La ciberdelincuencia representa una grave amenaza para las empresas de todos los sectores y tamaños, lo cual es ampliamente conocido. El repertorio va desde el espionaje hasta el sabotaje y el chantaje. Sin embargo, el peligro no sólo proviene de Internet. Sus propios empleados también pueden ser un serio factor de riesgo. Especialmente si su empresa no ha tomado las medidas adecuadas - eche un vistazo al anexo A.7 de la norma ISO 27001.
Un sistema de gestión de la seguridad de la información (SGSI) bien estructurado, de acuerdo con la norma ISO 27001, constituye la base para aplicar eficazmente una estrategia integral de seguridad de la información. El enfoque sistemático ayuda a proteger los datos confidenciales de la empresa contra la pérdida y el uso indebido y a identificar de forma fiable los riesgos potenciales para la empresa, analizarlos y hacerlos controlables mediante las medidas adecuadas. Esto implica mucho más que los aspectos de la seguridad informática. La aplicación de las medidas del anexo A de la norma es especialmente valiosa para la práctica.
ISO/IEC 27001:2013 - Tecnología de la información - Procedimientos de seguridad - Sistemas de gestión de la seguridad de la información - Requisitos.
Además de la sección de requisitos orientados al sistema de gestión (capítulos 4 a 10), el Anexo A de la norma ISO contiene una extensa lista de 35 objetivos de medidas (controles) con 114 medidas concretas sobre una amplia gama de aspectos de seguridad a lo largo de 14 capítulos.
Nota: Las afirmaciones denominadas "medidas" en el anexo A son en realidad objetivos individuales (controles). Describen cómo debe ser el resultado de las medidas adecuadas (individuales) conforme a la norma.
Las empresas deben utilizar estos controles como base para su estructuración individual y más profunda de su política de seguridad de la información. En lo que respecta al tema del personal, resulta especialmente interesante el objetivo de la medida "Seguridad del personal" del Apéndice A.7.
"Las medidas no se basan en la desconfianza de los empleados, sino en procesos de personal claramente estructurados".
Los procesos de personal garantizan, en todas las fases del empleo, la asignación de responsabilidades y funciones en materia de seguridad de la información y el control de su cumplimiento. De este modo, las violaciones de la política de seguridad de la información -tanto intencionadas como no intencionadas- no son imposibles, pero se dificultan mucho más. Y en el peor de los casos, un SGSI eficaz proporciona a la organización los mecanismos adecuados para hacer frente a la infracción.
No es en absoluto una cuestión de desconfianza si una empresa emite las directrices adecuadas para dificultar el acceso no autorizado desde el interior o, mejor aún, para evitarlo por completo. Al fin y al cabo, una cosa está clara: si el despido de un empleado es inminente o ya se ha anunciado, su descontento puede llevar a un robo de datos dirigido. Esto ocurre especialmente cuando el empleado despedido cree que tiene derechos de propiedad sobre los datos del proyecto. A la inversa, la solicitud de un determinado puesto de trabajo puede hacerse ya con la intención de cometer un acto delictivo.
Otros escenarios indican un comportamiento gravemente negligente o simplemente imprudente, que puede tener consecuencias igualmente graves. Ocurre, por ejemplo, que departamentos enteros de informática no respetan sus propias normas, demasiado engorrosas, demasiado lentas. En la oficina, es el manejo descuidado de las contraseñas o de los smartphones sin protección. Pero también la conexión descuidada de memorias USB, los documentos abiertos en la pantalla, los documentos secretos en las oficinas vacías: la lista de posibles omisiones es larga.
Las empresas que han implantado un sistema de gestión de la seguridad de la información (SGSI) de acuerdo con la norma ISO 27001 están en mejor posición en este punto. Conocen los requisitos y el anexo A.7 de la norma internacionalmente reconocida, relevante para la práctica. Porque la ISO 27001 tiene mucho que ofrecer aquí: Aunque las medidas de referencia se refieren directamente a los requisitos de la norma, siempre están dirigidas a la práctica directa de la empresa.
Las empresas con un SGSI eficaz están familiarizadas con los objetivos especificados en el apartado A.7, que deben aplicarse con vistas a la seguridad del personal para el pleno cumplimiento de la norma, en todas las fases del empleo.
La organización debe asegurarse de que un nuevo empleado entiende sus futuras responsabilidades y es adecuado para su función antes de contratarlo - según el Anexo A.7.1. En la sección de requisitos (capítulo 7.2), la norma habla de "competencia".
Como medida de referencia orientada a los objetivos, los aspirantes a un puesto de trabajo reciben primero una comprobación de seguridad que cumple con los principios éticos y las leyes aplicables. Este control debe ser adecuado en relación con las necesidades de la empresa, la clasificación de la información que se va a obtener y los posibles riesgos (A.7.1.1). Para ello, entre otras cosas, debe existir, garantizarse o verificarse lo siguiente
El siguiente paso se refiere a las condiciones de empleo y contractuales. Así, esta medida de referencia del Anexo A de la norma ISO/IEC 27001 consiste en el acuerdo contractual sobre las responsabilidades que tienen los empleados hacia la empresa y viceversa (A.7.1.2). La implementación exitosa de este requisito incluye, entre otras cosas, el cumplimiento de estos puntos:
Los empleados deben ser conscientes de sus responsabilidades en materia de seguridad de la información. Este es el objetivo de A.7.2, y lo que es más importante, los empleados deben cumplir con estas responsabilidades.
La primera medida (A.7.2.1) está dirigida a la obligación de la dirección de animar a sus empleados a aplicar la seguridad de la información de acuerdo con las políticas y procedimientos establecidos. Para ello, deben regularse como mínimo los siguientes puntos:
En el capítulo 7.3 "Concienciación", la norma ISO 27001 exige que las personas que realizan actividades relevantes sean conscientes de lo siguiente
Los nuevos empleados, en particular, necesitan información periódica sobre el tema, por ejemplo, por correo electrónico o a través de la intranet, además de la sesión informativa obligatoria sobre cuestiones de seguridad de la información. La formación concreta (especialmente sobre planes y ejercicios de emergencia), los talleres sobre temas específicos y las campañas de concienciación (por ejemplo, mediante carteles) refuerzan el conocimiento del sistema de gestión de la seguridad de la información.
Por ejemplo, la medida de referencia A.7.2.1 del Anexo A de la norma ISO 27001 también sirve para crear una conciencia adecuada sobre la seguridad de la información. Las organizaciones deben formar y educar a sus empleados y, en su caso, a sus contratistas en temas profesionalmente relevantes. Las políticas y procedimientos correspondientes deben actualizarse regularmente. Deben tenerse en cuenta, entre otros, los siguientes aspectos
SUGERENCIA: Garantizar el buen funcionamiento de la comunicación con múltiples canales para la transferencia de conocimientos. Esto se debe a que la concienciación sobre el SGSI y los aspectos relacionados requeridos por la norma están estrechamente relacionados con la transferencia de conocimientos.
Anexo 7.2.3: Esta medida especifica la manera en que la organización manejará las reprimendas en caso de violaciones a la seguridad de la información. La base para ello es un proceso de acción correctiva. Deberá definirse, establecerse y anunciarse formalmente. Debe garantizarse lo siguiente:
El Anexo A.7.3 de la norma ISO 27001 especifica como objetivo un proceso efectivo de terminación o cambio para proteger los intereses de la organización. Este objetivo se centra en las responsabilidades para la terminación o el cambio de empleo. En consecuencia, las responsabilidades y obligaciones relacionadas con la seguridad de la información que permanecen después de la terminación o el cambio de empleo deben ser definidas, comunicadas y aplicadas. Tiene sentido considerar estos aspectos:
La amenaza interna es real y la mayoría de las empresas son conscientes de ello. Según un estudio de seguridad (Balabit 2018), los empleados que tienen amplios derechos de acceso son particularmente vulnerables a los ataques. Y con los empleados involucrados en el 50 por ciento de todas las violaciones de seguridad, el 69 por ciento de los profesionales de TI que respondieron consideran que una violación de datos internos es el mayor riesgo. Sin embargo, se hace poco al respecto. En la práctica, a menudo es difícil formular acusaciones contra el personal interno. Especialmente en las pequeñas y medianas empresas (PYMES), donde las personas se conocen entre sí, se suele depositar cierta confianza en ellas, a veces con consecuencias desagradables. Una gestión de la seguridad de la información bien estructurada constituye la base para garantizar la seguridad de la información que requiere protección.
En el Anexo A.7, la norma ISO/IEC 27001 proporciona medidas de referencia para la seguridad del personal que deben implementarse como parte de la introducción de la norma. Las empresas deben utilizar estos controles como base para el diseño individual y más profundo de su política de seguridad de la información. Las medidas no se basan en la desconfianza de los empleados, sino en procesos de personal claramente estructurados.
Las empresas certificadas valoran los sistemas de gestión como herramientas para la alta dirección que crean transparencia, reducen la complejidad y proporcionan seguridad. Sin embargo, los sistemas de gestión hacen aún más: Evaluados y certificados por una tercera parte neutral e independiente como DQS , crean confianza con las partes interesadas en el rendimiento de su empresa.
Muchas organizaciones siguen considerando la certificación como un control de cumplimiento. Nuestros clientes, en cambio, lo ven como una oportunidad para centrarse en los factores críticos para el éxito y los resultados de su sistema de gestión. Porque nuestras principales competencias residen en la realización de auditorías y evaluaciones de certificación. Esto nos convierte en uno de los proveedores líderes a nivel mundial con la pretensión de establecer nuevos estándares de fiabilidad, calidad y orientación al cliente en todo momento
¿Cuánto trabajo tiene que hacer para que su sistema de gestión de la seguridad de la información se certifique según la norma ISO 27001? Descúbralo de forma gratuita y sin compromiso.
Nota: Nuestros artículos están escritos exclusivamente por nuestros expertos en sistemas de gestión y auditores de larga trayectoria. Si tiene alguna pregunta para nuestros autores sobre la seguridad de la información (SGSI), póngase en contacto con nosotros. Estaremos encantados de hablar con usted.
Director de producto en DQS para la gestión de la seguridad de la información. Como experto en normas para el área de la seguridad de la información y el catálogo de seguridad informática (infraestructuras críticas), André Säckel es responsable, entre otras, de las siguientes normas y estándares específicos del sector ISO 27001, ISIS12, ISO 20000-1, KRITIS y TISAX (seguridad de la información en la industria del automóvil). También es miembro del grupo de trabajo ISO/IEC JTC 1/SC 27/WG 1 como delegado nacional del Instituto Alemán de Normalización DIN.
