ISO 27001 es un estándar de cumplimiento que establece los requisitos para un Sistema de Gestión de Seguridad de la Información (ISMS). Estos sistemas protegen la seguridad, disponibilidad y confidencialidad de los activos de información de una organización mediante políticas y procedimientos técnicos y organizativos. Cumplir con ISO 27001 significa que una organización cuenta con sistemas implementados y sigue las mejores prácticas para gestionar los riesgos de sus datos.
Cómo el MDM facilita el cumplimiento de seguridad
Las cláusulas de gestión del estándar ISO 27001 detallan en términos generales los controles que una organización debe implementar para demostrar que está tomando las medidas adecuadas para mitigar los riesgos a la seguridad de la información. Estos controles abarcan desde el control de acceso y la seguridad física hasta la criptografía y la gestión de incidentes, y se dividen en cuatro categorías generales: técnica, organizativa, física y personal. Muchos de estos controles pueden ser abordados directamente por una solución MDM como Applivery.
Controles técnicos
Dispositivos para el usuario final
La información almacenada, procesada o accesible para los usuarios en dispositivos de usuario final debe ser protegida. El MDM puede ayudar asegurando que los dispositivos proporcionados por la empresa tengan discos duros cifrados.
Protección contra malware
Es fundamental asegurar que la información y otros activos estén protegidos contra malware, y esta protección debe estar respaldada por la capacitación adecuada del usuario sobre las mejores prácticas. El MDM puede ayudar desplegando software antimalware.
Vulnerabilidades técnicas
Las organizaciones deben mantenerse al tanto de las vulnerabilidades técnicas que podrían afectar sus sistemas de información, con procesos para evaluar su exposición y herramientas para defenderse contra amenazas. El MDM debe ser capaz de parchear dichas vulnerabilidades en los dispositivos, ya sea en el sistema operativo u otro software.
Gestión de configuraciones
El MDM es esencial para implementar y monitorear las configuraciones, incluidas las de seguridad, del hardware, software y servicios, garantizando que todas cumplan con los requisitos de seguridad. Además, es necesario contar con un mecanismo para remediar cualquier cambio no autorizado en las configuraciones.
Instalación de software
Deben existir procedimientos y medidas para instalar software de manera segura, permitiendo la instalación de software desde fuentes oficiales y otras, de forma que se asegure su integridad y se prevenga la explotación de vulnerabilidades.
Controles organizativos
Inventario de activos
La organización debe identificar su información y los activos asociados para preservar su seguridad y asignar la propiedad adecuada. El MDM puede ayudar generando y exportando informes de inventario de activos de TI.
Devolución de activos
La organización debe contar con un sistema para asegurarse de que los empleados (y otros) que tienen activos de información en su posesión, como ordenadores u otros dispositivos, los devuelvan cuando su empleo, contrato o acuerdo cambie o termine. Applivery, además, permite a los administradores bloquear dichos dispositivos en esos eventos.
Información de autenticación
Como administrador de TI, es fundamental asegurarse de que los usuarios manejen correctamente las contraseñas y otros elementos de autenticación. Una forma de lograrlo es desplegar un administrador de contraseñas en los dispositivos a través del MDM. Otra opción es asegurarse de que los usuarios sigan buenas políticas de contraseñas al acceder a sus dispositivos; nuevamente, estas políticas pueden ser aplicadas a través del MDM.
Criptografía
Es necesario contar con la infraestructura para utilizar la criptografía de manera efectiva, protegiendo la confidencialidad y autenticidad de la información empresarial, incluida la gestión de claves. Una buena solución MDM permite habilitar y configurar opciones para FileVault y BitLocker, incluyendo el escaneo de una clave de recuperación.
Controles físicos
Medios de almacenamiento
Los medios de almacenamiento deben ser gestionados durante todo su ciclo de vida, desde la adquisición y el uso hasta la disposición. La organización debe controlar la divulgación, modificación, eliminación y destrucción de la información en dichos medios. Algunas soluciones MDM, incluida Applivery, permiten definir reglas para permitir o bloquear el acceso al almacenamiento removible.
Controles de personal
Trabajo remoto
Es esencial contar con sistemas que protejan la información de la organización, incluso cuando los empleados trabajen de forma remota. El MDM puede facilitar esto configurando el cifrado de discos duros en los dispositivos utilizados por los empleados remotos, asegurando que los datos estén protegidos fuera de las instalaciones de la empresa.
Estos son los controles clave de ISO 27001 que el MDM puede ayudar a implementar. Puede haber otros, dependiendo de cómo hayas implementado el MDM, cómo opera tu organización y qué funcionalidades específicas ofrece tu solución MDM.
Con el aumento de la ciberdelincuencia y la aparición constante de nuevas amenazas, estos controles son más importantes que nunca. Prestar atención a los requisitos de ISO 27001 puede ayudarte a ser más consciente de los riesgos y a identificar y abordar proactivamente cualquier debilidad en tu organización. Una solución MDM como Applivery podría ser una herramienta clave para lograrlo.
Applivery es la plataforma de gestión y seguridad de dispositivos Apple que potencia el trabajo seguro y productivo a nivel mundial. Con Applivery, los dispositivos están bajo la supervisión de la empresa, con todas las aplicaciones, configuraciones y sistemas de seguridad adecuados en su lugar.
