10 May ISO27001. A.10.1.1. Políticas de uso de controles criptográficos
El uso de elementos relacionados con la criptografía y cifrado son clave en la actualidad, especialmente en todos los servicios que exponemos en Internet como portales web, interconexión con terceros, comunicación con otros proveedores o clientes, etc de manera que aquella información intercambiada, aunque fuera interceptada mantiene su confidencialidad e integridad. En este punto quiero comentar como trabajo con mis clientes cuando colaboro como Auditor Interno ISO27001 y que esperamos que el auditor revise. Hablamos de Políticas de uso de controles criptográficos
ISO27001. A.10.1.1. Políticas de uso de controles criptográficos
Políticas de uso de controles criptogramas son obligatorios en el uso de sistemas de información.
¿Cómo implementarlo en nuestras empresas?
Como avanzaba en la introducción de este post el uso efectivo de técnicas criptográficas debe estar acompañado de uso de claves criptográficas de longitud adecuada, uso de algoritmos de cifrado y descifrado, Se recomienda usar estándares de cifrado y descifrado reconocidos en la industria que ayuden a asegurar la confidencialidad, integridad, privacidad y no repudio en la comunicación entre partes. El uso de SSL/TLS y protocolos https son fundamentales.
Seguidamente incluyo un ejemplo reducido de como gestionar este control:
Resumen
- La política de de criptografía es fundamental para definir el alcance de este ámbito en nuestro ISMS.
- La política es aplicable a todo el personal interno y externo.
Implementación
Requerimientos para certificados:
- La fecha de expiración máxima para certificados de firma es como máximo 1 año.
- La fecha de expiración máxima para certificados SSL/TLS es como máximo 2 años.
- Todos los certificados deben tener al menos una longitud de 2048 bits
- Todos los certificados son administrados mediante la gestión de activos.
Requerimientos para conexiones SSL:
- El uso de SSL no se permite.
- En cambio TLS 1.2 o 1.3 o si es permitido.
- Todos los servicios web deben configurarse en el mas alto nivel de encriptación posible.
- Todas las web publicas son escaneadas periódicamente con test de análisis de seguridad y alcanzan el nivel A.
Requerimientos para el email:
- STARTTLS debe estar activado.
- Todos los dominios son escaneados usando herramientas como por ejemplo mxtoolbox.com y la aparición de problemas críticos deben resolverse.
¿En que se enfocará la entidad certificadora de ISO27001?
Dependiendo del scope y otras cuestiones puedo generalizar que el auditor se fijara en los siguientes aspectos:
- El auditor analizara si los requerimientos de seguridad han sido analizados y aplicados medidas de criptografía allí donde sea necesario.
- Debe estar alineado con el punto de control A.10.1.2 relativo a la gestión de claves.
- Analizará la política de uso de criptografía que haya redactado la organización.
- Analizará que la política y los controles tienen relación y lógica así como comunicados a los empleados y terceras partes interesadas.
- Se deberá utilizar claves suficientemente fuertes para tener un equilibrio entre rendimiento y encriptación de la información intercambiada entre sistemas así como que se han usado estándares de criptografía de la industria..
- Entre otros aspectos…
Luis Vilanova Blanco. Auditor CISA por ISACA y formado en ISO27001 por SGS.
606954593