La ciberdelincuencia representa una grave amenaza para las empresas de todos los sectores y tamaños, lo cual es ampliamente conocido. El repertorio va desde el espionaje hasta el sabotaje y el chantaje. Sin embargo, el peligro no sólo proviene de Internet. Sus propios empleados también pueden ser un serio factor de riesgo. Especialmente si su empresa no ha tomado las medidas adecuadas - eche un vistazo al anexo A.7 de la norma ISO 27001.

Loading...

Un sistema de gestión de la seguridad de la información (SGSI) bien estructurado, de acuerdo con la norma ISO 27001, constituye la base para aplicar eficazmente una estrategia integral de seguridad de la información. El enfoque sistemático ayuda a proteger los datos confidenciales de la empresa contra la pérdida y el uso indebido y a identificar de forma fiable los riesgos potenciales para la empresa, analizarlos y hacerlos controlables mediante las medidas adecuadas. Esto implica mucho más que los aspectos de la seguridad informática. La aplicación de las medidas del anexo A de la norma es especialmente valiosa para la práctica.

ISO/IEC 27001:2013 - Tecnología de la información - Procedimientos de seguridad - Sistemas de gestión de la seguridad de la información - Requisitos.

Anexo A de la norma ISO 27001: Relevante desde el punto de vista práctico

Además de la sección de requisitos orientados al sistema de gestión (capítulos 4 a 10), el anexo A de la norma ISO versión 2017 contiene una extensa lista de 35 objetivos de medidas (controles) con 114 medidas concretas sobre una amplia gama de aspectos de seguridad a lo largo de 14 capítulos.

Nota: Las afirmaciones denominadas "medidas" en el anexo A son en realidad objetivos individuales (controles). Describen cómo debe ser el resultado de las medidas adecuadas (individuales) conforme a la norma.

Las empresas deben utilizar estos controles como base para su estructuración individual y más profunda de su política de seguridad de la información. En lo que respecta al tema del personal, resulta especialmente interesante el objetivo de la medida "Seguridad del personal" del Apéndice A.7.

"Las medidas no se basan en la desconfianza de los empleados, sino en procesos de personal claramente estructurados".

Los procesos de personal garantizan, en todas las fases del empleo, la asignación de responsabilidades y funciones en materia de seguridad de la información y el control de su cumplimiento. De este modo, las violaciones de la política de seguridad de la información -tanto intencionadas como no intencionadas- no son imposibles, pero se dificultan mucho más. Y en el peor de los casos, un SGSI eficaz proporciona a la organización los mecanismos adecuados para hacer frente a la infracción.

Loading...

Conocimiento valioso: La guía de auditoría de DQS

Benefíciese de excelentes preguntas de auditoría y posibles pruebas sobre acciones seleccionadas. La guía se basa en la norma ISO/IEC 27001

¡Es mucho más que una lista de comprobación!Creada por nuestros expertos en el mundo real. 

La seguridad de la información no es una cuestión de desconfianza

No es en absoluto una cuestión de desconfianza si una empresa emite las directrices adecuadas para dificultar el acceso no autorizado desde el interior o, mejor aún, para evitarlo por completo. Al fin y al cabo, una cosa está clara: si el despido de un empleado es inminente o ya se ha anunciado, su descontento puede llevar a un robo de datos dirigido. Esto ocurre especialmente cuando el empleado despedido cree que tiene derechos de propiedad sobre los datos del proyecto. A la inversa, la solicitud de un determinado puesto de trabajo puede hacerse ya con la intención de cometer un acto delictivo.

Otros escenarios indican un comportamiento gravemente negligente o simplemente imprudente, que puede tener consecuencias igualmente graves. Ocurre, por ejemplo, que departamentos enteros de informática no respetan sus propias normas, demasiado engorrosas, demasiado lentas. En la oficina, es el manejo descuidado de las contraseñas o de los smartphones sin protección. Pero también la conexión descuidada de memorias USB, los documentos abiertos en la pantalla, los documentos secretos en las oficinas vacías: la lista de posibles omisiones es larga.

Anexo A.7 de la norma ISO 27001 - Seguridad del personal

Las empresas que han implantado un sistema de gestión de la seguridad de la información (SGSI) de acuerdo con la norma ISO 27001 están en mejor posición en este punto. Conocen los requisitos y el anexo A.7 de la norma internacionalmente reconocida, relevante para la práctica. Porque la ISO 27001 tiene mucho que ofrecer aquí: Aunque las medidas de referencia se refieren directamente a los requisitos de la norma, siempre están dirigidas a la práctica directa de la empresa.

Las empresas con un SGSI eficaz están familiarizadas con los objetivos especificados en el apartado A.7, que deben aplicarse con vistas a la seguridad del personal para el pleno cumplimiento de la norma, en todas las fases del empleo.

¿Qué dice la norma ISO 27001 en el anexo A.7?

Medidas antes de la contratación

La organización debe asegurarse de que un nuevo empleado entiende sus futuras responsabilidades y es adecuado para su función antes de contratarlo - según el Anexo A.7.1. En la sección de requisitos (capítulo 7.2), la norma habla de "competencia".

Como medida de referencia orientada a los objetivos, los aspirantes a un puesto de trabajo reciben primero una comprobación de seguridad que cumple con los principios éticos y las leyes aplicables. Este control debe ser adecuado en relación con las necesidades de la empresa, la clasificación de la información que se va a obtener y los posibles riesgos (A.7.1.1). Para ello, entre otras cosas, debe existir, garantizarse o verificarse lo siguiente

  • Un procedimiento para obtener información (cómo y en qué condiciones)
  • Una lista de criterios legales y éticos que se deben observar
  • El control de seguridad debe ser adecuado, relacionado con los riesgos y las necesidades de la empresa
  • La verosimilitud y autenticidad del C.V., los estados financieros y otros documentos
  • La fiabilidad y competencia del solicitante para el puesto previsto

Acuerdos contractuales

El siguiente paso se refiere a las condiciones de empleo y contractuales. Así, esta medida de referencia del Anexo A de la norma ISO/IEC 27001 consiste en el acuerdo contractual sobre las responsabilidades que tienen los empleados hacia la empresa y viceversa (A.7.1.2). La implementación exitosa de este requisito incluye, entre otras cosas, el cumplimiento de estos puntos:

  • La firma de un acuerdo de confidencialidad por parte del empleado (contratista) con acceso a información confidencial
  • Una obligación contractual por parte del empleado (contratista) de respetar, por ejemplo, los derechos de autor o la protección de datos
  • Una disposición contractual sobre la responsabilidad de los empleados (contratistas) al manejar información externa

Durante el empleo - Las responsabilidades de la alta dirección.

Los empleados deben ser conscientes de sus responsabilidades en materia de seguridad de la información. Este es el objetivo de A.7.2, y lo que es más importante, los empleados deben cumplir con estas responsabilidades.

La primera medida (A.7.2.1) está dirigida a la obligación de la dirección de animar a sus empleados a aplicar la seguridad de la información de acuerdo con las políticas y procedimientos establecidos. Para ello, deben regularse como mínimo los siguientes puntos:

  • ¿De qué manera anima la alta dirección a los empleados a aplicar? ¿Dónde están los riesgos?
  • ¿Cómo se asegura de que los empleados conocen las directrices implantadas para tratar la seguridad de la información?
  • ¿Cómo comprueba si los empleados cumplen las directrices para tratar la seguridad de la información?
  • ¿Cómo motiva a sus empleados para que pongan en práctica las políticas y procedimientos y los apliquen de forma segura?

Concienciación

En el capítulo 7.3 "Concienciación", la norma ISO 27001 exige que las personas que realizan actividades relevantes sean conscientes de lo siguiente

  • De la política de seguridad de la información de la organización
  • De la contribución que hacen a la eficacia del sistema de gestión de la seguridad de la información (SGSI)
  • Los beneficios de la mejora del rendimiento de la seguridad de la información
  • Las consecuencias de no cumplir los requisitos del SGSI

Los nuevos empleados, en particular, necesitan información periódica sobre el tema, por ejemplo, por correo electrónico o a través de la intranet, además de la sesión informativa obligatoria sobre cuestiones de seguridad de la información. La formación concreta (especialmente sobre planes y ejercicios de emergencia), los talleres sobre temas específicos y las campañas de concienciación (por ejemplo, mediante carteles) refuerzan el conocimiento del sistema de gestión de la seguridad de la información.

Por ejemplo, la medida de referencia A.7.2.1 del Anexo A de la norma ISO 27001 también sirve para crear una conciencia adecuada sobre la seguridad de la información. Las organizaciones deben formar y educar a sus empleados y, en su caso, a sus contratistas en temas profesionalmente relevantes. Las políticas y procedimientos correspondientes deben actualizarse regularmente. Deben tenerse en cuenta, entre otros, los siguientes aspectos

  • La forma en que la alta dirección, por su parte, se compromete con la seguridad de la información
  • La naturaleza de la formación profesional
  • La frecuencia con la que se revisan y actualizan las políticas y procedimientos
  • Otras herramientas que se utilizan
  • Las medidas concretas para familiarizar a los empleados con las políticas y procedimientos internos de seguridad de la información

SUGERENCIA: Garantizar el buen funcionamiento de la comunicación con múltiples canales para la transferencia de conocimientos. Esto se debe a que la concienciación sobre el SGSI y los aspectos relacionados requeridos por la norma están estrechamente relacionados con la transferencia de conocimientos.

Proceso de amonestación

Anexo 7.2.3: Esta medida especifica la manera en que la organización manejará las reprimendas en caso de violaciones a la seguridad de la información. La base para ello es un proceso de acción correctiva. Deberá definirse, establecerse y anunciarse formalmente. Debe garantizarse lo siguiente:

  • Deben existir criterios según los cuales se clasifique la gravedad de una violación de la política de seguridad de la información
  • El proceso disciplinario no debe violar las leyes aplicables
  • El proceso disciplinario debe contener medidas que motiven a los empleados a cambiar su comportamiento de forma positiva a largo plazo

Fin de la relación laboral - Responsabilidades

El Anexo A.7.3 de la norma ISO 27001 especifica como objetivo un proceso efectivo de terminación o cambio para proteger los intereses de la organización. Este objetivo se centra en las responsabilidades para la terminación o el cambio de empleo. En consecuencia, las responsabilidades y obligaciones relacionadas con la seguridad de la información que permanecen después de la terminación o el cambio de empleo deben ser definidas, comunicadas y aplicadas. Tiene sentido considerar estos aspectos:

  • Acuerdos en los contratos de trabajo sobre la forma en que los empleados deben tratar las responsabilidades y obligaciones relacionadas con la seguridad de la información que continúan después de la terminación del empleo.
  • Mecanismos de control para garantizar el cumplimiento de estos acuerdos
  • Procedimientos para imponer el cumplimiento de las responsabilidades y obligaciones continuas

Ciberseguridad mediante la seguridad sistemática del personal

La amenaza interna es real y la mayoría de las empresas son conscientes de ello. Según un estudio de seguridad (Balabit 2018), los empleados que tienen amplios derechos de acceso son particularmente vulnerables a los ataques. Y con los empleados involucrados en el 50 por ciento de todas las violaciones de seguridad, el 69 por ciento de los profesionales de TI que respondieron consideran que una violación de datos internos es el mayor riesgo. Sin embargo, se hace poco al respecto. En la práctica, a menudo es difícil formular acusaciones contra el personal interno. Especialmente en las pequeñas y medianas empresas (PYMES), donde las personas se conocen entre sí, se suele depositar cierta confianza en ellas, a veces con consecuencias desagradables. Una gestión de la seguridad de la información bien estructurada constituye la base para garantizar la seguridad de la información que requiere protección.

Conclusión: ISO 27001 en la práctica - Anexo A

En el Anexo A.7, la norma ISO/IEC 27001:2017 proporciona medidas de referencia para la seguridad del personal que deben implementarse como parte de la introducción de la norma. Las empresas deben utilizar estos controles como base para el diseño individual y más profundo de su política de seguridad de la información. Las medidas no se basan en la desconfianza de los empleados, sino en procesos de personal claramente estructurados.

 

Experiencia y confianza

Las empresas certificadas valoran los sistemas de gestión como herramientas para la alta dirección que crean transparencia, reducen la complejidad y proporcionan seguridad. Sin embargo, los sistemas de gestión hacen aún más: Evaluados y certificados por una tercera parte neutral e independiente como DQS , crean confianza con las partes interesadas en el rendimiento de su empresa.

Muchas organizaciones siguen considerando la certificación como un control de cumplimiento. Nuestros clientes, en cambio, lo ven como una oportunidad para centrarse en los factores críticos para el éxito y los resultados de su sistema de gestión. Porque nuestras principales competencias residen en la realización de auditorías y evaluaciones de certificación. Esto nos convierte en uno de los proveedores líderes a nivel mundial con la pretensión de establecer nuevos estándares de fiabilidad, calidad y orientación al cliente en todo momento

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch
Loading...

Certification according to ISO 27001

¿Cuánto trabajo tiene que hacer para que su sistema de gestión de la seguridad de la información se certifique según la norma ISO 27001? Descúbralo de forma gratuita y sin compromiso.

Nota: Nuestros artículos están escritos exclusivamente por nuestros expertos en sistemas de gestión y auditores de larga trayectoria. Si tiene alguna pregunta para nuestros autores sobre la seguridad de la información (SGSI), póngase en contacto con nosotros. Estaremos encantados de hablar con usted.

Autor
André Saeckel

Director de producto en DQS para la gestión de la seguridad de la información. Como experto en normas para el área de la seguridad de la información y el catálogo de seguridad informática (infraestructuras críticas), André Säckel es responsable, entre otras, de las siguientes normas y estándares específicos del sector ISO 27001, ISIS12, ISO 20000-1, KRITIS y TISAX (seguridad de la información en la industria del automóvil). También es miembro del grupo de trabajo ISO/IEC JTC 1/SC 27/WG 1 como delegado nacional del Instituto Alemán de Normalización DIN.

Loading...