Publicada en enero de 2015, ISO/IEC 27040:2015 ofrece orientación técnica integral sobre cómo las organizaciones deben identificar un nivel aceptable de reducción de riesgos a través de un enfoque consistente y bien probado para la preparación, el diseño, la documentación y la implementación de la seguridad del almacenamiento de datos.
Su objetivo es ilustrar comunes riesgos relacionados con la seguridad, honestidad y disponibilidad de datos sobre diferentes tecnologías de almacenamiento de información. ISO 27040 también insta a las organizaciones a reforzar la protección de la información confidencial con controles de seguridad de la información adecuados. La norma también ayuda a mejorar la garantía al fomentar, por ejemplo, evaluaciones o auditorías de seguridad de la información Medidas de protección de la información almacenada.
La seguridad del almacenamiento se refiere a la protección de los datos donde se almacenan. La seguridad del almacenamiento también se refiere a la defensa de la transmisión de información a través de enlaces de comunicación conectados con el almacenamiento. El almacenamiento de seguridad incluye:
Protección de datos es una colección de parámetros y configuraciones que hacen que los recursos de datos sean accesibles e inaccesibles para otras entidades, para usuarios aprobados y redes confiables. Estos pueden referirse a hardware, programación, protocolos de comunicaciones y políticas organizativas.
Hay algunas cuestiones que son críticas al considerar un proceso de seguridad de una red de área de almacenamiento (SAN). Los datos almacenados deben estar fácilmente disponibles para personas, entidades y organizaciones autorizadas. También debe ser un desafío para posibles piratas informáticos explotar el sistema. La infraestructura debe ser confiable y estable en diferentes entornos y volúmenes de uso.
Siempre se deben proteger las amenazas en línea como virus, gusanos, troyanos y otros códigos maliciosos. La información sensible debe estar protegida. Innecesario Los sistemas deben eliminarse para eliminar posibles brechas de seguridad.. El proveedor de la aplicación debe rutinariamente instalar actualizaciones del sistema operativo. Duplicación en forma de equivalente (o reflejada) medios de almacenamiento puede ayudar a evitar una pérdida catastrófica de datos si ocurre una falla imprevista. Todos los usuarios deben ser consciente de las directrices y políticas relacionados con el uso de una red de control.
Dos componentes pueden ayudar a evaluar el desempeño de la metodología de seguridad del almacenamiento. En primer lugar, el gasto de implementación del sistema debe ser una pequeña fracción del valor de los datos protegidos. En segundo lugar, vulnerar el sistema debería costar más en términos de dinero y/o tiempo de lo que valen los datos protegidos.
Ciertamente recomendaría ISMS.online, hace que configurar y administrar su ISMS sea lo más fácil posible.
ISO/IEC 27040:2015 es la primera especificación internacional que aborda una amplia gama de cuestiones de seguridad del almacenamiento. La investigación sobre ISO/IEC 27040 comenzó en el otoño de 2010, antes de la conferencia SC27 de ese año. El proyecto tuvo un plazo ampliado, proporcionando 48 meses para establecer el estándar. La norma ISO/IEC 27040 se publicó el 5 de enero de 2015.
En 27040 se inició un proyecto de revisión de la norma ISO 2020. El proyecto tenía los siguientes objetivos:
Un componente importante del estándar ISO/IEC 27040 se centra en definir controles de seguridad para diversos sistemas y arquitecturas de almacenamiento. Este contiene lo siguiente:
La bibliografía se encuentra entre las colecciones más extensas de referencias sobre seguridad de datos. A continuación se muestran las definiciones de algunos términos básicos de ISO 27040.
ISO/IEC 27040:2015 finalmente será reemplazada por ISO/IEC WD 27040. La norma actualizada se adherirá a los Objetivos de Desarrollo Sostenible 9 y 12 de ISO.
Objetivo 9 Industria, innovación e infraestructura se esfuerzan por construir una infraestructura sólida, fomentando un crecimiento inclusivo y sostenible y promoviendo la innovación. Mientras que el Objetivo 12, consumo y producción responsables, busca crear patrones de consumo y producción sostenibles.
Reserve una sesión práctica personalizada según sus necesidades y objetivos.
En seguridad de la información, la autenticación es el acto de confirmar si alguien o algo es realmente quién o qué dice ser. La autenticación verifica la identidad de una persona, proceso o dispositivo, a veces como requisito previo para acceder a los recursos de un sistema de información.
Hay tres tipos de autenticación:
La autenticación de factor único, a menudo llamada autenticación primaria, es el método de autenticación más simple.
La autenticación de factor único requiere solo un mecanismo de autenticación (como contraseña, pin de seguridad, etc.) para obtener acceso a un sistema o servicio. Aunque estos enfoques son más accesibles, a menudo están relacionados con prácticas de seguridad menores. Esto se debe a que pueden ser fácilmente identificados o robados en violaciones de datos, phishing o ataques de registro de teclas. La autenticación de dos factores (2FA) agrega complejidad adicional. 2FA necesita un segundo componente para confirmar la identidad. Los usos típicos incluyen tokens de computadora registrados, contraseñas de un solo uso o PIN.
La mera existencia de dos métodos de autenticación de usuario mejora drásticamente su seguridad general, ya que 2FA mitigará el 80 % de las filtraciones de datos. Aunque los beneficios de seguridad de 2FA son bien conocidos, su uso es un problema generalizado. Desde que Google implementó por primera vez la opción de agregar 2FA a las cuentas de usuario, menos del 10 por ciento de los usuarios han adoptado 2FA en 7 años. Una de las causas por las que no usaron 2FA se debió a la molestia que creaba para los usuarios, indicando que menos del 10% de los usuarios que intentaron usar 2FA no ingresaron el código de confirmación por SMS correctamente.
La autenticación multifactor (MFA) es, con diferencia, el mecanismo de autenticación más avanzado. Utiliza dos o más variables independientes para permitir el acceso del usuario a un sistema. En casos estándar, la MFA utiliza al menos 2 o 3 categorías:
Control de acceso es la limitación deliberada del acceso a una ubicación, sitio web u otros recursos y activos. El acceso podría implicar procesar, visitar o utilizar un activo. El permiso para acceder a un activo se denomina autorización.
La autorización es un método de protección utilizado para definir los derechos del usuario/cliente o los niveles de acceso relacionados con los recursos, incluidos programas informáticos, directorios, servicios, información y características del programa. La autorización suele ir seguida de la autenticación de la identidad del usuario.
Sentimos que teníamos
lo mejor de ambos mundos. Éramos
capaz de utilizar nuestro
procesos existentes,
y el Adoptar, Adaptar
El contenido nos dio nuevos
profundidad a nuestro SGSI.
Un SED es un disco duro con autocifrado que es una forma de disco duro que cifra datos de forma automática y continua sin la intervención del usuario. Una unidad de autocifrado suele tener un circuito integrado en el chip controlador de la unidad de disco. Este chip codifica todos los datos en los medios magnéticos y los descifra automáticamente nuevamente.
Sorprendentemente, una buena cantidad de discos duros actualmente en el mercado son SED. Como los fabricantes no consideran que esta sea una característica significativa, a menudo se pierde en otros aspectos generalmente más significativos. Incluso cuando compra, instala y comienza a usar una unidad SED, el cifrado es automático, por lo que es poco probable que el usuario se dé cuenta de que la unidad es una SED.
Este proceso de cifrado se logra mediante el uso de una clave de cifrado de datos (DEK) única y aleatoria que la unidad requiere para cifrar y descifrar los datos. Cuando los datos se escriben en la unidad, primero el DEK los cifra. De manera similar, una vez que se lee la información en la unidad, DEK la descifra antes de enviarla al resto del dispositivo.
Este proceso garantiza que toda la información de la unidad esté cifrada en todo momento. Una técnica interesante que se puede lograr con esto es borrar un disco duro casi de inmediato y por completo. Todo lo que un usuario hará es decirle al SED que cree un nuevo DEK, luego todos los datos en el disco se convertirán instantáneamente en un galimatías y serán prácticamente irrecuperables. Esto se debe a que la clave necesaria para descifrar los datos ya no está disponible. Entonces, si lo necesita de manera conveniente y Borre de forma segura una unidad antes de volver a implementarla o eliminarla., los SED proporcionan un medio rápido y confiable para hacerlo. Esta ley recibe diversos nombres según el fabricante, pero se la conoce más comúnmente como "Borrado seguro".
La desinfección es el término técnico para garantizar que los datos que quedan almacenados al final de su uso dejen de estar disponibles. La desinfección garantiza que una organización no vulnere los datos al reutilizar, vender o desechar dispositivos de almacenamiento.
La desinfección puede adoptar varias formas dependiendo tanto de la sensibilidad de la información como de la cantidad de esfuerzo que un adversario potencial podría dedicar al intentar recuperar datos. Los métodos utilizados en la desinfección varían desde la simple sobrescritura y la destrucción de claves criptográficas para archivos cifrados hasta la destrucción física del dispositivo de almacenamiento.
El alcance de la norma ISO 27040 cubre:
Además de esto, ISO 27040 cubre la seguridad de la información que se transfiere a través de los enlaces de comunicación asociados con el almacenamiento.
El estándar describe los riesgos de la información relacionados con el almacenamiento de datos y los controles para mitigar los riesgos.
A pesar de la mayor capacidad de las computadoras personales y las estaciones de trabajo departamentales, persiste la dependencia de los centros de datos centralizados debido a las necesidades de integración, continuidad y calidad de los datos. Con un aumento significativo en los volúmenes de datos esenciales, muchas empresas han adoptado marcos centrados en el almacenamiento para su infraestructura de TIC. Posteriormente, la seguridad del almacenamiento juega un papel vital en la protección de esta información y actúa como la última línea de defensa contra amenazas externas e internas en muchas situaciones.
El diseño de las soluciones de seguridad de almacenamiento está influenciado por conceptos de seguridad críticos al considerar la sensibilidad, criticidad y costo de los datos. La cláusula 6 de la norma ISO 27040, Controles de soporte, brinda orientación sobre la implementación de controles relevantes para el almacenamiento en la solución construida.
El consejo se divide a su vez en:
Las preocupaciones de diseño e implementación también incluyen:
Una sesión práctica adaptada a tus necesidades y objetivos.
Como ISO/IEC 27040:2015 proporciona una descripción general de los conceptos de seguridad del almacenamiento, el estándar incluye orientación sobre las amenazas, el diseño y los controles asociados con escenarios de almacenamiento típicos y áreas de tecnología de almacenamiento que se complementan con varios otros estándares ISO. Además, proporciona referencias a diferentes estándares que abordan prácticas y técnicas existentes que pueden aplicarse a la seguridad del almacenamiento.
ISO/IEC 27040 proporciona directrices de seguridad para sistemas y entornos de almacenamiento y protección de datos en estos sistemas. Es compatible con generales ISO / CEI 27001 principios. ISO/IEC 27040 también proporciona directrices claras y completas sobre la implementación relacionada con la seguridad del almacenamiento para protocolos de seguridad universales definidos en ISO/IEC 27002, por nombrar algunos.
ISO 27040 ofrece directrices para la implementación de tecnologías de seguridad de la información dentro de la industria de redes de almacenamiento y asesoramiento sobre la adopción del aseguramiento de la información en los sistemas de almacenamiento, así como sobre preocupaciones de seguridad y protección de datos.
Aunque a menudo se pasa por alto, la protección del almacenamiento es importante para todos aquellos que interactúan con dispositivos, medios y redes de almacenamiento de datos que poseen, ejecutan o utilizan. Esto incluye a los altos directivos, a los adquirentes de productos y servicios de almacenamiento y a otros directivos o usuarios no técnicos, así como a los directivos y administradores que tienen la responsabilidad individual de la seguridad de la información o de la seguridad del almacenamiento, o que son responsables de la seguridad general. implementación de políticas de seguridad y seguridad de la información. También es aplicable a quienes participan en la planificación, diseño e implementación del almacenamiento. Aspectos arquitectónicos de seguridad de la red..
Los defensores de este estándar pensaron que las dimensiones de protección de la información de los sistemas y redes de almacenamiento de datos se ignoraban debido a conceptos erróneos y falta de experiencia con tecnologías de almacenamiento, o a un conocimiento limitado de los riesgos inherentes o los principios de seguridad.
ISMS.online hace que configurar y administrar su SGSI sea lo más fácil posible.
ISO 27040 consta de siete cláusulas breves y tres anexos. Los desarrolladores de ISO/IEC 27040 no planearon que se siguieran todas las instrucciones, lo que llevó a la inclusión de los tres anexos. Los detalles de higienización relevantes se presentan en un conjunto de tablas en anexo A. El Anexo B fue diseñado para ayudar a las organizaciones a seleccionar controles apropiados basados en la sensibilidad de los datos (alta o baja) o objetivos de seguridad Basado en la tríada de la CIA.
Una de las dificultades al diseñar ISO/IEC 27040 fue que había dos públicos distintos: profesionales del almacenamiento y profesionales de la seguridad. El Anexo C contiene valiosos conocimientos tutoriales para ambos grupos sobre:
El 100% de nuestros usuarios obtienen la certificación ISO 27001 por primera vez