ISO 27001 y la seguridad en el

intercambio de información
ISO 27001:2013

ISO 27001:2013
ISO 27001 es una norma internacional que cada día es adoptada por más empresas
preocupadas por la seguridad de su información y de sus bases de datos. Cada vez son
más las noticias que nos encontramos sobre violación de la información, ya sea en
cuentas personales o profesionales. Por este motivo hay que estar en un continuo
aprendizaje en esta materia para dotar a nuestra organización de la máxima seguridad
de la información que se pueda alcanzar.

En este post vamos a tratar qué consideraciones debemos tener a la hora de intercambiar
información, al utilizar servicios de comercio electrónico y cómo realizar un seguimiento
para asegurar que los controles de seguridad implantados son eficaces.

Intercambio de información
El intercambio de información puede darse dentro de la misma empresa o entre distintas
empresas, pero sea como sea deben existir controles de seguridad que ofrezcan
seguridad y protección a la información que se está intercambiando.

Cuando esto ocurra es necesario establecer una política que acoja a todos los medios
de intercambio que la organización emplee. Los aspectos que esta política debería incluir
son:

 Procedimientos de un correcto uso de los medios.

Material recopilado por el Prof. Jorge Martínez para la Cámara de Comercio de Lima.2018.
 Controles para evitar la modificación, la interceptación, el copiado o la
destrucción de la información.
 Controles de protección contra el código malicioso.
 Técnicas de ingeniería social.
 Uso de cifrado en datos que se consideren necesarios.
La norma ISO-27001, en su valoración de riesgos, debe considerar el caso
en que la empresa intercambie información sensible con una tercera parte.
Si esto ocurre, en el acuerdo hecho entre ambas partes deben quedar
reflejado responsabilidades y procedimientos para el envío, transmisión,
recepción y confirmación.

En este mismo sentido se incluyen controles de autenticación,

responsabilidades de propiedad de datos, el establecimiento de registros
de auditoría y gestión de incidentes.

Si esa información se envía en un soporte mediante correo postal o

mensajería, hay que considerar posibles incidentes durante el transporte,
tales como accesos indebidos o modificaciones. Para evitar estos
problemas se pueden tomar medidas como el embalado y el hacer el envío
con una empresa de confianza.

Igualmente existe envío de mensajes electrónicos, por ello debería ser una
actividad protegida contra accesos no autorizados y otras amenazas.

Por todo esto, si una organización quiere realizar un intercambio de

información segura debe:

 Crear procedimientos de intercambio para todos los medios de

comunicación que utilicen.
 Establecer acuerdos respecto al intercambio de información con personal
externo.
 Realizar acuerdos con los transportistas para efectuar un envío postal de
información seguro.

Servicios de comercio electrónico

El comercio electrónico lleva asociadas ciertas vulnerabilidades como
fraudes o modificación de la información. Si una empresa utiliza este tipo
de comercio, debe protegerse siguiendo indicaciones como:

Material recopilado por el Prof. Jorge Martínez para la Cámara de Comercio de Lima.2018.
 Controles de autenticación.
 Controles de integridad de datos.
 Controles de confidencialidad con la información que se trata.
 Controlar la evidencia del envío.
 Controles de los medios de pago.
 Definir responsabilidades para cada incidente.
Toda relación comercial online debe estar sostenida por un acuerdo
documentado y aprobado por ambas partes y en él se definirán las
responsabilidades de cada una.

En las transacciones se utilizará la firma electrónica, verificando que es

válida y, la información, privacidad y los detalles de la misma deben estar
sujetos a la confidencialidad total. Otros mecanismos de seguridad
empleados son:

 Utilizar protocolos de información seguros en la información

intercambiada.
 Proteger la información que se pone a disposición del público contra
modificaciones no autorizadas.
 Definir controles de integridad de la información pública.
 Realizar pruebas que verifiquen la fortaleza del servidor.
Además no hay que olvidar la legislación vigente aplicable de cada sitio
web y aplicar cualquier control asociada a ella.

En definitiva, toda relación de comercio electrónico segura requiere:

 Protección de la información implicada.

 Un acuerdo entre partes que indique el modo de autenticación, los
requisitos de confidencialidad e integridad, evidencias de envío y
recepción, y la verificación de la información de pago.
 Para las transacciones online reparar en la firma electrónica,
confidencialidad y privacidad de la información, en el cifrado de los
canales de comunicación, en los protocolos seguros y en el
almacenamiento seguro de la información de la transacción.
 Proteger cualquier información disponible al público.

Seguimiento

Material recopilado por el Prof. Jorge Martínez para la Cámara de Comercio de Lima.2018.
 Los controles implantados no sirven de nada si no se realiza un seguimiento
y se comprueba su eficacia.

Una de las herramientas para realizar el seguimiento puede ser los

registros de auditoría. Un registro de auditoría aporta información como la
identificación del usuario, fecha y hora de cada paso de la actividad, si se
ha realizado con éxito o el intento ha sido fallido, información o sistemas a
los que el usuario ha accedido y de qué privilegios se ha servido.

De los resultados del seguimiento de los registros de actividad se

obtendrán fallos en los sistemas que pueden iniciar acciones correctivas en
cada caso.

Por otro lado, según la criticidad identificada en el análisis de riesgos se

debe emprender un control del uso de ciertos sistemas de la información y
evaluar sus resultados por si hubiera que iniciar algún tipo de acción
correctiva.

Para que los registros de auditoría sean eficaces en las investigaciones, los
relojes de todos los sistemas de la empresa deben estar sincronizados.

La norma ISO27001 también está sujeta a procesos de auditoría

periódicos, y al igual que en otros controles, en el caso de encontrar alguna
no conformidad se emprenderán acciones correctivas que pongan solución.

Así que si una organización quiere llevar a cabo un seguimiento de los

controles aplicados en seguridad de la información adecuado debe:

 Establecer registros de auditoría de las actividades más relevantes.

 Definir procedimientos para el seguimiento del uso de recursos de
tratamiento de la información.
 Revisar los resultados de las actividades de seguimiento y emprender las
acciones correctivas que fueran necesarias.
 Sincronizar los relojes de todos los sistemas de tratamiento de
información de la empresa.

Material recopilado por el Prof. Jorge Martínez para la Cámara de Comercio de Lima.2018.