NOTICIAS RECIENTES

Se considera un control de seguridad cualquier tipo de protección o acción realizada para evitar, detectar, contrarrestar o minimizar los riesgos de seguridad que pudiera vulnerar la información de una organización.

Para ello la norma ISO 27001 enuncia como uno de sus Anexos el listado de controles que pueden ser implementados dentro de un sistema de gestión que tenga como objetivo la seguridad de la información, estos controles son descritos de una manera más amplia incluyendo una guía de implementación que permite una fácil comprensión de los mismos, a través de la norma ISO 27002.

En este apartado de reciente actualización, se clasifica un total de 93 controles divididos en 4 grupos y clasificados en las siguientes categorías: Preventivos, Detectivos y Correctivos.

Preventivo: Este control está destinado a evitar que se produzca un incidente de seguridad de la información, pueden ser por ejemplo: vallas que delimiten el perímetro a zonas restringidas, firewalls que impidan conexiones no deseadas a la red o controles de acceso establecidos de tipo lógico o físico, por citar algunos ejemplos.

Detectivo: Este control está enfocado en las acciones que se deben implementar, cuando se produce un incidente de seguridad de la información, se mantienen en funcionamiento constante y son capaces de emitir alarmas o registros sobre las actividades monitoreadas, como ejemplo puede ser: circuitos de video vigilancia en zonas restringidas, sensores de movimiento, el análisis de vulnerabilidades, etc.

Correctivo: Este tipo de control aplica a las acciones que se ejercen después de que se produzca un incidente de seguridad de la información; sin embargo, la aplicación de estos controles previo a un incidente, permite a la organización tener medidas de contención adecuadas. Algunos ejemplos pueden ser el sistema de respaldo o copias de seguridad, plantillas de reemplazo, planes de continuidad del negocio.

Como podemos observar, los controles permiten a las organizaciones tener medidas suficientes que les permita prevenir, evitar o asumir los riesgos inherentes a la seguridad de la información; considerando además que esto es un requisito obligatorio en la obtención de una certificación del sistema de gestión para la seguridad de la información de acuerdo a la norma ISO 27001.