El reto de certificar el cumplimiento de la integridad y confidencialidad en procesos de certificación ISO 270011

Esta es una de las problemáticas más importantes que tenemos hoy en día en las auditorias y los procesos de certificación de las normativas como las normas técnicas locales asociadas a la ISO 27001 o en lo referente a la propia ISO.
Su importancia radica en que impacta directamente en dos de los tres pilares fundamentales de la normativa.
Tenemos que acercarnos a este problema desde tres enfoques diferentes:
1. El acceso indebido a la información.
2. La transmisión no autorizada de la información.
3. La copia de la información.
Aparentemente podríamos proteger los tres problemas desde soluciones tradicionales de seguridad. Pero es solo la teoría, en la práctica no lo podemos hacer.
El acceso a la información se puede garantizar certificando el usuario, pero una vez establecido el acceso, ¿qué herramienta restringe el uso de esa información?
Tenemos leyes promulgadas por las asambleas legislativas nacionales; procesos de certificación debidamente auditados en las empresas y sistemas que reactiva y proactivamente certifican esos accesos. Podríamos pensar que podemos dar por válidas las auditorías a estos procesos.
Pero en realidad no lo podemos hacer si no garantizamos el segundo y tercer punto de la ecuación: la autorización de la transmisión y la copia. No se trata en este caso de validar el acceso, sino de asegurar la propiedad («ownership»). Cuándo tengo un documento en un FTP y accede un empleado desde casa a ese documento. ¿Cuántas copias realizó? ¿Y si en la semana siguiente sale de la compañía; dónde guardó esas copias y con quién las compartió? ¿Y si esa información tiene impacto real sobre mi negocio?…
Estas son las preguntas que nos tenemos que hacer a la hora de dar el visto bueno a la confidencialidad e integridad de los documentos.
1. ¿Qué procesos tengo implementados que me aseguren que sólo puede acceder quien mi organización decida a los documentos sensibles de mi empresa?
2. ¿Cómo puedo fácilmente y desde dónde quiera, atribuir, alterar y revocar privilegios de acceso a los usuarios?
3. ¿Cómo puedo hacerlo sin que mi departamento técnico esté constantemente involucrado en ello?
Si no puedo contestar a estas preguntas de forma inequívoca y sin reservas; ¿Cómo puedo dar el visto bueno a la normativa?
Herramientas como Sealpath (www.sealpath.com) pueden ayudarle a asegurar el control y propiedad de los documentos.
Autor: João Matos joao.matos@biztheworld.com