La norma ISO 27001 se centra en la información sensible y valiosa de una organización: Su protección, su confidencialidad, su integridad y su disponibilidad. La ISO 27001 es una norma internacional para la seguridad de la información en organizaciones privadas, públicas o sin ánimo de lucro. La norma describe los requisitos para el establecimiento, la implantación, el funcionamiento y la optimización de un sistema de gestión de la seguridad de la información (SGSI) documentado. El enfoque principal del sistema de gestión es la identificación, el manejo y el tratamiento de los riesgos.

Loading...

¿Cuáles son las amenazas y los riesgos para la seguridad de la información?

La gestión de la vulnerabilidad en el contexto de la norma ISO 27001 se refiere a las vulnerabilidades técnicas. Éstas pueden dar lugar a amenazas para la seguridad informática de las empresas y organizaciones. Entre ellas se encuentran:

  • Ransomware, un software de extorsión que puede llevar a la encriptación de soportes de datos y a la obtención de información comprometedora
  • Troyano de acceso remoto (RAT), que puede permitir el acceso remoto a la red
  • Phishing y SPAM, que pueden llevar a la pérdida de control a través del correo electrónico. En este caso, una puerta de entrada especialmente popular es el Reglamento General de Protección de Datos (RGPD) y la solicitud en un correo electrónico de comprobar los datos del cliente haciendo clic en un enlace. A menudo, los remitentes parecen ser bancos o incluso PayPal.
  • DDoS/botnets, que pueden provocar el deterioro de la disponibilidad e integridad de los sistemas debido a los enormes paquetes de datos
  • Ciberterroristas patrocinados por el Estado, activistas, delincuentes, así como autores internos que aportan una gran variedad de amenazas
  • Procesos inadecuados o inexistentes

La identificación de las vulnerabilidades y las brechas de seguridad que surgen de estas amenazas requiere una evaluación de las necesidades de protección con la norma ISO 27001, ya que esto se traduce en una gestión sistemática de la vulnerabilidad para asegurar la infraestructura de TI con una evaluación continua de la vulnerabilidad.

Procesos defectuosos: ¿una amenaza para la seguridad de la información?

Sin un proceso de análisis de los registros del sistema y de los datos de registro, el conocimiento de las vulnerabilidades técnicas y una revisión más profunda de los sistemas de TI, no es posible realizar una evaluación de riesgos realista. La falta de un proceso o un proceso defectuoso tampoco permite establecer criterios de aceptación de riesgos ni determinar los niveles de riesgo, como exige la norma ISO 27001.

De ello se desprende que el riesgo para la seguridad informática, y por tanto para la seguridad de la información de una empresa, no puede determinarse y debe asumirse como el mayor riesgo posible para esa empresa.

Gestión de la vulnerabilidad en el contexto de la norma ISO 27001: Asegurar de forma óptima la infraestructura

Una posible medida adecuada para asegurar la infraestructura de TI es la gestión de las posibles vulnerabilidades y brechas de seguridad. Esto implica un escaneo regular, sistemático y controlado por la red y pruebas de penetración de todos los sistemas para detectar vulnerabilidades técnicas. Las vulnerabilidades identificadas se registran en el sistema de gestión de la seguridad de la información (SGSI) de acuerdo con la norma ISO 27001.

También es importante definir las amenazas a la seguridad informática, así como la seguridad general de la información. En este contexto, las vulnerabilidades técnicas deben priorizarse en función de su gravedad (CVSS) y, en última instancia, ser remediadas. Una evaluación del riesgo residual de las vulnerabilidades técnicas restantes y, en última instancia, la aceptación del riesgo también forman parte de la gestión de la vulnerabilidad según la norma ISO 27001.

Para evaluar la gravedad de una vulnerabilidad, se puede utilizar el estándar del sector"CVSS - Common Vulnerability Scoring System". Se determina una puntuación global de 0 a 10 a partir de las métricas de puntuación base, que abordan estas cuestiones, entre otras ¿Cómo de "cerca" tiene que llegar el atacante al sistema vulnerable (Vector de Ataque)? ¿Con qué facilidad llega el atacante al objetivo (Complejidad del ataque)? ¿Qué derechos de acceso se necesitan para explotar la vulnerabilidad (Privilegios necesarios)? ¿Necesita ayudantes, por ejemplo, un usuario que deba seguir primero un enlace (Interacción con el usuario)? ¿Está comprometida la confidencialidad (Impacto de la confidencialidad)?


En las páginas del Instituto Nacional de Estándares y Tecnología (NIST) de Estados Unidos se puede encontrar una calculadora de CVSS.

¿Cómo puede una empresa protegerse de las vulnerabilidades técnicas?

Por ejemplo, una empresa puede protegerse preventivamente contra los programas maliciosos introduciendo y aplicando medidas de detección, prevención y seguridad de los datos junto con una adecuada concienciación de los usuarios. En concreto, esto significa Para prevenir la explotación de una vulnerabilidad técnica en el contexto de la gestión de vulnerabilidades de la ISO 27001, es necesario:

  • Obtener información oportuna sobre las vulnerabilidades técnicas de los sistemas de información utilizados
  • Evaluar su vulnerabilidad, y
  • Tomar las medidas adecuadas.

Esto puede hacerse mediante la instalación de parches de seguridad (gestión de parches), el aislamiento de los sistemas informáticos vulnerables o, en última instancia, mediante el cierre del sistema. Además, deben definirse y aplicarse normas para la instalación de software por parte de los usuarios.

Preguntas importantes sobre la gestión de la vulnerabilidad y el concepto de seguridad ISO 20071

Las siguientes preguntas podrían plantearse durante una auditoría, por lo que tiene sentido abordarlas de antemano:

  • ¿Ha definido las funciones y responsabilidades para tratar y supervisar las vulnerabilidades técnicas?
  • ¿Ha conocido las fuentes de información que pueden utilizarse para identificar las vulnerabilidades técnicas?
  • ¿Existe un plazo para responder con medidas cuando se notifica y descubre una vulnerabilidad?
  • ¿Ha realizado una evaluación del riesgo de las vulnerabilidades con respecto a los activos de la empresa, entre otras cosas?
  • ¿Conoce sus vulnerabilidades técnicas?

Si desea obtener una visión completa y fundamentada de las amenazas de Alemania en el espacio cibernético, puede encontrar el "Informe de situación sobre la seguridad informática 2019" en inglés de la Oficina Federal Alemana de Seguridad de la Información (BSI) en https://www.bsi.bund.de.

Conclusión

La gestión de la vulnerabilidad en el contexto de la norma ISO 27001 es un proceso continuo que debe llevarse a cabo regularmente. Según la ISO 27001, los resultados deben ser "válidos". Esto significa que un escaneo de vulnerabilidad y una evaluación de riesgos de una sola vez para la implementación o la certificación ya no son válidos en un momento posterior, por ejemplo, durante la recertificación.

Un escaneo de vulnerabilidad sólo es válido en el momento exacto en que se realiza. Pero si se realizan actualizaciones de software más tarde o se introducen cambios en la topología, éstos pueden dar lugar a nuevas vulnerabilidades.

Por lo tanto, es importante para cualquier organización hacer un seguimiento continuo, verificar y repetir los procesos de gestión de la vulnerabilidad y llevar la información pertinente al sistema de gestión de la seguridad de la información.

Certificación ISO 27001

¿Con qué esfuerzo tiene que contar para certificar su SGSI según la norma ISO 27001? Infórmese gratuitamente y sin compromiso.

Estaremos encantados de hablar con usted.

DQS. Simplemente aprovechando la calidad.

Nos consideramos socios importantes de nuestros clientes, con los que trabajamos a nivel de los ojos para conseguir un valor añadido sostenible. Nuestro objetivo es dar a las organizaciones importantes impulsos de valor añadido para su éxito empresarial mediante los procesos más sencillos, así como el máximo cumplimiento de los plazos y la fiabilidad.

Nuestras principales competencias residen en la realización de auditorías y evaluaciones de certificación. Esto nos convierte en uno de los proveedores líderes en todo el mundo con la pretensión de establecer nuevos puntos de referencia en cuanto a fiabilidad, calidad y orientación al cliente en todo momento.

Autor
André Saeckel

Product manager at DQS for information security management. As a standards expert for the area of information security and IT security catalog (critical infrastructures), André Säckel is responsible for the following standards and industry-specific standards, among others: ISO 27001, ISIS12, ISO 20000-1, KRITIS and TISAX (information security in the automotive industry). He is also a member of the ISO/IEC JTC 1/SC 27/WG 1 working group as a national delegate of the German Institute for Standardization DIN.

Loading...