Detección y Prevención en la Gestión de la Seguridad de la Información

• Los ciberataques pasan desapercibidos durante demasiado tiempo
• La nueva norma ISO/IEC 27001:202 2 - cambios clave
• Tres nuevos controles para la detección y prevención
• Resumen técnico
• ¿Qué significa la actualización para su certificación?
• SGSI de última generación con la experiencia de DQS

La implementación de las medidas del Anexo A en la versión actual está respaldada por la guía de implementación estructurada idénticamente de ISO/IEC 27002:2022, que ya se actualizó en febrero. Se incluyen recientemente controles genéricos para la prevención de ataques estratégicos y una detección más rápida.

Tres nuevos controles para la detección y prevención

Las ahora 93 medidas del Anexo A de ISO/IEC 27001:2022 ahora se reorganizan en la actualización en cuatro temas

• Medidas organizativas,
• Medidas personales,
• Medidas físicas y
• Medidas tecnológicas.

Tres de los once controles de seguridad de la información recientemente introducidos se relacionan con la prevención y detección oportuna de ciberataques. Estos tres controles son

• 5.7 Inteligencia de amenazas (organizacional).
• 8.16 Actividades de seguimiento (tecnológicas)
• 8.23 Filtrado web (tecnológico).

A continuación veremos más de cerca estos 3 nuevos controles.

Inteligencia de amenazas

El control organizacional 5.7 se ocupa de la recopilación y el análisis sistemático de información sobre amenazas relevantes. El objetivo de la medida es concienciar a las organizaciones de su propia situación de amenaza para que posteriormente puedan tomar las medidas adecuadas para mitigar el riesgo. Los datos sobre amenazas deben analizarse de forma estructurada según tres aspectos: estratégico, táctico y operativo.

El análisis estratégico de amenazas proporciona información sobre los cambiantes panoramas de amenazas, como los tipos de ataques y los actores, por ejemplo, actores motivados por el estado, ciberdelincuentes, atacantes contratados, hacktivistas. Agencias gubernamentales nacionales e internacionales (como BSI - Oficina Federal Alemana para la Seguridad de la Información, enisa - Agencia de Ciberseguridad de la Unión Europea, Departamento de Seguridad Nacional de EE. UU. o NIST - Instituto Nacional de Estándares y Tecnología), así como organizaciones sin fines de lucro y organizaciones relevantes. foros, proporcionan inteligencia sobre amenazas bien investigada en todas las industrias e infraestructuras críticas.

Los ciberataques pasan desapercibidos durante demasiado tiempo

El valor eminente de la información y los datos en el mundo empresarial del siglo XXI obliga cada vez más a las empresas y organizaciones a centrarse en la seguridad de la información e invertir en la protección sistemática de sus activos digitales. ¿Por qué? En panoramas dinámicos de amenazas, las tácticas de los atacantes se están volviendo cada vez más sofisticadas y multicapa, lo que resulta en graves daños a la imagen y reputación de las empresas afectadas y miles de millones de dólares en pérdidas económicas anuales en todo el mundo.

Los expertos coinciden en que ya no existe una protección completa contra los ciberataques, aunque sólo sea por el factor humano de la incertidumbre. Esto hace que la detección temprana de ataques potenciales y reales sea aún más importante para limitar su vector lateral en las redes corporativas y mantener el número de sistemas comprometidos lo más bajo posible. Pero todavía queda mucho por hacer en esta área: investigación realizada como parte del " Costo de una violación de datos 2022 " El estudio muestra que se necesitaron un promedio de 277 días para detectar y contener un ataque en 2022.

La nueva ISO 27001:2022

Para ayudar a las empresas y organizaciones con un marco estandarizado y contemporáneo para los sistemas de gestión de seguridad de la información, ISO publicó el nuevo estándar SGSI ISO/IEC 27001:2022 el 25 de octubre de 2022. El Anexo A proporciona controles/medidas que se pueden utilizar en una empresa específica. base para abordar los riesgos de seguridad de la información.

Para detectar este comportamiento inusual, las actividades relevantes deben monitorearse de acuerdo con los requisitos de seguridad de la información y del negocio y cualquier anomalía debe compararse con los datos de amenazas existentes, entre otras cosas (ver arriba, requisito 5.7). Los siguientes aspectos son relevantes para el sistema de seguimiento:

• Tráfico entrante y saliente de red, sistema y aplicaciones,
• Acceso a sistemas, servidores, equipos de red, sistemas de monitorización, aplicaciones críticas, etc…,
• Archivos de configuración del sistema y de la red a nivel administrativo o de misión crítica;
• Registros de herramientas de seguridad [por ejemplo, antivirus, sistemas de detección de intrusos (IDS), sistemas de prevención de intrusiones (IPS), filtros web, cortafuegos, prevención de fuga de datos],
• Registros de eventos relacionados con actividades del sistema y de la red,
• Verificación de que el código ejecutable en un sistema tiene integridad y autorización,
• Uso de recursos, por ejemplo, potencia del procesador, capacidad del disco, uso de memoria, anchos de banda.

Los requisitos básicos para un seguimiento funcional de las actividades son una infraestructura de TI/OT configurada de forma limpia y transparente y redes de TI/OT que funcionen correctamente. Cualquier cambio en este estado básico se detecta como una amenaza potencial a la funcionalidad y, por tanto, como una anomalía. Dependiendo de la complejidad de una infraestructura, implementar esta medida es un gran desafío a pesar de las soluciones relevantes de los proveedores. La importancia de los sistemas de detección de anomalías se reconoció casi simultáneamente con el requisito 8.16 de la norma ISO/IEC 27002:2022 para operadores de las denominadas infraestructuras críticas. Así, en el ámbito nacional de las normas legales pertinentes existe la obligación de aplicar de forma eficaz y con plazos los llamados sistemas de detección de ataques.

Filtrado web

Internet es a la vez una bendición y una maldición. El acceso a sitios web dudosos sigue siendo una puerta de entrada a contenidos maliciosos y malware. El control de seguridad de la información 8.23 Filtrado web tiene el propósito preventivo de proteger los sistemas propios de una organización de la intrusión de malware y evitar el acceso a recursos web no autorizados. Las organizaciones deben establecer reglas para el uso seguro y apropiado de los recursos en línea para este propósito, incluidas restricciones obligatorias de acceso a sitios web y aplicaciones basadas en web no deseados o inapropiados. La organización debe bloquear el acceso a los siguientes tipos de sitios web:

• Sitios web que tienen una función de carga, a menos que sea necesario por motivos comerciales legítimos,
• Sitios web maliciosos conocidos o incluso sospechosos,
• Servidores de comando y control,
• Sitios web maliciosos identificados como tales a partir de los datos de amenazas (ver también medida 5.7),
• Sitios web con contenido ilegal.

La medida de filtrado web sólo funciona realmente con personal capacitado y suficientemente consciente del uso seguro y adecuado de los recursos en línea.

La inteligencia táctica sobre amenazas y su evaluación proporcionan evaluaciones de los métodos, herramientas y tecnologías de los atacantes.

La evaluación operativa de amenazas específicas proporciona información detallada sobre ataques específicos, incluidos indicadores técnicos, por ejemplo, actualmente el aumento extremo de los ciberataques por ransomware y sus variantes en 2022.

El análisis de amenazas puede brindar soporte de las siguientes maneras:

• Procedimentalmente para integrar los datos de amenazas en el proceso de gestión de riesgos,
• Técnicamente preventivo y de detección, por ejemplo, mediante la actualización de reglas de firewall, sistemas de detección de intrusos (IDS), soluciones antimalware,
• Con información de entrada para procedimientos de prueba específicos y técnicas de prueba contra la seguridad de la información.

La calidad de los datos del control organizacional 5.7 para determinar la situación de amenaza y analizarla afecta directamente a los dos controles técnicos para las actividades de monitoreo (8.16) y el filtrado web (8.23) que se analizan a continuación, que también son nuevos en ISO/IEC 27002.

Actividades de seguimiento

El control de seguridad de la información detectivo y correctivo 8.16 sobre monitoreo técnico de actividades se centra en la detección de anomalías como método para evitar amenazas. Las redes, los sistemas y las aplicaciones se comportan según patrones esperados, como el rendimiento de datos, protocolos, mensajes, etc. Cualquier cambio o desviación de estos patrones esperados se detecta como una anomalía.

Conclusión técnica

Los nuevos controles de detección y prevención descritos aquí desempeñan un papel clave en la defensa contra el cibercrimen organizado y, con razón, se han incluido en las versiones actuales de ISO/IEC 27001 e ISO/IEC 27002. Con la continua actualización y análisis de los datos disponibles información sobre amenazas, una amplia monitorización de la actividad en sus propias infraestructuras de TI y la protección de sus propios sistemas contra sitios web dudosos, las empresas están fortaleciendo de forma sostenible su protección contra la intrusión de malware peligroso. También se ponen en condiciones de iniciar medidas de respuesta adecuadas en una fase temprana.

Las empresas y organizaciones ahora tienen que implementar los tres controles/medidas presentados en consecuencia e integrarlos consistentemente en su SGSI para cumplir con los requisitos de futuras auditorías de certificación. DQS tiene más de 35 años de experiencia integral en el campo de las auditorías y certificaciones imparciales y se complace en ayudarlo en la gestión de cambios de su sistema de gestión de seguridad de la información de acuerdo con ISO/IEC 27001:2022.

¿Qué significa la actualización para su certificación?

ISO/IEC 27001:2022 se publicó el 25 de octubre de 2022. Esto da como resultado los siguientes plazos y plazos para la transición de los usuarios:

Última fecha para auditorías iniciales/recertificación según la "antigua" ISO 27001:2013

• Después del 30 de abril de 2024, DQS realizará auditorías iniciales y de recertificación únicamente de acuerdo con la nueva norma ISO/IEC 27001:2022.

Transición de todos los certificados existentes según la "antigua" ISO/IEC 27001:2013 a la nueva ISO/IEC 27001:2022

• Existe un período de transición de 3 años a partir del 31 de octubre de 2022.
• Los certificados emitidos según ISO/IEC 27001:2013 o DIN EN ISO/IEC 27001:2017 son válidos hasta el 31 de octubre de 2025 a más tardar o deben retirarse en esta fecha.

SGSI de última generación con la experiencia de DQS

En la transición a la nueva versión de ISO/IEC 27001, las organizaciones todavía tienen algo de tiempo. Los certificados actuales basados en la norma antigua perderán su validez el 31.10.2025. Sin embargo, le recomendamos abordar los requisitos modificados del SGSI en una etapa temprana, iniciar procesos de cambio adecuados e implementarlos en consecuencia.

Como expertos en auditorías y certificaciones con la experiencia de más de tres décadas, te apoyamos en la implementación de la nueva norma. Infórmese con nuestros numerosos auditores experimentados sobre los cambios más importantes y su relevancia para su organización y confíe en nuestra experiencia. Juntos, discutiremos su potencial de mejora y lo apoyaremos hasta que reciba el nuevo certificado. Esperamos con interés escuchar de usted.