ISO 27001: Incidentes más frecuentes en la Seguridad de la Información

ISO 27001

La implementación de un Sistema de Gestión de Seguridad de la Información basada en la norma ISO 27001 proporciona a las organizaciones la ciberseguridad necesaria en los tiempos que corren.

Hace unos cuantos años esto no preocupaba a nadie, ya que todas las transacciones en las que interviene información valiosa se realizaba en papel y se encontraba archivado en las dependencias de las organizaciones, pero sin embargo, hoy día la información se encuentra organizada en ordenadores conectados a internet donde mediante un ciberataque pueden robar toda la información valiosa de la organización. En dicha información valiosa se puede encontrar los datos personales de los trabajadores, las nóminas, los datos financieros de la organización, etc.

Si su negocio es una fuente de información, aunque solo sea parcialmente, su negocio es vulnerable a recibir algún ataque. La pérdida de información supone un parón en el trabajo que se realiza normalmente en su organización, por lo que es muy importante proteger dicha información. La norma ISO27001 genera los requisitos necesarios a tener en cuenta para que la información se encuentre bien protegida frente ataques informáticos, además disminuye lo máximo posible el tiempo que se tarda desde que se ha sufrido el ataque hasta que se vuelve a normalizar el ritmo laboral de la organización.

Vamos a desarrollar los cuatro tipos de incidentes de seguridad que nos podemos encontrar:

Desastres naturales

Durante los últimos años, en el mundo se han dado varios desastres naturales que han centralizado la atención mundial. El huracán Katrina o Sandy, el desastre natural ocurrido en Fukushima, tsunamis y terremotos como sucedió en Haití, han tenido consecuencias devastadoras, destruyeron negocios y bancos de datos completos. Además, otros desastres como tornados, inundaciones y tormentas, pueden ser suficiente para eliminar una empresa en cualquier lugar del mundo. Inclusive, un simple incendio localizado puede destruir todos los datos si no se preocupado de realizar una relocalización de sus copias de seguridad en una ubicación remota.

Ataques malintencionados

Los ataques cibernéticos y las violaciones de la seguridad se dan cada minuto y se encuentran muy generalizadas como para poder tenerlas localizadas. Podemos dar con algunos pequeños u otros más grandes, e incluso las hay que consiguen el objetivo perseguido y otras no.

Podemos poner algún ejemplo de los principales incidentes que se ha dado a lo largo de la historia reciente:

En mayo del año 2006 todos los nombres, números de la seguridad social, fechas de nacimiento y algunas clasificaciones de incapacidad de 26,5 millones contado con veteranos y personal militar activo y sus parejas, fueron robados del Departamento de Asuntos de Veteranos de los EEUU.

La información en cuestión se encontraba en un disco duro externo. Los elementos donde se encontraba la información robada fueron recuperados, y el departamento de Asuntos de Veteranos estimó que las pérdidas y los costos por prevención podrían llegar a alcanzar los 500 millones de dólares.

El día 6 de agosto del mismo año, se produjo un ataque a AOL, en el que los datos de más de 650.000 usuarios, en los que se incluían datos bancarios y de compras, fueron revelados públicamente un sitio web.

En marzo de 2008, se realizó un ataque a la base de datos de Heartland Payment Systems, lo que produjo que se expusieron 134 millones de tarjeta de débito y crédito. La persona responsable fue sentenciada a 20 años de prisión.

En el año 2009 el gobierno Chino envío en ataque masivo contra Google, Yahoo y muchas más compañías de Silicon Valley. Google tuvo que confesar que algunos de los datos de su propiedad fueron sustraídos.

En el año 2011, RSA Security reconoció que casi 40 millones de registros de los trabajadores fueron robados. Este ciberataque se puede relacionar con ataques posteriores sobre Lockheed-Martin, L3 y otros. Este ciberataque es considerado como masivo tanto por el daño táctico potencial como por el daño psicológico.

En el año 2011, ESTsoft perdió información valiosa de 35 millones de usuarios surcoreanos debido a los piratas informáticos.

Ataques internos

En el mes de julio del año 2007 de la organización Fidelity National Information Services se robó 3,2 millones de registros de clientes, en los que se incluyen los datos bancarios y de tarjeta de crédito e información personal. El administrador de las bases de datos fue condenado a cuatro años y nueve meses de prisión, además de pagar una multa de 3,2 millones de dólares.

También tenemos el famoso caso de Wikileaks que se generó a raíz de permitir el acceso a la información interna.

Fallos y errores humanos involuntarios

Los fallos de equipamiento e infraestructuras es una cosa que nos podemos encontrar casi a diario, como pueden ser, cortes de energía, caídas de vínculos de internet, de líneas telefónicas, fallos en los dispositivos de almacenamiento, etc.

Todas las situaciones que se puedan dar tienen dos cosas en común:

1. La consecuencia, que es que se perderán los datos o no se podrá acceder a ellos.
2. Este tipo de incidentes suelen darse con mucha frecuencia.

El Software ISO-27001 para la Seguridad de la Información se encuentra compuesta por diferentes aplicaciones que, al unirlas, trabajan para que la información que manejan las empresas no pierda ninguna de sus propiedades más importantes: disponibilidad, integridad y confidencialidad.