Últimos Posts:
http://gfsistemas.net/mailing/oki7.png

ISO 27001: ¿Cómo detectar los diferentes tipos de vulnerabilidades?

ISO 27001
Sistema de Gestión de Seguridad de la Información
Vulnerabilidad asociada al entono y a las infraestructuras de la organización
La norma ISO 27001 establece que una fuente de vulnerabilidad se encuentra asociada al fallo en la seguridad  del entorno no impendo que se encuentre sin autorización, lo que puede generar daños en las instalaciones de la organización y la información sensible de ésta.
Lo que puede venir dado por una falta de protección física en el edifico, puertas de entrada o ventanas, un mal uso del control en el acceso al edificio y a los despachos, una mala ubicación de los activos de información, etc.
Se pueden dar casos que pongan en evidencia la vulnerabilidad de la organización, ya que la vulnerabilidad no es un concepto estático por lo que nuevas amenazas pueden emerger con el tiempo.
Otro aspecto a tener en cuenta es considerar la necesidad de contratar un seguro que se haga cargo si llegase a suceder un incidente de seguridad. La norma ISO 27001 sugiere que no solo se contemplen las protecciones individuales, sino también las sugeridas por una repentina interrupción del servicio debido a desastres incontrolados. Las coberturas deberán amparar diferentes riesgos como pueden ser:
  • ·         Pérdidas causadas por la interrupción
  • ·         Costos adicionales por utilizar un lugar alternativo

Las vulnerabilidades pueden provenir de amenazas internas, lo que obliga a las organizaciones a realizar cambios en sus sistemas de control internos.
Vulnerabilidad asociada a la organización
La norma ISO 27001 nos puede ayudar a mejorar la Seguridad de la Información en nuestras organizaciones, pero las medidas de seguridad relativas a la empresa y las de TI no son del todo nítidas. La seguridad en las organizaciones es un todo, por lo que debe existir consistencia entre los objetivos de la empresa, contando con un plan estratégico deSistemas de Información, hasta conseguir la estructuración de todos los recursos, los flujos de información y los controles que faciliten la consecución de las metas.
Se puede identificar como vulnerabilidad la falta de una política de seguridad que facilite a la dirección de la empresa el apoyo que necesita para establecer el Sistema de Gestión de Seguridad de la Información. También podemos decir que existe cuando ésta no se encuentra plasmada en un plan que no tengan la correspondiente asignación de recursos necesarios para llevarlo a cabo o que los plazos fijados no se correspondan con la realidad.
La vulnerabilidad de algunos tipos de organizaciones es una preocupación de los organismos reguladores.
En algunas partes de la organización, de forma especial, en los departamentos de informática es necesario que las funciones se encuentren perfectamente descritas y la responsabilidad esté claramente delimitada y documentada. Es necesario que los miembros tengan conocimiento de las funciones que realizan y sus responsabilidades.
Durante los últimos años ha crecido en todas las empresas la importancia que se ha asignado al control del cumplimiento de las reglas:
  • ·         Externas: leyes, decretos, ordenanzas, etc.
  • ·         Internas: políticas, planes, prácticas y procedimientos.

La forma de implementar la norma ISO 27001 es mediante la posición del cumplimiento, como una función de dependencia del primer nivel de la empresa.
La función que realiza el responsable se encuentra ligada al ámbito de la seguridad de la información. En muchos casos se lleva a cabo un entrenamiento del personal con el fin de contribuir a concienciarlos en seguridad de la información.
Vulnerabilidad asociada a procedimientos
Un defecto en los procedimientos durante la implantación del Sistema de Gestión de Seguridad de la Información ISO 27001 puede generar vulnerabilidades.
Una forma de proteger la información es la de utilizar una clave que cumpla cierto requisitos, para que no se pueda poner una clave demasiado sencilla para dificultar la entrada de personas no autorizadas. Además, cada cierto tiempo se debe revisar la contraseña y debe ser cambiada por otra. Todo esto irá dirigido por el responsable del SGSI.
Se ha probado la eficacia de este enfoque, ya que nadie mejor el dueño del activo para evaluarlo y tomar las medidas de seguridad necesarias.
Vulnerabilidad asociada al personal
El personal de la empresa es considerado como uno de los activos más débiles desde el punto de vista de seguridad.
La calidad de los recursos humanos influye  en la calidad de los procesos de la organización  la gestión de cada uno de los elementos fundamentales.
La vulnerabilidad inherente al personal se dará cuando:
  •      La selección de recursos humanos no se haga sobre elementos objetivos y no considere la formación, experiencia y niveles de responsabilidad anteriores.
  •        No se realicen evaluaciones periódicas comparando con otras normas y responsabilidades del puesto.
  •          No se satisfacen las necesidades de capacitar al personal.
  •          No existen controles que eviten cambiar la posición.
  •          No existen pautas para promocionar al personal en su desempeño profesional.
  •          Existe una alta rotación de personal y un alto índice de absentismo.
  •          No existen procedimientos definidos.
  •          Cuando se existan seguros que cubran la infidelidad del personal.



Share this article :
Etiquetas: , ,
 
Soporte : GFSistemas Corp. | Email Marketing | Pedidos o Sugerencias
Copyright © 2013. Informática al Día GFSistemas - Todos los Derechos Reservados By GFSistemas
Template Created by GFSistemas Published by GFSistemas
Proudly powered by Blogger