En estos momentos, la información de empresas grandes, pequeñas, e incluso la personal, viaja a través de redes de datos. Todos los días se habla con distintas personas y se comparten datos a través de diferentes apps o sistemas de información (¿acaso habrá alguien en este momento que no use alguna red social para comunicarse con su familia o amigos?)
Ya que la información viaja a través de las redes, es necesario estandarizar algunos controles para poder protegerla. A continuación, te contaremos conceptos básicos de las redes de datos, los objetivos y controles que deberías implementar de acuerdo al anexo A del estándar ISO 27001 para garantizar la seguridad de las mismas.¿Sabes qué es una red?
Una red es una interconexión entre personas, computadores, dispositivos u otros elementos en la que se generan enlaces. Por ejemplo, las carreteras que conectan a grupos de personas crean una red física. Las conexiones con tus amigos crean una red personal. La sangre que viaja por las venas crea una red circular.
Las redes de datos son infraestructuras que han sido creadas para poder transmitir información a través del intercambio de datos. Como los sitios web que permiten a los individuos vincularse o conectarse para compartir información a través de sitios de redes sociales.
A continuación vamos a describir 2 grandes objetivos que tienen que ver con la protección de redes y transferencia de la información de acuerdo con el Anexo A de la ISO 27001:
Gestión de seguridad de las redes: ¿Cómo asegurar la protección de la información en redes y la protección de la infraestructura de soporte?
La mayoría de las organizaciones, por no decir que todas cuentan con redes internas, en las cuales se interconectan los dispositivos y los sistemas, y también son las encargadas de realizar las comunicaciones con los sistemas externos. La gestión de seguridad de las redes tiene como objetivo evitar el acceso no autorizado, los daños e interferencias a la información y a las instalaciones de procesamiento de información.
1. Controles de redPrimordialmente los elementos a gestionar dentro de una red son los físicos, los cuales dan soporte a la red y los interconectan al exterior. Por ejemplo: routers, switch, etc. Además también se deben controlar la transmisión de los datos.
Para gestionar una red correctamente es importante asignar responsabilidades dentro de un equipo de gestión y seguir los procedimientos establecidos con el fin de: a) proteger la información en sistemas y aplicaciones y b) mantener la confidencialidad, disponibilidad y la integridad de datos cuando la información es transferida a través de redes públicas o redes inalámbricas.
A continuación describimos los procedimientos establecidos:
- Monitoreo y registro:
Este monitoreo y registro de las actividades en la red es esencial para establecer medidas de prevención así como correctivas. Su objetivo es detectar y corregir acciones mediante un programa que verifica que las redes que se tienen a disposición estén libres de intrusos, así como también busca posibles problemas causados por la sobrecarga, por fallos en los servidores o por problemas en la infraestructura de la red.
- Control de acceso:
El control de acceso según ISO 27001 es el resultado del proceso de otorgar a los usuarios autorizados el derecho a acceder a un servicio o a una información, en tanto que se impide el acceso a otros usuarios no autorizados. La red normalmente se subdivide en diferentes redes para no sobrecargar los dispositivos. Por ejemplo, en el caso de una empresa o de una universidad se tienen subdivididas estas redes para que sean usadas de acuerdo con el rol que cumpla la persona (estudiantes, administrativos, docentes, entre otros). Estas subdivisiones de las redes también permiten controlar de manera más fácil la transferencia de datos a través de las redes y controlar que las personas no puedan acceder a información confidencial.
- Control de privilegios:
Este es un control fundamental para cualquier sistema de conexiones de red que asigna un administrador basándose en si un usuario puede acceder a información, la puede ver y el tipo de tareas que puede realizar; estas conexiones deben estar restringidas según los privilegios asignados por la empresa. Asimismo es importante revisar periódicamente que estos privilegios se mantengan. Ej: Si se le da el acceso a un tercero sobre alguna red es importante que después se le restrinja el ingreso cuando este ya no lo necesite.
2. Seguridad de los servicios de redTodos los servicios de red (mecanismos de seguridad, niveles de servicio, requisitos de gestión) sean internos o externos (clientes, proveedores, partes interesadas), se deben identificar e incluir en los acuerdos de servicio de la red. Diciéndolo de otra manera, la organización o la residencia donde se use un servicio de red debe incluir las medidas de seguridad necesarias para proteger los servicios de la red, los cuales deben describirse y detallarse en el acuerdo de servicios de red que establezca la organización.
Adicionalmente se deben hacer auditorías de servicios de red ya que es la única forma de tener visibilidad sobre la disponibilidad de la misma. Así mismo es necesario evaluar los riesgos a los que se está expuesto con estos servicios para que sean monitoreados, pues de esto dependerá la óptima operatividad de los sistemas de información.
3. Separación en redesNo solo se debe tener en cuenta el acceso restringido a la red, también es indispensable tener una subdivisión de redes en distintos dominios permite obtener mayor seguridad. Esta separación de redes se puede aplicar en forma lógica (Código de red) o física (Routers).
Transferencia de información: ¿Cómo proteger la información cuando se transmiten datos interna o externamente?
Los siguientes controles tienen como objetivo mantener la seguridad de la información en la transferencia de datos de forma interna y externa a la organización.
1. Políticas y procedimientos de intercambio de información.Son políticas y procedimientos para proteger la información que se transmitirá teniendo en cuenta todos estos aspectos:
- Medios de transmisión
- Redes
- Soportes informáticos
- Soportes documentales
Estas medidas de seguridad de la información se deben establecer según la naturaleza del remitente, el destinatario y los soportes utilizados. También se debe tener en cuenta que la transferencia de datos puede estar sujeta a requisitos legales según la entidad.
Por otro lado, las políticas y procedimientos deben incluir requisitos para la protección de copia, modificación, dirección incorrecta o destrucción, la cual debe ser respaldada por políticas de uso aceptable, esta debe cubrir el manejo de archivos adjuntos y el uso de la encriptación.
2. Acuerdos de intercambio de información.La información se puede transferir tanto física como digital, por lo tanto es indispensable tener acuerdos entre las partes del intercambio, para poder garantizar el uso que se le va a dar a la información y la protección de la misma. Estos acuerdos deben tratar puntos importantes como lo son:
- Responsabilidad de las partes de uso, protección y custodia de la información.
- La trazabilidad de los datos.
- Cumplimiento de normas técnicas y legales.
- Requisitos de cifrado.
- Responsabilidades en la cadena de custodia.
- Controles de acceso de información.
El correo electrónico es algo que se usa en las empresas a diario, y también en nuestra vida cotidiana ya sea para recibir algún tipo de información o enviarla, por ello es tan indispensable aplicar los controles apropiados para mantener la confidencialidad, disponibilidad e integridad de toda la información que se maneja por estos medios.
Los controles que se debe aplicar a la mensajería electrónica son:
- Protección ante acceso no autorizado (mensajes encriptados)
- Asegurar el correcto direccionamiento y transporte de los mensajes
- Confiabilidad y disponibilidad del servicio
- Consideraciones legales (firmas digitales)
- Autorización para usar servicios públicos externos (mensajería instantánea, redes sociales y compartir archivos)
- Medidas adicionales de autenticación en accesos desde redes sociales (códigos enviados al celular)
Estos acuerdos afectan a la información que provenga de la empresa o a la información que provenga de terceros, por lo tanto, es indispensable que estos acuerdos de confidencialidad estén para el personal de la empresa, los clientes e incluso los proveedores, estos últimos aplican siempre y cuando se tenga acceso a activos de información.
Lo más importante con estos acuerdos es que deben estar firmados antes de que se inicie la transferencia de datos, esto debido a que si una persona divulga información y este acuerdo no está firmado, la empresa no podrá amonestar esta falta a quién lo realizó.
Los acuerdos que deben estar incluidos y se deben cumplir son:
- La naturaleza de la información
- La duración del acuerdo
- Los procedimientos de anulación
- Las responsabilidades y las propiedades
- El uso permitido de la información
- El derecho de auditoría
- Los procedimientos que se deberán llevar a cabo en caso de una infracción
- Cláusulas que obliguen a mantener el deber de secreto debe incluso más allá de la relación profesional entre las dos entidades
Esperamos que esta información te sea de utilidad para incrementar la seguridad en las comunicaciones de tu organización.
Gracias por leernos, nos vemos pronto!!