La segregación de funciones en ISO 27001 es uno de los controles (A.6.1.2) del Anexo A, versión 2013. La edición del año 2022 clasifica la segregación, en el mismo Anexo A, bajo la nomenclatura A.5.3.
La segregación de funciones en ISO 27001 genera cierta inquietud entre los profesionales del área de Seguridad de la Información, o de áreas transversales a esta, como TI.
Una razón para ello es el uso de la palabra “segregación”, que suele ser de aparición frecuente en otro tipo de contexto. Hoy ahondamos en el significado de la palabra dentro del marco de la aplicación de ISO 27001. Hablamos de lo que significa y de qué forma puede la organización cumplir con la segregación de funciones en ISO 27001, propuesta como control en el numeral A.5.3. de la edición 2022 de la norma.
¿Qué significa segregación de funciones en ISO 27001?
Segregación es una palabra con antecedentes históricos ingratos. Hace referencia a la separación o discriminación de personas o comunidades, utilizando criterios como su raza o sus creencias políticas o religiosas.
La segregación de funciones en ISO 27001 tiene connotaciones muy diferentes. Se refiere a la separación de funciones, para distribuirlas entre empleados diferentes, con dos objetivos claros: evitar la posibilidad del error humano y mitigar el riesgo de uso fraudulento de algún recurso o de información privilegiada, por ejemplo.
En cualquiera de los dos casos, la segregación de funciones en ISO 27001 cumple con los objetivos. Si varias personas tienen funciones diferentes en un mismo proceso o procedimiento, es inevitable que una o varias perciban un error involuntario.
La comisión de un delito, de un fraude o cualquier acto contra la conducta y la ley, requeriría una asociación de muchas personas, lo que disminuye de forma notable el riesgo.
La segregación ya se aplica en áreas de adquisiciones, financiera, tesorería o contabilidad, con excelentes resultados. La segregación de funciones en ISO 27001, o en cualquier otra área, entrega además un interesante beneficio: forma trabajadores integrales, preparados para trabajar en diferentes puestos sin requerir procesos de capacitación apresurados.
¿En qué áreas se aplica la segregación de funciones en ISO 27001?
El tratamiento de información, de datos o de registros implica riesgos de alto impacto negativo. La divulgación no autorizada de los datos de uno o varios clientes, por ejemplo, genera un daño reputacional para la organización que es irreparable.
Los errores o la mala intención tienen un coste alto para la empresa. El problema puede surgir en cualquier área que procese información. Por supuesto, Seguridad de la Información, TI, Atención a Clientes, Contabilidad, Recursos Humanos y adquisiciones, son especialmente vulnerables.
Comprende el requisito expresado en la cláusula 5.3 sobre segregación de funciones en #ISO27001 y encuentra cómo alcanzar la conformidad con la norma de #SeguridadInformación Share on X¿Cuándo y dónde implementar el control de segregación de funciones en ISO 27001?
En 2022 se publicó la guía para implementación de ISO 27001. ISO 27002:2022 proporciona directrices para la implementación y comprensión de los requisitos del estándar de Seguridad de la Información, pero también para el uso y aplicabilidad de los controles del Anexo A.
Encontramos en esa guía una lista de situaciones en las que se recomienda utilizar uno u otro control. En el caso de la segregación de funciones en ISO 27001, la guía habla, entre otras, del caso en que se sustituye tecnología o se actualiza software u otro tipo de aplicativos.
Esta circunstancia particular genera alto riesgo de acceso y exposición de información privada, confidencial o privilegiada, con fines fraudulentos o por error. Es el mejor escenario en que se puede pensar para aplicar la segregación de funciones.
Otras áreas para implementar la segregación de funciones en ISO 27001
Una evaluación de riesgos de Seguridad de la Información revelará los puntos críticos y las áreas en las que conviene implementar como control la segregación de funciones. Usualmente, estos procesos o funciones aparecen en la lista:
- Asignación de privilegios de acceso, definición de perfiles o cambio de contraseñas y derechos de acceso.
- Capacitación o entrenamiento para el uso de tecnología con acceso a información privilegiada.
- Administración de bases de datos.
- Almacenamiento de información, cambio de ubicación o eliminación.
- Contratación de servicios de almacenamiento en la nube o de servidores externos.
- Alimentación de base de datos.
- Auditorías a Sistemas Informáticos.
- Procesamiento de transferencias bancarias.
- Transferencia de información y de datos, en forma digital o física.
¿Cómo aplicar la segregación de funciones en ISO 27001?
En la práctica, la segregación de funciones se implementa siguiendo algunos pasos lógicos:
- Identificar los procesos, las áreas o los procedimientos que, de acuerdo con una evaluación previa, presentan un alto nivel de riesgo de error o de abuso.
- Definir las tareas o los pasos en los que se divide el proceso o procedimiento.
- Asignar cada tarea a una persona diferente.
- Evaluar los resultados de la segregación.
- Rotar a las personas de forma periódica, para evaluar el rendimiento en cada puesto de trabajo e identificar problemas.
El control permite hacer un registro de actividad eficaz, que ayuda a concluir qué empleados se comportan con mayor eficiencia, y en qué tarea. La segregación permitirá también identificar necesidades de formación y capacitación en algunos empleados, así como el liderazgo natural de otros.
La formación en Seguridad de la Información es un aspecto fundamental para el éxito de la Gestión. La organización necesita profesionales especializados en muchas áreas, más allá de Seguridad de la Información.
Diplomado de Seguridad de la Información ISO/IEC 27001
El Diplomado de Seguridad de la Información ISO/IEC 27001 es el programa más completo sobre el estándar y sus requisitos, actualizado a la edición 2022 de la norma, y ajustado a las directrices propuestas por ISO 27002.
El Diplomado ofrece triple titulación: como experto en Seguridad de la Información, como auditor interno de SGSI, y la posibilidad de optar por el certificado ERCA del Registro Europeo de Auditores Certificados. El camino a la cima profesional inicia aquí.