Home / Event / BLOG- Gestión de vulnerabilidades en el contexto de ISO 27001

BLOG- Gestión de vulnerabilidades en el contexto de ISO 27001

BLOG- Gestión de vulnerabilidades en el contexto de ISO 27001
May
10

Gestión de vulnerabilidades en el contexto de ISO 27001

Redacción original: Hans-Jürgen Fengler – Experto en seguridad de la información DQS GmbH
Traducción: Yutzil Arango

El enfoque de ISO 27001 está en la información de una empresa digna de protección: su protección, confidencialidad, integridad y disponibilidad. ISO 27001 es una norma internacional para la seguridad de la información en organizaciones privadas, públicas o sin fines de lucro. El estándar describe los requisitos para configurar, implementar, operar y optimizar un sistema de gestión de seguridad de la información (ISMS por sus siglas en inglés) documentado. El enfoque principal del sistema de gestión está en la identificación, manejo y manejo de riesgos.

¿Qué peligros y riesgos existen para la seguridad de la información?

La gestión de vulnerabilidades en el contexto de ISO 27001 se refiere a debilidades técnicas. Estos pueden generar amenazas para la seguridad de TI de empresas y organizaciones. Éstas incluyen:

  • Ransomware, software de chantaje que puede cifrar los portadores de datos y obtener información comprometedora.
  • Troyano de acceso remoto (RAT) que puede permitir el acceso remoto a la red.
  • Phishing y SPAM, que pueden provocar la pérdida de control sobre el correo electrónico. Una puerta de enlace particularmente popular aquí es el Reglamento general de protección de datos (DSG-VO) y la solicitud en un correo electrónico para verificar los datos del cliente haciendo clic en un enlace. A menudo, los remitentes parecen ser bancos o PayPal.
  • DDoS/botnets que, debido a los enormes paquetes de datos, pueden afectar la disponibilidad e integridad de los sistemas
  • Ciber terroristas, activistas, delincuentes y perpetradores domésticos que plantean una amplia variedad de amenazas.
  • Procesos deficientes o faltantes.

 

Para identificar los puntos débiles y las brechas de seguridad que surgen de estos peligros, se requiere una determinación de los requisitos de protección con ISO 27001, porque esto crea una gestión sistemática de los puntos débiles para asegurar la infraestructura de TI con un análisis continuo de los puntos débiles (evaluación de vulnerabilidades).

Certificación TISAX DQS de México

Procesos inadecuados ¿Una amenaza para la seguridad de la información?

Una evaluación de riesgos realista no es posible sin un proceso de análisis de los registros del sistema y los datos de los registros, el conocimiento de los puntos débiles técnicos y una revisión más profunda de los sistemas de TI. Asimismo, un proceso deficiente o defectuoso no permite la definición de criterios para la aceptación del riesgo o la determinación del nivel de riesgo – como es requerido en la norma ISO 27001.

Contenido relacionado: ISO 27001 Anexo A: Responsabilidades y roles de los empleados

Gestión de puntos débiles en el contexto de ISO 27001: Infraestructura óptimamente segura

Una posible medida para proteger la infraestructura de TI es la gestión de posibles puntos débiles y brechas de seguridad. Se llevan a cabo controles sistemáticos (escaneado) y pruebas de penetración de todos los sistemas para detectar puntos débiles técnicos de forma periódica. Los puntos débiles identificados a partir de esto se utilizan en el Sistema de gestión de seguridad de la información (ISMS) de acuerdo a la norma ISO 27001.

También es importante comprender los peligros para la seguridad de TI, así como determinar la seguridad de la información de manera integral. Las debilidades técnicas deben priorizarse según su gravedad y, en última instancia, eliminarse. Una evaluación del riesgo residual a través de los puntos débiles técnicos restantes y, en última instancia, la aceptación del riesgo también se incluye en la gestión de puntos débiles de acuerdo con la norma ISO 27001.

Contenido relacionado: TISAX: Respuestas a preguntas importantes sobre la seguridad de la información en la industria automotriz

¿Cómo puede una empresa protegerse de un punto débil técnico?

Una empresa puede, por ejemplo, protegerse a sí misma de forma preventiva contra el malware mediante la introducción e implementación de medidas de detección, prevención y copia de seguridad de datos en relación con la sensibilización adecuada entre los usuarios. En detalle, esto significa que: para evitar la explotación de un punto débil técnico en la gestión de puntos débiles en el contexto de ISO 27001, es necesario:

  • Obtener información oportuna sobre las debilidades técnicas de los sistemas de información utilizados,
  • para evaluar su peligrosidad y
  • tomar la acción apropiada.

 

Esto se puede hacer instalando parches de seguridad, aislando los sistemas de TI del peligro o, en última instancia, apagando el sistema. Además, se deben definir e implementar reglas para la instalación de software por parte de los usuarios.

CONCLUSIÓN

La gestión de vulnerabilidades en el contexto de ISO 27001 es un proceso continuo que debe llevarse a cabo de forma regular. Según ISO 27001, los resultados deben ser válidos. Esto significa que una verificación de vulnerabilidad única y una evaluación de los riesgos para la introducción o certificación en un momento posterior, por ejemplo, en el caso de una recertificación, ya no son válidas.

Un escaneo de vulnerabilidades solo es válido en el momento exacto en que se realiza. Pero si las actualizaciones de software se llevan a cabo más tarde o se realizan cambios en la topología, estos pueden conducir a nuevas vulnerabilidades.

Por lo tanto, es importante que todas las organizaciones sigan, verifiquen y repitan continuamente los procesos de administración de vulnerabilidades e ingresen la información relevante en el sistema de administración de seguridad de la información.

DQS de México: experiencia y confianza

Las empresas que cuentan con sistemas de gestión, los valoran como herramientas para la Alta Dirección, que crean transparencia, reducen costos y brindan seguridad a la organización. Sin embargo, los sistemas de gestión pueden hacer mucho más cuando son evaluados y certificados por un tercero independiente, como lo es DQS de México; generando así mayor confianza en el desempeño de su empresa frente a las partes interesadas.

Certificación de Sistemas de gestión ISO

Top
Solicite su cotizaciónSolicite una llamadaContáctenosCalendario de cursos