Alto hackers, no pueden atacarnos... estamos certificados ISO 27001

Hola, en este post vamos a tratar el tema de la certificación ISO 27001 versus la vida real. 

Tener una certificación ISO 27001 es una garantía de que la organización está haciendo las cosas bien para proteger la información del proceso o servicio que está certificado. La información es el activo más importante, por ello, esta certificación se centra en establecer políticas orientadas a protegerla.

Hay una parte en donde este asunto se divide en dos caminos, la organización que busca desesperadamente estar certificada para tener un status o para atraer nuevos negocios, también está la organización que realmente se preocupa por la protección de la información independientemente de la certificación. 

Entre las organizaciones que solo quieren la certificación, están las que solo desean cumplir con lo estrictamente necesario, buscando las zonas grises en la norma para medio cumplirla, porque es lo que la norma pide para certificarse, sin tener en cuenta lo que realmente pide la norma para proteger la información.

Nada más peligroso para la organización, el tener una falsa sensación de seguridad, pensando que por estar certificada en la norma se va a estar libres de riesgos, es como construir un castillo sobre cimientos de arena. 

La ISO 27001 es una norma de aplicación de requisitos que contienen las mejores prácticas de seguridad de la información y el establecimiento de políticas y controles para el mejoramiento de su protección, es por decirlo de otra forma, lo mínimo que se debe cumplir para proteger la información. Puede irse un poco más allá, estableciendo políticas y controles adicionales que no estén contemplados dentro de la norma y que ayuden a proteger la información.

La seguridad debe ser un culto, un modo de vida, una inmersión dentro de la organización a todo nivel. Todos los empleados y contratistas debe respirar "seguridad de la información", deben vivirla dentro y fuera de la empresa.  

Internet es un terreno hostil, la vida diaria también los es, día a día, hackers maliciosos buscan como hacerse con la información de la empresa, tanto a través de las redes, como mediante técnicas de ingeniera social. 

Por ello, se hace necesario la capacitación constante del personal técnico para que este al día en las últimas contramedidas a los ataques de los ciberdelincuentes. De igual forma se hace necesaria la concientización a nuestros empleados y contratistas para que sepan detectar ataques de ingeniería social y sepan como tratarlos.

Mi invitación, es a tener en cuenta estos tres consejos para entrelazar las certificaciones, la organización y la vida real:

  • Vivir la seguridad de la información dentro y fuera de las organizaciones.
  • Propender porque las certificaciones que se logren sean solo el reflejo del desarrollo de las mejores políticas y controles implementados para la protección de la información.
  • Concientizar y capacitar continuamente a empleados y contratistas. 

Les deseo unas ciberseguras y  felices fiestas.


Conoce los cinco factores en los que la mayoría de las empresas fallan cuando se les hace una auditoría informática

 En este post vamos a revisar los cinco factores más comunes en los que fallan la mayoría de las empresas cuando se les realiza una auditoría, ya sea de cumplimiento o de seguimiento. 

A continuación los enumeramos sin ningún orden en particular:

Capacitación

Los tomadores de decisiones deben entender que no capacitar a sus empleados y terceros, no significa ahorro de recursos, esto significa exponer a la organización a situaciones que se podrían haber evitado si los empleados hubiesen estado capacitados.  

Mantenimiento de software

Ejecutar tareas de mantenimiento de software le garantiza el cierre de brechas de seguridad antes de que puedan ser aprovechadas por algún perpetrador. Instale actualizaciones frecuentemente, remueva software no necesario o desactualizado, asigne solo los permisos necesarios para su operación. Recuerde que debe tener un plan de mantenimiento de software y deberá actualizarlo frecuentemente. 

Plan de continuidad

La organización deberá contar con un plan de continuidad y este deberá ser probado y actualizado por lo menos dos veces al año para evaluar su efectividad. Estas evaluaciones deberán estar documentadas. En la mayoría de los casos existe en plan de continuidad, pero se falla en ponerlo en operación para evaluarlo.

Gestión de riesgos de terceros

Gestionar los riegos propios es una tarea que toda organización hace para identificar sus puntos débiles. Gestionar los riesgos de terceros es una tarea que la mayoría ignora, como por ejemplo, dar únicamente los accesos necesarios al servicio de soporte técnico que se ha contratado en outsourcing, dar acceso físico solo a determinado personal de limpieza a las oficinas del personal VIP. 

Documentación

La documentación es uno de los principales pilares de toda organización, garantiza la continuidad del negocio, la no dependencia de personal, la estandarización de los procesos, la mejora de procedimientos, rápida capacitación de empleados entre otras cosas. Este es un punto flaco en la mayoría de organizaciones. Ver Conoce la importancia de documentar las actividades de la organización y porque es recomendable hacerlo.

Ponle atención a estos cinco aspectos para evitar fallar los proceso de auditoría. 


Conoce que es un CSIRT y que servicios tiene para manejar incidentes de seguridad informática

A diario nos enfrentamos en las organizaciones con la materialización de incidentes de seguridad, para manejarlos existen varias formas, las cuales van desde el manejo del caso por parte del personal de TI hasta la creación de un equipo de respuesta a incidentes de seguridad. 

Aquí es donde entra en escena el término CSIRT, Computer Security Incident Response Team, lo que en español significa Equipo de Respuesta a Incidentes de Seguridad informática.

Por definición, un CSIRT es un equipo de expertos en ciberseguridad cuya principal labor es dar respuesta de forma organizada a los incidentes de seguridad informática. 

En Colombia existen varios equipos CSIRT dentro de los cuales, dos de los más destacados son CSIRT Gobierno liderado por MinTIC y el CSIRT del sector financiero liderado por Asobancaria.

Cada organización, dependiendo de su tamaño, puede llegar a establecer su propio CSIRT interno el cual puede estar orientado a reaccionar a los incidentes propios y a los incidentes de sus entidades adscritas o empresas dependientes.  

Dentro de los servicios que puede llegar a ofrecer un CSIRT están los siguientes (se resaltan los servicios básicos que debe ofrecer un CSIRT): 

Servicios reactivos 

  • Alertas y advertencias (básico)
  • Gestión de incidentes (básico)
  • Análisis de incidentes (básico)
  • Apoyo a la respuesta a incidentes (básico)
  • Coordinación de la respuesta a incidentes
  • Respuesta a incidentes en sitio
  • Análisis de vulnerabilidades
  • Tratamiento de vulnerabilidades

Servicios proactivos 

  • Comunicados
  • Observatorio de tecnología
  • Evaluaciones o auditorías de la seguridad
  • Configuración y mantenimiento de la seguridad
  • Desarrollo de herramientas de seguridad
  • Servicios de detección de intrusos
  • Difusión de información relacionada con la seguridad

Gestión de la calidad de la seguridad

  • Análisis de riesgos
  • Continuidad del negocio y recuperación tras un desastre
  • Consultoría de seguridad
  • Sensibilización
  • Educación / Formación
  • Evaluación o certificación de productos

Si desea tener mayor información acerca de como crear un CSIRT, por favor consulte el siguiente link.


Cinco cosas que debes tener en cuenta cuando se habla de seguridad en aplicaciones WEB

 En este post vamos a revisar cinco aspectos que debes tener en cuenta cuando se habla de ciberseguridad en aplicaciones web, teniendo en cuenta el modelo base: aplicación, servidor web y base de datos. 

Estos son los dos tipos de pruebas más comunes que se utilizan para evaluar tanto la seguridad como la calidad del software desarrollado: 

Análisis de código dinámico: se le conoce como seguridad DAST (Dynamic Application Security Testing) y es el tipo de pruebas más común que existe. Consiste en buscar vulnerabilides en el funcionamiento del aplicativo.  Estas pruebas pueden llegar a incluir en componente de pentesting.

Análisis de código estático: más conocido como SAST (Static Application Security Testing), y se encarga de buscar asuntos relacionados con la calidad y seguridad en el código desarrollado.

A continuación vamos a ver tres tipos de pruebas adicionales que también se deben de tener en cuenta cuando de seguridad se está hablando:

Diseño del aplicativo: Aquí si tiene en cuenta aspectos como: ciclo de vida del aplicativo, segregación de ambientes (mínimo: desarrollo, pruebas y producción), cifrado de datos en operación, cifrado de información en bases de datos, seguridad en usuarios/sesiones/tokens/cookies/db, seguridad en datos para ambiente de pruebas y backup.

Operación: Desempeño del aplicativo y de su plataforma mediante pruebas de carga, las cuales están diseñadas para medir el comportamiento con una carga específica. Las pruebas de estrés buscan encontrar el punto de ruptura del aplicativo, es decir, cuál es la carga máxima que puede llegar a soportar. 

Plataforma TI: Finalmente, está la seguridad de la plataforma en donde se encuentra alojado el aplicativo, una vulnerabilidad en el sistema operativo, el servidor web o la base de datos, puede llegar a poner en riesgo la seguridad del aplicativo de forma indirecta. 

Debes tener en cuenta que las vulnerabilidades en la plataforma de TI afectan al aplicativo y son difíciles de detectar desde la capa del aplicativo, por lo tanto, lo primero que se recomienda es asegurar esta capa y asignar los permisos adecuados a las personas que los requieran. 

Estos son los cinco aspectos que debes tener en cuenta cuando se está hablando de ciberseguridad en aplicaciones web. Un consejo adicional: almacena en otro dispositivo, la trazabilidad de: la aplicación, el servidor web, la base de datos y el sistema operativo, estos datos son importantes para forense, verificaciones de errores, desempeño entro otros.