24 Feb ISO 27001. Estándar de seguridad de la información como base para periciales informáticas.
Ante el creciente desarrollo de la criminalidad en medios informáticos, es menester potenciar los medios probatorios tecnológicos correspondientes para recoger, analizar y sustentar hipótesis sobre escenarios donde la tecnología actúa como medio o fin para configurar una conducta ilícita.
En el ámbito jurídico, el Perito informático es un profesional informático nombrado por la autoridad del proceso, a fin de que mediante juicio científico-técnico, dictamine con veracidad e imparcialidad, opinando y emitiendo conclusiones sobre puntos concretos relacionados con hechos o circunstancias, sus causas o efectos, para cuya apreciación son indispensables conocimientos especiales. El dictamen del Perito informático es una declaración de ciencia que debe sustentarse en reglas probadas, lógicas y verificadas que prevalecen en su cultura científico-técnica.
Del Perito se exige además de la formación pragmática y académica la adquisición de habilidad técnica y científica usando un lenguaje científico que permita al profano en esta ciencia comprender el mismo. Para poder desarrollar un peritaje que pueda probar el delito informático es necesario disponer de los sistemas adecuados que:
• Registren los accesos permitidos y no permitidos a la información.
• Dispongan de una política de copias de seguridad adecuada.
• Ayuden al cumplimiento de la política de seguridad de la empresa en materia LOPD y LSSI.
• Habiliten los sistemas para el rastreo de las acciones de usuarios internos y externos.
• Ayuden a disponer de las medidas de seguridad en materia de antivirus, seguridad perimetral, etc.…
En definitiva es aconsejable que el empresario y/o el responsable de seguridad TI de la empresa se asegure mediante una auditoría/consultoría de seguridad si los anteriores y otros puntos están suficientemente cubiertos en la empresa en materia de seguridad de la información. No basta con cumplir la LOPD o disponer de un antivirus. Es de suma importancia CONTROLAR, que/quién accede a que y cuando. La información de la empresa es el activo más valioso que dispone. Para ello, aplicando parte de estándar de seguridad ISO 27001 se realiza consultoría interna de preparación de los sistemas informáticos y de toda la infraestructura TI para que la empresa pueda estar segura del registro y control de las acciones en materia de seguridad informática de sus empleados.
Las ventajas de una empresa en el cumplimiento de esta norma son muchas, entre ellas:
1. Demostrar la conformidad y la eficacia de las elecciones organizativas y de las actividades operativas puestas en práctica para garantizar la:
• Confidencialidad
• Integridad
• Disponibilidad de la información incluida en el perímetro cubierto por el SGSI (Sistema de gestión de la seguridad de la información)
2. Asegurar la continuidad del Bussiness:
• Minimizando los daños en caso de incidentes (siendo estos, de hecho, inevitables).
• Maximización de las inversiones efectuadas para la implementación y la gestión de la seguridad.
• Mejora continua de la eficacia organizativa y operativa.
• Construir o supervisar la seguridad perimetral.
• Concienciar al personal mediante documentos de seguridad.
Preguntémonos las siguientes cuestiones:
• ¿Sabemos que nuestra organización está procediendo bien para asegurar nuestros sistemas ante intrusos, robos de información, ataques…?
• ¿Estamos aplicando buenas prácticas para proteger nuestras implantaciones LOPD?
• ¿Están nuestros empleados utilizando los SI de forma segura y dentro de la funcionalidad para que hayan sido entregados?
• ¿Los datos privados del negocio a los cuales nadie más que el CEO deberían tener acceso están suficientemente protegidos?
• ¿Estamos cumpliendo el marco legal a nivel de licencias, leyes de propiedad intelectual,…?
• ¿Podremos demostrar ante un conflicto legal o con un trabajador el correcto uso de los sistemas informáticos que hemos puesto a su alcance?
• ¿Podrá un perito disponer de las evidencias necesarias si mis sistemas informáticos no están adecuados a una norma de seguridad?
La ISO 27001 mide el riesgo de estas y otras muchas cuestiones, para poder aplicar medidas y procedimientos que aseguren un sistema SGSI óptimo y que de respuesta al alineamiento de las Ti con la estrategia empresarial, ayudando a los peritos informáticos a disponer del máximo número de evidencias para poder reflejar en su pericial la información necesaria para verificar los hechos oportunos que delaten o confirmen un delito.