Políticas de seguridad. Información privada (A4C42A2D01)

Las políticas de seguridad en el ámbito de la informática contemplan los procedimientos y normas que permiten garantizar la confidencialidad, integridad y disponibilidad de la información. Estos procedimientos y normativa afectan a cualquier mecanismo o modo de acceso a los sistemas y dispositivos tanto donde se almacena la información como desde donde se pueda tener acceso a la misma. Las políticas de seguridad afectan tanto a seguridad física, mediante sistemas mecánicos, como a la seguridad lógica, mediante sistemas electrónicos con acceso directo o a través de redes de comunicaciones. Los procedimientos básicos de seguridad se establecen en la Norma internacional ISO 27000 (establecidas por la Organización Internacional de Estándares), y las que se derivan de ella, que aborda todos los aspectos relacionados con la Seguridad de la Información, y  se desarrollarán de forma resumida en este documento. Esta norma está desarrollada en cooperación con la Comisión Electrotécnica Internacional (IEC - International Electrotechnical Commission) por lo que se denomina también como ISO/IEC 27000.

Las políticas de seguridad se establecen, entre otras, para mantener la protección de la información privada de los usuarios en el acceso y utilización de los sistemas, de cualquier tipo y a cualquier nivel. Entendiendo, por tanto, la información privada como aquella que corresponde a la privacidad del individuo y que hay que proteger, tanto la correspondiente a los datos privados (nombre y apellidos, domicilio, DNI, teléfono, email, actividades que realiza, amigos, comentarios, etc.) como la relativa a la propia identidad del individuo en los sistemas computadores donde trabaja o que visita.

Las políticas de seguridad en los sistemas de información deben contemplar tanto la seguridad física, identificando los procedimientos a establecer respecto a restricciones en el acceso a los sistemas, puertas de seguridad con acceso restringido, protección contra incendios, refrigeración, diseño y estructura eficientes de las infraestructuras, etc.; como la seguridad lógica, todos los requisitos para la seguridad de los sistemas de información, en cuanto al acceso, procesamiento y ataques a través de cualquier mecanismo o dispositivo electrónico o informático. Además, entre las directrices que establece la normativa, figuran normas sobre aspectos administrativos que abarcan desde la asignación de responsabilidades hasta la seguridad de los contratos con terceros y el acceso a la información por parte de éstos.

Las normas y estándares son disposiciones que se emplean en organizaciones para garantizar que los productos y/o servicios ofrecidos por dichas organizaciones cumplen con los requisitos de calidad del cliente y con los objetivos previstos. En este sentido, y en relación con el aspecto particular que nos atañe, la norma ISO 27000 y sus derivadas, normas surgidas a partir de la norma matriz, tratan la seguridad de los sistemas de información en todos sus aspectos.

Norma ISO 27000. Seguridad de la información

La serie ISO 27000 es la que aglomera todas las normativas en materia de seguridad de la información. Las normas más importantes de esta familia, para establecer una implementación efectiva de la seguridad de la información a través de un Sistema de Gestión de Seguridad de la Información (SGSI) centrado en la prevención de riesgos, son las normas ISO 27001 e ISO 27002. A través de esta normativa,  se indican las medidas orientadas a proteger la información, indistintamente del formato de la misma (almacenada electrónicamente, transmitida por correo o por medios electrónicos, impresa en papel, mostrada en video o hablada en conversación), contra cualquier amenaza, de forma que garanticemos en todo momento la Confidencialidad, Integridad y Disponibilidad de la Información.

Esta normativa dispone de un reconocimiento internacional y que proporciona un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña. La norma ISO/IEC 27001 ayuda a proteger la empresa, institución o negocio, su reputación y añade valor extra a cualquier transacción; protege los registros personales y la información sensible; reduce los riesgos de ser hackeado o atacado por agentes maliciosos; e, inspira confianza en la organización que la establece.

La norma ISO/IEC 27002:2022, tratada como un código de buenas prácticas ha sido renovada a un conjunto de controles de seguridad que permiten verificar la implantación de la norma 27001.

Indicaciones de las normas 27001 y 27002

A grandes rasgos, esta normativa establece los protocolos a implementar para la seguridad y fiabilidad de los sistemas. En concreto, esta norma identifica los protocolos o procedimientos a establecer tanto respecto a la seguridad física de los sistemas, como respecto a la seguridad lógica, de acceso a través de mecanismos electrónicos o informáticos, procesamiento de la información o ataques a los sistemas de información. Se incluyen aquí los procedimientos a seguir para la protección contra código malicioso, las copias de seguridad, la seguridad en las redes o el intercambio de información y la gestión de servicios con terceros. Recomendaciones sobre la notificación de eventos y puntos débiles de seguridad, y los procedimientos y responsabilidades para la gestión de incidentes y mejoras de seguridad de la información. También se incluyen protocolos relativos a recursos humanos y aspectos administrativos o de organización que abarcan desde la asignación de responsabilidades para el acceso a la información hasta la seguridad de los contratos con terceros y el acceso a la información por parte de éstos.

En concreto, algunas de estas normas se refieren a:

• Restricciones mecánicas en el acceso a los sistemas
  Es necesario proteger los servidores que mantienen la información para evitar el acceso físico no autorizado a las instalaciones. Los equipos donde se procesa y almacena la información deben estar en áreas seguras y protegidas dentro de un perímetro definido con controles para saber quién accede a ellos.
  
  
• Protección contra incendios y otras catástrofes
  Además de la normativa existente sobre la protección contra incendios de edificios, instalaciones industriales y entornos naturales, existe una normativa específica para la protección contra incendios muy estricta para evitar que la información sufra daños o pueda perderse, especialmente en centros de procesamiento de datos donde se almacena nuestra información. El hardware existente en estos centros emite casi el 100% de la energía utilizada en forma de calor y un aumento excesivo de la temperatura podría dañar los sistemas por lo que la refrigeración es fundamental (se establece una densa red de detectores y un sistema de detección temprana de incendios). En muchos casos, se hace obligatorio disponer de réplicas sincronizadas del sistema de información, en lugares lejanos entre sí, de tal modo que, si un sistema falla o cae, por incendio o incluso por catástrofe natural, el servicio continúe para el usuario final.
  
  
• Diseño y estructura eficientes de las infraestructuras y refrigeración.
  Habitualmente, en las distintas organizaciones, instituciones o empresas, los sistemas de información se ubican en centros de procesamiento de datos que mantienen los servicios y sistemas de información activos. Estos centros de proceso de datos deben disponer de unas infraestructuras que les permitan, de una forma organizada y estructurada dar servicio tanto interno como a usuarios externos a la misma.
  
  La normativa establece los requisitos en cuanto al diseño de soportes y canales para las vías de comunicación y conexionado, disponiendo de un sistema de cableado estructurado y a prueba de fallos que permita la ampliación sencilla a elevadas necesidades de transmisión; sistemas de alimentación eléctrica segura y SAI (sistema de alimentación ininterrumpida), en caso de que falle el suministro eléctrico principal, las baterías del sistema SAI toman el relevo temporalmente; despliegue de racks de servidores en la zona interior del centro de proceso de datos, de este modo se facilita la configuración, enlazado y posible sustitución de elementos en el sistema de información.
  
  
• Recursos humanos.
  La norma, y sus actualizaciones, tratan aspectos sobre la contratación de personal, los procesos disciplinarios, el cese de relación laboral o el cambio de puesto de trabajo, como la suspensión de las credenciales de acceso. Indica de forma concisa las actuaciones sobre política de control de acceso, gestión de accesos de usuarios, o los accesos a la red, sistema operativo y aplicaciones; incluyendo el manejo de ordenadores portátiles y teletrabajo.
  
  
• Seguridad y controles criptográficos.
  Los ataques contra la seguridad de la información hacen que la normativa sobre la seguridad de la información sea cada día más actual y permiten asignar la importancia necesaria a los las instalaciones de procesamiento de información se encuentran protegidas contra el código malicioso. Para ello, en primer lugar, se debe disponer de sistemas de detección de código malicioso en los servidores y en los puestos de trabajo. Además, los controles criptográficos pretenden la protección de la información en caso de que un intruso pueda tener acceso físico a la información, se establece un sistema de cifrado para mantener la confidencialidad e integridad de la información.

Sistema de identificación para acceso a los sistemas informáticos.

 

 

Diseño de un centro de procesamiento de datos, conexionado y racks.

Norma ISO 27002. Controles de verificación seguridad de la información

La normativa presentada en la ISO 27002 se plantea como un inventario de buenas prácticas sobre controles de seguridad de la información. La norma ofrece una serie de controles que se utilizan como guía de implementación para lograr los objetivos de la seguridad de la información que se establecen en las normas anteriores.

Los parámetros de control que incorpora esta norma afectan, por tanto, a las políticas de seguridad de la información, a la organización de dicha seguridad y los recursos empleados, controles de acceso y seguridad física del entorno, criptografía y seguridad de las comunicaciones y operaciones, y gestión de activos, entre otros.

Normas ISO 27017 y 27018. Sistemas de información en la nube (cloud). Protección de datos personales.

La norma ISO 27017 establece los controles de seguridad de la información para servicios en la nube, entendiendo por tales los que se realizan a través de internet, es decir, aquellos que ofrecen aplicaciones que no están instaladas en el propio ordenador. Para ello el servidor de dichas aplicaciones o programas debe ser accesible desde cualquier dispositivo conectado a internet y debe disponer de garantías de seguridad y capacidad de almacenamiento suficientes para cualquier usuario. Esta norma dispone de una guía de controles adicionales a los establecidos en la ISO 27002, específicos para la nube.

Mientras, la norma ISO 270018 indica las pautas para la protección de información de identificación personal en la nube. Para trabajar con estas aplicaciones es necesario identificarse, siendo muy rigurosos los requisitos de seguridad necesarios a la hora de realizar dicha identificación personal. Esta norma establece los objetivos de control, pautas y controles que implementan la protección de información de identificación personal de acuerdo con la normativa vigente sobre los principios de privacidad existentes para los sistemas de computación en la nube.

Norma ISO 27799. Gestión de la seguridad de la información en sanidad.

Se trata de una norma internacional que indica la mejor manera de proteger los datos personales de salud. Entre otras, establece controles de acceso a datos con indicación de acceso privilegiado; gestión criptográfica de datos confidenciales, con protección de las claves de cifrado; y, registro de la utilización de los datos de usuarios, protegiendo los mismos de alteraciones y accesos no autorizados.

En los sistemas de información, especialmente en la navegación por internet y accesos en la nube, es necesario mantener la protección de la información privada de los usuarios, en el acceso y en la utilización de los mismos. La información privada es la que corresponde a la privacidad del individuo, tanto los datos privados como la relativa a la identidad digital del individuo.

Contemplando la importancia de la privacidad de la información y de la identidad del individuo, se establecen unas políticas de privacidad que todos los sistemas que visitamos o en los que trabajamos deben satisfacer. Es necesario demandar una aceptación expresa al usuario de que acepta las condiciones establecidas en dichas políticas, especialmente en aquellos sitios donde nuestros datos son solicitados. El documento con la política de privacidad se debe mostrar en el primer nivel de información previo a la recopilación de datos de los usuarios. Además, para cada formulario debe figurar quién es el responsable de los datos, la finalidad de la recogida de los mismos, la legitimación, dónde se van a almacenar y los derechos que tienen los usuarios. En la política de privacidad deben figurar:

• La normativa y legislación de aplicación.
• Cómo se introducen los datos por parte de los usuarios.
• Para qué se van a utilizar los datos.
• Porqué deben introducir los datos y qué ocurrirá si no lo hacen.
• Qué datos son necesarios para comunicarse con la página web o aplicación.
• Compromiso de confidencialidad.
• Compromiso de no compartir los datos con terceros.
• Compromiso de no enviar publicidad sin su consentimiento.
• Información relativa al derecho a cancelación, rectificación, portabilidad o limitación de tratamiento de los datos.

La política de privacidad evita que terceros utilicen nuestros datos personales si así lo indicamos expresamente.

Norma ISO 29100. Protección de datos y privacidad en la nube.

Este estándar internacional proporciona un marco de referencia de alto nivel para la protección de información de identificación personal (PII), con el objetivo de ayudar a las organizaciones a definir los mecanismos de protección relacionados a la privacidad de datos. En concreto, la norma especifica una terminología común en lo relativo a privacidad; define los actores y sus roles en cuanto al procesamiento de información de identificación personal; indica las recomendaciones y consideraciones a contemplar para salvaguardar la privacidad; y, establece los principios de privacidad relativos a las tecnologías de la información y las comunicaciones.