Continuando con el artículo publicado Análisis de los Controles Organizacionales de la Norma ISO/IEC 27002:2022 – Parte 1, en este artículo vamos a presentar un análisis de los controles de personas y controles de seguridad física que se incluyen en ISO/IEC 27002:2022.
El control nos indica que, un sistema de gestión de la seguridad de la información necesita una política de selección de todos los empleados nuevos, ascendidos o transferidos, incluidos los consultores y el personal temporal. Se trata de garantizar que los empleados son competentes y dignos de confianza. La política debe tener en cuenta tanto la legislación y las normativas locales como la función del nuevo empleado para garantizar que el control sea suficiente pero no desproporcionado. Algunas funciones dentro de una organización pueden requerir un mayor nivel de control, por ejemplo, si los empleados van a manejar información confidencial. En el caso de las funciones relacionadas con la seguridad de la información en particular, la selección también debe incluir las competencias necesarias y la fiabilidad, y esto debe documentarse en consecuencia.
El control nos indica que, antes de empezar a trabajar, el empleado debe conocer la política de seguridad de la información de la organización, incluidas las funciones y responsabilidades en materia de seguridad de la información. Esto podría comunicarse mediante un código de conducta firmado o un método similar. Los contratos de los empleados también deben incluir las responsabilidades de seguridad de la información de la organización, incluyendo un acuerdo de confidencialidad si el empleado va a tener acceso a información confidencial.
Este control busca garantizar que la seguridad de la información sea entendida como parte integral del rol del empleado desde el primer día.
Este control nos indica que, los empleados necesitan formación en seguridad de la información alineada con su responsabilidad cuando se incorporan a la organización o cambian de función. El personal que lleva más tiempo en activo también necesita que se mantenga su concienciación con formación y comunicación periódicas. La formación debe ser pertinente para la función. Para muchos empleados, incluirá aspectos básicos como recordatorios sobre la seguridad de las contraseñas y los ataques de ingeniería social. Para el personal técnico o el que maneja material confidencial, se requerirá una formación más profunda para su función específica.
El control indica que, debe existir un proceso disciplinario documentado, con reglas claras que se debe aplicar tras una violación confirmada de la política de seguridad de la información. El procedimiento disciplinario debe ser proporcionado y graduado, con acciones que dependan de la gravedad del incidente, la intención, si se trata de una reincidencia y, lo que es más importante, si el empleado ha recibido la formación adecuada. Muchos incidentes de seguridad registrados serán el resultado de una infracción de la política y deberían dar lugar a medidas disciplinarias. Es importante recordar esto porque el personal puede evitar notificar incidentes de seguridad por miedo a medidas disciplinarias, es por esto por lo que el procedimiento no debe desincentivar la notificación de incidentes por miedo a represalias injustificadas.
El control nos indica que, las responsabilidades en materia de seguridad de la información no terminan cuando se cambia de empleo o se pone fin al mismo. Las condiciones de contratación del empleado deben incluir acuerdos de confidencialidad, que exijan al empleado respetar la confidencialidad de la información después de haber dejado la organización. Cuando un empleado se marcha, también puede dejar vacantes las funciones de seguridad de la información. Para mantener la continuidad de la seguridad, la dirección debe identificar estas funciones para que puedan transferirse.
El control nos indica que, si la confidencialidad de la información es lo suficientemente alta, puede ser necesario protegerla mediante términos legalmente vinculantes. En este caso, se pueden utilizar acuerdos de confidencialidad que establezcan la información cubierta, las responsabilidades de todas las partes, la duración del acuerdo y las sanciones en caso de incumplimiento. Estos acuerdos protegen la información de su divulgación después de que el empleado haya dejado la organización durante un periodo de tiempo determinado.
El control nos indica que, dado que el trabajo a distancia se ha convertido en una práctica habitual en muchas organizaciones buscando proporcionar más flexibilidad tanto a las organizaciones como a los empleados, tiene implicaciones para la seguridad de la información que deben tenerse en cuenta y documentarse. La política de trabajo a distancia debe indicar dónde y cuándo se permite el trabajo a distancia, la provisión de dispositivos y equipos, el acceso autorizado y a qué información se puede acceder a distancia. De particular importancia son las políticas que rigen el uso de redes no confiables y el riesgo de que amigos, familiares o extraños puedan escuchar o ver información confidencial en entornos no controlados.
Este control nos indica que los empleados a veces se encuentran con incidentes de seguridad de la información durante su trabajo diario. Los incidentes pueden incluir errores humanos, violaciones de la confidencialidad, fallos de funcionamiento, sospechas de infecciones por malware (programa maligno) e incumplimiento de la política de seguridad de la información o de la ley. El primer paso para identificar, solucionar y evitar que vuelvan a producirse incidentes es la notificación. Por tanto, los empleados necesitan canales de notificación claros y accesibles y ser conscientes de su existencia.
La notificación temprana es fundamental para detectar, gestionar y prevenir incidentes, y debe fomentarse mediante concienciación y una cultura organizacional que valore la transparencia.
El control nos indica que, el primer paso para proteger un espacio físico que alberga información y activos críticos es definir su perímetro. A continuación, pueden identificarse las zonas sensibles o críticas dentro del perímetro. El perímetro debe ser lo suficientemente seguro físicamente para proteger el contenido, por ejemplo, con alarmas y sistemas de detección de intrusos. Si es necesario, una recepción vigilada que pueda controlar el acceso.
Este control nos indica que el acceso físico a instalaciones y áreas restringidas debe limitarse únicamente a personas autorizadas, es decir, sólo las personas autorizadas deben poder acceder a los activos de la organización y a la información que debe proteger. El nivel de restricciones depende de los requisitos de la organización. Hay que tener en cuenta la identificación personal y el registro de las personas que acceden a las instalaciones. Debe existir un procedimiento para recibir a los visitantes que establezca su identidad, a dónde pueden ir y si deben ir acompañados. Las entregas también suponen un riesgo, tanto porque hay que asegurar las zonas de entrega como, por ejemplo, evitar que el personal de entrega entre en zonas restringidas.
El control nos indica que, las oficinas deben asegurarse con cerraduras digitales o físicas. En general, los directorios y mapas detallados no deben ser abiertamente accesibles, ya que pueden poner de manifiesto la ubicación de activos sensibles.
Este control nos indica que la vigilancia puede disuadir a los intrusos y detectar las intrusiones. Los guardias, las cámaras y las alarmas monitorean los accesos no autorizados. El diseño de cualquier sistema de vigilancia debe considerarse confidencial. Es necesario realizar pruebas periódicas para garantizar que el sistema funciona. Los sistemas de vigilancia por cámara y otros sistemas de control que recopilan información personal o que pueden utilizarse para rastrear a una persona pueden requerir una consideración especial en virtud de las leyes de protección de datos. Por ejemplo, la vigilancia por cámara puede requerir una evaluación de impacto de la protección de datos en virtud de la legislación GDPR.
El control nos indica que, las catástrofes naturales o provocadas por el hombre y los ataques físicos amenazan los activos y la seguridad de la información y la continuidad de las actividades. El nivel de estos riesgos depende en gran medida de la ubicación. Las inundaciones, los incendios y las grandes tormentas son los riesgos más probables, pero el riesgo de terremotos, disturbios civiles y atentados terroristas también puede tenerse en cuenta en las evaluaciones de riesgos. Las medidas de protección deben basarse en evaluaciones de riesgo que tengan en cuenta la ubicación y el contexto operativo.
El control nos indica que, la existencia y el propósito de los entornos seguros sólo deben compartirse cuando sea necesario. Deben mantenerse cerrados y su acceso debe limitarse a las personas autorizadas. En general, debe desaconsejarse el trabajo a solas, tanto por motivos de seguridad como de protección.
El control nos indica que, cualquiera puede acceder a la información confidencial que se deja en escritorios, pantallas, impresoras y tableros/pizarras. Una política de escritorios y pantallas limpios define cómo y dónde se puede acceder a la información. Una política básica consiste en no dejar documentos impresos desatendidos, ni en los puestos de trabajo ni en las impresoras (escritorio limpio), en bloquear las pantallas de los dispositivos (pantalla limpia) y en borrar los tableros después de las reuniones. En algunos casos pueden ser necesarias políticas más detalladas para la información sensible, por ejemplo, que la información no pueda verse en una pantalla en un entorno abierto.
El control nos indica que, una cuidadosa selección de la ubicación de los equipos puede minimizar una serie de riesgos: no sólo el acceso no autorizado, sino también los riesgos debidos a factores ambientales, derrames de comida y bebida, vandalismo y degradación debida a la luz o la humedad. La protección necesaria dependerá de la sensibilidad del equipo.
El control nos indica que, los dispositivos, incluidos los personales (bring-your-own-device), siguen necesitando protección cuando salen de las instalaciones. Lo básico incluye protección física apropiada como cubiertas y prevención de robo al no dejar los dispositivos desatendidos. La organización debe ser consciente de qué dispositivos se utilizan fuera de las instalaciones, quién los utiliza y a qué información se accede o se utiliza cuando están fuera de las instalaciones. La implementación de controles que prevengan la fuga de información en estos dispositivos, la instalación de aplicaciones maliciosas, el monitoreo y el borrado remoto en caso de que alguna situación excepcional lo requiera debe hacerse asegurando que los empleados son conscientes y autorizan el uso de dichas herramientas.
Este control nos indica que la información almacenada en cualquier formato de soporte conlleva el riesgo de acceso no autorizado y de pérdida de la integridad de la información por modificación o degradación, pérdida, destrucción o eliminación. Es decir, los medios de almacenamiento deben gestionarse de forma segura durante todo su ciclo de vida. Las políticas que rigen la gestión de soportes extraíbles deben cubrir qué información puede almacenarse en soportes extraíbles, el registro y seguimiento de dichos soportes, cómo deben almacenarse de forma segura para evitar el acceso no autorizado o la degradación, y cómo deben transportarse. Cuando el almacenamiento deja de ser necesario, hay que proceder a una destrucción segura. Esto puede ser realizado por una parte externa.
Este control nos indica que, los cortes del servicio de electricidad pueden comprometer inmediatamente las actividades de una empresa. De forma menos obvia, las telecomunicaciones y el aire acondicionado interrumpirán las actividades digitales, y los fallos en el suministro de gas, alcantarillado o agua impedirán a los empleados trabajar in situ. Los sistemas de inspección y alarma pueden identificar fallos reales o potenciales. Los planes de continuidad deben identificar mecanismos de detección, opciones de alternas y los datos de contacto de emergencia de los proveedores de servicios.
La información y los datos se transfieren a través de cables, mientras que los ordenadores, los sistemas de seguridad y los controles ambientales requieren energía, suministrada por el cableado. Los primeros pueden ser interceptados y los cortes de cualquiera de ellos pueden comprometer la seguridad de la información y la continuidad de la actividad. Este control nos indica que el grado de seguridad requerido depende de la organización y, en muchos casos, será gestionado por proveedores de instalaciones de edificios o empresas de telecomunicaciones y servicios públicos. Las protecciones básicas incluyen el uso de conductos o canalizaciones seguras de cableado o cubiertas de suelo para cables para evitar daños, interferencias e interceptaciones, y el bloqueo de los accesos y puntos de entrada a los servicios públicos.
El control nos indica que, el mantenimiento de los equipos introduce dos consideraciones relativas a la seguridad de la información: los equipos mal mantenidos corren el riesgo de perder información, mientras que la revisión o el mantenimiento de los equipos pueden exponer la información a partes externas o no autorizadas. Es menos probable que los equipos revisados y actualizados periódicamente requieran reparaciones más arriesgadas o provoquen interrupciones del servicio. Cuando se requieran reparaciones, hay que tener cuidado a la hora de elegir a los proveedores de servicios, asegurar que el acceso esté controlado y que se verifique el trabajo realizado para evitar exposiciones innecesarias.
El control nos indica que, los servidores, PCs, sistemas de almacenamiento y en general cualquier dispositivo que ya no se utiliza puede tener instalados programas con licencia o almacenar datos sensibles que puede incluir información de la organización o detalles de configuración. Esto también se aplica a los equipos que requieren reparación, y debe tenerse en cuenta a la hora de decidir si se recurre a servicios de reparación externos. Las funciones estándar de borrado pueden no ser adecuadas para eliminar información sensible. En su lugar, los métodos especializados de destrucción, borrado o sobreescritura reducen el riesgo de que quede información residual en el soporte de almacenamiento. También se deben eliminar las etiquetas o marcas físicas que puedan revelar información.
Referencias
ISO/IEC 27002:2022, Information security, cybersecurity and privacy protection — Information security controls, https://www.iso.org/standard/75652.html
ISO/IEC 27002:2013, Information technology — Security techniques — Code of practice for information security controls, https://www.iso.org/standard/54533.html