La confidencialidad es uno de los pilares fundamentales de la seguridad de la información; a partir de este principio de autorización se debe asignar la correcta ejecución de pruebas de vulnerabilidad y evaluación de amenazas en la organización. Sin embargo, la constante sin resolver es ¿cómo garantizo la confidencialidad de las amenazas y vulnerabilidades detectadas en mi empresa?
La mayoría de los CISO’s[1] en las organizaciones denotaran que la confidencialidad de las vulnerabilidades y amenazas detectadas quedan blindadas bajo un principio de legalidad amparado con un documento ADC[2] (acuerdo de confidencialidad); acompañado principalmente de la “confianza” a los proveedores.
Normativamente tenemos principalmente tres normas del estándar ISO 27000, el cual nos enmarca la necesidad de evaluar las vulnerabilidades y amenazas que acechan, y pueden estar presentes en nuestra organización; estas normas son:
Por la propia normativa de la ISO/IEC 27032, la seguridad del ciberespacio no solo depende de realizar análisis de vulnerabilidades a los sistemas operativos de la infraestructura de la organización (tal y como se realiza en la actualidad en la mayoría de las empresas), sino que, además, consiste en realizar análisis y evaluaciones de seguridad (security assessment[3]) a cada una de las partes que componen el ciberespacio.
En esta figura podemos encontrar que cada una de las entidades del ciberespacio posee vulnerabilidades que, de ser detectadas a tiempo y como corresponde normativamente, se podrán implementar los controles necesarios para evitar que alguna amenaza las explote y materialice un riesgo en la organización.
Las cinco entidades del ciberespacio son:
- Las Personas o Usuarios
- El Internet
- Los Dispositivos Interconectados;
- El Software (Sistemas Operativos, Aplicaciones o App’s, Firmaware’s, Middleware’s)
- Las Redes Interconectadas.
Dando por consiguiente el preocuparnos de ahora en adelante por una de las entidades muy importantes del ciberespacio “Las Personas o Usuarios”. Actualmente el recurso más importante en cualquier organización no solo es contar con personal capacitado para el manejo y gestión de la seguridad de la información, debe tener, además, personal capacitado para la gestión de las vulnerabilidades y amenazas, sin perder el foco principal del entorno organizacional como lo son sus objetivos, misión y visión.
Cuando una organización cuenta con personal capacitado para la detección de las vulnerabilidades, podrá mantener internamente la gestión de riesgos y se podrán generar calendarios de detección de vulnerabilidades más amplios y con mayor alcance de tal manera que se puedan blindar todos los entornos de ciberseguridad.
Una persona capacitada en hackeo ético no sólo puede detectar vulnerabilidades de sistema operativo; también puede detectar vulnerabilidades en el personal de la organización, en el loT[4], en el loE , en las redes interconectadas de la organización (tanto en la identificación, detección y corrección de vulnerabilidades) y en todo el software de la organización (sistemas operativos, firmware, app´s y aplicaciones internas y de terceros), con la principal ventaja de que estas detecciones quedarán de manera interna en la organización, sin ser expuestas a terceros que puedan divulgarlas por negligencia o intencionalmente.
Un equipo interno de hackeo ético en una organización garantizará que oportunamente se tendrá una pronta detección de vulnerabilidades y, además, fortalecerá los departamentos o áreas de riesgos, con una auditoría en seguridad de la información y TI de la organización mediante la contribución y fortalecimiento en:
- Identificación de vulnerabilidades y amenazas
- Análisis del impacto/consecuencias
- Monitoreo y revisión de los riesgos
- Respuesta a Incidentes.
Esto generará un clima de pronta respuesta y detección oportuna generando un ambiente sano de tranquilidad ante las exposiciones que pueda tener la organización contra cualquier amenaza que la empresa pueda estar expuesta.
Héctor Jesús Pérez Mancilla
Auditor TI & Cibersecurity Sr.CISA, CEH, ECC-CEI, COBIT 5, SCRUM, ITIL, DMC, DMA, ISO 9001 AL, ISO 20000-1 AL e IL, ISO 27001 AL e IL, ISO 27032 GL, ISO 37001 AL
[1] CISO, Chief Information Security Officer, dentro de una organización es el responsable máximo en planificar, desarrollar, controlar y gestionar las políticas, procedimientos y acciones con el fin de mejorar la seguridad de la información dentro de sus pilares fundamentales de confidencialidad, integridad y disponibilidad. [2] ADC, también conocido como NDA (Non Disclosure Agreement), acuerdo con el cual se permite compartir información de una forma segura no sólo con los empleados, además, con colaboradores, clientes o proveedores. [3] Security assessment, evaluaciones de seguridad con la cual se consigue denotar el estado actual de algún activo de la organización. [4] IoT, Internet de las cosas, sistema de dispositivos de computación interrelacionados, máquinas mecánicas y digitales, objetos, animales o personas que tienen identificadores únicos y la capacidad de transferir datos a través de una red, sin requerir de interacciones humano. [5] IoE, Internet del Todo, la conexión inteligente de personas, procesos, datos y cosas. |