Gestión de la configuración en la seguridad de la información

CONTENIDO

• Aumento de la complejidad y de las amenazas
• La gestión de la configuración en el contexto de la norma ISO 27001:2022
• Control 8.9 "Gestión de la configuración
• La gestión de la configuración en la seguridad de la información - Conclusión
• DQS: Su contacto para la seguridad de la información certificada

Creciente complejidad y amenazas

Los ajustes y configuraciones de seguridad incorrectos entrañan riesgos incalculables para la seguridad de la información. En vista de la creciente complejidad de los entornos informáticos modernos, la gestión de la configuración -es decir, la definición, documentación, implementación, supervisión y revisión continuas y sistemáticas de las configuraciones de seguridad- se está convirtiendo en una tarea difícil que se extiende a la gestión del cumplimiento de las normativas de una organización.

Para una persona ajena a la empresa, la infraestructura de TI es un confuso entramado de aplicaciones, dispositivos, componentes de red y servicios, ya estén alojados in situ o en una nube. Estos últimos, en particular, han aumentado drásticamente durante la pandemia de coronavirus. Para los equipos de TI, sin embargo, configurar el creciente número de componentes del sistema y supervisar y adaptar continuamente las configuraciones de los sistemas supone una cantidad de trabajo considerable, que a menudo abruma a los empleados. Sin una gestión sistemática de la configuración, esto puede suponer un riesgo considerable para la seguridad y la pérdida o el uso indebido de datos (incluidos los personales).

Al fin y al cabo, el 81% de los responsables de seguridad de un estudio alemán de 2022 afirmaron que las vulnerabilidades y los errores de configuración desconocidos causan los mayores problemas de seguridad en sus infraestructuras. Y en el Pandemic Eleven, un estudio de la Cloud Security Alliance sobre las vulnerabilidades más graves en la computación en nube durante la pandemia, las desconfiguraciones también ocupan un destacado tercer lugar.

Por tanto, es una consecuencia lógica de la evolución de los últimos años prestar más atención a la gestión de la configuración en las tecnologías de la información, por ejemplo en el contexto de los accesos no autorizados. Por lo tanto, es acertado que la nueva norma ISO/IEC 27001:2022 haya dedicado un control de seguridad de la información independiente a este tema.

Gestión de la configuración en el contexto de la norma ISO 27001:2022

El reestructurado Anexo A de la norma ISO 27001 a partir de 2022 contiene 93 medidas de seguridad de la información (controles), entre ellas 11 nuevas. Con la actualización, los controles se organizan ahora temáticamente en cuatro secciones

• Medidas organizativas
• Medidas personales
• Medidas físicas
• Medidas tecnológicas

La gestión segura de la configuración en las tecnologías de la información entra en el ámbito de las medidas tecnológicas o técnicas y figura en el Apéndice A, en el punto 8.9. Es una de las herramientas preventivas que apoyan los tres objetivos de protección de la seguridad de la información (confidencialidad, integridad y disponibilidad).

Plantillas estándar

La definición de plantillas estándar ayuda a las organizaciones a sistematizar su gestión de la configuración. En este desarrollo deben tenerse en cuenta los siguientes aspectos básicos:

• Orientaciones disponibles públicamente, por ejemplo de proveedores u organismos de seguridad independientes.
• Niveles de protección necesarios para garantizar una seguridad adecuada
• Apoyo a la política interna de seguridad de la información, directrices específicas por temas, normas y otros requisitos de seguridad
• Viabilidad y aplicabilidad de las configuraciones en el contexto de la organización.

Las plantillas estándar desarrolladas deben revisarse y actualizarse periódicamente, especialmente cuando haya que hacer frente a nuevas amenazas o vulnerabilidades, o cuando se introduzcan en la organización nuevas versiones de software o hardware.

También hay que tener en cuenta otros puntos a la hora de crear las plantillas. Todos ellos ayudan a evitar cambios no autorizados o incorrectos en las configuraciones:

• Minimizar el número de identidades con derechos de acceso privilegiados o administrativos.
• Desactivación de identidades innecesarias, no utilizadas o inseguras.
• Desactivar o restringir funciones y servicios que no sean necesarios.
• Restricción del acceso a utilidades potentes y a la configuración de parámetros del host
• Sincronización de relojes
• Cambio de los datos de autenticación y contraseñas por defecto del fabricante inmediatamente después de la instalación y comprobación de parámetros importantes relevantes para la seguridad
• Llamar a las instalaciones de tiempo de espera que desconectan automáticamente los dispositivos informáticos después de un cierto período de inactividad
• Comprobar si se cumplen los requisitos de licencia

Gestión y supervisión de configuraciones

Todas las configuraciones deben registrarse y los cambios deben registrarse de forma fiable para descartar configuraciones erróneas después de un incidente. Esta información debe almacenarse de forma segura, por ejemplo en bases de datos o plantillas de configuración.

Todos los cambios se realizan de acuerdo con el control 8.32 "Control de cambios", que describe una pauta para los cambios en las directrices de tratamiento de la información y los sistemas de información. Los registros de configuración deben contener toda la información necesaria para hacer un seguimiento tanto del estado de un sistema o activo informático como de cualquier cambio que se realice en él en cualquier momento. Esto incluye, por ejemplo, la siguiente información

• Información actual sobre el activo en cuestión - ¿Quién es el propietario o el punto de contacto?
• Fecha del último cambio de configuración
• Versión del modelo de configuración
• Conexiones y relaciones con las configuraciones de otros activos

Un conjunto completo de herramientas de gestión de sistemas -como programas de mantenimiento, asistencia remota, herramientas de gestión empresarial y software de copia de seguridad y restauración- ayuda a supervisar y comprobar periódicamente las configuraciones. Con la ayuda de estas herramientas, los gestores pueden verificar los ajustes de configuración, evaluar los puntos fuertes de las contraseñas y valorar las actividades realizadas.

También se pueden comparar los estados reales con las plantillas objetivo definidas e iniciar las respuestas adecuadas en caso de desviaciones, ya sea aplicando automáticamente la configuración objetivo definida o analizando manualmente la desviación y las consiguientes medidas correctoras. La automatización, por ejemplo a través de la infraestructura como código (infraestructura programable), permite gestionar de forma eficaz y segura las configuraciones de seguridad en entornos virtualizados y de computación en nube.

Resumen de la gestión de la configuración en la seguridad de la información

La gestión de la configuración en la seguridad de la información es una importante herramienta de seguridad y contribuye de forma duradera a reducir significativamente las brechas de seguridad causadas por errores de configuración. Su enfoque sistemático alivia la carga de los equipos internos y contribuye a la eficacia de las operaciones informáticas, así como al refuerzo de los sistemas y a la disponibilidad de la información y los datos confidenciales. Los efectos positivos sobre la protección de datos personales, por ejemplo, también son evidentes.

La gestión de la configuración también puede integrarse en los procesos de gestión de activos y las herramientas asociadas. La gestión centralizada de las configuraciones de seguridad permite reaccionar rápidamente ante nuevas amenazas y vulnerabilidades en la disponibilidad de los sistemas y la protección de datos, contribuyendo así a minimizar las posibles superficies de ataque en los sistemas. El nuevo control de seguridad de la información 8.9 de la norma ISO 27001 supone una importante aportación en materia de seguridad para las organizaciones y sus directivos.

Este valor añadido debe ser implementado por las empresas y organizaciones. Los requisitos del control 8.9 deben compararse con el estado actual y optimizarse mediante un proceso de cambio controlado. Con más de 35 años de experiencia en auditoría y certificación, somos su socio ideal y podemos ofrecerle asesoramiento y apoyo en materia de seguridad de la información.

¿Qué significa la actualización para su certificación?

ISO/IEC 27001:2022 se publicó el 25 de octubre de 2022.

Esto se traduce en los siguientes plazos y períodos de transición para los usuarios

Última fecha para las auditorías iniciales/de recertificación según la "antigua" ISO 27001

• Después del 30 de abril de 2024, DQS sólo realizará auditorías iniciales y de recertificación de acuerdo con la nueva norma ISO/IEC 27001:2022

Conversión de todos los certificados existentes según la "antigua" ISO/IEC 27001:2013 a la nueva versión 2022

• Se aplica un periodo de transición de 3 años a partir del 31 de octubre de 2022
• los certificados emitidos de conformidad con ISO/IEC 27001:2013 o DIN EN ISO/IEC 27001:2017 son válidos hasta el 31 de octubre de 2025 como máximo o deben retirarse en esta fecha

ISO/IEC 27001:2022 - Seguridad de la información, ciberseguridad y protección de la privacidad - Sistemas de gestión de la seguridad de la información - Requisitos

DQS: Simplemente aprovechando la seguridad

Las organizaciones aún disponen de cierto tiempo para realizar la transición a la nueva versión de la norma ISO/IEC 27001. Los certificados actuales basados en la antigua norma perderán su validez el 31 de octubre de 2025. No obstante, es aconsejable que aborden los nuevos requisitos de un sistema de gestión de la seguridad de la información (SGSI ) en una fase temprana, inicien los procesos de cambio adecuados y los apliquen en consecuencia.

Como expertos en auditorías y certificaciones con más de tres décadas de experiencia, podemos ayudarle a implantar la nueva ISO 27001:2022. Infórmese con nuestros experimentados auditores sobre los cambios más importantes y su relevancia para su empresa, y confíe en nuestra experiencia. Estaremos encantados de atenderle.

Confianza y experiencia

Nuestros artículos y libros blancos están escritos exclusivamente por nuestros expertos en normas o auditores de larga trayectoria. Si tiene alguna pregunta sobre el contenido del texto o nuestros servicios a nuestro autor, póngase en contacto con nosotros.