La información de empresas grandes, pequeñas, e incluso la personal, viaja a través de redes de datos. Todos los días se comparten datos a través de diferentes aplicaciones o sistemas de información (¿acaso habrá alguien en este momento que no use alguna red social para comunicarse con su familia o amigos?)
Ya que la información viaja a través de las redes, es necesario estandarizar algunos controles de seguridad para protegerla. A continuación, te contamos conceptos básicos de las redes de datos, los objetivos y controles que deberías implementar de acuerdo al anexo A del estándar ISO 27001 para garantizar la seguridad de las mismas.
Las redes de datos son infraestructuras que han sido creadas para transmitir información a través del intercambio de datos. Por ejemplo, los sitios web y plataformas sociales que permiten a los individuos vincularse o conectarse para compartir información.
Acompáñanos a explorar 2 grandes objetivos relacionados con la seguridad de red y transferencia de la información de acuerdo con la sección 13 del Anexo A de la ISO 27001.
¿Cómo asegurar la protección de la información en redes y la protección de la infraestructura de soporte?
La mayoría de las organizaciones, por no decir que todas, cuentan con redes internas o intranet, en las cuales se interconectan los dispositivos y los sistemas, y también son las encargadas de realizar las comunicaciones con sistemas externos.
La gestión de seguridad de las comunicaciones tiene como objetivo evitar el acceso no autorizado, los daños e interferencias a la información y a las instalaciones de procesamiento de información. Esto se lleva a cabo por medio de los siguientes controles:
La gestión de redes de comunicación implica la supervisión y control tanto de sus componentes físicos que la mantienen operativa, como de la transmisión de los datos que fluyen por ella. Elementos como routers, switches y otros equipos son fundamentales para conectar la red con el mundo exterior.
Para asegurar un funcionamiento seguro y eficiente, se deben seguir procedimientos definidos y asignar responsabilidades dentro del equipo de gestión.
Procesos esenciales:
El monitoreo constante y el registro de actividades en la red son vitales para prevenir y corregir incidencias. A través de un programa de supervisión, se busca detectar intrusos y resolver problemas como sobrecargas, fallas en servidores o deficiencias en la infraestructura.
Según ISO 27001, este proceso otorga a usuarios autorizados el acceso a servicios e información, mientras excluye a quienes no están autorizados.
La red normalmente se subdivide en diferentes redes para no sobrecargar los dispositivos. Por ejemplo, en el caso de una universidad, están subdivididas para ser usadas de acuerdo con el rol que cumpla el usuario, (estudiantes, administrativos, docentes, etc.).
Este control asigna permisos a usuarios basados en su acceso, visualización y tareas permitidas. Estas conexiones se restringen según los privilegios otorgados por la empresa. La revisión periódica asegura que los privilegios se mantengan actualizados y se retiren cuando ya no sean necesarios, evitando accesos innecesarios.
Para garantizar la seguridad en todos los aspectos de los servicios de red, ya sean internos o externos (proveedores, clientes, partes interesadas), es esencial identificar y detallar los mecanismos de seguridad, niveles de servicio y requisitos de gestión. Estos elementos deben estar claramente definidos en los acuerdos de servicio de la red.
Además de esta previsión, se deben realizar auditorías periódicas de los servicios de red. Estas auditorías proporcionan una visión integral de la disponibilidad de la red, asegurando su adecuado funcionamiento. Paralelamente, evaluar los riesgos asociados a estos servicios es fundamental. Esta evaluación permitirá un monitoreo constante, ya que la operatividad óptima de los sistemas de información está en juego.
La seguridad de red no se trata solo de restringir el acceso, sino también de implementar una segmentación efectiva. Esta subdivisión es esencial para garantizar la integridad y confidencialidad de los datos. La segmentación en redes puede lograrse tanto de manera lógica, mediante códigos de red, como de forma física a través de dispositivos como routers.
La importancia de esta segmentación radica en su capacidad para prevenir la propagación de amenazas y limitar el acceso no autorizado. Al establecer zonas de red separadas, se minimiza el riesgo de que un ataque se propague por toda la infraestructura. Además, la segmentación facilita la aplicación de políticas de seguridad específicas para cada zona, mejorando la gestión de redes de comunicación en su conjunto.
En el mundo actual, donde la información fluye constantemente, protegerla durante su transferencia es crucial. Aquí exploraremos cómo implementar controles sólidos de seguridad de la información, tanto internos como externos en tu organización.
Antes de cualquier transferencia, considera diversos factores:
Ajusta las medidas de seguridad de la información según el remitente, el destinatario y los soportes. Además, considera implicaciones legales que podrían afectar la transferencia.
Por otro lado, establece políticas que aborden aspectos como copias, modificaciones, direcciones incorrectas y destrucción. Refuérzalas con políticas de uso aceptable, incluyendo pautas para manejar archivos adjuntos y emplear encriptación.
La información viaja tanto física como digitalmente. Acuerdos claros entre las partes son esenciales para garantizar uso adecuado y protección. Estos acuerdos deben incluir:
Acuerdos de confidencialidad deben ser conocidos por empleados, clientes y proveedores, en especial si involucran datos de terceros. Estos acuerdos, obligatorios para acceder a información, deben estar firmados antes de la transferencia y deben detallar:
El correo electrónico es vital en las empresas, pero también es un vector para amenazas. Por ello, es indispensable aplicar los controles apropiados para mantener la confidencialidad, disponibilidad e integridad de toda la información que se maneja por estos medios.
Los controles que se deben aplicar a la mensajería electrónica son:
La seguridad de red no es solo una preocupación técnica, sino una responsabilidad integral de la organización. Los controles que hemos explorado en esta guía, en línea con los parámetros del Anexo A de la norma ISO 27001, ofrecen una hoja de ruta sólida para proteger datos sensibles y mantener la confidencialidad y disponibilidad.
Recuerda que estos controles, como los que rigen la transferencia, la autenticación y la confidencialidad, forman parte de un esfuerzo más amplio para garantizar la seguridad de la comunicación en la red de tu organización.
La tecnología, en este sentido, se convierte en un aliado invaluable. Herramientas como el módulo de Seguridad de la Información de kawak® brindan una plataforma robusta y completa para gestionar y fortalecer la seguridad de la red. Explóralo para determinar cómo tu sistema de gestión se beneficiaría de él.