos activos tienen sus vulnerabilidades, esto genera riesgo para la empresa. Toda empresa debe generar el nivel de riesgo y el “apetito al riesgo”, para ver qué  tanto riesgo se puede tolerar. Es decir, definir los riesgos y tener una gestión de estos, mediante una implementación de controles, que permitan mitigar todos los riesgos a los que se puede o está expuesto. La sección de riesgos y controles tienen que hacer un monitoreo y evaluarse la efectividad de los controles, esto porque no se debe estar invirtiendo en controles que no están llegando a los objetivos que se tienen establecidos para esos controles. En caso de que no se estén cumpliendo los objetivos significa que se debe cambiar los controles para enfrentar cualquier vector de ataque que pueda vulnerar los sistemas.

Confidencialidad es la cualidad de información de no ser revelada a personas o entidades no autorizadas. Esto es que las personas tengan acceso a la información que necesitan para trabajar y no más que eso.

Integridad es la cualidad de salvaguardar la exactitud y estado completo de los activos de información, esto qué quiere decir, que yo pueda acceder a la información y que ésta no esté, alterada o corrupta, es decir que se pueda acceder de forma íntegra sin que se haya cambiado ningún dato.

Disponibilidad es la cualidad de la información de ser accesible y utilizable por la autoridad autorizada. Es decir, que se pueda tener acceso a la información en el momento en que se necesite, con base en los permisos que se tienen habilitados -para acceder a la información- a su vez basado en la confidencialidad.

En general, la norma citada aborda otros conceptos que son requeridos en este contexto de seguridad, tales como los que se aprecian en la imagen siguiente, lo cual es parte de un vocabulario que se requiere manejar cuando se implementa un sistema de gestión de seguridad de información en la empresa.

Se requiere tener claro que trabajamos con base en la confidencialidad, integridad y disponibilidad (triada de la seguridad de la información). Eso sí, considerando que, en lo que seguridad de la información se refiere, se necesita un balance entre personas, procesos y tecnología.

¿Cómo podemos lograrlo?, mediante la implementación de un conjunto de controles que se seleccionan mediante un análisis de riesgo para poder definir cuál es el riesgo que se está teniendo en la empresa, cuáles son los controles adecuados, y todo va a estar administrado a través de un sistema de gestión de seguridad de la información, como lo indica la norma ISO 27001.

La seguridad de la información es un proceso de gestión y no es un proceso tecnológico. La ISO 27001 especifica los requisitos para establecer, implementar, operar, dar seguimiento, revisar, mantener y mejorar un SGSI (Sistema de Gestión de la Seguridad Implementado) documentado dentro del contexto de los riesgos globales del negocio de la organización. Para esto se requiere especificar el alcance del SGSI, analizar cuáles son las partes interesadas, el contexto interno y externo -de la organización-  y a partir de ahí empezar a construir un inventario de activos, hacer un análisis de riesgos, evaluar esos riesgos  y establecer controles que permitan hacer un plan de tratamiento de riesgos. Este sistema de gestión tiene que estar en constante monitoreo para hacer cambios pertinentes conforme se requieren y así poder mantener un sistema de gestión actualizado, que no tenga “no conformidades”- en caso de que se quiera un sistema de gestión certificado a nivel internacional-.

También en la ISO 27001 viene otro documento que se llama ISO/IEC 27002.

ISO / IEC 27002 es la parte de controles, de la cual se hizo una revisión este año -febrero 22- y se generó un cambio con respecto a la parte de seguridad cibernética y la protección de la privacidad; se espera que se publique una enmienda este mismo año -octubre 22- de la ISO 27001 para que exista reciprocidad entre ambos documentos y que se conozca qué es lo que se debe implementar con respecto a este cambio que se dio en la ISO / IEC 27002.  Como nota, esta norma ISO 27001 no se ha cambiado desde el 2013 (desde ese año al 2022 han pasado muchas cosas en lo que respecta a la seguridad de la información y ciberseguridad).  La ISO se había quedado mucho en lo que es ciberseguridad y otras normas como las NIST 800-53 (Cybersecurity Framework (CSF)) que es un frame de ciberseguridad  del Instituto  Nacional de Estándares y Tecnologías (NIST), aunque no es una norma que se pueda certificar en el país -Costa Rica- porque es una norma americana, y solamente las agencias federales de los Estados Unidos pueden certificar esto. A pesar de que no se pueda certificar es una muy buena práctica tomarlo como marco de ciberseguridad para las empresas.

Las empresas que tengan una norma ISO 27001 certificada tienen un período de 3 años para que puedan hacer los cambios una vez se actualice la norma.

Ahora bien, la gente de la ISO recomienda que las empresas comiencen a trabajar con los controles publicados este año, en donde se tienen documentos que son obligatorios para la norma, que es un documento de aplicabilidad, donde la empresa dice cuáles son los controles que aplican para la empresa (qué tengo implementado y qué no, incluso si no se va a implementar algo se expresa la razón). También está el plan de tratamiento de riesgos que es con base en los controles que se eligieron. Por esto la ISO recomienda que las empresas comiencen a trabajar con esto. En Costa Rica los que se encargan de traducir la norma es INTECO (Instituto de Normas Técnicas de Costa Rica),  de hecho ya tradujo esta norma ISO 27002 pero no se ha oficializado.

Uno de los mayores cambios que hubo en esta norma de controles de la ISO, es que ahora es mucho más específica que la que se tenía en el 2013, esto porque ahora ellos identifican controles que tienen una cierta definición por el tipo (preventivos, detectivos y correctivos). Esto lo está incorporando la norma, ya no permite la interpretación de la persona.  También tienen una sección de propiedades de la información para la cual indica si el control es para la confidencialidad, si es para la integridad y si es para la disponibilidad (triada de la seguridad de la información). Además, tienen los conceptos de ciberseguridad que se utilizaba en la norma NIST 800-53, donde ellos utilizan 5 funciones principales: identificar, proteger, detectar, responder y recuperar. Esto, para las personas que han estado trabajando -en este contexto- desde del 2012, fue como una explosión de conocimiento, una norma que se había quedado mucho tiempo sin actualizaciones incorpora ahora lo que le hacía falta. La familia de normas de la 27001 tiene un documento específico que es la ISO/27032, que es la parte de ciberseguridad, donde se sugerían ciertos controles, como para completar lo que se estaba dejando por fuera que es la parte de ciberseguridad, y privacidad. Ahora no, lo nuevo sí implica un deber de cumplimiento, es decir son “debes”. También tiene la parte de las capacidades operativas, es decir la parte de gestión de activos, protección de la información, seguridad de los recursos humanos, seguridad física, etc. Esto le ha venido a dar mucho sentido a la norma 27002; a continuación, los nuevos controles.

5.7 Inteligencia de amenazas, 2.23 es la seguridad de la información para el uso de servicios en la nube (elementos que instituciones o empresas sí tienen mapeados pero que en la norma no se había abordado), 5.30 continuidad del negocio; 7.4 monitoreo de actividad física; 8.9 gestión de las configuraciones, 8.10 borrado de información; 8.11 enmascaramiento de la información; 8.12 la prevención de filtrado de datos; 8.16 monitoreo de servicios; 8.22 filtrado web; 8.28 codificación segura. Estas son condiciones que no se tomaban en cuenta antes como parte de los deberes de la norma. Se eliminó un control 11.2.5 sobre eliminación de activos.

Para finalizar, se recomienda, para ampliar con respecto  de la ISO/27032, observar el siguiente vídeo:Fases para Implementar un Programa Ciberseguridad | ISO/IEC 27032 y la NIST Cibersecurity

FIN