Garantizando la Protección Digital

¿Es necesario garantizar la protección digital? La seguridad de la información se ha convertido en un aspecto crucial para organizaciones de todos los tamaños. El Gobierno de Seguridad de la Información desempeña un papel fundamental en este ámbito, y la norma ISO 27014:2020 se presenta como una guía esencial para establecer un marco sólido.

¿Qué es ISO 27014:2020?

La norma ISO 27014:2020 es un estándar internacional que aborda específicamente el Gobierno de la Seguridad de la Información. Publicada por la Organización Internacional de Normalización (ISO), esta norma proporciona directrices detalladas para establecer, implementar, mantener y mejorar continuamente el gobierno de la seguridad de la información dentro de una organización.

Objetivos del Gobierno de Seguridad de la Información

El principal objetivo del Gobierno de Seguridad de la Información es garantizar que la información sensible de una organización esté protegida de manera efectiva contra amenazas y riesgos. ISO 27014:2020 se centra en varios aspectos clave, incluyendo:

Establecimiento de Políticas y Objetivos: Define las políticas y objetivos de seguridad de la información alineados con los objetivos estratégicos de la organización.

Gestión de Riesgos: Identifica y evalúa los riesgos de seguridad de la información, tomando medidas preventivas y correctivas según sea necesario.

Estructura Organizativa: Establece roles y responsabilidades claros para garantizar una implementación efectiva del gobierno de seguridad de la información.

Mejora Continua: Promueve un ciclo de mejora continua para adaptarse a los cambios en el entorno de amenazas y tecnologías.

Beneficios de Implementar ISO 27014:2020

La implementación adecuada de la norma ISO 27014:2020 conlleva varios beneficios para una organización:

Mejora de la Resiliencia: Refuerza la capacidad de la organización para resistir, adaptarse y recuperarse de incidentes de seguridad de la información.

Cumplimiento Normativo: Ayuda a cumplir con los requisitos legales y regulatorios relacionados con la seguridad de la información.

Fortalecimiento de la Confianza: Aumenta la confianza de los clientes, socios y partes interesadas al demostrar un compromiso serio con la seguridad de la información.

Reducción de Riesgos: Minimiza los riesgos de pérdida, robo o acceso no autorizado a la información sensible.

Pasos para Implementar ISO 27014:2020

Comprensión de los Requisitos: Familiarícese con los requisitos detallados en la norma ISO 27014:2020.

• Evaluación de Riesgos: Realice una evaluación exhaustiva de los riesgos de seguridad de la información en su organización.
• Desarrollo de Políticas: Establezca políticas de seguridad de la información claras y alineadas con los objetivos organizativos.
• Formación y Concientización: Proporcione formación regular y programas de concientización para el personal sobre las mejores prácticas de seguridad.
• Implementación de Controles: Aplique los controles de seguridad de la información necesarios según lo definido por la norma.
• Monitoreo y Mejora Continua: Establezca un sistema de monitoreo continuo y realice mejoras según sea necesario.

En conclusión, el Gobierno de Seguridad de la Información según ISO 27014:2020 es un componente esencial para salvaguardar la integridad, confidencialidad y disponibilidad de la información en un mundo digital en constante cambio. La implementación exitosa no solo protege los activos digitales de una organización, sino que también fortalece su posición en el panorama empresarial.

Optimizando la Seguridad de la Información con ISOTools: Una Solución Integral para Empresas Modernas

ISOTools es una plataforma especializada diseñada para simplificar y potenciar la gestión de sistemas de seguridad de la información basados en normativas como ISO 27001. Veamos cómo esta herramienta puede ser un aliado estratégico para las empresas:

• Automatización de Procesos: ISOTools simplifica la implementación de controles de seguridad mediante la automatización de procesos. Esto no solo ahorra tiempo, sino que también minimiza el riesgo de errores humanos.
• Gestión Documental Eficiente: La plataforma facilita la creación, revisión y aprobación de documentos relacionados con la seguridad de la información. Esto asegura la coherencia y el cumplimiento normativo.
• Seguimiento y Evaluación Continua: ISOTools permite un seguimiento en tiempo real de las métricas clave de seguridad de la información. Las empresas pueden evaluar y gestionar riesgos de manera proactiva, garantizando la mejora continua.
• Capacitación Personalizada: La plataforma proporciona recursos de formación y capacitación personalizados para el personal. Esto contribuye a aumentar la conciencia y la competencia en materia de seguridad de la información.
• Integración con Normativas: ISOTools se adapta a diversas normativas, incluyendo ISO 27001, ISO 27002, entre otras. Esta flexibilidad garantiza que las empresas cumplan con los estándares específicos de su industria.

Cómo Implementar ISOTools en su Empresa

Evaluación de Necesidades: Identifique las necesidades específicas de seguridad de la información en su empresa.

Personalización de la Plataforma: Ajuste ISOTools según los requisitos particulares de su organización.

Formación del Personal: Proporcione formación detallada para maximizar el aprovechamiento de las funcionalidades de la plataforma.

Seguimiento y Mejora Continua: Establezca un proceso de seguimiento constante y realice mejoras según las necesidades cambiantes de su empresa.

Empodera a tu empresa para enfrentar los desafíos actuales en seguridad de la información. Al adoptar esta plataforma, tu organización puede no solo cumplir con normativas internacionales, sino también destacar en un entorno empresarial cada vez más competitivo.

The post Gobierno de Seguridad de la Información ISO 27014:2020 appeared first on PMG SSI - ISO 27001.

Ciberseguridad y protección de datos

La gestión de riesgos en las organizaciones es un área de suma importancia. Asumimos que cualquier actividad empresarial conlleva riesgos y oportunidades que pueden acarrear imprevistos desagradables. Tener un plan estratégico y específico para este tipo de acontecimientos nos ayudará a prevenir y mitigar sus consecuencias negativas, a la vez que podemos transformarlas en oportunidades que generen crecimiento en el negocio. En concreto, debemos prestar especial atención a la seguridad de la información debido al crecimiento exponencial que ha sufrido y su posible vulneración.

Dentro de los riesgos que puede soportar una organización, y a causa de la transformación digital de las últimas décadas, la ciberseguridad y la protección de datos se han convertido en las principales preocupaciones. No es una casualidad que así sea ya que durante 2022 los ataques cibernéticos experimentaron una subida preocupante, y la tendencia sigue para este 2023.

Mejora continua de conocimientos

Además de implementar las medidas que consideremos necesarias para poder prevenir riesgos, debemos tener en cuenta la necesidad de actualizar conocimiento de forma constante. El mundo cibernético se renueva a cada instante que pasa y un desconocimiento al respecto puede volvernos más vulnerables.

Los ataques cada vez se muestran más perfeccionados combinando diferentes técnicas. Su finalidad es principalmente económica. Destacamos la técnica de ransomware que está basada en el secuestro de datos para posteriormente solicitarles a las víctimas un rescate para su recuperación. Los expertos apuntan a que el ransomware será el ciberataque más usado durante este próximo año, afectando a organizaciones como hospitales, centrales eléctricas, etc. Desgraciadamente, la guerra entre Ucrania y Rusia ha disparado estos indicadores de conflictos digitales.

La seguridad de la información es pues un pilar fundamental al que tenemos que proteger de forma interna en nuestra organización, y también externamente en relación a nuestros colaboradores. De hecho, existen más tipos de ciberataque que necesitamos conocer para controlar su repercusión negativa. Entre ellos están el phishing, suplantación de identidad, fraude y ataques a la cadena de valor.

Existe una profesionalización en torno a la labor de los delincuentes del cibercrimen lo que supone un gran reto a la hora de la planificación del sistema de riesgos. Este nos aconsejará invertir en programas y capacitación de nuestros empleados, para que cuenten con  las mejores herramientas para combatir el cibercrimen.

Evitar ataques a nuestro sistema de gestión de la información

Todas las empresas, da igual su envergadura, tienen que estar preparadas para un posible ciberataque y mantener a salvo toda su documentación. A continuación reflejamos una serie de buenas prácticas que deben llevar a cabo las organizaciones para contribuir a esta causa:

1. Formar y capacitar. Regla indispensable para mantener continuamente actualizados los procesos en temas de ciberseguridad. Todos los empleados, y los clientes que sean necesarios, deben estar informados sobre los procedimientos. La población en general tiene que ser consciente de la importancia de proteger sus datos personales y los datos corporativos a los que tienen acceso. El factor humano en este tipo de riesgo es determinante. 
2. Tener un área de seguridad de la información o a alguien responsable de esta función que tenga la capacidad adecuada para tomar decisiones. Las medidas necesarias y la orientación debe ser transversal a todas las áreas. La alta gerencia debe mostrar compromiso riguroso con esta sección.
3. Implementar las políticas y procedimientos de ciberseguridad teniendo en cuenta marcos y estándares internacionales como la norma ISO 27001.
4. Tener identificados todos los activos que necesitan protección, analizar los riesgos y evaluar su peligrosidad, tener un plan para su tratamiento y control y hacer un seguimiento permanente.
5. Establecer un plan de recuperación y continuidad para activarlo en caso de necesidad.
6. Realizar pruebas para hallar posibles vulnerabilidades de forma rápida y eficaz.

Existe una teoría que nos dice que esta tendencia que irá in crescendo durante los próximos dos años, y que está relacionada con la comprobación de sistemas entre empresas. Esto quiere decir que, antes de colaborar con una nueva organización se le exigirá tener un Sistema de Gestión de Riesgos en Ciberseguridad robusto y confiable, sólo de esta manera se pondrán llegar a ciertos acuerdos.

Software de gestión de riesgos de ciberseguridad

ISOTools pone a tu disposición el Software de Gestión de Riesgos de Ciberseguridad, un Sistema de Gestión de Seguridad de la Información que te acompañará en el proceso de salvaguardar a tu organización de posibles ciberataques.

Para ello se sirve de estrategias como implementación, identificación, evaluación y monitoreo de los riesgos en ciberseguridad y seguridad de la información.

The post ¿Por qué es necesario actualizar tus conocimientos en seguridad de la información? appeared first on PMG SSI - ISO 27001.

Inteligencia Artificial

El incremento de la inteligencia artificial se abre camino, sobre todo en la iniciativa de inteligencia artificial e inteligencia artificial integrada. De forma independiente a la industria, la adopción y el uso de la inteligencia artificial seguirá creciendo porque la competitividad depende de ello.

Sin embargo, muchas de las promesas que ofrece la inteligencia artificial se deben equilibrar con los riesgos potenciales que tiene. En la carrera por adoptar la tecnología, las organizaciones no involucran a las personas adecuadas ni realizan el nivel de pruebas que debe hacer para minimizar su posible exposición al riesgo. De hecho, es muy probable que las organizaciones terminen en los tribunales, se enfrentan a multas o ambas cosas simplemente porque han realizado algunas suposiciones erróneas.

Se debe tener en cuenta los riesgos que genera la inteligencia artificial, vamos a ver 7 de los riesgos que ofrece la inteligencia artificial y cómo afrontar dichos riesgos.

7 riesgos de la Inteligencia Artificial

Impacto en el comportamiento

El primer ejemplo se ve a diario en muchas de nuestras casas. Los niños tratan sin educación a los asistentes virtuales, ya sea Alexa o Siri que obedecen sin necesidad de pedirles las cosas por favor. El riesgo se encuentra en que los niños puedan trasladar estos comportamientos a su relación con las personas, algo que está comenzado a suceder. Los niños son mucho más curiosos, pero menos educados.

Estupidez artificial

Cada vez es mucho más difícil engañar a las máquinas. Pero es posible hacerlo. “Nos imaginamos que hay un pequeño cerebro humano dentro del ordenador, pero no, solo es programación y matemáticas”. No son infalibles: hay técnicas de maquillaje y vestuario para engañar a los sistemas de reconocimiento facial.

Se debe trabajar todavía para conseguir una Inteligencia Artificial completamente eficiente.

Sesgo y falta de neutralidad de las máquinas

El sistema de inteligencia artificial que utilizan los jueces en EEUU como asesor tiene un sesgo y tiende a desaconsejar la libertad a los ciudadanos negros más a menudo que a los blancos. El algoritmo analiza 173 variables y da una probabilidad de reincidencia de 0 a 10. El problema no tanto la máquina, sino el riesgo de que el juez delegue en ella.

Seguridad de la inteligencia artificial

El video en el Barack Obama insultaba a Donald Trump se volvió viral hace un tiempo en Estado Unidos. Y, sin embargo, era totalmente falso. La inteligencia artificial puede convertirse en un gran aliado para fabricar fake news si no la utilizamos con la ética apropiada.

En este caso concreto, el vídeo es una creación de FakeApp, con la ayuda de Adobe After Effects. Este software utiliza el aprendizaje automático para escanear las caras de las personas en un vídeo, y suplantarlas.

Consecuencias no intencionadas

En el mes de julio de 2017 saltaron todas las alarmas. Dos chatbots de Facebook habían desarrollado un lenguaje propio que no entendían sus programadores.

Fue, sin embargo, un simple error de programación. Hay expertos en inteligencia artificial, sostiene que ninguna máquina tiene intenciones ni las tendrán nunca. Puede enseñarse a sí mismas a jugar a algún videojuego derrotar a un campeón, pero no saben que están jugando. Si pusiésemos a esa misma máquina a distinguir fotos de perros y gatos olvidaría todo lo anterior. Solo puede hacer una cosa a la vez.

Impacto en el trabajo

El impacto que genera es un 14% a nivel mundial y se subraya que la implementación de la inteligencia artificial no siempre es posible ni deseable, ya sea por cuestiones de eficiencia, ética o legalidad.

Derechos de los robots

Los robots no deben tener derechos, porque tampoco tienen responsabilidades. A día de hoy un robot no es libre, por lo tanto, no debe responder ante nadie. Son las personas las que se encuentran detrás de un sistema inteligente quienes deberán responder llegado al caso.

Diplomado ISO/IEC 27001

El conocimiento sobre Seguridad de la Información puede ser determinante en las organizaciones. La información es uno de los activos más importantes de una empresa y una pérdida o robo de la misma podría provocar el cese temporal de su actividad o incluso el cierre de la misma. Por ello, es fundamental que los trabajadores conozcan su importancia y compartan dicha cultura. Gracias al Diplomado de Seguridad de la Información ISO 27001 aprenderá de la mano de los mejores profesionales todo lo necesario para implementar la norma en su organización.

The post Riesgos y responsabilidades que conllevan la Inteligencia Artificial appeared first on PMG SSI - ISO 27001.

Copias de seguridad

Denominamos copia de seguridad al proceso por el cual se duplica la información que tenemos a otro soporte con la finalidad de poder recuperarlos en el caso de perderlos. Es decir mediante la copia de seguridad salvaguardamos la información de nuestro negocio para que nos permita garantizar la continuidad y garantizar la confianza de nuestros clientes.

Para ello, la empresa debe contar con un Plan Director de Seguridad y un Plan de Continuidad de negocio, además contará con una política de copias de seguridad. De esta forma la organización se asegura poder responder con el menor tiempo posible y de forma eficaz ante un incidente de seguridad, reduciendo así su impacto.

Debemos tener en cuenta que la pérdida de información en una organización supondría pérdidas de horas de trabajo y de proyectos que tendrían graves consecuencias para la continuidad del negocio.

Características para una buena copia de seguridad

Establecer la ubicación de las copias de seguridad

Para estar seguros que la copias de seguridad se encuentran en un lugar seguro hay que cumplir unos criterios:

• Proteger una copia de seguridad fuera de la organización.
• Evaluar si fuese necesario por motivos de seguridad física la contratación de servicios de guarda y custodia.

Control de soportes

Con el paso del tiempo los dispositivos de almacenamiento se deterioran y por lo tanto son susceptibles a fallos mecánicos, además otros factores están presentes como, sufrir otras consecuencias ajenas que puedan darse como pueden ser inundaciones, incendios, etc., ser objetos de errores humanos o quedarse obsoleto el propio soporte.

Por estos motivos, una buena práctica es salvaguardar la información almacenada en dos tipos de soportes, así como en una ubicación fuera de las instalaciones, evitando así que nuestro Plan de Contingencia y Continuidad de Negocio falle.

Para asegurar la conservación de los soportes debemos de:

• Chequear la vida útil de los soportes de almacenamiento
• Realizar un mantenimiento de hardware y software regular, así evitaremos posibles fallos mecánicos, vulnerabilidades e infecciones que puedan darse por la falta de actualización del software.
• Confirmar que las condiciones de climatización del lugar son idóneas.

Periodo de conservación

Según cada organización la conservación de las copias de seguridad cambian conforme las necesidades de cada organización, así como los requerimientos legales a los que la empresa está sujeta.

Por lo tanto, debemos realizar las siguientes consideraciones para decidir cuánto tiempo mantenerlas:

• La información es de utilidad y sigue vigente para nuestro negocio.
• La vida útil del soporte que utilizamos.
• Necesidad de guardar varias copias anteriores a la última realizada.

Restauración de las copias de seguridad

Para garantizar que el Plan de Contingencia y la Continuidad de Negocio funcione correctamente debemos asegurar que las copias de seguridad realizadas puedan restaurarse correctamente. Por lo tanto, no debemos asumir que por haber realizado el proceso de copia no hay nada más que hacer, por lo que debemos programar periódicamente pruebas de restauración para que las personas responsables conozcan todos los procesos.

Para asegurar que la recuperación de los datos en caso de necesitarla sea un proceso dinámico y breve, habrá que elaborar un plan el cual especifique cómo hacer las copias y cómo restaurarlas, así dispondremos de una guía que nos indique los pasos a seguir para restaurar una copia con éxito.

Conceptos que debemos tener en cuenta:

• Tiempo de recuperación o RTO (Recovery Time Objective): Tiempo máximo que debe transcurrir para alcanzar el servicio mínimo tras la caída del servicio.
• Tiempo máximo tolerable de caída o MTD: establece el tiempo que puede estar caído el sistema antes de que repercuta en la continuidad de negocio.
• Niveles mínimos de recuperación de servicio o ROL (Revised Operating Level): Nivel mínimo de recuperación que debe tener una actividad para ser considerada recuperada.
• Grados de dependencia de la actualidad de los datos o RPO (Recovery Point Objective): Es el periodo máximo establecido en el que la empresa asume la pérdida de datos. Por lo tanto, debemos realizar copias de seguridad cada menos tiempo del establecido para poder recuperar la información antes de agotar el tiempo.

Control de copias de seguridad

Para un correcto control debemos etiquetar e identificar los soportes en los cuales se ha almacenado la información, y qué tipo de información. Esto nos facilitará el proceso en caso de tener que recuperar una información concreta.

Podemos coger como ejemplo este diseño de una hoja de registro:

• Identificador de soporte: código por el cual se identifica el soporte en el que se ha realizado.
• Tipo de copia: copia total, incremental…
• Fecha y hora: cuándo se llevó a cabo la copia
• Lugar de almacenamiento: dónde se ubica la copia
• Personal a cargo de la copia: responsable de la realización y conservación de la copia.

Borrado seguro y gestión de soportes

Es de vital importancia asegurarnos que la información que ya no necesitamos no vuelva a ser accesible para evitar problemas posteriores. Por lo tanto, en el caso de subcontratar la destrucción de la misma a una tercera persona o empresa, tendremos que elegir la destrucción certificada, así a través de contrato nos garantizan las máximas garantías de seguridad y confidencialidad.

Software ISOTools

El Software ISOTools tiene la capacidad necesaria para automatizar un Sistema de Gestión de Seguridad de la Información que cuente con los requisitos necesarios para evitar cualquier acceso indeseado o cualquier deterioro o daño que ponga en peligro la información que una organización maneja. Además de gestionar de forma más dinámica y sencilla un proceso de seguridad de nuestra organización.

The post Características de una buena copia de seguridad para la organización appeared first on PMG SSI - ISO 27001.

Gestión de la información

En la actualidad las organizaciones y las empresas deben tener claro cuáles son sus responsabilidades de cumplimiento legal en materia de Gestión la Información en el ámbito tecnológico. Estas leyes se encargan de regular aspectos de ciberseguridad en diferentes áreas, así como de la protección de los usuarios.

Las empresa y organizaciones hacen uso de la tecnología en la mayoría de las ocasiones para desarrollar su actividad, así como para establecer relaciones comerciales. Es por ello por lo que deben cumplir con todos los requerimientos legales establecidos en el país en el que se encuentren desarrollando su actividad comercial.

En el mundo globalizado actual, el cambio es constante y de igual modo ocurre con las leyes. Estas se actualizan muy frecuentemente y se revisan para estar siempre adaptadas a la realidad tecnológica del momento.

No obstante, el desconocimiento y el consecuente incumplimiento de la legislación vigente puede traer aparejadas sanciones económicas y penales. Además, esto puede suponer en muchos casos la pérdida de confianza y el deterioro de la imagen de la empresa u organización.

Checklist

El objetivo principal de tener presente y contar con una checklist en materia de Gestión de la Información es asegurar tanto el conocimiento como el cumplimiento de las obligaciones legales de la organización en esta materia.

Una checklist incluye una serie de controles que deben ser revisados con el fin de alcanzar el cumplimiento legal. Cabe tener en cuenta que entre ellos existen dos niveles de complejidad: básico y avanzado.

El nivel básico de complejidad hace referencia a aquellos recursos y esfuerzos que son asumibles, aplicables a través de funcionalidades sencillas. Por su parte el nivel avanzado se refiere a recursos y esfuerzos considerables, dada la complejidad de las configuraciones. Pero, ¿cuáles son los diferentes controles de la checklist en función de su complejidad en materia de Gestión de la Información?

Nivel básico

En este nivel se incluye el inventario de los servidores de almacenamiento. Este ítem hace referencia a la información dada a los empleados sobre los servidores de almacenamiento disponibles, la información que se comparte, qué datos deben almacenarse en ellos y las responsabilidades que conlleva.

También forma parte del nivel básico los criterios de almacenamiento. Este incluye la información dada a los empleados sobre los criterios de almacenamiento corporativos: qué se puede almacenar, quién tiene acceso y cuándo se elimina la información.

El tercer control de la checklist en este nivel básico tiene que ver con la clasificación de la información. En él se hace referencia a si la empresa u organización informa a los empleados acerca de la necesidad de cumplir con la política de clasificación de la información en el momento de almacenar y eliminar información en la red corporativa.

Nivel avanzado

En el nivel avanzado se incluye el control de acceso, si la empresa establece e implementa reglas de acceso que permiten llevar un control de quién tiene acceso y a qué discos o directorios. En cuanto a las copias de seguridad, se hace referencia a si la empresa u organización define un plan de copias de seguridad en el que se detalle la información a guardar, cada cuánto se va a hacer, dónde se va a guardar y el tiempo que se conservará la copia.

El acceso limitado es el ítem de la checklist referente a si se permite el acceso a los empleados únicamente a los repositorios necesarios para llevar a cabo su trabajo. También se hace referencia al almacenamiento clasificado. Este ítem incluye si se crean carpetas organizadas según la política de clasificación de la información para que el personal pueda almacenar la documentación donde corresponde. Además, dentro del mismo se hacer referencia a si se asignan los permisos de acceso pertinentes según el perfil de cada empleado.

En este nivel de controles avanzado se incluye uno de ellos referente a la auditoria de servidores. Esto es si la empresa u organización revisa de manera periódica el estado de los servidores, su uso actual, la capacidad, los registros o las estadísticas de uso, entre otros.

Finalmente, el último control de esta checklist para el cumplimiento legal es el referente al cifrado de la información. Este ítem de nivel avanzado hace referencia a si la organización cifra la información crítica almacenada en los servidores.

Software ISO 27001

El estándar internacional que supone la ISO 27001, junto con el resto de normas que componen su familia, proporcionan todos los requisitos necesarios para implementar un correcto SGSI de una forma eficaz y rápida. En este sentido el Software ISOTools Excellence presta solución a todas las cuestiones que se plantean a la hora de implementar un SGSI en una organización o empresa.

The post Checklist para el cumplimiento legal en materia de Gestión de la Información appeared first on PMG SSI - ISO 27001.

Metodología Mehari

Originalmente esta metodología fue desarrollada por la comisión de Clusif en 1996, se utiliza para apoyar a las personas responsables de la seguridad informática de una organización a través de un exhaustivo análisis de los factores principales de riesgos. El método de evaluación se realiza de forma cuantitativa de acuerdo a la situación de la organización donde se necesita el análisis, esto se realiza mediante una política de seguridad y mantenimiento de los riesgos a un nivel ya establecido. 

MEHARI plantea un módulo el cual nos permita analizar los intereses implicados por la seguridad y un método de análisis de riesgos con herramientas de apoyo. Con estos dos factores identificados la organización puede evaluar de una manera exitosa cuáles son los principales riesgos potenciales.

Apartados de la Metodología MEHARI

Diagnóstico de seguridad

Para la realización del análisis de riesgos se proponen dos módulos: módulo rápido y módulo detallado. 

El objetivo de ambos casos es evaluar qué nivel de seguridad tiene la organización. La diferencia radica en el nivel de profundidad de la evaluación, siento el módulo rápido menos preciso que el módulo detallado con un nivel superior de fiabilidad. 

En la primera evaluación se identifican las principales debilidades de la organización, haciendo uso del módulo rápido. En cambio, en el módulo detallado se recogen todas las posibles debilidades de cada uno de los servicios de seguridad que cuenta la organización. Con dicho análisis se elabora una base muy completa, que posteriormente podemos usar para el análisis de riesgos. 

En este método se pueden combinar ambos módulos, comenzando por el rápido para conocer cuales son las debilidades y posteriormente profundizar los mismo con el módulo detallado. 

Cada uno de ellos se pueden utilizar de formas diferentes: 

• Diagnóstico de seguridad 

La realización del diagnóstico es la base principal que asegura la reducción de los riesgos dentro de la misma. 

• Planes de seguridad basados en diagnósticos de vulnerabilidad 

Para gestionar la seguridad de una empresa de una forma correcta es necesario establecer planes de acción en función al resultado de la evaluación del estado de los servicios de seguridad. 

• Dominios cubiertos por el módulo de diagnóstico. 

El método MEHARI también cubre aquellos riesgos no aceptables identificando todas las situaciones de riesgo que pueden darse dentro de una organización. 

Esta metodología incluye en el análisis de los sistemas de información, las organización en general, el entorno de trabajo y además los aspectos legales y reglamentarios. 

• Síntesis sobre los módulos de diagnóstico. 

Con el uso de estos módulos se ofrece una vista más amplia y relacionada con la seguridad, utilizando progresivamente conforme a la madurez de la organización donde se vaya a implementar. 

Análisis de los intereses implicados por la seguridad

En este apartado debemos tener claro cuales son los intereses de seguridad que la organización realmente requiere, esto es primordial para conocer el equilibrio entre las inversiones de seguridad y el nivel que requiere la organización. 

Para su cumplimiento es necesario contestar a la siguiente doble pregunta:

• “¿Qué puede ocurrir, y si ocurre, puede ser grave?

A través del análisis del interés que nos proporciona esta metodología se extraen dos informes o resultado: 

–   Valoración de disfunciones por medio de una escala. 

–  Clasificación de la información y los activos informativos. 

• Escala de valoración de las difusiones. 

En esta escala se identifica cuáles serían los acontecimientos que pueden generar problemas dentro de las propias actividades de la empresa. Con la realización de esta escala conseguimos: 

a. Descripción de los posibles tipos de disfunciones 

b. Definición de los parámetros que influyen en la seriedad y gravedad de las disfunciones 

c. Evaluación de los límites críticos de los parámetros que modifican los niveles de seriedad de las disfunciones

• Clasificación de la información y de los activos informativos 

Términos de clasificación de la información y clasificación de los activos. En ella se valora cada tipo de información y para cada uno de sus activos Disponibilidad, Integridad y Confidencialidad.

Análisis de Riesgos

El objetivo principal de esta metodología es la correcta evaluación y análisis de los riesgos en una organización, basándose en los principales factores de riesgo los cuales son: 

• Factores estructurales independientes de medidas de seguridad, pero teniendo en cuenta la actividad principal que realice la organización, su entorno y contexto. 
• Factores de reducción de riesgo que son una función directa de medidas de seguridad implementadas. 

El camino a seguir para la realización de un análisis de riesgos según la metodología MEHARI son: 

• Análisis de riesgos.
• Análisis sistemático de situaciones de riesgo.
• Análisis específico de situaciones de riesgo.
• Análisis de riesgo en los nuevos proyectos.

Software ISOTools

La implantación de un SGSI puede llegar a ser un proceso complejo el cual requiera mucho tiempo y esfuerzo para llevarlo a cabo. Desde ISOTools le ofrecemos el Software ISOTools Excellence que permite la implantación de una forma cómoda y sencilla, donde se abordan todas las cuestiones necesarias que se plantean para su elaboración en una organización.

The post Metodología Mehari para el análisis de Riesgos en SGSI appeared first on PMG SSI - ISO 27001.

Seguridad en el almacenamiento en redes compartidas

Ahora más que nunca debemos estar preparados para situaciones de inestabilidad, hay que prever en disponer un lugar de trabajo común con un nivel alto de seguridad en el almacenamiento en redes compartidas, en el cual almacenar los trabajos individuales de cada uno de los trabajadores y poder compartir dicha información a diferentes usuarios de la empresa. Esto es posible utilizando servidores de almacenamiento en red, o también denominados cloud red corporativa.

Las empresas que necesitan almacenar gran cantidad de información utilizarán los sistemas de almacenamiento del tipo NAS (Network Attached Storage), para aquellos archivos compartidos, o SAN (Storage Area Network) de alta velocidad para bases de datos de aplicaciones. Se utilizan este tipo de sistemas ya que presentan un volumen de almacenamiento superior al resto, utilizan la capacidad de múltiples discos duros en la red local como un volumen único de almacenamiento. 

La información almacenada en estos sistemas ha de ser determinada a través de una Política de clasificación de la información que ha de cubrir como mínimo los siguientes aspectos: tipo de información almacenada, momento de su almacenamiento, ubicación dentro de los directorios del sistema. Además de esto tenemos que tener en cuenta qué personas son las responsables de la actualización de dicha información en el caso de modificación. Una parte fundamental para la seguridad en el almacenamiento en redes compartidas es la clasificación de cierta información como confidencial, crítica o si debe estar sujeta a algún requisito legal.

El objetivo del almacenamiento en red es conseguir que todos los trabajadores tengan acceso remoto a la información necesaria para un buen desempeño de su trabajo, con un almacenamiento centralizado para evitar duplicaciones y problemas en versiones, prevenir pérdidas de documentos, centralización de copias de seguridad, etc. 

Niveles de complejidad

A – Avanzado: Los recursos necesarios para la implementación y el esfuerzo que nos obliga a hacer son de consideración. Para ello, es necesario la utilización de programas informáticos que requieren configuraciones avanzadas. 

B- Básico: Los recursos necesarios para la implementación y el esfuerzo que nos obliga a hacer son asumibles para la mayor parte de las organizaciones. Su aplicación puede ser a través de funcionalidades sencillas incorporadas en aplicaciones comunes. Su prevención viene dada con el uso de herramientas de seguridad elementales como pueden ser: software de antivirus, cifrado de punto final o End point disk encryption, servidor proxy, firewall perimetral de red, escáner de vulnerabilidades, etc.

Para conocer el alcance de cada uno de los controles debemos tener en cuenta tres tipos: 

• Procesos (PRO): se aplica en los  niveles superiores de la empresa: dirección o personal de gestión. 
• Tecnología (TEC): se aplica a los especialistas tecnológicos de la empresa. 
• Personas (PER): se aplica a todo el personal de la organización sin tener en cuenta en qué nivel se encuentran.

Controles de seguridad

Avanzado

• Control de acceso (PRO/TEC). Es fundamental para establecer las reglas de acceso, así nos permite llevar un control de quién tiene acceso y a que directorios. 
• Copias de seguridad (PRO/TEC). Para proteger dicha información debemos elaborar un plan de copias de seguridad que nos permita recuperar la información almacenada de forma rápida y segura. 
• Acceso limitado (TEC). Para reducir el número de usuarios con acceso a dicha información es recomendable establecerlo sólo a los empleados esenciales para el desempeño de su trabajo.
• Almacenamiento clasificado (TEC). Con la finalidad de la correcta clasificación de los datos y el acceso de manera intuitiva por los empleados de la organización se crean carpetas para un correcto almacenamiento de documentación. Como hemos mencionado en el apartado anterior es imprescindible asignar los permisos de acceso pertinentes según el perfil de empleado.
• Auditoría de servidores (TEC). El buen funcionamiento de las herramientas es necesario revisar de forma periódica el estado de los servidores de la organización, como puede ser: capacidad, registros, estadísticas de uso, etc.
• Cifrado de la información (TEC/PER). Información crítica almacenada en los servidores.

Básico

• Inventario de los servidores de almacenamiento (PRO). El responsable debe poner en conocimiento de los empleados cuáles son los servidores utilizados para el almacenamiento de la red corporativa, la información que se comparte, y dependiendo de la clasificación de la información donde almacenarlos. Para un buen uso se tiene que reflejar en la formación de los empleados y hacer ciertos recordatorios cada periodo establecido de tiempo. 
• Criterios de almacenamiento (PRO). Para establecer qué información almacenar y cual no, debemos elaborar una normativa que establezca qué información o no se debe almacenar en estos directorios; las personas que tienen acceso a dicha información y si son encargadas de actualizarlas en el caso de que lo necesite.
• Clasificación de la información (PRO). Para una correcta clasificación el empleado deberá ser consciente de la Política de clasificación de la información para cuando tenga que almacenarla o eliminar información se haga de una forma correcta y segura. 

Software para Seguridad de la Información

El Software ISO 27001 para la Seguridad de la Información está creado para mantener los datos almacenados de forma segura, evitando ciberataques que pongan en riesgo la información de la organización.

The post Checklist para la seguridad en el almacenamiento en redes compartidas appeared first on PMG SSI - ISO 27001.

Smart Cities

Las ciudades cada vez acogen más habitantes. Así que la seguridad pública se convierte en un desafío importante. Por junto a esta rápida urbanización se están desarrollando nuevas tecnologías digitales que pueden ayudar a mantener estas comunidades más protegidas. Son innovaciones que pueden monitorear los lugares públicos y la infraestructura, proporcionar información sobre los datos que se recopilan y periten que las ciudades inteligentes mejoren las experiencias de los ciudadanos.

Los cimientos de estas ciudades son el 5G, la Inteligencia Artificial -IA- y el Internet de las cosas -IoT-. No existe duda que, para garantizar el éxito de la ciudad inteligente del futuro, la red móvil deberá ser los suficientemente rápida y estable para manejar una gran cantidad de datos. De forma similar, a medida que la inteligencia artificial continúe desarrollándose, será necesario permitir que los datos y la información que se recopila mediante las redes del Internet de las Cosas que se monitorean, se analizan y se miden en tiempo real. El enfoque de este artículo que se encuentra específica en IoT y la nube, y el papel que desempeña en los sistemas de seguridad pública.

Las ciudades inteligentes avanzan en muchas áreas diferentes para la seguridad de los ciudadanos, aún no se ha conseguido el conocimiento de la situación en tiempo real y la colaboración entre agencias. Para combatir el crimen, contrarrestar posibles ataques terroristas y generar entornos mucho más seguros para las personas, las ciudades inteligentes tienen que complementar tecnologías innovadoras que faciliten la prevención y la respuesta a incidente de forma más rápida y coordinada.

Las iniciativas de ciudades inteligentes no implementan tecnologías más nuevas para respaldar este enfoque y, en cambio, continúan enfocándose en la seguridad física, corren el riesgo de socavar todo el espíritu de lo que es una ciudad inteligente.

Las ciudades inteligentes se encuentran expuestas a muchas amenazas que suponen un grave riesgos para la seguridad no sólo en términos cibernéticos, además para la salud de los ciudadanos. Estas son las siguientes amenazas:

Control de semáforos

Muchas ciudades cuentan con un puesto de mando desde que se gestiona el estado de los semáforos y el tráfico. Esta estación de control ofrece incontables ventajas, ya que permite descongestionar calles con mucho tráfico o favorecer las rutas de servicios especiales. El caso de que un cibercriminal se hiciera con el control de este sistema, tiene libertad para manejar todos los semáforos de la ciudad y puede poner todos los semáforos de la ciudad en verde, provocando muchos accidentes.

Ataques a los coches inteligentes

Los avances en los Smart Cities también se encuentran marcadas por la evolución que experimentan los vehículos, no sólo en lo relativo a su fuente de energía, además también a la conectividad. Poco a poco se van vislumbrando los primeros coches autónomos, que cuentan con infinidad de sensores que permiten calcular la distancia con todos los elementos que se encuentran a su alrededor, control de velocidad y freno y un largo etc. Al igual que en el caso anterior, un ciberdelincuente puede tomar el control de uno o varios de estos vehículos y provocar colisiones.

Colapsar la red eléctrica

Aunque todavía no es una amenaza visible, dado que en Europa la autogestión de la electricidad en la casa no es una tendencia extendida, si supondrá un riesgo a medio plazo. Un “hacker” puede tomar el control de los sistemas de gestión de potencia de las centrales eléctricas y falsear los datos de demanda, o incluso generar un apagón en toda la ciudad.

Suministro de agua

Las ciudades inteligentes cuentan con un sistema de permite controlar el flujo de agua o conocer si se ha producido alguna fuga, entre otras posibilidades. Por lo tanto, uno de los principales riesgos puede ser un corte en el suministro o un aumento de la presión del flujo para averiguar el circuito de suministro. La mayora amenaza la representa un posible acceso al centro de procesamiento de agua, que facilite la modificación de los niveles de adictivos químicos del agua y causar problemas de salud pública.

Cámara de vigilancia

Las Smart Cities cuentan con infinidad de cámaras de seguridad que, en el caso de ser hackeadas, pueden ser utilizadas para espiar a personas o controlar los movimientos de un objetivo.

La implementación de la tecnología con el objetivo de mejorar y facilitar nuestras vidas es un hecho. Sin embargo, en muchas ocasiones se pone el foco únicamente en la inversión y en las medidas que se requieren para llevar a cabo esta innovación, obviando las medidas de seguridad necesarias para estar protegidos con las amenazas cada vez más potentes.

Software Sistema de Gestión de Seguridad de la Información

El Software ISOTools Excellence para Riesgos y Seguridad de la Información, está capacitado para responder a numerosos controles para el tratamiento de la información gracias a las aplicaciones que contiene y que son totalmente configurables según los requerimientos de cada organización. Además, este software permite la automatización del Sistema de Gestión de Seguridad de la Información.

The post Seguridad de la información en Smart Cities. ¿Estamos protegidos? appeared first on PMG SSI - ISO 27001.

ISO 27002

Siempre que se hace referencia al concepto de seguridad de la información nos viene a la cabeza la norma ISO 27001. Esta normativa es muy clave dentro del contexto referido ya que, es una norma internacional que permite el aseguramiento, la confidencialidad e integridad de los datos y de la información, así como de los sistemas que la procesan. Esta toma como base todos los riesgos a los que se enfrenta una determinada organización en su día a día, teniendo como objetivo principal establecer, implantar, mantener y mejorar de forma continua la seguridad de la información de la organización.

Aun así, no se debe olvidar el papel que ocupan otras normas dentro de esta familia. Este es el caso de la ISO 27002, la cual establece un catálogo de buenas prácticas que determina, desde la experiencia, una serie de objetivos de control y controles que se integran dentro de todos los requisitos de la norma ISO 27001 en relación con el tratamiento de los riesgos.

Independientemente del contenido de cada una, hay que tener en cuenta un aspecto bastante importante en relación a ambas normas: la ISO 27001 es certificable y la ISO 27002 no lo es ¿Por qué motivo? Se preguntarán. La ISO 27002 no es certificable debido a que no contiene requisitos, es decir, en su contenido no contiene exigencias que toda organización que quiera certificarla debería cumplir. Esto requisitos si están presentes en la ISO 27001. A manera de regla generalizada, en las normas ISO, aquellas que contienen requisitos son aquellas que tienen el 01 al final del número de identificación, como por ejemplo las ISO 9001, 14001, 45001, etc, aunque no siempre ocurre así.

#ISO27002 es una guía de buenas prácticas de cara a implementar los requisitos de la #ISO27001
Click To Tweet

¿Entonces cual hay que poner en práctica primero?

He aquí la cuestión: Existen muchas dudas por parte de responsables de seguridad de la información y gerentes sobre cual debe ir antes de cara a implementar un Sistemas de Gestión de Seguridad de la Información.

Como mencionábamos anteriormente, ISO 27002 es simplemente una guía de buenas prácticas de cara a implementar los requisitos de la ISO 27001. De hecho, su contenido es una guía de implementación de los 114 controles que recoge el anexo A de la ISO 27001. Por tanto, hay que señalar que ISO 27002 no se implanta. Eso sí, habrá que tener en cuenta que si no se establecen los controles que se van a implementar (que no tienen por qué ser todos) no habrá buenas prácticas que llevar a cabo.

En resumidas cuentas, se podría decir que ISO 27001 es el ¿Qué? e ISO 27002 es el ¿Cómo?. Analicemos detenidamente el objetivo de cada una:

• ISO 27001 te indicará que tienes que cumplir con los requisitos “x” y “z” para llevar a cabo el control de un determinado activo de la información de tu organización.
• Por su parte ISO 27002 señalará que debes hacer en la práctica para poder cumplir con los requerimientos “x” y “z” que indica la ISO 27001 para este punto.

Un buen análisis es la clave

Una vez aclarado esto, se hace más sencillo entender la importancia de la norma ISO 27001 como Sistema de Gestión de Seguridad de la Información. Sin embargo, será igual de importante el papel que ocupa dentro de todos los requisitos de la norma ISO 27002 como guía de buenas prácticas para implantar controles y que garantizarán la seguridad de la información gracias a sus recomendaciones.

No cabe ninguna duda de que sin un buen análisis de las causas que afectan a la seguridad de la información de una organización, será imposible establecer buenos controles que ayuden a gestionar los activos a controlar, así como los requisitos para obtener la certificación en ISO 27001.

A la hora de establecer los controles será recomendable comenzar por el contexto, las partes interesadas para pasar posteriormente a ver el alcance  y la definición de los procesos del negocio así como los de seguridad de la información.

Software ISO 27001

El estándar internacional ISO 27001, junto con todas las normas que componen su familia, generan todos los requisitos necesarios para poder implementar un Sistema de Gestión de Seguridad de la Información de una forma rápida y sencilla.

El Software ISOTools Excellence para ISO 27001 presta solución a todas estas cuestiones que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa.

The post ISO 27001 e ISO 27002 ¿Quién fue antes el huevo o la gallina? appeared first on PMG SSI - ISO 27001.

Interrupciones de servicio TI

El ser humano siempre ha vivido con el deseo y sobre todo el miedo de que un determinado cambio climático pueda favorecer o perjudicar su modo de vida: cosechas que se echan a perder, desplazamientos imposibles de realizar o destrozos en infraestructuras y viviendas han sido algunos de los miedos más frecuentes ante cualquier suceso de este tipo.

Es evidente que en una sociedad digitalizada como en la que vive actualmente la gran mayoría del planeta, a esta serie de preocupaciones constantes se les ha sumado una de muchísimo peso: el estado de la conectividad a la red digital. Sobre todo en casos relacionados con la seguridad o la transmisión de información.

La caída de Facebook, un caso muy reciente

Aun “nos estamos recuperando” de la que ha sido reconocida oficialmente como la mayor caída de servicio de Facebook a lo largo de su historia, la cual también ha afectado a sus dos plataformas de mensajería instantánea: Messenger y WhatsApp, así como a Instagram, la famosa red social para compartir fotos.

La BBC, recogía hace uno días un interesante testimonio sobre este suceso: una diseñadora de Buenos Aires confesaba a la célebre cadena británica que la caída tuvo un impacto significativo en su compañía, ya que en esta se usaba Facebook Workplace, la versión de la red social enfocada en la comunicación interna para empresas y por tanto les era imposible comunicarse con la sede de la compañía en Nueva York.

Este tipo de fallas, hay que tener en cuenta que no siempre están relacionadas con caídas de los servidores, sino que en muchos casos, suelen ser consecuencia de ataques informáticos que tienen como objetivo suplantar identidades o robar información confidencial o personal de determinadas personas. El propio cofundador de Facebook Mark Zuckerberg ha declarado en varias ocasiones que se enfrentan constantemente a intentos de robo de información de sus usuarios. Una ardua tarea si tenemos en cuenta que la red social cuenta con al rededor de 2.300 millones de usuarios.

A pesar de que algunos medios han relacionado la caída con una sobrecarga de la base de datos, Facebook aun no ha dado muchos datos. Eso sí, descartan la posibilidad de que se trate de “un ataque de denegación de servicio”.

Lo que está claro es que esta caída ha debido de suponer un importante golpe para los ingresos que la compañía recibe por publicidad.

El software es un gran valor para las empresas actualmente y cualquier anomalía en este puede crear importantes daños. Las interrupciones de servicio TI en el negocio afectan negativamente a los tres pilares que sustentan una empresa: clientes, socios y empleados, lo que se traduce en pérdidas financieras y daños a la reputación de la empresa.

Asegurar Interrupciones de servicio TI con la implementación de la ISO 27001

La ISO 27001 es una norma internacional que posibilita asegurar, la confidencialidad e integridad de los datos y de la información, así como de los sistemas que la procesan.

Este estándar normativo permite a las organizaciones poder evaluar el riesgo y la aplicación de los controles necesarios para eliminarlos o suprimirlos.

No resulta una casualidad que Workplace, la plataforma de comunicación interna para empresas de Facebook, anunciara en octubre 2017 que habían conseguido obtener la certificación ISO 27001. Según reza un comunicado en redes sociales, la compañía pretendía demostrar la importancia que le daban a la información de los datos de sus clientes.

No cabe duda de que dicha certificación aporta tres beneficios de mucha importancia para empresas que operan con datos e información confidencial de sus usuarios:

1. Les permite asegurar que su Sistema de Gestión de Seguridad de la Información cumple con los resultados previstos.
2. Les ayuda a prevenir y reducir efectos indeseados que puedan perjudicar su imagen.
3. En el caso de que ocurra algún efecto como el que hemos analizado anteriormente, les permite analizarlo y resolverlo de una manera mucho más efectiva, consiguiendo así una mejora continua que puede ayudarles a solventar problemas de similares características en el futuro.

Aplicar la ISO-27001 a tu Sistema de Gestión de Seguridad de la Información (SGSI) significa una importante diferenciación respecto a potenciales competidores o simplemente respecto a otras empresas, mejorando así la competitividad y la imagen de una organización de cara a sus clientes.

Workplace by Facebook, certificó la #ISO27001 en octubre de 2017 con el objetivo de asegurar la protección de los datos de sus usuarios
Click To Tweet

Complementación y compatibilidad con otras normas de sistemas de gestión como la ISO 22301

Cómo bien se indica en el apartado segundo del punto introductorio de la normativa, la ISO 27001 mantiene la compatibilidad con otras normas de sistemas de gestión que hayan adoptado el anexo SL.

Esta certificación se complementaría muy bien con la de la ISO 22301 de gestión de continuidad de negocio. De esta manera se contaría con dos sistemas de gestión integrados en uno que permitiría:

• Asegurar, la confidencialidad e integridad de los datos y de la información de nuestros usuarios,
• Mantener la continuidad del funcionamiento de la plataforma mientras que se identifican y gestionan los riesgos pertinentes.

Software para ISO 27001

La solución tecnológica para la gestión de la excelencia ISOTools permitirá implantar, automatizar y mantener la a ISO 27001 para un Sistema de Gestión de Seguridad de la Información.

Con ISOTools se da cumplimiento a los requisitos basados en el ciclo PHVA (Planear – Hacer – Verificar – Actuar) para establecer, implementar, mantener y mejorar el Sistema Gestión de la Seguridad en la Información, así como se da cumplimiento de manera complementaria a las buenas prácticas o controles establecidos en ISO 27002.

ISOTools también permite aplicar los requisitos de otras normas de Seguridad de la Información como PMG SSI de los Servicios Públicos de Chile, entre otros.

Este software, permite integrar la ISO 27001 con otras normas, como ISO 9001, ISO 14001 e ISO 22301 de gestión de continuidad de negocio, de una forma sencilla gracias a su estructura modular.

The post Interrupciones de servicio TI: aseguramiento, confidencialidad e integridad de los datos appeared first on PMG SSI - ISO 27001.