Seguridad de la Información y Ciberseguridad en la ISO 27001
En la era digital actual, la ciberseguridad se ha convertido en una necesidad crítica para empresas y personas por igual. A medida que la tecnología avanza, también lo hacen las amenazas que buscan explotar vulnerabilidades en sistemas informáticos. Este artículo explora la evolución de los ciberataques desde sus inicios, destacando la importancia de implementar medidas de seguridad robustas como las establecidas por la norma ISO 27001. Ya no se trata solo de proteger información, sino de asegurar la continuidad operativa y la confianza en un mundo cada vez más interconectado.
La necesidad de Ciberseguridad
El primer programa diseñado como una prueba de seguridad para comprobar si era capaz de replicarse fue llamado “Creeper”. ¿Cómo funcionaba? Cada vez que se instalaba en un nuevo disco duro intentaba eliminarse a sí mismo en el equipo anfitrión anterior. No tenía un objetivo malicioso, solo mostraba el mensaje: “I',m the Creeper. Catch me if you can!” (Soy Creeper, ¡atrápame si puedes!). Fue un experimento para evaluar si un programa podía auto replicarse, pero también auto eliminarse.
Con la publicación de lo aprendido en el experimento, apareció en 1974 Rabbit o Wabbit, el cuál sí que tenía una intención maliciosa, pero no delictiva:
- Efecto: después de instalarse en el disco duro, realizaba continuamente copias de sí mismo saturando el disco duro y la RAM para eventualmente colapsar la computadora.
- Solución: formateo del disco duro. Pero, si antes de la infección no se tenía un respaldo del disco se perdía toda la información, ya que, si se hacía el respaldo con el virus arraigado, al momento de restaurar la información lógicamente también se restauraba el programa y vuelta nuevamente al efecto descrito.
Para quien lo desarrolló le pareció que era una broma fabulosa.
De pronto se puso de moda en universidades de todas partes que los alumnos de informática desarrollaran virus “graciosos” y eso se convirtió muy pronto en un problema mundial. Apareciendo así el término “ciberseguridad”.
Hoy ya no son jóvenes jugando a las escondidas: es crimen organizado para robar o secuestrar información a individuos y empresas y obtener un beneficio económico. Los ciber delincuentes forman organizaciones internacionales perfectamente coordinadas para ser efectivos y en muchas ocasiones inalcanzables.
Tan solo en 2023 el ciber crimen global fue de un millón de millones de dólares según un informe de Digital Security, lo que equivale al 1.5% del PIB mundial. Es el mercado ilícito más grande del mundo, más del doble del tráfico de drogas que se calcula en 400,000 millones de dólares.
La ISO 27001:2022 y la Ciberseguridad
Ante este fenómeno la norma ISO 27001 —el principal estándar de seguridad de la información a nivel internacional—, fue reformulada en 2022 para que no solamente abarcara el diseño de un Sistema de Gestión de Seguridad de la Información (SGSI).
La última versión de la norma incluye prácticas y controles de ciberseguridad involucrando los recursos informáticos de la empresa y la interacción que el usuario tiene con estos con el objetivo de evitar que, ya sea por accidente o intencionalmente, sean utilizados para alterar el estado de la información de la empresa.
Con esta actualización, la ISO/IEC 27001:2022 promueve un enfoque holístico de la administración de la seguridad de la información: examinando a las personas, las políticas y la tecnología mediante el cumplimiento de requisitos.
También incluye una lista de controles específicos para cada tipo de tecnología informática: redes, equipos de comunicación, equipos de ruteo pasivos y activos, equipos de procesamiento y almacenamiento, telecomunicación, dispositivos móviles y demás componentes ya comunes en cualquier negocio.
El resultado obtenido es que la empresa es capaz de realizar una eficiente evaluación y gestión de riesgos para poseer una ciber resiliencia y excelencia operativa.
En nuestro ejercicio de consultoría para implementar buenas prácticas de seguridad de la información y la norma ISO 27001, el 85% de nuestros clientes nos buscan por dos razones clave:
- Sufrieron un ciberataque exitoso, con todas sus consecuencias.
- Sus clientes les exigen que tengan prácticas de ciberseguridad o estén alineados a la ISO 27001.
Impulsados por un comportamiento preventivo sólo lo hace el 15% restante.
Ojalá en tu empresa no esperes a cualquiera de estos dos motivos y decidas ser precavido ante el cibercrimen. Es una realidad que la ciberseguridad no es solo para empresas grandes, hoy cualquier externo o interno a la empresa puede tener motivos para provocarle algún daño.
Buenas prácticas de Seguridad de la Información y Ciberseguridad basadas en la ISO 27001
Para finalizar te dejo una serie de buenas prácticas indispensables para la ciberseguridad en las empresas y que forman parte de los requerimientos de la norma ISO 27001:
-
Delegación de permisos mínimos:
Asignar solo los permisos estrictamente necesarios para que cada usuario realice su trabajo, aplicando el principio de privilegios mínimos en todas las cuentas de usuario y aplicaciones. -
Segregación y aislamiento de cuentas administrativas:
Segregar las cuentas administrativas que gestionan controladores de dominio, servidores y estaciones de trabajo, y aislar el acceso administrativo a datos personales, evitando que estas cuentas accedan a estaciones de trabajo conectadas a Internet. -
Contraseñas únicas y rotación automática:
Seleccionar contraseñas únicas para todas las cuentas, implementando rotación automática y políticas de uso que eviten contraseñas repetidas. -
Autenticación multifactor:
Implementar autenticación multifactor para todos los usuarios, añadiendo una capa adicional de seguridad en el acceso a sistemas y equipos. -
Uso intensivo y eficaz de logs de seguridad:
Utilizar intensamente los logs de registro para evaluar y monitorear la correcta configuración de las políticas de seguridad, detectando actividades inusuales o configuraciones inseguras. -
Evaluaciones periódicas de actividad en la red:
Realizar evaluaciones periódicas de la actividad en la red y los sistemas, buscando movimientos sospechosos o escalada de privilegios en tiempo real. -
Visibilidad y control de terceros:
Implementar medidas que garanticen la visibilidad y control sobre terceros que acceden a los sistemas o datos de la empresa, para reducir riesgos de seguridad externos. -
Gestión segura de usuarios y activos:
Establecer procesos seguros para agregar nuevos usuarios y activos al sistema, y desactivar de forma inmediata aquellos que ya no son necesarios o están obsoletos. -
Auditorías de seguridad anuales:
Ejecutar un plan anual de auditorías de seguridad, verificando el cumplimiento de las políticas de seguridad y detectando posibles vulnerabilidades. -
Políticas de uso de sistemas y equipos:
Definir políticas claras sobre el uso adecuado de los sistemas y equipos informáticos, para reducir el riesgo de incidentes de seguridad causados por el mal uso. -
Respuesta rápida a incidentes de seguridad:
Implementar procesos para atender de inmediato cualquier incidente de seguridad, permitiendo la contención y mitigación de daños en tiempo real. -
Políticas y prácticas de respaldo:
Establecer políticas claras sobre la creación de respaldos regulares de todos los datos críticos, asegurando su disponibilidad en caso de incidentes. -
Respaldos distribuidos:
Mantener copias de seguridad distribuidas geográficamente para garantizar la disponibilidad de los datos incluso en caso de fallas locales o desastres.
Recuerda:
Lo MÁS INSEGURO es CREER que estás seguro.
No creas que lo estás, ASEGÚRATE de que así es.
Este artículo ha sido redactado parcialmente con la asistencia de inteligencia artificial.