Digital Advising

Gestión de la Seguridad de la Información con ISO 27.001

12/04/18 8:30 3 min. lectura Harald Messemer Digital Advising, seguridad, seguridad de la información, ISO 27001, consultoría

seguridad de la información

Un informe reciente del NASDAQ comenta que el 91% de los miembros de la dirección de empresas relevantes para el suministro básico de la población no pueden interpretar un informe de seguridad cibernética.

Las amenazas de la seguridad de sus activos son cada vez más sofisticadas, las estrategias de los atacantes más innovadoras y, en consecuencia, más difíciles de identificar, de analizar y de subsanar.

 

¿Cómo diseñar un equipo para prevenir los ataques?

Contar con un equipo certificado en ISO 27.001 compuesto por juristas, informáticos y arquitectos de sistemas que conozcan los escenarios de las amenazas del sector tanto como el marco legal es fundamental. Se debe desarrollar una estrategia y un modelo de trabajo para proteger los activos de información de la empresa de potenciales ataques y implantar estrategias tanto de contenido como organizativas.

Un equipo de estas características se puede constituir de tres modos diferentes: contando con el 100% de personal de la propia empresa, subcontratando los servicios en su totalidad a una empresa externa especializada o bien creando un equipo mixto.

En cualquier caso, es importante disponer de una demostración certificable de la SGSI (Sistema de Gestión de la Seguridad de la Información) basada en la ISO 27.001 que se va a implantar y de la calidad de sus medidas de protección.

Es importante que los auditores estén presentes hasta la certificación en la ISO 27.001 y faciliten informes periódicos de seguridad, incluyendo la interpretación y el significado de los resultados de medición para la empresa.

 

La importancia de la seguridad de la información

seguridad de la información_1El entorno de trabajo de un gestor o directivo se hace diariamente más complejo. Sus activos de información son, cada vez, más vulnerables, dado la imparable proliferación de la Internet de las Cosas (IoT - Internet of Things) y el avance palpable de la digitalización.

La cantidad de ataques exitosos con las incidencias de seguridad asociadas, demuestran que se necesita una gestión de la seguridad profesional y eficaz basado en la ISO 27.001 y liderada por la dirección de las empresas. 

Valor añadido en la implementación de un SGSI basado en la ISO 27.001

  • Ganar en confianza y seguridad con un sistema certificable.
  • Habilitar nuevos segmentos de clientes a los que no se puede acceder sin demostrar la existencia eficaz de un SGSI.
  • Optimizar procesos como efecto colateral de los análisis de seguridad necesarios.
  • Disponer de capacidad de reacción ágil en caso de un ataque a los procesos corporativos digitalizados y evitar la pérdida de la sensorización, decisiones equivocadas en sistemas automáticos como p.e. soluciones cognitivas o del Internet de las Cosas.
  • Proteger la reputación debido a la vulneración de la integridad de la información como por ejemplo: datos sensoriales, datos de pacientes falsificados, etcétera.

 

Incidencias de seguridad públicamente conocidas

Según un estudio del Instituto Ponemon los costes de la recuperación de un problema de seguridad de la información son elevados y para empresas medianas y grandes pueden alcanzar varios millones de euros.

  • Ataque “Wanna Cry”, Mayo 2017
  • Trojano de extorsión “Wanna Cry” se expande mundialmente y deshabilita miles de ordenadores Windows.
  • “Wanna Cry“ es un denominado virus Ransomware qué aprovecha un error en Windows ocultado y utilizado por la NSA americana. Los ordenadores afectados no tenían instalada la actualización facilitada por Microsoft semanas antes del ataque.
  • El virus bloquea los ordenadores y los afectados reciben un mensaje donde los extorsionistas ofrecen desbloquear el ordenador a cambio de dinero.
  • La lista de los afectados es larga: Numerosos hospitales en el Reino Unido, Deutsche Bahn, Gobierno Ruso, Telefónica, Etcétera.
  • FACC AG en Austria despide a su CFO Minfen Gu y el CEO Walter Stephan, Febrero 2016
  • Un fraude cibernético le costó a FACC unos 50 millones de Euros, que corresponde al 12% del beneficio del tercer trimestre.
  • El valor de la acción subió en bolsa después de los despidos.
  • T-Mobile/Experian, Octubrer 2015
  • Los datos de 15 millones de clientes de T-Mobile en Alemania habían sido comprometidos en el momento que un atacante consiguió acceso a esta información almacenada en servidores de la empresa Experian.
  • Aunque el orígen de la vulnerabilidad había sido la poca diligencia de Experian, los afectados demandaron a T-Mobile por considerar esta empresa como responsable principal de no haber protegido suficientemente su información.
  • La mayoría de los clientes exige un nivel alto de protección en caso de contratar un servicio profesional como el servicio ofrecido por T-Mobile.
  • Sony, Abril 2011.
  • Atacantes aprovechan una vulnerabilidad en el Playstation Network.
  • Robo de 77 millones de registros de clientes.
  • Playstation Network parado 23 días.
  • 170 millones US$ de costes directos (aprox. 1% del valor bursátil en ese momento).

 

seguridad de la información_2

 

Numerosas empresas tienen que demostrar a fecha de hoy que han puesto en marcha medidas eficaces para asegurar la seguridad de la información. En el caso de seguir la normativas ISO 27000, Ley de Protección de Infraestructuras Críticas (Ley PIC 8/2011) complementada por el Real Decreto 704/2011. (en España), BSI Grundschutz (en Alemania) la demostración de las medidas y protecciones disponibles es más sencillo.

  

  • HBGary Federal CEO Aaron Barr dimite, Marzo 2011
  • HBGary Federal, ahora CounterTack después de la absorción en el 2015, ha ganado notoriedad por la publicación de la comunicación con el grupo de atacantes Anonymous en el que se comprometieron y se publicaron miles de correos privados.
  • RSA / EMC, Marzo 2011
  • Un empleado abre un correo Phishing y provoca la instalación de un troyano en su ordenador.
  • El troyano aprovecha una vulnerabilidad en la memoria flash donde se almacenan los SecureID-Token y estos son robados.
  • Posteriormente los atacantes utilizan los SecureID-Token robados y provocan un daño a RSA cuantificado con 63 Millionen US$.

 

 

Posts relacionados

Comenta este artículo...