Medidas técnicas en seguridad de la información

Contenido

• La información corporativa como codiciado objetivo de ataque
• Tres nuevas medidas para una mayor seguridad de la información
• Eliminación de información
• Enmascaramiento de datos
• Prevención de fugas de datos
• Medidas técnicas en seguridad de la información: una conclusión.
• ¿Qué significa la actualización para su certificación?
• DQS: su socio competente para la seguridad de la información certificada

La información corporativa es un codiciado objetivo de ataque

El estudio " Wirtschaftsschutz 2022 " ( Protección Empresarial 2022 ) de la asociación industrial alemana Bitkom confirma que los hackers son muy conscientes del valor económico de la información y los datos en el mundo empresarial actual: el 36 por ciento de las empresas encuestadas ya se han visto afectadas por el robo de datos sensibles e información digital. Los objetivos particularmente populares son los datos de comunicaciones con un 68 por ciento y los datos de clientes con un 45 por ciento.

Los daños causados por chantajes, violaciones de patentes y pérdidas de ventas directamente atribuibles al robo de datos ascienden a varios miles de millones de euros al año.

Las empresas y organizaciones necesitan fortalecer aún más la protección al procesar sus datos críticos. Directrices adicionales ayudan a mejorar aún más el concepto de seguridad general y reducir la superficie de ataque.

Tres nuevas medidas técnicas para una mayor seguridad de la información

Las 93 medidas del Anexo A de la nueva norma ISO/IEC 27001:2022 han sido reorganizados en cuatro temas :

• Medidas organizativas
• Medidas personales
• Medidas fisicas
• Medidas técnicas

El tres nuevas medidas para la protección de la información que veremos con más detalle a continuación pertenecen al área temática "Medidas técnicas":

• 8.10 Eliminación de información
• 8.11 Enmascaramiento de datos
• 8.12 Prevención de fugas de datos

Eliminación de información

Control 8,10 pulgadas  ISO 27001 aborda los riesgos que plantea la información que ya no es necesaria pero que aún se encuentra en sistemas de información, dispositivos u otros medios de almacenamiento. La eliminación de estos datos, que ya son innecesarios, evita su divulgación, lo que garantiza el cumplimiento de los requisitos legales, reglamentarios y contractuales para la eliminación de datos.

Al hacerlo, las empresas y organizaciones deben considerar los siguientes puntos:

• Elegir un método de borrado que sea apropiado a la luz del entorno empresarial y legal, como la sobrescritura electrónica o el borrado criptográfico.
• Documentación de los resultados.
• Proporcionar evidencia cuando se utilizan proveedores de servicios para eliminar información.

Si terceros se hacen cargo del almacenamiento de datos en nombre de su empresa, los requisitos para la eliminación deben estar escritos en el acuerdo contractual para hacer cumplir esto durante e incluso después de la terminación de estos servicios.

Para garantizar la eliminación confiable de información confidencial, al tiempo que se garantiza el cumplimiento de las políticas de retención de datos relevantes y las leyes y regulaciones aplicables, el nuevo estándar prevé los siguientes procedimientos, servicios y tecnologías:

• Establecimiento de sistemas dedicados que permitan la destrucción segura de información, por ejemplo, de acuerdo con las políticas de retención o a solicitud de las personas afectadas.
• Eliminación de versiones obsoletas, copias o archivos temporales en todos los medios de almacenamiento.
• Uso exclusivo de software de borrado seguro y aprobado para eliminar información de forma permanente y permanente
• Eliminación a través de proveedores de servicios de eliminación segura aprobados y certificados
• Usar métodos de eliminación apropiados para el medio de almacenamiento particular que se va a eliminar, como la desmagnetización de discos duros.

Al utilizar servicios en la nube, es importante comprobar la permisibilidad de los procedimientos de borrado ofrecidos. Si se da esto, la organización debe utilizar el procedimiento de eliminación o solicitar al proveedor de la nube que elimine la información. Si es posible, estos procesos de eliminación deben automatizarse como parte de las directrices específicas del tema.

Para evitar la divulgación involuntaria de información confidencial, todo el almacenamiento del dispositivo devuelto a los proveedores debe eliminarse antes de la devolución. En algunos dispositivos, como los teléfonos inteligentes, la eliminación de datos solo es posible mediante destrucción o funciones internas (por ejemplo, restaurar la configuración de fábrica). Dependiendo de la clasificación de la información, es importante elegir un procedimiento adecuado.

Los procesos de eliminación deben documentarse, dependiendo de la sensibilidad, para poder probar la eliminación de datos en caso de duda.

Enmascaramiento de datos

Para una variedad de información sensible, como el procesamiento de datos personales, los requisitos reglamentarios o específicos de la empresa y de la industria estipulan el enmascaramiento, la seudonimización o la anonimización de la información. En el Control 8.11 se proporciona una guía para estas medidas.

Las técnicas de seudonimización o anonimización permiten ocultar datos personales, ocultar los datos verdaderos y ocultar los enlaces cruzados de información. Para implementar esto de manera efectiva, es importante abordar adecuadamente todos los elementos relevantes de la información confidencial.

Mientras que la anonimización modifica los datos de forma irrevocable, en el caso de la seudonimización es muy posible extraer conclusiones sobre una verdadera identidad mediante información cruzada adicional. Por lo tanto, la información cruzada adicional debe mantenerse separada y protegida durante el proceso de seudonimización.

Otras técnicas para enmascarar datos incluyen:

• Cifrado
• Ceros o eliminación de caracteres.
• Diferentes números y fechas.
• Sustitución: reemplazar un valor por otro para ocultar datos confidenciales
• Reemplazar valores con su hash

A la hora de implementar estas Medidas Técnicas de Seguridad de la Información es importante tener en cuenta una serie de aspectos:

• Los usuarios no deberían tener acceso a todos los datos, sino que sólo deberían poder ver los datos que realmente necesitan.
• En algunos casos, no todos los datos de un conjunto de datos deberían ser visibles para los usuarios. En este caso, se deben diseñar e implementar procedimientos de ofuscación de datos. Ejemplo: datos de pacientes en un registro médico que no deben ser visibles para todo el personal, sino solo para los empleados con roles específicos relevantes para el tratamiento.
• En algunos casos, la ocultación de los datos no debería ser evidente para quienes acceden a los datos (ofuscación de la ocultación) si, por ejemplo, se pueden sacar conclusiones sobre la fecha real a través de la categoría de datos (embarazo, análisis de sangre, etc.).
• Requisitos legales o reglamentarios, por ejemplo el requisito de enmascarar los datos de las tarjetas de pago durante el procesamiento o el almacenamiento.

En general, el enmascaramiento de datos, la seudonimización o la anonimización requieren algunos puntos generales:

• La eficacia del enmascaramiento de datos, la seudonimización o la anonimización depende en gran medida del uso de los datos procesados.
• El acceso a los datos procesados debe estar garantizado mediante mecanismos de protección adecuados.
• Consideración de acuerdos o restricciones respecto del uso de los datos procesados.
• Prohibir que los datos procesados sean cotejados con otra información para identificar al interesado.
• Realice un seguimiento y controle de forma segura el suministro y la recepción de datos procesados.

Prevención de la fuga de datos

Control 8.12 está diseñado para evitar la fuga de datos y formula medidas específicas que se aplicarán a todos los sistemas, redes y otros dispositivos que procesan, almacenan o transmiten información confidencial. Para minimizar la fuga de datos confidenciales, las organizaciones deben considerar lo siguiente:

• Identificar y clasificar información, por ejemplo, datos personales, modelos de precios y diseños de productos.
• Monitorear los canales a través de los cuales se pueden filtrar datos, como correo electrónico, transferencias de archivos, dispositivos móviles y dispositivos de almacenamiento móviles.
• Medidas que previenen la fuga de datos, por ejemplo, poner en cuarentena los correos electrónicos que contienen información confidencial.

Para evitar fugas de datos en estructuras de TI modernas y complejas con su multitud de datos diferentes, las organizaciones también necesitan herramientas adecuadas para

• Identificar y monitorear información confidencial en riesgo de divulgación no autorizada, por ejemplo, en datos no estructurados en el sistema de un usuario.
• Detectar divulgaciones de datos confidenciales, como cuando los datos se cargan en servicios en la nube de terceros que no son de confianza o se envían por correo electrónico.
• Bloquear acciones de usuario o transferencias de red que expongan información crítica, como evitar que las entradas de la base de datos se copien en una hoja de cálculo.

Las organizaciones deberían cuestionar críticamente la necesidad de restringir los permisos de los usuarios para copiar, pegar o cargar datos en servicios, dispositivos y medios de almacenamiento fuera de la organización. Si es necesario, también puede ser necesario implementar herramientas apropiadas para evitar la fuga de datos o configurar adecuadamente las tecnologías existentes.

Por ejemplo, los usuarios pueden recibir permiso para ver y editar datos de forma remota, pero no para copiarlos y pegarlos fuera del control de su organización. Si aún se requiere una exportación de datos, el propietario de los datos puede aprobarla caso por caso y responsabilizar a los usuarios por actividades no deseadas si es necesario.

La prevención de fugas de datos también se aplica explícitamente a la protección de información confidencial o secretos comerciales que pueden ser utilizados indebidamente con fines de espionaje o pueden ser de vital importancia para la comunidad. En este caso, también deberían diseñarse medidas para confundir a los atacantes, por ejemplo, sustituyéndolas con información falsa, ingeniería social inversa o utilizando tarros de miel para atraer a los atacantes.

Las fugas de datos pueden estar respaldadas por controles de seguridad estándar, por ejemplo, a través de políticas temáticas específicas para el control de acceso y la gestión segura de documentos (ver también Medidas/Controles 5.12 y 5.15).

Importante al utilizar herramientas de monitoreo

Para proteger su propia información, muchas herramientas también monitorean inevitablemente las comunicaciones de los empleados, las actividades en línea y los mensajes de terceros. Este seguimiento plantea diferentes cuestiones jurídicas que deben considerarse antes de utilizar las herramientas de seguimiento adecuadas. Es necesario equilibrar el nivel de seguimiento con una variedad de leyes sobre privacidad, protección de datos, empleo, interceptación de datos y telecomunicaciones.

Medidas técnicas en seguridad de la información: una conclusión.

En el contexto general los objetivos de protección de la seguridad de la información de integridad y disponibilidad de la confidencialidad, los procedimientos de procesamiento de datos aquí descritos desempeñan un papel clave en la protección mejorada de los datos confidenciales.

Con un monitoreo continuo del flujo de datos e información, el enmascaramiento de información confidencial y políticas estrictas de eliminación de datos, las empresas pueden mejorar de manera sostenible su protección contra la fuga y pérdida de datos y contrarrestar la publicación involuntaria de información crítica. Además, los procedimientos contribuyen decisivamente a la ciberseguridad en toda la empresa y minimizan la superficie de ataque de los piratas informáticos y el espionaje industrial.

Para las empresas y organizaciones, ahora se trata de establecer adecuadamente los procedimientos y las herramientas necesarias e integrarlos en sus procesos comerciales para demostrar la implementación de los requisitos conforme a los estándares en futuras auditorías de certificación.

Con la visión profesional de nuestro experimentado  auditores y nuestra experiencia en certificación de más de 35 años, nos recomendamos como su persona de contacto para los temas de seguridad de la información y certificación según ISO 27001 .

¿Qué significa la actualización para su certificación?

ISO/IEC 27001:2022 se publicó el 25 de octubre de 2022. Esto da como resultado los siguientes plazos y períodos de transición para los usuarios:

Última fecha para auditorías iniciales y de recertificación según la “antigua” ISO 27001:2013.

• Después del 30 de abril de 2024, DQS realizará auditorías iniciales y de recertificación únicamente de acuerdo con la nueva norma ISO/IEC 27001:2022.

Conversión de todos los certificados existentes según la "antigua" ISO/IEC 27001:2013 a la nueva ISO/IEC 27001:2022

• Hay un período de transición de tres años a partir del 31 de octubre de 2022.
• Los certificados emitidos según ISO/IEC 27001:2013 o EN ISO/IEC 27001:2017 son válidos hasta el 31 de octubre de 2025 a más tardar o deben retirarse en esta fecha.

DQS: su socio competente en materia de seguridad de la información certificada

Gracias a los periodos de transición, las empresas tienen tiempo suficiente para adaptar su gestión de seguridad de la información a los nuevos requisitos y tenerla certificada. Sin embargo, no se debe subestimar la duración y el esfuerzo de todo el proceso de cambio, especialmente si no se dispone de suficiente personal especializado. Si quiere estar seguro, debería solucionar el problema lo antes posible y, si es necesario, recurrir a especialistas con experiencia.

Como expertos en auditoría y certificación con más de 35 años de experiencia, estaremos encantados de ayudarle durante una  auditoría delta . Infórmese con nuestros numerosos auditores experimentados sobre los cambios más importantes y su relevancia para su organización. Esperamos audiencia de ti.

Confianza y experiencia

Nuestros textos están escritos exclusivamente por nuestros expertos internos en sistemas de gestión y auditores veteranos. Si tiene alguna pregunta para el autor, no dude en  contactarnos