¿Seguridad de la Información o Ciberseguridad?
En muchos lugares me he visto envuelto en esta discusión, ya sea en cursos, charlas, eventos o en foros,
“la Ciberseguridad lo es todo”.
“la Seguridad de la Información lo es todo”.
A mi parecer, no es ni una ni la otra, al final, todo se enfoca a proteger la información, pero como mi formación es desde un enfoque de Normas y Mejores Prácticas, me gusta más el concepto de Seguridad de la Información, encuentro que engloba mucho más todos los conceptos involucrados en temas de seguridad.
Ahora, si nos adentramos un poco más en las Normas, técnicas y marcos de referencia existentes, los que están pegando fuerte en el mercado, es la Norma ISO 27001:2013 (Con una actualización el 2019) y el Ethical Hacking.
Si eres empresa y quieres asegurar tu información y saber cuáles son tus vulnerabilidades, esta es la primera pregunta que uno se hace, ¿qué hago?, ¿qué ejecuto en mi empresa para poder saber mis vulnerabilidades?.
Pues bien, la mayoría de las veces lo primero que se viene a la mente es realizar un Ethical Hacking. Perfecto, contratamos a la empresa o al consultor, nos ejecuta las actividades para encontrar las vulnerabilidades y en el informe te dirá que las brechas son por no tener los sistemas o servidores actualizados, y que hay muchas cuentas con la misma contraseña o la del fabricante. Hace mucho tiempo en un curso de Lean Management escuche la frase, “No faenarás una ballena con un bisturí”. Para que hacer un Ethical Hacking si sabes que no tienes los servidores actualizados.
Mi recomendación siempre es partir por la Norma ISO 27001 y luego realizar un Ethical Hacking. Pero, ¿a que se refiere o de que se tratan?.
Norma ISO 27001
Esta es una Norma internacional para establecer un sistema de Gestión de la Seguridad de la Información. Cuando hablamos de un sistema de gestión, es estructurar la organización de manera tal, que la seguridad permanezca siempre presente a través de la utilización del Ciclo de Deming (Ciclo Plan – Do – Check – Act), un grupo de políticas, procesos, personas y procedimientos que se estarán ejecutando para mantener a la organización segura de ataques internos o externos, ejecutados por el ser humano o por los embates del clima.
En una implementación de la Norma ISO 27001, se trabaja primero con la primera fase o actividad del Ciclo de Deming, Plan, donde se debe realizar varias cosas, por ejemplo, un Análisis de Brechas para saber la situación actual de la organización, un Análisis de Riesgos, definir el Alcance, la Declaración de aplicabilidad y creación de la Política de Seguridad. Estas son algunas de las actividades que se realizan en la Fase de Plan, una vez realizado esto, se crea el plan de implementación que ya es parte del Do, donde se diseña e implementan todos los controles que se requieren para asegurar los activos de información definidos en el alcance.
Para tener una idea, los dominios son la agrupación o categorización de los objetivos y controles, estos se encuentran en el anexo A de la Norma.
Esta Norma trabaja en base a 14 Dominios, 35 objetivos de control y 114 controles.
Los Dominios son los siguientes:
- Políticas de seguridad de la información
- Organización de la seguridad de la información
- Seguridad ligada a los recursos humanos
- Administración de activos
- Control de acceso
- Criptografía
- Seguridad física y del ambiente
- Seguridad de las operaciones
- Seguridad de las comunicaciones
- Adquisición, desarrollo y mantenimiento del sistema
- Relaciones con el proveedor
- Gestión de incidentes de seguridad de la información
- Aspectos de seguridad de la información en la gestión de la continuidad del negocio
- Cumplimiento
Muchos de estos dominios son auto explicativos, por ejemplo, la Norma nos pide tener Políticas de Seguridad de la Información, esta debe ser distribuida y entendida por toda la organización, como también mantenida de forma periódica.
Otro ejemplo sería el Dominio de Organización de la Seguridad de la Información, donde nos pide tener identificado al grupo de seguridad de la Información quienes se van a preocupar que el sistema se mantenga en funcionamiento.
En Seguridad ligada a los Recursos Humanos, corresponde a cómo se contrata, capacita y desvincula una persona de la organización.
En control de acceso, corresponde a cómo el Área de Informática entrega los accesos a los diferentes sistemas y aplicaciones de manera segura, con los privilegios correctos, lo típico que veo en las empresas es que cuando llega una persona nueva a la organización, les copian los privilegios de otro usuario.
Los Dominios de Seguridad en las Operaciones y Comunicaciones se enfocan a estandarizar la forma en que se realizan las actividades rutinarias para evitar errores.
Y así, cada uno de los Dominios trabaja diferentes aspectos de seguridad dentro de la organización.
Una vez implementados los controles, se debe inicial la actividad del Check, donde se realizan auditorias interna, autoevaluaciones y auditorías externas.
Y para finalizar, luego de la auditoría de certificación se activa el Act, donde se recoge el Informe de Auditoría interna o externa y se aplica la mejora continua, para corregir las desviaciones encontradas.
Cuando se piensa en la implementación de una Norma, tienes varias opciones, pensar que realmente quieres asegurar la información dentro de la organización, también existe la posibilidad que solo quieran el certificado o que se implemente la Norma, pero sin ir a la certificación.
Cualquiera de las opciones es válida, pero la implementación y ejecución es diferente, se conversa previamente cuales son los objetivos de la organización y se realiza el proyecto.
Ethical Hacking
Por otro lado, el Ethical Hacking se enfoca en encontrar vulnerabilidades en aplicaciones, sistemas web, servidores, redes, etc., tiene un mayor enfoque en el Hardware y Software, utilizando un conjunto de herramientas para encontrar vulnerabilidades.
El proceso para realizar esta actividad es consensuado entre el proveedor y el cliente, y se define específicamente los sistemas que serán analizados y las herramientas o técnicas a utilizar. Se genera un ambiente controlado para realizar este tipo de actividad, ya que el fin, es encontrar la vulnerabilidad y no “botar un sitio” o sistema, ya que no se pretende hacer daño.
Las herramientas y técnicas a utilizar dependen de cada consultor o empresa, pero la mayoría de las veces se utilizan las herramientas de Kali Linux, más otras tantas dependiendo el abanico del análisis que se quieren realizar.
Espero con esto resolver muchas de las dudas que puedan tener y si aún siguen con otras, pueden comunicarse para tener una reunión así puedan asegurar de mejor forma la información en su organización.