17 May Controles de seguridad para despachos de abogados y consultoras. Nivel mínimo cumplimiento de seguridad Informática para contratar un ciberseguro o demostrar nuestro nivel de seguridad a un tercero.
En el entorno digital actual, la seguridad informática es fundamental para cualquier organización. Para contratar un seguro de ciberseguridad, es crucial demostrar el cumplimiento de los controles establecidos en la norma ISO/IEC 27002. A continuación, se detallan los pasos para revisar estos controles y garantizar su cumplimiento:
1. Control de Acceso
A.9.1.1: Política de Control de Acceso
Es necesario verificar que la organización tenga una política formal de control de acceso que defina cómo se gestionan y controlan los accesos a los sistemas y datos.
A.9.2.1: Registro de Usuarios
Revisar el proceso de registro de usuarios, asegurando que se realiza de manera controlada y documentada, incluyendo la aprobación de acceso por parte de los responsables.
A.9.2.2: Asignación de Derechos de Acceso
Asegurarse de que los derechos de acceso se asignan basándose en el principio de menor privilegio, y se revisan periódicamente para adecuarse a las necesidades actuales.
A.9.4.1: Restricción del Acceso a la Información
Comprobar que se implementan controles efectivos para restringir el acceso a la información sensible solo a usuarios autorizados.
2. Copias de Seguridad
A.12.3.1: Procedimientos de Copias de Seguridad
Verificar que existen procedimientos documentados para realizar copias de seguridad de la información crítica, y que estas copias se prueban y almacenan de manera segura.
3. Registro Centralizado
A.12.4.1: Eventos de Registro
Asegurar que todos los eventos importantes, como accesos y modificaciones de datos, se registran de manera centralizada para su análisis y auditoría.
A.12.4.2: Protección de la Información de Registro
Revisar que los registros están protegidos contra accesos no autorizados y manipulaciones, y que se conservan durante el tiempo necesario para cumplir con los requisitos legales y de la organización.
4. Credenciales y Control de Acceso
A.9.2.1: Registro de Usuarios
Repetir la revisión del proceso de registro de usuarios, asegurando que se cumplen todos los requisitos de seguridad.
A.9.2.2: Asignación de Derechos de Acceso
Reevaluar la asignación de derechos de acceso para garantizar su correcta implementación.
A.9.3.1: Gestión de Credenciales de Acceso
Comprobar que existe un proceso seguro para la creación, distribución, almacenamiento y eliminación de credenciales de acceso.
A.9.4.2: Autenticación de Usuarios
Asegurar que se utilizan métodos robustos de autenticación de usuarios, tales como contraseñas complejas y autenticación multifactor.
5. Destrucción de Datos
A.11.2.7: Eliminación Segura de Equipos o Dispositivos
Verificar que existen procedimientos para la eliminación segura de datos en equipos y dispositivos antes de su desecho o reutilización.
6. Protección de Endpoints
A.13.2.1: Políticas y Controles de Seguridad de la Red
Asegurar que se implementan políticas y controles adecuados para proteger los endpoints conectados a la red de la organización.
A.14.1.3: Protección contra Malware
Revisar que existen medidas efectivas para proteger los endpoints contra malware, incluyendo la utilización de software antivirus actualizado.
7. Capacitación y Concientización sobre Seguridad de la Información
A.7.2.2: Concienciación, Educación y Formación en Materia de Seguridad de la Información
Comprobar que se realizan programas de formación y concienciación en seguridad de la información para todos los empleados, y que estos se actualizan regularmente.
8. Detección de Intrusos
A.12.4.3: Registros de Administrador y Operador
Asegurar que se mantienen registros detallados de las actividades de los administradores y operadores del sistema para la detección y análisis de incidentes.
A.13.1.1: Controles de Seguridad en las Redes
Verificar que existen controles efectivos para la detección y prevención de intrusiones en la red.
9. Inventario
A.8.1.1: Inventario de Activos
Revisar que se mantiene un inventario actualizado de todos los activos de información, incluyendo hardware y software.
A.8.1.2: Propiedad de los Activos
Asegurar que todos los activos tienen un propietario asignado responsable de su seguridad.
10. Protección Antivirus contra Malware
A.12.2.1: Controles contra Malware
Verificar que se implementan controles efectivos para prevenir, detectar y responder a incidentes de malware.
11. Autenticación Multifactor
A.9.4.2: Autenticación de Usuarios
Reiterar la revisión de la autenticación de usuarios, asegurando el uso de métodos de autenticación multifactor.
A.9.4.3: Uso de Herramientas y Métodos de Autenticación Fuertes
Asegurarse de que se utilizan herramientas y métodos de autenticación fuertes para proteger el acceso a los sistemas críticos.
12. Gestión de Contraseñas
A.9.2.4: Gestión de Contraseñas de Usuario
Verificar que existen políticas y procedimientos para la creación, gestión y cambio seguro de contraseñas de usuario.
A.9.3.1: Gestión de Credenciales de Acceso
Reiterar la revisión de la gestión de credenciales de acceso.
13. Gestión de Parches
A.12.6.1: Gestión de Vulnerabilidades Técnicas
Asegurar que se implementa un proceso para la gestión de parches y actualizaciones de seguridad para mitigar vulnerabilidades técnicas.
14. Protección Física
A.11.1.1: Perímetro de Seguridad Física
Verificar que se han establecido controles para proteger físicamente las instalaciones de la organización.
A.11.1.2: Controles de Acceso Físico
Asegurarse de que existen controles de acceso físico para limitar la entrada a áreas sensibles solo a personal autorizado.
15. Desarrollo de Software Seguro
A.14.2.1: Política de Desarrollo Seguro
Revisar que existe una política de desarrollo seguro que se sigue en todos los proyectos de desarrollo de software.
A.14.2.5: Pruebas de Seguridad del Sistema
Asegurarse de que se realizan pruebas de seguridad en los sistemas antes de su implementación.
16. Respuesta a Incidentes de Seguridad
A.16.1.1: Responsabilidades y Procedimientos
Verificar que se han definido responsabilidades y procedimientos claros para la respuesta a incidentes de seguridad.
A.16.1.4: Evaluación y Decisión sobre Incidentes de Seguridad de la Información
Asegurarse de que existe un proceso para la evaluación y toma de decisiones sobre los incidentes de seguridad de la información.
17. Programa de Seguridad
A.5.1.1: Políticas para la Seguridad de la Información
Revisar que se han establecido políticas de seguridad de la información y que se comunican a todos los empleados.
A.6.1.1: Roles y Responsabilidades para la Seguridad de la Información
Asegurarse de que se han definido claramente los roles y responsabilidades en materia de seguridad de la información.
18. Gestión de Vulnerabilidades
A.12.6.1: Gestión de Vulnerabilidades Técnicas
Reiterar la revisión del proceso de gestión de vulnerabilidades técnicas.
19. Cifrado de Estaciones de Trabajo/Portátiles
A.10.1.1: Política de Uso de Controles Criptográficos
Verificar que existe una política para el uso de controles criptográficos, incluyendo el cifrado de estaciones de trabajo y portátiles.
A.10.1.2: Gestión de Claves Criptográficas
Asegurarse de que se implementa una gestión segura de las claves criptográficas utilizadas para el cifrado.
Conclusión
Realizar un informe de cumplimiento de seguridad informática basado en la norma ISO/IEC 27002 es esencial para demostrar la preparación y madurez de una organización en términos de ciberseguridad. Este informe no solo facilita la contratación de un seguro de ciberseguridad, sino que también fortalece la postura de seguridad de la organización frente a posibles amenazas y vulnerabilidades.
Nosotros, como auditores de seguridad, nos encargamos de realizar este informe de cumplimiento, evaluando cada uno de los controles mencionados y asegurando que su implementación y gestión cumplen con los estándares más altos de seguridad. Con nuestra experiencia y rigor, proporcionamos a las organizaciones la confianza necesaria para afrontar los desafíos de seguridad actuales y futuros.