Saltar al contenido principal

ÚLTIMAS NOTICIAS

ARTÍCULOS RECIENTES

Publicado el 10 octubre 2019

Hackeo Ético y su relación con el ciberespacio

La confidencialidad es uno de los pilares fundamentales de la seguridad de la información; a partir de este principio de autorización se debe asignar la correcta ejecución de pruebas de vulnerabilidad y evaluación de amenazas en la organización. Sin embargo, la constante sin resolver es ¿cómo garantizo la confidencialidad de las amenazas y vulnerabilidades detectadas en mi empresa?

La mayoría de los CISO’s[1] en las organizaciones denotaran que la confidencialidad de las vulnerabilidades y amenazas detectadas quedan blindadas bajo un principio de legalidad amparado con un documento ADC[2] (acuerdo de confidencialidad); acompañado principalmente de la “confianza” a los proveedores.

Normativamente tenemos principalmente tres normas del estándar ISO 27000, el cual nos enmarca la necesidad de evaluar las vulnerabilidades y amenazas que acechan, y pueden estar presentes en nuestra organización; estas normas son:

Por la propia normativa de la ISO/IEC 27032, la seguridad del ciberespacio no solo depende de realizar análisis de vulnerabilidades a los sistemas operativos de la infraestructura de la organización (tal y como se realiza en la actualidad en la mayoría de las empresas), sino que, además, consiste en realizar análisis y evaluaciones de seguridad (security assessment[3]) a cada una de las partes que componen el ciberespacio.

Las 5 Entidades Del Ciberespacio
Figura 1. Las cinco entidades que conforman el ciberespacio

En esta figura podemos encontrar que cada una de las entidades del ciberespacio posee vulnerabilidades que, de ser detectadas a tiempo y como corresponde normativamente, se podrán implementar los controles necesarios para evitar que alguna amenaza las explote y materialice un riesgo en la organización.

Las cinco entidades del ciberespacio son:

  • Las Personas o Usuarios
  • El Internet
  • Los Dispositivos Interconectados;
  • El Software (Sistemas Operativos, Aplicaciones o App’s, Firmaware’s, Middleware’s)
  • Las Redes Interconectadas.

Dando por consiguiente el preocuparnos de ahora en adelante por una de las entidades muy importantes del ciberespacio “Las Personas o Usuarios”. Actualmente el recurso más importante en cualquier organización no solo es contar con personal capacitado para el manejo y gestión de la seguridad de la información, debe tener, además, personal capacitado para la gestión de las vulnerabilidades y amenazas, sin perder el foco principal del entorno organizacional como lo son sus objetivos, misión y visión.

Cuando una organización cuenta con personal capacitado para la detección de las vulnerabilidades, podrá mantener internamente la gestión de riesgos y se podrán generar calendarios de detección de vulnerabilidades más amplios y con mayor alcance de tal manera que se puedan blindar todos los entornos de ciberseguridad.

Una persona capacitada en hackeo ético no sólo puede detectar vulnerabilidades de sistema operativo; también puede detectar vulnerabilidades en el personal de la organización, en el loT[4], en el loE , en las redes interconectadas de la organización (tanto en la identificación, detección y corrección de vulnerabilidades) y en todo el software de la organización (sistemas operativos, firmware, app´s y aplicaciones internas y de terceros), con la principal ventaja de que estas detecciones quedarán de manera interna en la organización, sin ser expuestas a terceros que puedan divulgarlas por negligencia o intencionalmente.

Un equipo interno de hackeo ético en una organización garantizará que oportunamente se tendrá una pronta detección de vulnerabilidades y, además, fortalecerá los departamentos o áreas de riesgos, con una auditoría en seguridad de la información y TI de la organización mediante la contribución y fortalecimiento en:

  • Identificación de vulnerabilidades y amenazas
  • Análisis del impacto/consecuencias
  • Monitoreo y revisión de los riesgos
  • Respuesta a Incidentes.

Esto generará un clima de pronta respuesta y detección oportuna generando un ambiente sano de tranquilidad ante las exposiciones que pueda tener la organización contra cualquier amenaza que la empresa pueda estar expuesta.

Instructor Héctor Pérez

Héctor Jesús Pérez Mancilla

Auditor TI & Cibersecurity Sr.CISA, CEH, ECC-CEI, COBIT 5, SCRUM, ITIL, DMC, DMA, ISO 9001 AL, ISO 20000-1 AL e IL, ISO 27001 AL e IL, ISO 27032 GL, ISO 37001 AL

LinkedIn

[1] CISO, Chief Information Security Officer, dentro de una organización es el responsable máximo en planificar, desarrollar, controlar y gestionar las políticas, procedimientos y acciones con el fin de mejorar la seguridad de la información dentro de sus pilares fundamentales de confidencialidad, integridad y disponibilidad.


[2] ADC, también conocido como NDA (Non Disclosure Agreement), acuerdo con el cual se permite compartir información de una forma segura no sólo con los empleados, además, con colaboradores, clientes o proveedores.


[3]  Security assessment, evaluaciones de seguridad con la cual se consigue denotar el estado actual de algún activo de la organización.

[4] IoT, Internet de las cosas, sistema de dispositivos de computación interrelacionados, máquinas mecánicas y digitales, objetos, animales o personas que tienen identificadores únicos y la capacidad de transferir datos a través de una red, sin requerir de interacciones humano.

[5]  IoE, Internet del Todo, la conexión inteligente de personas, procesos, datos y cosas.

Artículos Relacionados

Auditoria y Consultoría

Premios U-GeOBe al gobierno digital, SAGARPA y Grupo CYNTHUS Líderes en Seguridad de la Información.

Leer Más
Seguridad de la información y Ciberseguridad

Tipos de phishing: cómo protegerse de estos ataques

Leer Más
Seguridad de la información y Ciberseguridad

Diplomado en ciberseguridad: fortalece la seguridad de tu organización y tu carrea profesional

La escasez de profesionales en ciberseguridad es uno de los asuntos más preocupantes para nuestro sector y en general para las empresas a nivel mundial, debido a que la demanda sigue aumentando aceleradamente y son pocas las personas que cuentan con conocimientos especializados, siendo aún menor el porcentaje de quienes cuentan con certificaciones.

Leer Más

¿CÓMO PODEMOS APOYARTE?
CUÉNTANOS MÁS

Nos agradará saber más de ti y de tus proyectos. Completa el siguiente formulario y muy pronto nos pondremos en contacto contigo.

0 artículos Carrito de compras
    0
    Tu carrito Cerrar
    Your cart is emptyRegresar a compra