Hoy en día la información viaja por la red de comunicaciones de cualquier empresa u organización por más pequeña que sea. Quien ya no transmite información aunque sea solo por email o por whatsapp?
Puesto que los intercambios de información se realizan a través de redes de comunicaciones deberemos establecer los controles adecuados para proteger tanto las comunicaciones externas a la organización como las que viajan a través de las redes de la propia organización
Citando la norma ISO 27001:
Objetivo 1:
Gestión de la seguridad de red
Asegurar la protección de la información en redes y la protección de la infraestructura de soporte
- 13.1.1 Controles de Red
- 13.1.2 Seguridad de los servicios de red
- 13.1.3 Separación en redes
Objetivo 2:
Intercambio de información
Mantener la seguridad de la información intercambiada dentro de una organización y con cualquier otra entidad.
- 13.2.1 Políticas y procedimientos de intercambio de información
- 13.2.2 Acuerdos de intercambio de información
- 13.2.3 Mensajería electrónica
- 13.2.4 Acuerdos de confidencialidad y de no divulgación
Objetivo 1: Gestión de la seguridad de red
La estructura típica de la gran mayoría de organizaciones cuenta con una red interna que interconecta los distintos dispositivos y sistemas además de ocuparse de realizar las comunicaciones con el exterior. Veamos los controles previstos para todos los elementos posibles de una red de comunicaciones:
13.1.1 Controles de Red
Para gestionar una red asegúrese de que se han asignado responsabilidades dentro del equipo de gestión y que se siguen una serie de procedimientos establecidos.
Considere la posibilidad de separar el control de la red de las tareas de operación.
Los principales elementos a gestionar dentro de una red son los elementos físicos que dan soporte a la red y sobre todo los que nos interconectan con el exterior (routers, switch, etc.). Además de los elementos físicos, también considere como elementos a controlar las transmisiones de datos.
Cuando la información se transfiere a través de redes públicas o redes inalámbricas, se deben considerar controles adicionales para mantener las conexiones (disponibilidad) y la privacidad (confidencialidad) y la integridad de los datos.
MONITOREO Y REGISTRO
El monitoreo y registro de las actividades en la red debemos utilizarlo tanto para establecer medidas correctivas y si es necesario disciplinarias como para establecer medidas preventivas. Si podemos corregir algo mediante un programa de concienciación siempre será mejor que tomar acciones disciplinarias.
CONTROL DE ACCESO
Si es posible, la autenticación de inicio de sesión para el uso de la red puede ser implementada mediante un sistema de garantía de factores múltiples.
Hoy en día los accesos con ID de huella digital o mediante el uso adicional del teléfono móvil podemos aumentar la seguridad de las simples contraseñas permitiéndonos evitar accesos no autorizados aunque se conozca la contraseña.
CONTROL DE PRIVILEGIOS
Como control fundamental de cualquier sistema las conexiones de red también deben estar restringidas según los privilegios asignados.
13.1.2 Seguridad de los servicios de red
Independientemente de si los servicios de red son internos o externos (subcontratados), deberían definirse requisitos en relación a la calidad de servicio mediante acuerdos de Niveles de Servicio o SLA. Las auditorias de la calidad de servicios prestados es el único modo en que podemos tener visibilidad sobre la disponibilidad de la red y evaluar los riesgos a los que estamos expuestos con dichos servicios ya que de ellos depende la operatividad de los sistemas de información
13.1.3 Separación en redes
Además del acceso restringido a la red, la subdivisión de las redes en distintos dominios permite una mayor seguridad. En esto consiste la segregación o separación de redes que puede aplicarse de forma lógica o incluso física.
Algunos consejos prácticos
Algunas organizaciones tienen información altamente clasificada en dispositivos que están físicamente protegidos y no están conectados a redes en absoluto, por lo que la información solo se procesa en un entorno sin conexión a red.
Aquí es donde aplicamos los criterios de cómo están siendo monitoreados los activos de información, cuál es su evaluación de riesgos y los controles que deberemos aplicar para abordar nuestras vulnerabilidades técnicas.
Las redes inalámbricas son particularmente vulnerables con respecto a la seguridad y esto debe considerarse como parte de la estrategia de segregación.
Objetivo2 Intercambio de información
Se trata de requisitos o controles para proteger la información cuando se transmiten datos bien sea internamente o entre varias entidades
13.2.1 Políticas y procedimientos de intercambio de información
Defina procedimientos y políticas para proteger la información que se va a transmitir donde se tenga en cuenta todos los aspectos.
- Los medios de transmisión
- Las redes
- Los soportes informáticos
- Los soportes documentales
- Etc.
Las medidas de seguridad deberán definirse en función de la naturaleza del remitente, el destinatario y los soportes utilizados.
Tenga en cuenta que la transferencia de datos puede estar sujeta a requisitos legales.
Las políticas y los procedimientos deben incluir requisitos para la protección contra intercepción, copia, modificación, dirección incorrecta o destrucción. Esto debe estar respaldado por políticas de uso aceptable, una política que cubra el manejo de archivos adjuntos, el uso de encriptación y cualquier seudonimización de datos (ver GDPR).
13.2.2 Acuerdos de intercambio de información
Deben existir acuerdos entre las partes de intercambio de información para garantizar tanto el uso que se le va a dar a la información como los niveles de protección. Estos acuerdos deberían tratar puntos tales como:
- La responsabilidad de las partes en el uso y protección y custodia de la información
- La trazabilidad de los datos
- El cumplimiento de las normas técnicas y legales
- Los requisitos de cifrado
- Las responsabilidades en la cadena de custodia
- Los controles de acceso a la información
13.2.3 Mensajería electrónica
El correo electrónico debe ser tratado como un activo más de información donde se apliquen controles apropiados para mantener la confidencialidad, Integridad y disponibilidad de la información.
Dentro de la mensajería electrónica también deberemos incluir los mensajes de chat electrónico así como redes sociales.
Los controles aplicables a la mensajería electrónica serian:
- Protección ante acceso no autorizado (mensajes encriptados etc.)
- Asegurar el correcto direccionamiento y transporte de los mensajes;
- Confiabilidad y disponibilidad del servicio
- Consideraciones legales (firmas digitales)
- Necesidad de autorización para usar servicios públicos externos (mensajería instantánea, redes sociales y compartir archivos)
- Medidas adicionales de autenticación en accesos desde redes públicas
13.2.4 Acuerdos de confidencialidad y de no divulgación
Los acuerdos de confidencialidad afectan tanto a la información propia de la empresa como a informaciones que provengan de terceras partes por lo que deberíamos considerar acuerdos de confidencialidad tanto a personal propio como a clientes y proveedores si tiene acceso a activos de información que así lo requieran.
Los acuerdos de confidencialidad y de deber de secreto hay que tenerlos firmados por escrito antes de iniciar una transferencia de información.
Los acuerdos deben cubrir:
- La naturaleza de la información
- La duración del acuerdo
- Los procedimientos de rescisión
- Las responsabilidades y las propiedades,
- El uso permitido de la información
- El derecho de auditoría
- Los procesos a llevar a cabo en caso de una infracción
- Cláusulas que obliguen a mantener el deber de secreto debe incluso más allá de la relación profesional entre las dos entidades.