Iniciemos con un ejemplo que nos puede dar similitudes entre el mundo físico y digital:

“Si ponemos un negocio en el centro de la ciudad y llega un delincuente que nos roba la caja, al día siguiente habremos puesto un mesón alto para separar los espacios de clientes y trabajadores. Una semana después llega un delincuente y salta el mesón y nos roba la caja. Nuevamente hacemos mejoras y agregamos una reja de fierro donde no pueda entrar cualquier persona. Una semana después un delincuente nos amenaza con una pistola por el espacio en que se entrega el dinero y nos vuelven a robar. Ahora ponemos un guardia, pero nos entran a robar de noche donde no había guardia, ahora ponemos cámaras y alguien ha monitorearlas”

Este ejemplo puede iterar aun varias veces más, lo importante es entender que todas estas capas que incluimos de seguridad física nos mitiga el riesgo de ser robados, pero aún así sabemos que no podemos mitigar el 100% que no nos roben, sin pensar aún que el robo puede ser desde unos de nuestros trabajadores.
En Ciberseguridad también se deben aplicar varias capas de seguridad para mitigar el riesgo. No existe un software, un hardware o un solo servicio o consultoría que nos mitigue el riesgo. Es una combinación de productos, servicios, sistemas y procedimientos los que van mitigando el riesgo capa por capa.

Iniciemos con un ejemplo que nos puede dar similitudes entre el mundo físico y digital: “Si ponemos un negocio en el centro de la ciudad y llega un delincuente que nos roba la caja, al día siguiente habremos puesto un mesón alto para separar los espacios de clientes y trabajadores. Una semana después llega un delincuente y salta el mesón y nos roba la caja. Nuevamente hacemos mejoras y agregamos una reja de fierro donde no pueda entrar cualquier persona. Una semana después un delincuente nos amenaza con una pistola por el espacio en que se entrega el dinero y nos vuelven a robar. Ahora ponemos un guardia, pero nos entran a robar de noche donde no había guardia, ahora ponemos cámaras y alguien ha monitorearlas” Este ejemplo puede iterar aun varias veces más, lo importante es entender que todas estas capas que incluimos de seguridad física nos mitiga el riesgo de ser robados, pero aún así sabemos que no podemos mitigar el 100% que no nos roben, sin pensar aún que el robo puede ser desde unos de nuestros trabajadores. En Ciberseguridad también se deben aplicar varias capas de seguridad para mitigar el riesgo. No existe un software, un hardware o un solo servicio o consultoría que nos mitigue el riesgo. Es una combinación de productos, servicios, sistemas y procedimientos los que van mitigando el riesgo capa por capa.

Sistema de Gestión de Seguridad de la Información (SGSI)

El sistema de gestión de la seguridad de la información conserva la confidencialidad, integridad y disponibilidad de la información al aplicar un proceso de gestión de riesgo y les entrega confianza a las partes interesadas cuyos riesgos son gestionados de manera adecuada. Es importante que el sistema de gestión de seguridad de la información sea parte de y este integrado a los procesos de la organización y a la estructura de gestión general y que la seguridad de la información sea considerada en el diseño de procesos, sistemas de información y controles. Se espera que la implementación del sistema de gestión de la seguridad de la información sea escalada según las necesidades de la organización.


Estándar ISO 27001

La mejor manera de implementar un SGSI es tener un marco de referencia contra el cual compararse, el que describe todas las buenas prácticas que se deben llevar a cabo para implantar un Sistema de Gestión de Seguridad de la Información es la ISO27001:2013. Además, ayuda a las empresas a mejorar en seguridad, cumplir con todas las regulaciones de seguridad cibernética, proteger y mejorar su reputación.

Estandar-ISO-27001

ISO 27032

El concepto del Ciberespacio exige tener una visión más amplia de conceptos de la seguridad de la información. Este nuevo concepto aúna aspectos relacionados con la interacción de personas, software y servicios en Internet, soportados por entornos TIC distribuidos por todo el mundo con una complejidad y particularidad que hace unos años no era imaginable.

Para abordar los retos de la Ciberseguridad, que consiste en la seguridad en el Ciberespacio, surge la norma ISO/IEC 27032, que define las Guías en este ámbito y se centra en dos áreas: por un lado, en cubrir los espacios o huecos no cubiertos por normas anteriores de seguridad en este ámbito conceptual más amplio, en el que aparecen nuevos ataques y los riesgos asociados a éstos; y, por otro lado, el proceso de colaboración entre los agentes que operan en el entorno actual, en lo que se denomina comúnmente un Marco de Ciberseguridad o CSF (CyberSecurity Framework).


Diferencias entre ISO 27001 e ISO 27032

ISO 27032 no es un estándar que se pueda certificar, quizás esta es una de las diferencias más importantes con respecto a ISO 27001, que permite que su institución pueda certificar un Sistema de Gestión de Seguridad de la Información (SGSI) . La norma ISO 27032 apunta principalmente a proporcionar una guía de seguridad cibernética a través de recomendaciones específicas, mientras que la norma ISO 27001 establece los requisitos para establecer un SGSI. Por lo tanto, el enfoque de ISO 27001 es su organización y su SGSI, mientras que ISO 27032 se centra en el ciberespacio y es un marco para la colaboración para abordar los problemas centrados en diferentes dominios de seguridad en el ciberespacio.

Por otro lado, en el Anexo A ISO 27001: 2013 hay 114 controles, no todos relacionados con las tecnologías. Muchos están relacionados con la gestión de proveedores, la gestión de recursos humanos, etc. Sin embargo, los controles que se pueden encontrar en ISO 27032: 2012 son más específicos para la ciberseguridad (control de nivel de aplicación, protección de servidor, usuario final, control de ataque de ingeniería social, etc.)

Visto de otra manera:

SEGURIDAD DE LA INFORMACIÓN (ISO 27001)
CIBERSEGURIDAD (27032)
Trata con la información, independientemente de su formato – abarca los documentos impresos, digitales y propiedad intelectual en la mente de las personas y las comunicaciones verbales o visuales.Se refiere a la protección de los activos digitales – todo desde las redes hasta el hardware y la información que es procesada, almacenada o transportada por sistemas de información interconectados.

Por lo tanto, ambas normas tienen objetivos diferentes, en INFRASEG lo interpretamos como:

  • ISO27001: si busca certificar su institución y contar con un marco amplio de trabajo en Seguridad de la información
  • ISO 27032: Si busca comenzar ya a trabajar en sus riesgos asociados a Ciberseguridad


Estructura de la norma ISO 27001

  1. Objeto y campo de aplicación: La norma comienza aportando unas orientaciones sobre el uso, finalidad y modo de aplicación de este estándar.
  2. Referencias Normativas: Recomienda la consulta de ciertos documentos indispensables para la aplicación de ISO27001.
  3. Términos y Definiciones: Describe la terminología aplicable a este estándar.
  4. Contexto de la Organización: Este es el primer requisito de la norma, el cual recoge indicaciones sobre el conocimiento de la organización y su contexto, la comprensión de las necesidades y expectativas de las partes interesadas y la determinación del alcance del SGSI.
  5. Liderazgo: Este apartado destaca la necesidad de que todos los empleados de la organización han de contribuir al establecimiento de la norma. Para ello la alta dirección ha de demostrar su liderazgo y compromiso, ha de elaborar una política de seguridad que conozca toda la organización y ha de asignar roles, responsabilidades y autoridades dentro de la misma.
  6. Planificación: Esta es una sección que pone de manifiesto la importancia de la determinación de riesgos y oportunidades a la hora de planificar un Sistema de Gestión de Seguridad de la Información, así como de establecer objetivos de Seguridad de la Información y el modo de lograrlos.
  7. Soporte: En esta cláusula la norma señala que para el buen funcionamiento del SGSI la organización debe contar con los recursos, competencias, conciencia, comunicación e información documentada pertinente en cada caso.
  8. Operación: Para cumplir con los requisitos de Seguridad de la Información, esta parte de la norma indica que se debe planificar, implementar y controlar los procesos de la organización, hacer una valoración de los riesgos de la Seguridad de la Información y un tratamiento de ellos.
  9. Evaluación del Desempeño: En este punto se establece la necesidad y forma de llevar a cabo el seguimiento, la medición, el análisis, la evaluación, la auditoría interna y la revisión por la dirección del Sistema de Gestión de Seguridad de la Información, para asegurar que funciona según lo planificado.
  10. Mejora: Por último, en la sección décima vamos a encontrar las obligaciones que tendrá una organización cuando encuentre una no conformidad y la importancia de mejorar continuamente la conveniencia, adecuación y eficacia del SGSI.

 

Estructura de la norma ISO 27032 Chilena

  1. Alcance y campo de aplicación: Esta norma proporciona una guía para mejorar el estado de la Ciber protección, resalta los aspectos importantes de esa actividad y sus dependencias en otros dominios de protección
  2. Aplicabilidad: define Audiencia y Limitaciones
  3. Referencias normativas: indica el grado de correspondencia con la ISO 27000
  4. Términos y definiciones: se adjunta un listado de términos y sus definiciones (por ejemplo, adware, aplicación, avatar, activo, etc)
  5. Términos abreviados: Un listado de siglas y sus definiciones, por ejemplo CERT: Equipo de Respuesta ante Emergencias Informáticas
  6. Visión general: introducción a la norma, explicación de conceptos tales como Ciberseguridad, Ciber protección.
  7. Partes Interesadas en el Ciberespacio: se listan los distintos participantes que interactúan en internet.
  8. Activos en el Ciberespacio: se define como activo a cualquier cosa que tenga un valor para un individuo u organización.
  9. Amenazas contra la protección del Ciberespacio: se describen los distintos tipos de amenaza que puede enfrentar una institución o individuo en el Ciberespacio.
  10. Roles de las partes interesadas en la Ciber proteccióndefinición de roles de cada interesado definido en el punto 7
  11. Directrices para las partes interesadas: Detalla guías y recomendaciones a cada parte interesada
  12. Controles de Ciber protección: acá se listan todos los controles que debemos aplicar para mitigar riesgos
  13. Marco del intercambio y coordinación de información: detalle del cómo se comparte la información entre instituciones

 

Controles ISO 27032 Chilena

Este es un listado de los 6 grandes controles que se aplican en esta norma, cada uno de ellos posee subcontroles específicos que se deben ejecutar.

CONTROLDESCRIPCIÓN GENERAL
Controles a nivel de aplicación

Define todo lo relacionado a la seguridad de las aplicaciones, desde definir como se usan las aplicaciones hasta como se desarrollan y se hacen pruebas de pentesting contra ellas.

Protección del servidor

Proteger a los servidores y hostings contra accesos no autorizados y de contenido

Controles para los usuarios finales

Que es lo que deben los usuarios para proteger sus sistemas contra ataques y abusos conocidos

Controles contra los ataques de ingeniería social

Esta cláusula provee un marco de controles aplicable para gestionar y minimizar los riesgos de Ciber protección en relación a los ataques de ingeniería social.

Disposición de la Ciber protección

Controles técnicos adicionales que se pueden aplicar para mejorar la disposición en el área de detección de eventos, a través de una Darknet para Seguimiento; la investigación, a través de Tracebacks; y la respuesta, a través de una Operación Sinkhole, como parte de la Ciber protección de una organización.

Otros Controles

Otros controles pueden incluir algunos relacionados a la alerta y cuarentena de dispositivos que están comprometidos en actividades sospechosas u observadas, a través de la correlación de eventos desde los elementos del proveedor de servicios y/o empresa como los servidores DNS, el flujo de red de router, la filtración de mensajes salientes y las comunicaciones peer-to-peer.

Entonces ¿Por donde comenzar?

Fase 0 – Gap Análisis para entender que tan lejos estamos de cumplir, luego las fases siguientes son:

SGSI

GAP ANÁLISIS – INFRASEG

Servicio que permite identificar la distancia existente entre la seguridad de información actual del cliente y las buenas prácticas más reconocidas en la industria. Durante la ejecución del servicio, nuestros consultores realizarán entrevistas a las diferentes áreas de la institución para identificar la situación actual de la misma en materia de seguridad, comparando contra las mejores prácticas o normativas vigentes respecto a la seguridad de la información. De esta forma, es posible identificar la brecha existente entre ambas y ayudar a la organización a diseñar un plan tendiente a minimizar la brecha.

Nuestra propuesta de GAP Análisis posee las siguientes actividades:

  • Levantamiento de la situación actual de la organización asociado a los procesos de Seguridad de la Información
  • Identificación de la brecha existente entre las prácticas de seguridad actuales de la organización y las mejores prácticas existentes en la industria, según norma solicitada.
  • Análisis de la distancia entre las prácticas actuales de la organización y aquellas requeridas por la normativa seleccionada.
  • Detección de los desvíos en las prácticas actuales de seguridad.
  • Proponer prácticas y controles para mejorar el nivel actual de seguridad de la compañía.

Business Continuity Plan(BCP) o Plan de Continuidad de Negocio

Un plan de continuidad del negocio  es un plan para que una organización pueda recuperar recuperar y restaurar sus funciones críticas parcial o totalmente interrumpidas dentro de un tiempo predeterminado después de una interrupción no deseada o debido a un desastre natural o de otro tipo.

Recuperar todas las funciones es innecesario, debemos recuperar aquellas que sean más criticas para la organización y luego las menos importantes.

Para determinar que es importante y no, se construye un BIA (Business Impact Analisis o Analisis del Impacto en el Negocio). En la imagen siguiente se ven los resultados de tener un BCM y un BIA.

¿Requieres más información? Tenemos ingenieros certificados CISSP y Lead Auditor 27001 para ayudarte. Sólo escríbenos en que estas y te ayudaremos a definir una ruta.