¿Cómo se debe aplicar la norma ISO 27001?

/0 Comments/in /by

El ambiente dinámico que presentan los riesgos de seguridad nos ofrecen cambios continuos, donde las amenazas son constantes, las vulnerabilidades son descubiertas y los incidentes de seguridad se presentan con repercusiones importantes, ya sea para las organizaciones o para las personas.

ISO-27001

Lo más importante es encontrarse preparados para atender las incidencias, sin dejar de lado las medidas preventivas y proactivas que contribuyen a minimizar todas las posibilidades de que ocurra y minimiza el impacto que puede generar, además de las acciones correctivas que son necesarias para solventar los problemas.

Gestionar significa llevar a cabo diligencias que conducen a conseguir un negocio. Si partimos de esta definición, se entiende que el propósito principal de la gestión es proteger la información que resulta fundamental para conseguir los objetivos en las organizaciones, por lo que en el ámbito organizacional, se ha convertido en una necesidad el gestionar la seguridad de la información.

Los incidentes de seguridad pueden presentarse por desconocimiento o por negligencia de las personas, de forma accidental o de forma deliberada, por lo que la idea considera la aplicación de diferentes perspectivas para incrementar y mejorar la seguridad de la información. Una forma de conseguirlo es mediante la alineación del estándar y mejorando las prácticas.
La aplicación de la norma ISO 27001 tiene como base este principio, por lo que durante la publicación queremos conocer los dos pilares que conforman este documento, además de las ideas plasmadas en el mismo.

El estándar que se utiliza de forma internacional para gestionar la seguridad de la información es la norma ISO 27001, que representa la experiencia acumulada de expertos en el tema. Y aunque la implantación tiene que llevarse a cabo en función de las características, necesidades y condiciones de cada empresa, unos de los principales pasos para su aplicación se encuentran relacionados para conocer los documentos y sus propósitos.

En esta publicación nos enfocamos en comprender el contenido de la norma ISO 27001, además el siguiente paso sería realizar la implementación. La estructura se reduce a dos elementos básicos:
-Las cláusulas de requisitos para que una empresa funcione de forma alineada con un sistema de gestión, además de los objetivos de control.
-Los controles de seguridad para considerar diferentes enfoques de protección.

El primer elemento base que considera el estándar son las cláusulas que definen todas las actividades necesarias para definir y establecer, implantar y operar, además de monitorear y revisar, mantener y mejorar el Sistema de Gestión de Seguridad de la Información.

La nueva versión de este documento no considera de forma explícita un modelo de mejora constante, de forma implícita se consideran estas fases en concordancia con el Anexo SL, la estructura utilizada por los estándares ISO para establecer todas las cláusulas.

Read more

Principales víctimas de ataques a los ordenadores ICS: las empresas manufactureras

/0 Comments/in /by

El 33% de ellas recibió ataques en sus ordenadores industriales en un escenario caracterizado por una epidemia de amenazas durante la primera mitad del año.

ordenador-datos-analitica

Kaspersky Lab ha presentado su análisis de la ciberseguridad industrial correspondiente a la primera mitad de 2017. El informe “Panorama de amenazas en los sistemas de automatización industrial en el H1 2017” concluye que las empresas manufactureras fueron más propensas a los ciberataques, ya que uno de cada tres equipos fue objetivo de dichos ataques.

La cifra fue casi idéntica a la del periodo anterior y 1,6 puntos menor que en la segunda mitad de 2016. La mayoría de estos ataques se dirigieron contra empresas fabricantes de todo tipo de productos, materiales y equipamientos. Entre las más afectadas se incluyen empresas de ingeniería, educación y alimentación y bebida. Los sistemas ICS de las empresas energéticas llegaron a suponer el 5% de todos los ataques.

Las cifras hablan por sí mismas: durante estos primeros seis meses del año, los productos de Kaspersky Lab detectaron ataques contra el 37,6% de las decenas de miles de ordenadores ICS que protegen en todo el mundo. Y de esos ordenadores, el 33% de los atacados pertenecía a empresas manufactureras.

Por países, los tres primeros de la lista fueron Vietnam (71%), Argelia (67,1%) y Marruecos (65,4%). Los analistas detectaron un importante aumento en el número de ataques en China (57,1%), situándose en el quinto puesto de países. España se encuentra fuera del Top 10 de países más atacados. Los analistas de Kaspersky Lab también descubrieron que la principal vía de ataque estaba en las webs: se bloquearon intentos de descargar malware o de acceder a webs de phishing o con contenidos peligrosos en el 20,4% de los sistemas ICS. La razón para este elevado número se encuentra en el libre acceso y conexión de las redes industriales a Internet, lo que supone una importante amenaza para la infraestructura industrial en su conjunto.

En total, en los primeros seis meses de 2017, Kaspersky Lab detectó en sistemas de automatización industrial, más de 18.000 versiones de malware pertenecientes a 2.500 familias diferentes.

Read more

Los 10 errores de ciberseguridad más comunes en las pymes

/2 Comments/in /by

Si bien es cierto que cada vez hay una mayor concienciación social y empresarial sobre la importancia de la ciberseguridad y de proteger adecuadamente todos los procesos de un negocio (prácticamente ya se puede acceder de forma remota, vía conexión a Internet al 90% de ellos), desde la empresa S2 Grupo se ha advertido de que todavía ésta es una tarea pendiente en las pymes.

kaspersky_threat-intelligence-portal

“En los últimos años se ha avanzado mucho en el ámbito de la ciberseguridad pero todavía las pequeñas y medianas empresas y, sobre todo, las que se acaban de crear, siguen descuidando ciertos aspectos que podrían poner en serio peligro la continuidad de sus negocios. Falta perspectiva real de los peligros que les pueden amenazar y de las consecuencias que podrían conllevar”, ha declarado José Rosell, socio-director de S2 Grupo.

La consecuencia de un ciberataque a estos negocios puede suponer desde el cese del negocio, pérdida de reputación, pérdida de datos de relevancia, de peso en el mercado, etc.

Con el objetivo de poner atención a los ciberriesgos que podrían acechar a estas empresas para protegerse adecuadamente, el equipo de expertos de S2 Grupo ha señalado que los 10 errores de ciberseguridad más comunes en las pymes son los siguientes:

1. Es suficiente con instalar un antivirus o un cortafuegos.– Evidentemente, pocos negocios por pequeños que sean carecen de un antivirus y, seguramente, de un firewall. No obstante, esto puede dar una falsa sensación de seguridad y estar dejando totalmente al descubierto procesos técnicos que necesitan una ciberprotección específica.

2. Creer que la información de su negocio no interesa a nadie.– Cualquier información contenida en los sistemas independientemente de a quién pertenezcan, son de gran interés para los ciberdelincuentes porque los datos que obtengan (direcciones de emails, fotografías, teléfonos, etc.) tienen un alto valor en el ciberespacio. Además, se corre el error de infravalorar la información propia que sí puede ser de interés para cualquier posible competidor (balances contables, precios, proyectos, etc.).

3. Considerar que los informáticos son los únicos responsables de la ciberseguridad.– Es muy importante integrar que la ciberseguridad es un tema del que deben responsabilizarse todos los miembros de la plantilla. A través de procesos de actuación correctos, una adecuada gestión de las incidencias o de la forma en que se aborden los requerimientos legales podrán evitarse amenazas de ingeniería social o phishing, por ejemplo.

4. Considerar que la ciberseguridad no requiere un mantenimiento.– Muchas veces se cree que la seguridad viene de un producto que se instala y ya está. Éste es uno de los principales errores. La ciberseguridad es un proceso y, como tal, requiere un mantenimiento diario llevado a cabo que variará según las necesidades de cada departamento (actualización de sus conocimientos, mantenimiento de sistemas, adaptación a nuevos procesos legales, etc.).

5. No firmar acuerdos de confidencialidad.- Hay pymes que consideran que esto forma parte de las grandes multinacionales y es un error. La confidencialidad es esencial también en este sector y debe garantizarse con cualquier persona que tenga acceso a la información de la empresa (empleados, proveedores, clientes, etc.) para poder protegerla correctamente.

6. Incumplimiento de la LOPD.- Muchas pymes ignoran sus obligaciones en relación a esta ley. Para garantizar la seguridad de carácter personal de los clientes, empleados, proveedores, etc., y evitar sanciones, es fundamental cumplir adecuadamente la LOPD.

Read more