ISO 27001

Uno de los estándares más utilizados/solicitados de ciberseguridad a nivel Nacional e internacional es el de la Norma ISO27001 ya que este tiene como objetivo el desarrollo de un SGSI – Sistema de Gestión de Seguridad de la Información.

Esto mediante la implementación de manuales, procesos de validación constante y un continuo proceso de auto análisis para una mejora continua, la correcta implementación de esta metodología será de gran ayuda ya que aquí se definirá como tal la estructura encargada de reaccionar ante los ciberataques y de previamente definir cuáles son los procesos o las maneras de actuar ante diferentes tipos de situaciones incluidos los ciberataques.

Uno de los factores clave de esta metodología es el enfoque que le da al valor de la información en el que estipula que un SGSI de be cumplir con los siguientes 3 aspectos:

• Confidencialidad: La información se debe de clasificar, para el uso exclusivo de usuarios autorizados, quedando fuera del alcance de cualquier usuario u organización no autorizados donde tecnologías de encriptación nos ayudan a controlar el acceso (Cigent Data Defense), también el uso de otras metodologías como el Zero Trust nos pueden ayudar a robustecer los controles de acceso y seguridad perimetral de ser necesario.

• Integridad: Se deben de tomar medidas para que la información siempre este integra y nunca sea alterada por terceros poniendo así peligro en proceso financieros, líneas de producción o, gestión de usuarios internos (trabajadores) o externos (Clientes). Por lo que es importante tener controles para la revisión y manipulación de registros para evitar alteraciones no aprobadas. Este es uno de los puntos mas cruciales cuando se enfrenta un ataque de Ransomware ya que los atacantes en algunos casos no conformes con secuestrar la información llegan a alterar registros para hacer desvío de recursos fuera de la empresa.

• Disponibilidad: Cuando se presenta un ataque es de vital importancia que la información siga estando disponible para que la operatividad no se vea interrumpida provocando pérdidas financieras y que llegue a afectar la percepción de la marca en el mercado. Por lo que para este punto se deben de considerar tener miedos de recuperación acorde a las necesidades, en el caso de una Micro o pequeña empresa quizás baste solo con hacer un respaldo constante de la información en un medio externo como un Disco Duro portable, en los casos de una empresa mediana o grande quizás sería bueno considerar el uso de una herramienta de DLP como Veeam para automatizar la gestión e ingesta de diferentes fuentes de información para esta a su vez ser almacenada en varios espacios de almacenamiento independientes uno del otro.

Una de las razones por la cual esta metodología es tan implementada es por su enfoque a la mejora continua para constantemente estar al pendiente de sus áreas de mejora con la finalidad de estar lo mejor preparados ante el hecho que tarde o temprano se presentara un ciberataque, para ello es que se hace uso del ciclo PHVA.


¿Qué es el ciclo PHVA?

PHVA es el acrónimo de Planear, Hacer, Verificar y Actuar, las cuatro etapas que se deben de repetir constantemente para siempre estar al día en los procesos de seguridad, esta misma metodología y etapas están alineadas al desarrollo de un SGSI (Sistema de Gestión de la Seguridad de la Información) que es uno de los esquemas más importantes para una organización para enfrentar las amenazas.

• Planear: En esta primera fase del ciclo está enfocada a desarrollar la estrategia a seguir para el control y gestión de la información, la calidad de la misma y las estrategias de defensa ante un ciberataque

  • Alcances del SGSI: En esta etapa se definen los alcances que tendrá el Sistema de gestión en la organización.
  • Políticas del SGSI: Posteriormente en esta etapa se definen las políticas de control para diferentes procesos como, la gestión de la información, almacenamiento de la información, vías de comunicación, políticas de uso de los equipos o la red, etc.

• Hacer: Durante la fase de “hacer” se tomaran acciones preventivas para neutralizaren la medida delo posible los incidentes o la probabilidad de que estos sucedan, al realizar lo que normalmente se conoce como Pentest, con la finalidad de evaluar riesgos a nivel informático, pero también es importante considerar los riesgos inherentes a un ciber ataque como fallos por desgaste de los equipos o daño de equipos por causas naturales como terremotos, incendios e inundaciones, por lo que en esta fase también se realizan inventarios de los recursos físicos (Hardware) y digitales (información y software).

  • Evaluación de riesgos: En este apartado se analizarán todos los riesgos que puedan llegar a afectar la operatividad de la organización, al igual que estos se clasificaran en base a factores como probabilidades de que sucedan y el impacto que provocarían de suceder.
  • Declaración de aplicabilidad: Etapa de validación donde se establecen los riesgos de información y los controles de seguridad aplicables.

• Verificar: Esta fase está enfocada a la validación de los resultados obtenidos de la fase anterior para definir cuál es el tratamiento que se les dará acorde a la estrategia de planeación que se tiene.

  • Tratamiento de riesgos: En esta etapa se define por escrito los planes a seguir para tratar los riesgos identificados en etapas previas.
  • Objetivos y planes: En esta fase se lleva a cabo la verificación de la información documentada de los objetivos de la protección de la información.
  • Competencias: Etapa donde se validan las funciones y responsabilidades del personal o de ciertos departamentos ante cierto tipo de situaciones.
  • Planificación y control: Mantener la documentación actualizada para obtener un nivel de confianza en los procesos que se han aplicado.

• Actuar: Durante esta “ultima” fase se tomarán medidas acordes a las decisiones definidas por el comité revisor del SGSI, para eliminar todos los riesgos identificados.

  • Auditoria internas y revisión por la dirección: Medidas cautelares para validar el estado del sistema, de utilidad para identificar nuevos riesgos (Vulnerabilidades) de una manera documentada para su seguimiento continuo de manera interna.
  • No conformidades y acciones correctivas: En esta etapa se tomará medidas sobre requisitos previamente definidos para el SGSI que no se están cumpliendo o que se cumplen de una manera parcial.

La realidad del ciclo PHVA es que es un proceso continuo por lo que una vez que se llega a la última “fase” se regresa al inicio para iniciar nuevamente este proceso buscando como objetivo la mejora continua para así obtener el objetivo para el sistema el cual es garantizar la Confidencialidad, Integridad y Disponibilidad de la información en todo momento.


Buenas prácticas de la Norma ISO27001:

• Definir los alcances que tendrá el sistema con cuidado.

• Formar el comité de revisión con elementos de varios departamentos de la organización para así conocer las necesidades de los diferentes elementos de la organización.

• Redactar manuales muy puntuales que definan las responsabilidades de la organización de la empresa hacia su personal a nivel del uso de las herramientas tecnológicas, para de igual manera el usuario este muy consciente de las responsabilidades de el hacia la compañía y las posibles repercusiones que podrían provocar el mal uso de los recursos o información.

• Analizar meticulosamente los escenarios de riesgos posibles, ya que cuantos más de estos se revisen permitirán tener un mejor sistema de respuesta ante incidentes.

• Utilizar más de una herramienta de análisis de vulnerabilidades para no estar limitado en la visión que se tiene de las brechas de seguridad.

• Llevar documentación de todos los procesos y revisiones para en caso de un incidente tener un record de cuando se identificó la vulnerabilidad y de esta manera buscar mejorar los tiempos de respuesta y acción.