👉 Esta actividad te ayuda a cumplir los siguientes controles:
ISO 27001 en su versión 2013: A.5.1.1, A.12.4.2, A.14.2.5
ISO 27001 en su versión 2022: A.5.1, A.8.15, A.8.27
¿Para qué me sirve esta actividad? 📚
Esta actividad te ayudará a definir los controles de seguridad a aplicar en cada una de las capas de la infraestructura tecnológica utilizada por tu empresa.
💡 El modelo de seguridad por capas tiene como objetivo entender cómo la información se mueve a través de los distintos canales usados por la empresa, y con ello saber dónde implementar medidas de seguridad, usando protocolos de comunicación adecuados.
¿Qué tengo que hacer? 🚀
Para documentar esta política debes establecer las medidas de seguridad que tienes implementadas, o que implementarás en cada una de las capas de la infraestructura.
Las capas que consideramos dentro del template y que te recomendamos considerar son las siguientes:
Sistema operativo. Dependiendo si tienes Windows, MacOS, Linux o algún otro sistema operativo, las configuraciones de seguridad a implementar pueden variar, pero algunas de las medidas más recomendables y típicamente aplicadas son:
Revisión periódica de las recomendaciones del propio sistema operativo para proteger el equipo.
Restricción del número de cuentas de usuario en los sistemas, sobre todo de usuarios administradores.
Ejecución de los parches de seguridad más recientes recomendados por el proveedor para el sistema operativo, y por ende, mantenerlo siempre actualizado.
Red. Aquí se debe considerar la implementación de métodos y protocolos que protejan la información de la empresa, en todos los canales de comunicación y servicios de red por donde pasa. Algunas de las medidas más recomendables y típicamente aplicadas son:
Instalación de un firewall y WAF (Web Application Firewall).
Configuración del firewall para el reenvío y filtrado de paquetes.
Control adecuado del acceso de los usuarios a los servicios de red, implementando una adecuada segregación de funciones y permisos.
Aplicaciones. Al identificar las herramientas donde se almacena, procesa o maneja información, podemos definir el uso y configuración adecuada que deben tener para garantizar su seguridad. Algunas de las medidas más recomendables y típicamente aplicadas son:
Identificación por medio de un usuario y contraseña robustos para acceder a cualquier aplicación.
Configuración y uso de la autenticación multifactor en todas las aplicaciones donde sea posible.
Uso de redes privadas virtuales (VPNs) para acceder a las aplicaciones, sobre todo aquellas que son críticas para las operaciones de la empresa.
Además de las medidas de seguridad que te recomendamos anteriormente, será importante añadir e implementar todas aquellas configuraciones o controles de seguridad que consideres pertinentes y que te sea factible aplicarlas.
Nuestro template está estructurado con lineamientos para dar cumplimiento, además cuenta con ejemplos y recomendaciones que te servirán para terminar tu política fácil y rápidamente, pero recuerda que debes ajustarlo al contexto de tu empresa 💪🏼.
💡 Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:
Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).
Posteriormente, debes subir la evidencia de su aprobación.
Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.
Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.
Y por último, debes subir la evidencia de su comunicación.
Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.
Recomendaciones ✅
Puedes considerar incluso más capas de tu infraestructura, y definir los lineamientos y medidas de seguridad pertinentes para protegerlas.
Recuerda que todos los lineamientos definidos en esta política deben estar alineados con lo establecido también en tu Política de Seguridad de la Información, Política de Tecnología y Operaciones de TI, Política de Gestión de Logs, y cualquier otra que cuente con temas asociadas a estas capas de seguridad.
¡Califica este artículo con 😃 si ayudó a resolver tus dudas! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.