ISO 27001 – Anexo A.13: Seguridad de las Comunicaciones

¿Cuál es el objetivo del Anexo A.13.1?

El anexo A.13.1 trata sobre la gestión de la seguridad de la red. El objetivo de este Anexo es garantizar la protección de la información en las redes y sus instalaciones de procesamiento de información de apoyo. Es una parte importante del sistema de gestión de seguridad de la información (SGSI), especialmente si desea obtener la certificación ISO 27001.

A.13.1.1 Controles de red

Las redes deben gestionarse y controlarse para proteger la información dentro de los sistemas y aplicaciones. En términos simples, la organización debe utilizar métodos adecuados para garantizar que protege cualquier información dentro de sus sistemas y aplicaciones. Estos controles de red deben considerar cuidadosamente todas las operaciones del negocio, diseñarse e implementarse de manera adecuada y proporcional de acuerdo con los requisitos del negocio, la evaluación de riesgos, las clasificaciones y los requisitos de segregación, según corresponda.

Algunos posibles ejemplos de controles técnicos a considerar pueden incluir: Control de conexión y verificación de endpoints, firewalls y sistemas de detección/prevención de intrusiones, listas de control de acceso y segregación física, lógica o virtual. También es importante hacer cumplir el hecho de que al conectarse a redes públicas o de otras organizaciones fuera del control de la organización, se deben considerar los mayores niveles de riesgo y gestionar estos riesgos con controles adicionales según corresponda.

Deberá tener en cuenta que el auditor observará que estos controles implementados sean efectivos y se administren de manera adecuada, incluido el uso de procedimientos formales de gestión de cambios.

A.13.1.2 Seguridad de los servicios de red

Los mecanismos de seguridad, los niveles de servicio y los requisitos de gestión de todos los servicios de red deben identificarse e incluirse en los acuerdos de servicios de red, ya sea que estos servicios se proporcionen internamente o se subcontraten. En términos simples, la organización debe incluir en sus acuerdos de servicios de red todas las diversas medidas de seguridad que está tomando para proteger sus servicios de red. Su auditor querrá comprobar que el diseño y la implementación de redes tengan en cuenta tanto los requisitos comerciales como los de seguridad, logrando un equilibrio adecuado y proporcionado para ambos. Buscarán pruebas de ello, junto con pruebas de una evaluación de riesgos.

A.13.1.3 Segregación en Redes

Los grupos de servicios de información, usuarios y sistemas de información deben estar segregados en las redes. Siempre que sea posible, considere separar las tareas de las operaciones de red y las operaciones de computadoras/sistemas, por ejemplo, dominios públicos, departamentos x o y. El diseño y control de la red deben alinearse y respaldar las políticas de clasificación de información y los requisitos de segregación.

¿Cuál es el objetivo del Anexo A.13.2?

El anexo A.13.2 trata sobre la transferencia de información. El objetivo de este Anexo es mantener la seguridad de la información transferida dentro de la organización y con cualquier entidad externa, por ejemplo, un cliente, proveedor u otra parte interesada.

A.13.2.1 Políticas y procedimientos de transferencia de información

Deben existir políticas, procedimientos y controles formales de transferencia para proteger la transferencia de información mediante el uso de todo tipo de instalaciones de comunicación. Cualquiera que sea el tipo de servicio de comunicación que se utilice, es importante comprender los riesgos de seguridad involucrados en relación con la confidencialidad, integridad y disponibilidad de la información y esto deberá tener en cuenta el tipo, la naturaleza, la cantidad y la sensibilidad o clasificación de la información que se transfiere. Es especialmente importante implementar dichas políticas y procedimientos cuando la información se transfiere desde o hacia la organización desde terceros. Es posible que se requieran controles diferentes pero complementarios para proteger la información que se transfiere contra la interceptación, la copia, la modificación, el enrutamiento incorrecto y la destrucción, y deben considerarse de manera integral al identificar qué controles se deben seleccionar.

A.13.2.2 Acuerdos sobre Transferencia de Información

La información se puede transferir digital o físicamente y los acuerdos deben abordar la transferencia segura de información comercial entre la organización y cualquier parte externa. Se deben seleccionar, implementar, operar, monitorear, auditar y revisar procedimientos de políticas de transferencia formales y controles técnicos para garantizar una protección de seguridad efectiva y continua. A menudo, los sistemas y procedimientos de comunicaciones y transferencias se implementan sin una comprensión real de los riesgos involucrados, lo que, por lo tanto, crea vulnerabilidades y posibles compromisos. ISO 27002 aborda consideraciones de implementación que incluyen la consideración de notificaciones, trazabilidad, custodia, estándares de identificación, cadena de custodia, criptografía, control de acceso y otros.

A.13.2.3 Mensajería Electrónica

Cualquier información que esté involucrada en cualquier forma de mensajería electrónica debe protegerse adecuadamente. En términos simples, cuando se utilizan mensajes electrónicos, estos deben protegerse para garantizar que no se pueda obtener acceso no autorizado. La organización debe crear una política que establezca qué formas de mensajes electrónicos deben usarse para los diferentes tipos de información que se transfieren, por ejemplo, según sobre qué tan seguros son. También será necesario tener en cuenta la transferencia de comunicaciones de voz y fax, y la transferencia física (por ejemplo, a través de sistemas postales). Esto debería estar alineado con los controles de acceso y otras políticas de autenticación segura y procedimientos de inicio de sesión.

A.13.2.4 Acuerdos de confidencialidad o no divulgación

Un buen control describe cómo se deben identificar, revisar periódicamente y documentar los requisitos de acuerdos de confidencialidad o no divulgación que reflejen las necesidades de la organización para la protección de la información. Como tal, la organización debe garantizar que cualquier información que deba protegerse se haga mediante el uso de acuerdos de confidencialidad y no divulgación.

Los acuerdos suelen ser específicos de la organización y deben desarrollarse teniendo en cuenta sus necesidades de control tras el trabajo de análisis de riesgos. Los acuerdos estándar de confidencialidad y no divulgación que pueden justificar su consideración aquí incluyen:

• Acuerdos generales de confidencialidad y mutuos de confidencialidad, por ejemplo, cuando se comparte información confidencial, por ejemplo, sobre nuevas ideas de negocios.
• Acuerdos con el cliente que utilizan términos y condiciones estándar, que expresan confidencialidad en el contexto del uso de los productos vendidos y cualquier servicio complementario descrito en un formulario de pedido relacionado.
• Acuerdos de asociado/proveedor/socio utilizados para pequeños proveedores y proveedores de servicios independientes que la organización utiliza para la prestación de servicios.
• Términos relacionados con el empleo (alineados con A.7).
• Políticas de privacidad, por ejemplo, de pies de página de correo electrónico.