La norma ISO 27001 se centra en la información sensible y valiosa de una organización: Su protección, su confidencialidad, su integridad y su disponibilidad. La ISO 27001 es una norma internacional para la seguridad de la información en organizaciones privadas, públicas o sin ánimo de lucro. La norma describe los requisitos para el establecimiento, la implantación, el funcionamiento y la optimización de un sistema de gestión de la seguridad de la información (SGSI) documentado. El enfoque principal del sistema de gestión es la identificación, el manejo y el tratamiento de los riesgos.
CONTENIDO
- ¿Cuáles son las amenazas y los riesgos para la seguridad de la información?
- Los procesos defectuosos, ¿una amenaza para la seguridad de la información?
- La gestión de la vulnerabilidad en el contexto de la norma ISO 27001: asegurar de forma óptima la infraestructura
- ¿Cómo puede una empresaprotegerse de las vulnerabilidades técnicas?
- Preguntas importantes sobre la gestión de la vulnerabilidad y el concepto de seguridad de la ISO 27001
- Conclusión
- DQS: Simplemente aprovechando la calidad
¿Cuáles son las amenazas y los riesgos para la seguridad de la información?
La gestión de la vulnerabilidad en el contexto de la norma ISO 27001 se refiere a las vulnerabilidades técnicas. Éstas pueden dar lugar a amenazas para la seguridad informática de las empresas y organizaciones. Entre ellas se encuentran:
- Ransomware, un software de extorsión que puede llevar a la encriptación de soportes de datos y a la obtención de información comprometedora
- Troyano de acceso remoto (RAT), que puede permitir el acceso remoto a la red
- Phishing y SPAM, que pueden conducir a la pérdida de control a través del correo electrónico. En este caso, una puerta de entrada especialmente popular es el Reglamento General de Protección de Datos (RGPD) y la solicitud en un correo electrónico de comprobar los datos del cliente haciendo clic en un enlace. A menudo, los remitentes parecen ser bancos o incluso PayPal.
- DDoS/botnets, que pueden provocar el deterioro de la disponibilidad e integridad de los sistemas debido a los enormes paquetes de datos
- Ciberterroristas patrocinados por el Estado, activistas, delincuentes, así como autores internos que aportan una gran variedad de amenazas
- Procesos inadecuados o inexistentes
La identificación de las vulnerabilidades y las brechas de seguridad que surgen de estas amenazas requiere una evaluación de las necesidades de protección con la norma ISO 27001, ya que esto se traduce en una gestión sistemática de la vulnerabilidad para asegurar la infraestructura de TI con una evaluación continua de la vulnerabilidad.
ISO/IEC 27001:2022 – Seguridad de la información, ciberseguridad y protección de la privacidad – Sistemas de gestión de seguridad de la información – Requisitos.
La norma ISO fue revisada y republicada el 25 de octubre de 2022.
Procesos defectuosos: ¿una amenaza para la seguridad de la información?
Sin un proceso de análisis de los registros del sistema y de los datos de registro, el conocimiento de las vulnerabilidades técnicas y una revisión más profunda de los sistemas de TI, no es posible realizar una evaluación de riesgos realista. La falta de un proceso o un proceso defectuoso tampoco permite establecer criterios de aceptación de riesgos ni determinar los niveles de riesgo, como exige la norma ISO 27001.
De ello se desprende que el riesgo para la seguridad de las TI, y por tanto para la seguridad de la información de una empresa, no puede determinarse y debe asumirse como el mayor riesgo posible para esa empresa.
Míralo ahora: Qué cambia con la nueva ISO/IEC 27001:2022
La nueva versión de ISO/IEC 27001, adaptada a los riesgos de la información contemporánea, se publicó el 25 de octubre de 2022. ¿Qué significa esto para los usuarios de la norma? En la grabación de nuestro seminario web gratuito, aprenderá sobre:
- Nuevas características de ISO/IEC 27001:2022 - Marco y Anexo A
- ISO/IEC 27002:2022-02 - estructura, contenido, atributos y hashtags
- Cronograma para la transición y sus próximos pasos
Gestión de la vulnerabilidad en el contexto de la norma ISO 27001: asegurar de forma óptima la infraestructura
Una posible medida adecuada para asegurar la infraestructura de TI es la gestión de las posibles vulnerabilidades y brechas de seguridad. Esto implica un escaneo regular, sistemático y controlado por la red y pruebas de penetración de todos los sistemas para detectar vulnerabilidades técnicas. Las vulnerabilidades identificadas se registran en el sistema de gestión de la seguridad de la información (SGSI) de acuerdo con la norma ISO 27001.
También es importante definir las amenazas a la seguridad informática, así como la seguridad general de la información. En este contexto, las vulnerabilidades técnicas deben priorizarse en función de su gravedad (CVSS) y, en última instancia, ser remediadas. Una evaluación del riesgo residual de las vulnerabilidades técnicas restantes y, en última instancia, la aceptación del riesgo también forman parte de la gestión de la vulnerabilidad según la norma ISO 27001.
Para evaluar la gravedad de una vulnerabilidad, se puede utilizar el estándar del sector"CVSS - Common Vulnerability Scoring System". Se determina una puntuación global de 0 a 10 a partir de las métricas de puntuación base, que abordan estas cuestiones, entre otras ¿Cómo de "cerca" tiene que llegar el atacante al sistema vulnerable (Vector de Ataque)? ¿Con qué facilidad llega el atacante al objetivo (Complejidad del ataque)? ¿Qué derechos de acceso se necesitan para explotar la vulnerabilidad (Privilegios necesarios)? ¿Necesita ayudantes, por ejemplo, un usuario que deba seguir primero un enlace (Interacción con el usuario)? ¿Está comprometida la confidencialidad (Impacto de la confidencialidad)?
Puede encontrar una calculadora CVSS en las páginas del Instituto Nacional de Estándares y Tecnología (NIST) de Estados Unidos.
¿Cómo puede una empresa protegerse de las vulnerabilidades técnicas?
Por ejemplo, una empresa puede protegerse preventivamente contra los programas maliciosos introduciendo y aplicando medidas de detección, prevención y seguridad de los datos junto con una adecuada concienciación de los usuarios. En concreto, esto significa Para prevenir la explotación de una vulnerabilidad técnica en el contexto de la gestión de vulnerabilidades de la ISO 27001, es necesario:
- Obtener información oportuna sobre las vulnerabilidades técnicas de los sistemas de información utilizados
- Evaluar su vulnerabilidad, y
- Tomar las medidas adecuadas.
Esto puede hacerse mediante la instalación de parches de seguridad (gestión de parches), el aislamiento de los sistemas informáticos vulnerables o, en última instancia, mediante el cierre del sistema. Además, deben definirse y aplicarse normas para la instalación de software por parte de los usuarios.
Preguntas importantes sobre la gestión de la vulnerabilidad y el concepto de seguridad ISO 20071
Las siguientes preguntas podrían plantearse durante una auditoría, por lo que tiene sentido abordarlas de antemano:
- ¿Ha definido las funciones y responsabilidades para tratar y supervisar las vulnerabilidades técnicas?
- ¿Ha conocido las fuentes de información que pueden utilizarse para identificar las vulnerabilidades técnicas?
- ¿Existe un plazo para responder con medidas cuando se notifica y descubre una vulnerabilidad?
- ¿Ha realizado una evaluación del riesgo de las vulnerabilidades con respecto a los activos de la empresa, entre otras cosas?
- ¿Conoce sus vulnerabilidades técnicas?
Si desea obtener una visión completa y fundamentada de las amenazas de Alemania en el espacio cibernético, puede encontrar el "Informe de situación sobre la seguridad informática 2019" en inglés de la Oficina Federal Alemana de Seguridad de la Información (BSI) en https://www.bsi.bund.de.
ISO 27001 Gestión de vulnerabilidades: conclusión
La gestión de la vulnerabilidad en el contexto de la norma ISO 27001 es un proceso continuo que debe llevarse a cabo regularmente. Según la ISO 27001, los resultados deben ser "válidos". Esto significa que un escaneo de vulnerabilidad y una evaluación de riesgos de una sola vez para la implementación o la certificación ya no son válidos en un momento posterior, por ejemplo, durante la recertificación.
Un escaneo de vulnerabilidad sólo es válido en el momento exacto en que se realiza. Pero si se realizan actualizaciones de software más tarde o se introducen cambios en la topología, éstos pueden dar lugar a nuevas vulnerabilidades.
Por lo tanto, es importante para cualquier organización hacer un seguimiento continuo, verificar y repetir los procesos de gestión de la vulnerabilidad y llevar la información pertinente al sistema de gestión de la seguridad de la información.
Conocimientos valiosos: la Guía de Auditoría DQS ISO 27001
Nuestra guía de auditoría ISO 27001 - Anexo A fue creada por destacados expertos como ayuda práctica para la implementación y es ideal para comprender mejor los requisitos estándar seleccionados. La directriz hace referencia a la versión ISO 27001:2013. Se proporcionará oportunamente una actualización de la versión revisada publicada el 25.10.2022.
DQS. Simplemente aprovechando la calidad.
Nos consideramos socios importantes de nuestros clientes, con los que trabajamos a nivel de los ojos para conseguir un valor añadido sustentable. Nuestro objetivo es dar a las organizaciones importantes impulsos de valor agregado para su éxito empresarial mediante los procesos más sencillos, así como el máximo cumplimiento de los plazos y la confiabilidad.
Nuestras principales competencias residen en la realización de auditorías y evaluaciones de certificación. Esto nos convierte en uno de los proveedores líderes en todo el mundo con la pretensión de establecer nuevos puntos de referencia en cuanto a confiabilidad, calidad y orientación al cliente en todo momento.
Newsletter de DQS
André Saeckel
Director de producto en DQS para la gestión de la seguridad de la información. Como experto en normas para el área de la seguridad de la información y el catálogo de seguridad informática (infraestructuras críticas), André Säckel es responsable, entre otras, de las siguientes normas y estándares específicos del sector ISO 27001, ISIS12, ISO 20000-1, KRITIS y TISAX (seguridad de la información en la industria automotriz). También es miembro del grupo de trabajo ISO/IEC JTC 1/SC 27/WG 1 como delegado nacional del Instituto Alemán de Normalización DIN.