ISO 27001 Y OTRAS BUENAS PRÁCTICAS
Las normas y regulaciones han sido creadas para que las organizaciones cuenten con un marco de referencia, para moverse en un campo seguro. No en vano existen las certificaciones de calidad y, en este sentido, los controles que debemos implementar dentro de la empresa para poder obtener la certificación de seguridad de la información, apuntan justamente a velar por la integridad de los datos que cada una maneja.
La presencia de vulnerabilidades y amenazas en la red, genera un riesgo asociado a la afectación total o parcial de la información. El riesgo puede definirse como el daño potencial causado por una amenaza que puede explotar las vulnerabilidades de un activo.
CONOCE LAS REGLAS, CONOCE LAS HERRAMIENTAS
En el marco de nuestro Ciclo de Webinars, el pasado 8 de setiembre se llevó a cabo un Webinar de Gestión de Vulnerabilidades y Alineamiento a las Normas.
Siempre es positivo confrontar las normas para saber en qué nivel de seguridad nos encontramos y cómo nos aportan las distintas normativas y leyes relacionadas a la seguridad de la información. Nuestro estado de madurez se mide contrastando nuestra situación actual respecto de las mejores prácticas de la industria y a través de esa guía poder avanzar hacia la situación deseada.
Normativas como: ISO 27001, NIST, Controles CIS, HIPAA y otras, nos visibilizan si hemos sido eficientes en la implementación y seguimiento de los controles necesarios para elevar nuestros niveles de seguridad y de esta manera lograr un estado más robusto.
Una arista muy importante que vimos durante el webinar es que la Evaluación Continua de Vulnerabilidades se hace un proceso absolutamente necesario para mantener un nivel de seguridad adecuado.
¿QUÉ DICE LA ISO 27001?
En el caso de la ISO 27001 en el Capítulo 12.6, expresa claramente “Gestión de la vulnerabilidad técnica. Riesgos asociados”:
- Evite quedarse tan atrás en la rutina de actualización de versiones que sus sistemas queden fuera de soporte por el fabricante.
- Pruebe y aplique los parches críticos, o tome otras medidas de protección, tan rápida y extensamente como sea posible, para vulnerabilidades de seguridad que afecten a sus sistemas y que estén siendo explotadas fuera activamente.
POTENCIALES AMENAZAS
Una falta de control del software en producción permite la materialización de potenciales amenazas, entre otras posibles, como:
- § Pérdida de servicios esenciales (telecomunicaciones, sistemas de información).
- § Compromiso de información (intercepción, espionaje en remoto, divulgación, manipulación de hardware, manipulación de software)
- § Fallos técnicos (falla o mal funcionamiento del equipo, saturación del sistema de información, mal funcionamiento del software, exposición de la mantenibilidad del sistema de información)
- § Acciones no autorizadas (uso no autorizado de equipos, copia fraudulenta del software, uso de software falsificado o copiado, corrupción de datos, comportamientos no autorizados, procesamiento ilegal de datos, entre otros)
Control de riesgo 12.6.1 Gestión de las vulnerabilidades técnicas: Se debería obtener información sobre las vulnerabilidades técnicas de los sistemas de información de manera oportuna para evaluar el grado de exposición de la organización y tomar las medidas necesarias para abordar los riesgos asociados.
Dentro de los más relevantes beneficios que cuenta la herramienta Hacknoid se destaca su alineamiento normativo, referido a que todas las buenas prácticas actuales (ISO 27001, Controles CIS, NCG 454, entre otras) recomiendan dentro de sus controles el contar con una herramienta diagnóstica que evite la convivencia con vulnerabilidades.
Hacknoid se basa en la experiencia, en las normas y mejores prácticas más reconocidas del mundo de la ciberseguridad, dentro de las cuales cada una de ellas contiene dominios o puntos específicos que tratan sobre la necesidad imperativa de contar con controles.
Agendá una demo con nosotros.
连接