El objetivo de este apartado es mostrar cómo la norma ISO/IEC 27001 impacta en el ámbito tecnológico de una organización, desde los sistemas informáticos hasta las infraestructuras tecnológicas, pasando por las herramientas y plataformas que gestionan la información. La ISO/IEC 27001 garantiza que la infraestructura tecnológica esté adecuadamente protegida frente a riesgos y amenazas, contribuyendo a la seguridad integral de la organización.
Ámbito de infraestructuras tecnológicas
La infraestructura tecnológica es el pilar de la gestión de la información en las organizaciones. ISO/IEC 27001 interviene en todos los componentes físicos y virtuales relacionados con la tecnología que procesan o almacenan información crítica.
Componentes clave de la infraestructura tecnológica:
Centros de procesamiento de datos (CPD)
La norma exige controles específicos sobre la seguridad física (acceso restringido, vigilancia) y lógica (protección de los sistemas informáticos).
Redes informáticas
Controles sobre la segmentación de redes, firewalls, protocolos seguros y gestión de accesos.
Sistemas de almacenamiento
Requiere la protección de los sistemas que almacenan información sensible mediante cifrado y políticas de acceso controlado.
Dispositivos
Incluyendo servidores, ordenadores de escritorio, dispositivos móviles, y equipos portátiles. Los controles deben proteger tanto el acceso físico como el digital (ej. cifrado de discos).
Ámbito de seguridad en redes y comunicaciones
Las redes y las comunicaciones son una de las principales vías de acceso a la información, por lo que la norma ISO/IEC 27001 establece directrices estrictas para garantizar su seguridad.
Controles clave para redes y comunicaciones:
Cifrado de datos en tránsito
Protege la información mientras se transmite por las redes, utilizando tecnologías como TLS, VPN o IPSec.
Gestión de accesos a redes
Autenticación fuerte, controles de acceso a nivel de red y segmentación de redes para separar la información sensible.
Protección contra ataques
Implementación de firewalls, sistemas de detección de intrusos (IDS/IPS) y protección frente a malware.
Política de uso seguro de Internet
Establecer reglas claras sobre el acceso a Internet, evitando la descarga de contenido no seguro o el uso indebido de los recursos de la red.
Ejemplo:
Si una empresa permite el acceso remoto a sus sistemas, debe asegurar que la red esté protegida mediante VPN y que el acceso sea autenticado mediante métodos multifactor.
Ámbito de plataformas tecnológicas y aplicaciones
ISO/IEC 27001 regula el uso de plataformas tecnológicas y aplicaciones dentro de la organización, ya que son claves para procesar, almacenar y compartir información sensible. La seguridad de las aplicaciones y plataformas es crucial para proteger la información frente a vulnerabilidades.
Principales controles sobre plataformas y aplicaciones:
Gestión de vulnerabilidades
Evaluación continua de las aplicaciones para detectar y corregir vulnerabilidades de seguridad. Uso de parches de seguridad y actualizaciones periódicas.
Control de acceso a aplicaciones
Definición de roles y permisos para limitar el acceso de los usuarios solo a la información que necesitan para realizar su trabajo.
Desarrollo seguro
Implementación de buenas prácticas de seguridad en el ciclo de desarrollo de software (SDLC) para prevenir fallos de seguridad.
Pruebas de seguridad
Realización de auditorías y pruebas de penetración para identificar posibles brechas de seguridad en las aplicaciones.
Ejemplo:
Si una empresa desarrolla una aplicación móvil que maneja información personal de clientes, debe asegurarse de que esta aplicación esté cifrada y que tenga autenticación multifactor para acceder a datos sensibles.
Ámbito de dispositivos móviles y BYOD (Bring Your Own Device)
El uso de dispositivos móviles (smartphones, tablets, portátiles) ha aumentado considerablemente, lo que plantea un desafío para la seguridad de la información. ISO/IEC 27001 exige que las organizaciones establezcan controles adecuados para proteger la información en estos dispositivos.
Controles sobre dispositivos móviles:
Políticas de BYOD
Definición de normas claras para el uso de dispositivos personales en la red corporativa, asegurarse de que solo se acceda a la información bajo condiciones controladas.
Cifrado de dispositivos
Los dispositivos móviles deben estar cifrados para proteger los datos almacenados, incluso si el dispositivo se pierde o es robado.
Gestión de accesos móviles
Implementación de políticas de autenticación multifactor para acceder a aplicaciones y datos desde dispositivos móviles.
Aplicaciones seguras
Asegurarse de que las aplicaciones instaladas en dispositivos móviles sean seguras, a través de políticas de aplicaciones aprobadas y supervisadas.
Ejemplo:
Si los empleados de la empresa usan sus propios teléfonos para acceder al correo corporativo, la empresa debe asegurarse de que los dispositivos estén protegidos mediante contraseñas fuertes y cifrado.
Ámbito de tecnologías emergentes
Las tecnologías emergentes presentan nuevos desafíos en la gestión de la seguridad de la información. ISO/IEC 27001 debe adaptarse a estos avances para abordar los riesgos asociados.
Tecnologías emergentes y su impacto:
Nube (Cloud computing)
Los servicios en la nube han transformado el almacenamiento y procesamiento de datos. ISO/IEC 27001 requiere que las organizaciones gestionen los riesgos asociados con el uso de servicios en la nube, como la protección de datos y el acceso controlado.
Internet de las Cosas (IoT)
Los dispositivos conectados pueden ser vulnerables a ataques si no se protegen adecuadamente. La norma exige establecer controles sobre la seguridad de estos dispositivos y las redes a las que están conectados.
Inteligencia Artificial (IA)
La IA y el análisis de datos masivos pueden implicar la gestión de grandes volúmenes de información sensible. Los controles deben garantizar la confidencialidad y privacidad de estos datos.
Ámbito de la continuidad tecnológica
El plan de continuidad del negocio (BCP) y la recuperación ante desastres (DRP) son esenciales dentro del ámbito tecnológico de ISO/IEC 27001. Aseguran que los servicios y sistemas críticos sigan funcionando incluso ante fallos o incidentes graves.
Actividades clave en continuidad tecnológica:
Copias de seguridad
Establecer procedimientos para realizar backups periódicos de datos clave.
Plan de recuperación
Tener un plan detallado que describa cómo restaurar sistemas y aplicaciones críticas en caso de pérdida o fallo.
Redundancia y tolerancia a fallos
Diseñar infraestructuras tecnológicas con redundancia para minimizar el impacto de posibles caídas del sistema.
El ámbito tecnológico en la norma ISO/IEC 27001 abarca todos los aspectos relacionados con infraestructuras, redes, aplicaciones y dispositivos que manejan información sensible dentro de la organización. La implementación de controles adecuados en estos ámbitos es fundamental para proteger los activos de información y garantizar la resiliencia tecnológica frente a amenazas y vulnerabilidades.