Detección y prevención en la gestión de la seguridad de la información

• Los ciberataques pasan demasiado tiempo desapercibidos
• La nueva ISO/IEC 27001:2022 - cambios clave
• Tres nuevos controles para la detección y la prevención
• Resumen técnico
• ¿Qué significa la actualización para su certificación?
• Un SGSI de vanguardia con la experiencia de DQS

Los ciberataques pasan demasiado tiempo desapercibidos

El eminente valor de la información y los datos en el mundo empresarial del siglo XXI obliga cada vez más a las empresas y organizaciones a centrarse en la seguridad de la información e invertir en la protección sistemática de sus activos digitales. ¿Por qué? En un panorama dinámico de amenazas, las tácticas de los atacantes son cada vez más sofisticadas y de múltiples capas, lo que provoca graves daños a la imagen y reputación de las empresas afectadas y pérdidas económicas anuales de miles de millones de dólares en todo el mundo.

Los expertos coinciden en que ya no existe una protección completa contra los ciberataques, aunque sólo sea por el factor humano de la incertidumbre. Esto hace que la detección temprana de ataques potenciales y reales sea aún más importante para limitar su vector lateral en las redes corporativas y mantener el número de sistemas comprometidos lo más bajo posible. Pero aún queda mucho por hacer en este ámbito: la investigación realizada como parte del estudio de IBM"Cost of a data breach 2022" muestra que se tardó una media de 277 días en detectar y contener un ataque en 2022.

La nueva ISO 27001:2022

Para ayudar a las empresas y organizaciones con un marco contemporáneo y estandarizado para los sistemas de gestión de la seguridad de la información, ISO publicó la nueva norma SGSI ISO/IEC 27001:2022 el 25 de octubre de 2022. El Anexo A proporciona controles/medidas que pueden utilizarse de forma específica para cada empresa con el fin de abordar los riesgos de seguridad de la información.

La implementación de las medidas del Anexo A en la versión actual se apoya en la guía de implementación idénticamente estructurada de ISO/IEC 27002:2022, que ya se actualizó en febrero. Se incluyen de nuevo controles genéricos para la prevención de ataques estratégicos y la detección más rápida.

Tres nuevos controles para la detección y la prevención

Las 93 medidas del anexo A de la norma ISO/IEC 27001:2022 se han reorganizado con la actualización en cuatro temas

• Medidas organizativas,
• Medidas personales,
• Medidas físicas y
• Medidas tecnológicas.

Tres de los once controles de seguridad de la información introducidos recientemente se refieren a la prevención y detección oportuna de ciberataques. Estos tres controles son

• 5.7 Inteligencia sobre amenazas (organizativo).
• 8.16 Actividades de vigilancia (tecnológico).
• 8.23 Filtrado web (tecnológico).

A continuación analizaremos con más detalle estos 3 nuevos controles.

Inteligencia sobre amenazas

El control organizativo 5.7 trata de la recogida y análisis sistemáticos de información sobre amenazas relevantes. El objetivo de esta medida es que las organizaciones sean conscientes de su propia situación de amenaza para que posteriormente puedan tomar las medidas adecuadas para mitigar el riesgo. Los datos sobre amenazas deben analizarse de forma estructurada según tres aspectos: estratégico, táctico y operativo.

El análisis estratégico de las amenazas proporciona información sobre el cambiante panorama de las amenazas, como los tipos de ataque y los actores, por ejemplo, actores motivados por el Estado, ciberdelincuentes, atacantes contratados, hacktivistas. Las agencias gubernamentales nacionales e internacionales (como BSI - Oficina Federal Alemana de Seguridad de la Información, enisa - Agencia de la Unión Europea para la Ciberseguridad, Departamento de Seguridad Nacional de Estados Unidos o NIST - Instituto Nacional de Estándares y Tecnología), así como las organizaciones sin ánimo de lucro y los foros pertinentes, proporcionan inteligencia sobre amenazas bien documentada en todos los sectores e infraestructuras críticas.

La inteligencia de amenazas tácticas y su evaluación proporcionan valoraciones de los métodos, herramientas y tecnologías de los atacantes.

La evaluación operativa de amenazas específicas proporciona información detallada sobre ataques concretos, incluidos indicadores técnicos, por ejemplo, actualmente el aumento extremo de ciberataques por ransomware y sus variantes en 2022.

El análisis de amenazas puede proporcionar apoyo de las siguientes maneras:

• Procedimentalmente para integrar los datos sobre amenazas en el proceso de gestión de riesgos,
• Técnicamente preventivo y de detección, por ejemplo, mediante la actualización de reglas de cortafuegos, sistemas de detección de intrusiones (IDS), soluciones antimalware,
• Con información de entrada para procedimientos de prueba específicos y técnicas de prueba contra la seguridad de la información.

La calidad de los datos del control organizativo 5.7 para determinar la situación de la amenaza y analizarla afecta directamente a los dos controles técnicos para las actividades de supervisión (8.16) y el filtrado web (8.23) que se comentan a continuación y que también son nuevos en la norma ISO/IEC 27002.

Actividades de supervisión

El control de seguridad de la información detectivo y correctivo 8.16 sobre supervisión técnica de actividades se centra en la detección de anomalías como método para evitar amenazas. Las redes, los sistemas y las aplicaciones se comportan de acuerdo con los patrones esperados, como el rendimiento de los datos, los protocolos, los mensajes, etc. Cualquier cambio o desviación de estos patrones esperados debe ser detectado. Cualquier cambio o desviación de estos patrones esperados se detecta como una anomalía.

Con el fin de detectar este comportamiento inusual, las actividades pertinentes deben ser supervisadas de acuerdo con los requisitos de negocio y de seguridad de la información y cualquier anomalía debe ser comparada con los datos existentes sobre amenazas, entre otras cosas (véase más arriba, requisito 5.7). Los siguientes aspectos son relevantes para el sistema de supervisión:

• Tráfico entrante y saliente de la red, del sistema y de las aplicaciones,
• Acceso a sistemas, servidores, equipos de red, sistemas de supervisión, aplicaciones críticas, etc,
• Archivos de configuración del sistema y de la red a nivel administrativo o de misión crítica;
• Registros de herramientas de seguridad [por ejemplo, antivirus, sistemas de detección de intrusiones (IDS), sistema de prevención de intrusiones (IPS), filtros web, cortafuegos, prevención de fuga de datos],
• Registros de eventos relacionados con las actividades del sistema y de la red,
• Verificación de que el código ejecutable de un sistema tiene integridad y autorización,
• Uso de recursos, por ejemplo, potencia de procesador, capacidad de disco, uso de memoria, anchos de banda.

Los requisitos básicos para una supervisión eficaz de las actividades son una infraestructura de TI/OT configurada de forma limpia y transparente y unas redes de TI/OT que funcionen correctamente. Cualquier cambio que vaya en contra de este estado básico se detecta como una amenaza potencial para la funcionalidad y, por tanto, como una anomalía. Dependiendo de la complejidad de una infraestructura, la aplicación de esta medida es un reto importante a pesar de las soluciones pertinentes de los proveedores. La importancia de los sistemas de detección de anomalías se reconoció casi simultáneamente con el requisito 8.16 de la norma ISO/IEC 27002:2022 para los operadores de las denominadas infraestructuras críticas. Así, en el ámbito nacional de las normativas legales pertinentes, existe la obligación de que estos apliquen de forma efectiva los denominados sistemas de detección de ataques con plazos.

Filtrado web

Internet es a la vez una bendición y una maldición. El acceso a sitios web dudosos sigue siendo una puerta de entrada para contenidos maliciosos y programas maliciosos. El control de seguridad de la información 8.23 Filtrado web tiene el propósito preventivo de proteger los propios sistemas de una organización de la intrusión de malware y evitar el acceso a recursos web no autorizados. Para este propósito, las organizaciones deben establecer reglas para el uso seguro y apropiado de los recursos en línea - incluyendo restricciones obligatorias de acceso a sitios web no deseados o inapropiados y aplicaciones basadas en la web. La organización debe bloquear el acceso a los siguientes tipos de sitios web:

• Sitios web con función de carga, a menos que sea necesario por motivos empresariales legítimos,
• Sitios web conocidos o sospechosos de ser maliciosos,
• Servidores de mando y control,
• Sitios web maliciosos identificados como tales a partir de los datos sobre amenazas (véase también la medida 5.7),
• Sitios web con contenido ilegal.

La medida de filtrado web sólo funciona realmente con personal formado y suficientemente concienciado sobre el uso seguro y adecuado de los recursos en línea.

Conclusión técnica

Los nuevos controles de detección y prevención aquí descritos desempeñan un papel clave en la defensa contra la ciberdelincuencia organizada, y han encontrado acertadamente su lugar en las versiones actuales de las normas ISO/IEC 27001 e ISO/IEC 27002. Con la actualización y el análisis continuos de la información disponible sobre amenazas, la supervisión exhaustiva de la actividad en sus propias infraestructuras informáticas y la protección de sus propios sistemas contra sitios web dudosos, las empresas refuerzan de forma sostenible su protección contra la intrusión de programas maliciosos peligrosos. También se ponen en situación de iniciar medidas de respuesta adecuadas en una fase temprana.

Las empresas y organizaciones tienen ahora que aplicar los tres controles/medidas presentados e integrarlos de forma coherente en su SGSI para cumplir los requisitos de las futuras auditorías de certificación. DQS cuenta con más de 35 años de amplia experiencia en el campo de las auditorías y certificaciones imparciales, y se complace en apoyarle en la gestión del cambio de su sistema de gestión de la seguridad de la información de conformidad con la norma ISO/IEC 27001:2022.

¿Qué significa la actualización para su certificación?

ISO/IEC 27001:2022 se publicó el 25 de octubre de 2022. Esto da lugar a los siguientes plazos y marcos temporales para la transición de los usuarios:

• Preparación para la certificación según ISO/IEC 27001:2022 prevista entre febrero y mayo de 2023 (sujeta a nuestro organismo de acreditación DAkkS, Deutsche Akkreditierungsstelle GmbH).
• La fecha límite para las auditorías iniciales y de recertificación según la "antigua" ISO 27001:2013 es el 31 de octubre de 2023 Después del 31 de octubre de 2023, DQS realizará auditorías iniciales y de recertificación únicamente según la nueva norma ISO/IEC 27001:2022.
• Conversión de todos los certificados existentes según la "antigua" ISO/IEC 27001:2013 a la nueva ISO/IEC 27001:2022: Se aplicará un periodo de transición de tres años a partir del 31 de octubre de 2022. Los certificados emitidos según ISO/IEC 27001:2013 o DIN EN ISO/IEC 27001:2017 serán válidos hasta el 31 de octubre de 2025 como máximo o deberán retirarse en esta fecha.

Un SGSI de vanguardia con la experiencia de DQS

Para la transición a la nueva versión de la norma ISO/IEC 27001, las organizaciones aún disponen de cierto tiempo. Los certificados actuales basados en la antigua norma perderán su validez el 31.10.2025. No obstante, es aconsejable abordar los requisitos modificados del SGSI en una fase temprana, iniciar los procesos de cambio adecuados e implementarlos en consecuencia.

Como expertos en auditorías y certificaciones con más de tres décadas de experiencia, le apoyamos en la implantación de la nueva norma. Infórmese con nuestros numerosos auditores experimentados sobre los cambios más importantes y su relevancia para su organización, y confíe en nuestra experiencia. Juntos analizaremos su potencial de mejora y le apoyaremos hasta que reciba el nuevo certificado. Esperamos tener noticias suyas.