Novedades

La importancia de considerar estándares al auditar

La importancia de considerar estándares al auditar 150 150 HKMX

Partamos de la importancia de la ejecución de auditorías dentro de los diversos procesos de gestión de tecnología y seguridad de la información. La auditoría ofrece una visión objetiva e independiente del estado y funcionamiento del proceso de la auditoría, así mismo esta visión permite tener un diagnóstico de la situación actual, saca a la luz deficiencias en actividades que, de no corregirse, representan un riesgo para la organización y consecuentemente afectando el logro de los objetivos del negocio y en algunos casos generando costos excesivos por las deficiencias existentes.

Ahora bien, ¿cómo podemos saber si una actividad se está realizando bajo un marco de mejores prácticas?, ¿cómo podemos medir consistentemente a lo largo del tiempo? La respuesta evidente resulta en basar las metodologías de auditoría en marcos de referencia de aceptación internacional, lo cual permite por una parte, hacer consistente el proceso de revisión a lo largo del tiempo y poder comparar resultados de los temas revisados con otras organizaciones.

El estándar mas reconocido para implementar un Sistema de Gestión de Seguridad de la Información es el ISO-27001, el cual establece una serie de prácticas alrededor de la seguridad de la información dentro de las que podemos mencionar:

  1. Políticas de Seguridad de la Información
  2. Organización de la Función de Seguridad de la Información
  3. Seguridad de los Recursos Humanos
  4. Gestión de Activos de Información
  5. Control de Accesos
  6. Cifrado de Información
  7. Seguridad Física y Ambiental
  8. Seguridad de las Operaciones
  9. Seguridad de las Telecomunicaciones
  10. Seguridad en la Adquisición Desarrollo y Mantenimiento de Sistemas de Información
  11. Seguridad en la Gestión de Terceros
  12. Gestión de Incidentes de Seguridad
  13. Seguridad para la Continuidad de Negocio
  14. Gestión de Cumplimiento Regulatorio

Cada práctica posee a su vez una serie de objetivos de control que la organización debe implementar dentro del ámbito de alcance que tenga declarado para su Sistema de Gestión de Seguridad de la Información, por lo tanto la forma para ejecutar una auditoría es apegarse a las prácticas de control implementadas en la organización y revisar, no solo el cumplimiento, sino ir hacia la verificación del diseño y efectividad operativa de los controles para poder ofrecer una opinión referente al grado en que se está mitigando el riesgo de la seguridad de la información.

Por Cristina Caballero. CRISC & ISO27001 LA

Terrorismo Digital ¿Teoría conspirativa o nuevo escenario de riesgo?

Terrorismo Digital ¿Teoría conspirativa o nuevo escenario de riesgo? 150 150 HKMX

Antecedentes

El 11 de Septiembre del 2001, 19 hombres secuestraron 4 aviones comerciales de líneas áreas estadounidenses los cuales tenían rutas de vuelo hacia la costa oeste. Un total de 2,977 personas fallecieron en la ciudad de Nueva York, Washington – DC y en las afueras de Shanksville, Pennsylvania. (CNN – Sep 18, 2020).

Impacto

Si uno considera que este evento catastrófico terminó con la muerte del líder terrorista Osama bin Laden (Mayo 02 del 2011) y la salida de la fuerza militar de Afganistán (2014), debemos revisar los efectos que a nivel mundial los cambios realizados por el gobierno americano dejaron hasta nuestros días.

Sin el afán de realizar un análisis geopolítico a detalle, podemos identificar algunos efectos que tienen una impacto directo y permanente hacia las estrategias de ciberseguridad, la economía digital y los derechos de los ciudadanos.

Gobierno:

  • Gasto militar en la campaña militar en Afganistán (US – 2001 al 2014) como una respuesta frontal al grupo terrorista Al-Quaeda.
  • Fundación de la oficina de Home Land Security (25-Nov-2002) para coordinar la protección y respuesta efectiva dentro del territorio americano.
  • Replanteamiento de leyes de privacidad (USA Patriot Act – 2001) con el objetivo fortalecer las herramientas para interceptar y obstruir al terrorismo.

Economía:

  • Cambio permanente en los protocolos de seguridad y eficiencia en los tiempos de abordaje y transbordo a nivel mundial. [3]
  • Sanciones económicas severas a cualquier entidad comercial o gobierno con sospecha de relación a grupos con actividades terroristas.[5]
  • Afectaciones en las cadenas de suministros por controles de importación/exportación más severos y extensos.[4]

Sociedad y derechos:

  • La erosión de los derechos de privacidad bajo la sospecha de actividad o asociación con grupos terroristas.[6]
  • El cambio de la política de migración hacia residentes y turistas que son parte de la comunidad islámica.
  • Aumento en actos de violencia y discriminación hacia la comunidad islámica con residencia o ciudadanía en Estados Unidos [3]
  • El registro, análisis y datos generados por aplicaciones de uso masivo por la población en general (mensajes, fotos, llamadas y videollamadas)[6]

      Figura 1: Registro de actos violentos en contra de la comunidad musulmana del 2001 al 2016.

Tendencias tecnológicas

Mucho ha sucedido en la esfera tecnológica y de ciberseguridad desde el 2001 hasta nuestros días, sin embargo, se destacan las siguientes 3 tendencias a nivel mundial:

Hiperconectividad (5G): la implementación de redes 5G y la explosión de dispositivos personales y corporativos generará grandes retos para los profesionales de ciberseguridad. Por mencionar algunos factores críticos relacionados con 5G tenemos: un modelo de seguridad descentralizado en las redes 5G, un mayor ancho de banda limitará severamente la capacidad de monitoreo y la falta de cifrado en las primeras fases generará un ambiente fértil para diversos ataques como las Botnets y ataques de denegación del servicio.[7]

Figura 2: Red 5G – Una promesa de 20Gbps desde nuestros celulares.

                IOT: el Internet de las cosas, es un paradigma en el cual todos los objetos que usamos en la vida diaria están conectados a internet y son capaces de compartir información con otros dispositivos [8]. El grave problema es que la mayoría de los dispositivos IOT no contemplan una arquitectura segura y/o protocolos de seguridad al nivel de una computadora debido a que esto incrementa el precio unitario, lo cual se contrapone al objetivo tradicional de conseguir el precio más bajo posible. Si consideramos que el pronóstico es que para 2025 tendremos alrededor de 100 billones de dispositivos conectados, esto representa 100 billones de posibles puntos de entrada y generados de tráfico que tienen el potencial de afectar nuestra red y las operaciones del negocio.

Figura 3: IOT- Cuando todo está conectado todos somos vulnerables.

                Industria 4.0: el concepto promete generar ciudades inteligentes, redes de distribución de energía más eficientes, cómputo en la nube, el internet de las cosas y la inteligencia artificial son algunos de los elementos que se integran en esta tendencia. Desde el punto de vista del ciberterrorismo tenemos que considerar escenarios como:

  • La defensa de sistemas de transporte computarizados.
  • La interrupción de redes eléctricas gestionadas por computadora.
  • Secuestro de supercomputadoras por grupos terroristas o activistas políticos.
  • Vigilancia sobre “monedas digitales” para evitar el financiamiento de actividades terroristas.
  • Redes de comunicación “fantasma” a través de consolas de videojuegos.
  • Uso de drones para bloquear/retrasar el tráfico aéreo en aeropuertos con flujo masivo de pasajeros.

Figura 4: Industria 4.0 – Cuando tu BCP es un itinerario impreso en la estación del tren.

Pronóstico y comentarios finales

Si usted fuera un líder o miembro de una organización terrorista en un país subdesarrollado y con acceso limitado a recursos financieros y tecnológicos, podemos teorizar que tiene dos opciones para continuar su lucha ideológica:

1. Genera una red de financiamiento, entrenamiento, logística y buscar la siguiente oportunidad para burlar los esfuerzos de inteligencia y coordinar un ataque presencial en territorio enemigo;

Figura 5: Grupo terrorista – Unidad de ataque terrestre.

2. Invierte una cantidad limitada de recursos humanos y financieros para tratar de afectar 1 servicio crítico desde el otro lado del mundo.

Figura 6: Grupo terrorista – Unidad de ciberataques.

¿Usted cuál opción seguiría?

Cierre del artículo

Déjenos su opinión y nos gustaría saber si el escenario de ciberterrorismo lo considera un exceso de los amantes de la teoría de la conspiración o un escenario válido para las compañías mexicanas en el desarrollo de una estrategia de continuidad de negocio (BCP/DRP).

El contenido de este artículo refleja únicamente la opinión del autor, y no representa la postura oficial de la casa consultora HKMX.

HKMX ofrece este canal en apoyo a la libertad de expresión y la diversidad de pensamiento con el objetivo de generar un intercambio libre de ideas que desarrolle la comunidad de ciberseguridad en México y el mundo.

Fernando Díaz forma parte del equipo consultivo de HKMX. Tiene más de 15 años de experiencia en la definición e implementación de proyectos en tecnología educativa, sistemas audiovisuales y automatización de procesos con el objetivo de implementar estrategias de negocio y programas de innovación.

Ha contribuido en la implementación de marcos de referencia como COBIT, ITIL, PCI DSS e ISO 27001 para empresas del sector financiero, manufactura, automotriz, venta al menudeo, telecomunciaciones y educación. Actualmente se desempeña como líder de la práctica de continuidad de negocio y privacidad para HKMX.

Es egresado del Tecnológico de Monterrey, Campus Monterrey donde obtuvo su grado profesional como Ingeniero en Electrónica y Comunicaciones, así como su título de Maestro en Ciencias de Automatización y Control por el mismo instituto.

Referencias

[1] Barnes, J. E, Y Sanger, D. E. (11 de marzo de 2020). Congress, Warning of Cybersecurity Vulnerabilities, Recommends Overhaul. The New York Times. Recuperado de https://www.nytimes.com/2020/03/11/us/politics/congress-cyber-solarium.html

[2] CNN Editorial Research. (18 de septiembre de 2020). September 11 Terror Attacks Fast Facts. CNN. Recuperado de https://edition.cnn.com/2013/07/27/us/september-11-anniversary-fast-facts/index.html

[3] Santhanam, L y Epatko, L. (2019, 10 de septiembre). 9/11 to today: Ways we have changed. PBS NewsHour. Recuperado de https://www.pbs.org/newshour/nation/9-11-to-today-ways-we-have-changed

[4] Sheffi, Y. (2001). Supply Chain Management under the Threat of International Terrorism, The International Journal of Logistics Management, 12(2), pp. 1-11. doi: https://doi.org/10.1108/09574090110806262

[5] Hufbauer, G. C., Schott, J. J. y Oegg, B. (2001). Using Sanctions to Fight Terrorism. Peterson Institute for International Economics. Recuperado de https://www.piie.com/publications/policy-briefs/using-sanctions-fight-terrorism

[6] Schwartz, M. J. (2001). How 9/11 changed privacy. The Privacy Advisor – IAPP, 11(7). Recuperado de https://peterswire.net/archive/PA_09-11_how_9-11_changed_privacy.pdf

[7] Kaspersky Resource Center (2020). 5G and Cyber security – All You Need to Know. Recuperado de https://www.kaspersky.com/resource-center/threats/5g-pros-and-cons

[8] Tzezana, R. (2016). Scenarios for crime and terrorist attacks using the internet of things. Eur J Futures Res, 4(18). doi: https://doi.org/10.1007/s40309-016-0107-z

[9] Manescu, R. (s. f.) Terrorist threats in the 4.0 industry era. Vision of Humanity. Recuperado de http://visionofhumanity.org/terrorism/terrorist-threats-in-the-4-0-industry-era/

8 principios de un análisis de riesgo efectivo

8 principios de un análisis de riesgo efectivo 150 150 HKMX

Por. Ing. José Martín Figueroa Cardona

CISSP / CISA / CRISC / ITIL / ECSA / CEH / CHFI / ISO 27001/ ISO 22301 / CBCP / PCI ISA

24 de Septiembre 2020

La norma ISO 31000 es la norma internacional para la gestión del riesgo. Al proporcionar principios integrales y directivas, esta norma ayuda a las organizaciones con su análisis y evaluación de riesgos.

La norma ISO 31000 consta de unos principios para la Gestión de Riesgos, un Marco de Trabajo y el Proceso de Gestión de RiesgosISO 31000:2018 se basa en 8 principios que encajan con toda la estructura de la organización y que están relacionadas con las normativas de la implementación de riesgos.

Al implementar los principios y directivas de BS ISO 31000 en su organización, será capaz de mejorar la eficiencia operativa, gobernanza y confianza de las partes interesadas, a la vez que minimiza las pérdidas ante entornos volátiles, inciertos, complejos y ambiguos (VUCA).

Esta norma internacional también le ayuda a impulsar el desempeño de la seguridad, establecer un fuerte fundamento para la toma de decisiones y alentar la gestión proactiva en todas las áreas.

Existen tres cláusulas principales de ISO 31000:

  • Principios – Cláusula 4
  • Marco de Referencia – Cláusula 5
  • Proceso – Cláusula 6

Ilustración 1. Cláusulas de principios marco y proceso

El propósito de la gestión del riesgo según la norma ISO 31000:2018 es la creación y la protección del valor. Mejora el desempeño, fomenta la innovación y contribuye al logro de objetivos.

Los principios descritos en la cláusula 4 del ISO 3100:2018 proporcionan orientación sobre las características de una gestión del riesgo eficaz y eficiente, comunicando su valor y explicando su intención y propósito.

Ilustración 2. Principios de gestión de riesgos

Los principios son el fundamento de la gestión del riesgo y se deberían considerar cuando se establece el marco de referencia y los procesos de la gestión del riesgo de la organización. Estos principios deberían habilitar a la organización para gestionar los efectos de la incertidumbre sobre sus objetivos.

La gestión eficaz del riesgo requiere la implementación de los principios y se puede explicar de la siguiente forma.

Integrado. La gestión de riesgos es una parte integral de todas las actividades de la empresa.

Estructurado y completo. Un enfoque estructurado e integral de la gestión de riesgos que contribuye a la coherencia y a los resultados comparables.

Personalizado. El marco y el proceso de gestión de riesgos son personalizados y proporcionales al contexto externo e interno de la empresa relacionado con sus objetivos.

Inclusivo. La participación adecuada y oportuna de los interesados permite su conocimiento, puntos de vista y percepciones a considerar. Esto se traduce en una mejor conciencia y una gestión de riesgos informada.

Dinámico. Los riesgos pueden surgir, cambiar o desaparecer a medida que cambia el contexto externo o interno de la empresa. La gestión de riesgos anticipa, detecta, reconoce y responde a los cambios y efecto de una forma apropiada y oportuna.

La mejor información disponible. Las aportaciones a la gestión de riesgos se basan en información histórica y actual, así como en expectativas a futuro. La gestión de riesgos tiene en cuenta cualquier limitación e incertidumbre asociada a la información y expectativas. La información debe ser oportuna, clara y disponible para las partes interesadas relevantes.

Factores humanos y culturales. El comportamiento humano y la cultura influyen de forma significativa en todos los aspectos de la gestión del riesgo en cada nivel o etapa.

Mejora continua. La gestión del riesgo se mejora de forma continua mediante el aprendizaje y la experiencia.

En resumen, la aplicación de los principios de riesgos aplicados tanto al marco de gestión de riesgos, como al proceso de análisis de riesgos, llevarán al cumplimiento del objetivo esperado de creación de valor y protección hacia la organización acorde a sus objetivos, incluso en los entornos actuales volátiles, inciertos, complejos y ambiguos.

José Martín, forma parte del equipo de consultores de HKMX. Tiene experiencia con más de 15 años en la definición e implementación de prácticas de seguridad y ciberseguridad apegados a marcos de referencia como COBIT, ITIL, PCI DSS, ISO 27001 e ISO 22301.

En 2008 fundó HK México. Desde entonces ha ejecutado y liderado proyectos exitosos relacionados con la gestión de riesgos, ciberseguridad, sistemas de gestión de seguridad de información, continuidad de negocio, auditoría y capacitación en diversos sectores como comercio, retail, servicios, comunicaciones, manufactura, tecnología y el financiero, abordando temas de cumplimiento regulatorio, así como de certificación en estándares internacionales de seguridad de información.

Es egresado del Instituto Tecnológico de Saltillo, donde obtuvo su grado profesional de Ingeniero Electrónico con especialidad en Sistemas Digitales. Posteriormente en ITESM curso la Maestría en Ciencias en Ingeniería Electrónica. Cuenta además con distintas certificaciones reconocidas internacionalmente relacionadas con la seguridad de información, auditoría TI/SI, hackeo ético, procesos TI/SI, continuidad de negocio y seguridad en medios de pago electrónicos.

Las 5 verticales de seguridad de información para Fintech

Las 5 verticales de seguridad de información para Fintech 150 150 HKMX

5 pasos esenciales para que tu análisis de riesgos de TI sea exitoso

5 pasos esenciales para que tu análisis de riesgos de TI sea exitoso 150 150 HKMX

Por. Ing. José Iván Ramírez Carreño

CISSP / ITIL / ISO 27001 LA / CEH / PCI ISA

16 de septiembre 2020

Uno de los recursos más importantes con los que cuenta un responsable de seguridad de información (CISO) para la elaboración de su estrategia de seguridad alineada a los objetivos y prioridades del negocio, es el análisis de riesgos de TI.

El análisis de riesgos de TI permite identificar cuáles son las principales vulnerabilidades en los servicios de TI que pueden ser explotadas por diferentes amenazas, tanto internas como externas, y que potencialmente pueden generar un impacto importante en la confidencialidad, integridad y disponibilidad de la información que es utilizada en los procesos del negocio.

Existen diferentes marcos de referencias o guías para la realización de un análisis de riesgos. Uno de los más utilizados por su enfoque y alineación al contexto de seguridad de información es el ISO/IEC 27005:2008 Information Security Risk Management, el cual forma parte de la familia de los estándares de seguridad de la serie ISO 27000.

Fig. 1 – Proceso de gestión de riesgos ISO 27005:2008

La norma ISO/IEC 27005 proporciona las directrices para gestionar los riesgos que puede sufrir la información de una empresa, básicamente se apoya en el  ISO/IEC 27001, centrándose principalmente en los requisitos de seguridad de la información.

En la práctica es muy importante identificar las figuras y roles que se deben involucrar durante la ejecución de este proceso, con el objetivo de obtener resultados más asertivos y alineados a los requerimientos de la organización. Uno de los principales desafíos para el responsable de seguridad de información o CISO, será el traducir cómo afectan las amenazas y riesgos tecnológicos en impactos tangibles y reales para la organización ante una audiencia que tomará decisiones y que no tiene regularmente una formación o experiencia técnica.

A continuación se enumeran los 5 pasos importantes que se recomienda seguir con el objetivo de generar un vínculo entre las áreas de negocio y los especialistas en TI durante el proceso de análisis de riesgos:

Fig 2. Metodología para análisis y evaluación de riesgo tecnológico

1.- Identificación de servicios críticos de TI: El primer paso es entender el contexto de la organización e identificar con apoyo de los usuarios claves de negocio, cuáles servicios de TI son críticos para soportar los procesos que forman parte de la columna vertebral de la empresa, procesos clave que al verse comprometidos o interrumpidos generarían un impacto inmediato en las operaciones del negocio; aquí es donde inicia la alineación entre TI y el negocio, identificando las piezas importantes que deben ser analizadas. En este primer paso es recomendable enumerar los servicios y aplicativos de TI tal y como lo conocen los usuarios del negocio (Ej: ERP, telefonía, correo electrónico, CRM, WMS, etc.), en este primer nivel no es necesario enlistar o inventariar detalladamente los componentes técnicos que soportan a dichos servicios de TI.

2.-Evaluación del impacto. El siguiente paso es definir la escala y los criterios de manera estandarizada sobre cómo serán evaluados los impactos al negocio en caso de existir una afectación en la confidencialidad, integridad y disponibilidad de los servicios de TI críticos. Los impactos al negocio pudieran clasificarse y evaluarse como financieros, operativos, legales, humanos y/o reputacionales. Las áreas de negocio son las que mejor conocen y más sensibles están respecto al impacto que puede sufrir la organización cuando un servicio de TI se interrumpe o cuando de manera no autorizada la información se ve comprometida. La evaluación del impacto debe realizarse con los usuarios clave de los procesos de negocio por medio de talleres o entrevistas.

3.-Identificación del estado actual de controles TI. En este paso, los jugadores más importantes serán los especialistas técnicos (Subject Matter Experts) como son los administradores de sistemas, bases de datos, telecomunicaciones o de soporte técnico; durante esta etapa se deberá desglosar con mayor nivel de detalle los componentes técnicos que soportan a los servicios de TI críticos identificados en el paso 1 (Ej: servidores, routers, firewalls, componentes de almacenamiento, etc.). Durante esta etapa, las entrevistas o talleres tienen como objetivo analizar con apoyo de los administradores de tecnología los controles y prácticas de seguridad que hoy se tienen implementadas para la protección de los sistemas de TI; importante considerar que los controles a evaluar podrán ser normativos (Ej: políticas, procesos, procedimientos), tecnológicos (Ej: antivirus, respaldos, bitácoras de eventos, alta disponibilidad, segmentación de red) o físicos (Ej: control de acceso al centro de datos, suministro alterno de energía, guardias). Existen numerosas guías y marcos de referencia disponibles de controles de seguridad (ISO/IEC 27002, NIST 800-53, CIS 20 Controls) que pueden apoyar en la evaluación de la situación actual de los controles de seguridad y con ello evaluar el nivel de exposición que tienen actualmente los componentes tecnológicos ante potenciales amenazas.

4.-Evaluación de las amenazas: El CISO o responsable de seguridad de información de información deberá evaluar el nivel de exposición y probabilidad de ocurrencia ante amenazas internas o externas que puedan explotar las vulnerabilidades existentes en los activos tecnológicos identificados en el paso anterior. El catálogo existente de amenazas en los anexos de ISO 27005:2008, pueden servir como referencia y punto de partida para identificar factores de riesgo de tipo ambiental (Ej: inundación, huracán, terremoto), tecnológico (Ej: código malicioso, fallas técnicas, bugs) o humanos (Ej: hackers, sabotaje, errores humanos) que puedan comprometer potencialmente las operaciones del negocio.

5.Evaluación de riesgos: Finalmente con la información obtenida en los pasos anteriores, el CISO o el responsable designado para la identificación de riesgos de tecnología se encuentra en posibilidades para la evaluación del riesgo. Las piezas necesarias para el cálculo del riesgo han sido identificadas tanto con los usuarios claves de negocio y con los expertos técnicos.

La ecuación que permitirá realizar la evaluación del riesgo estará integrada por los siguientes elementos previamente analizados:

Fig 3. Modelo para cálculo de riesgo tecnológico

Con base a los resultados obtenidos, tocará el turno al Comité de Seguridad de Información o Alta Dirección tomar las decisiones respecto a las acciones que deberán de ejecutarse para el tratamiento de los riesgos que mayor probabilidad e impacto pueden generar al negocio y que desde un punto de vista técnico presentan mayor nivel de exposición.

En resumen, el proceso de análisis de riesgos no es una tarea que pueda ser delegada o ejecutada por un área en particular de la organización. Su éxito y correcta aplicación en beneficio del negocio  requieren del involucramiento de diversos actores al interior de la empresa, donde la figura del responsable de seguridad actúa siempre como guía del proceso e integrador de la información provista por las áreas que mejor conocen a los procesos de negocio y los expertos en tecnología para su debido análisis y presentación ante la alta dirección.

José Iván, forma parte del equipo de consultores de HKMX. Tiene experiencia con más de 15 años en la definición e implementación de procesos de tecnologías de información apegados a mercos de referencia como COBIT, ITIL, PCI DSS e ISO 27001 para empresas del sector financiero, manufactura, automotriz, retail, telecomunicaciones, logística y educativo, en donde ha apoyado a diversas empresas en su certificación en estándares internacionales de seguridad de información.

Es egresado del Tecnológico de Monterrey, Campus Monterrey, donde obtuvo su grado profesional de Ingeniero en Sistemas Electrónicos, además de tener un título como Master en Administración de Telecomunicaciones por parte de la EGADE, Campus Monterrey.

 

 

HK México se incorpora como socio de Fintech México

HK México se incorpora como socio de Fintech México 150 150 HKMX

HK México estará presente en Info Security México

HK México estará presente en Info Security México 1150 360 HKMX

HK México estará presente en Info Security México

Con la conferencia: “ CISO Virtual” Un recurso con amplios recursos
Expositores: José Iván Ramírez Carreño y José Martín Figueroa Cardona
Stand: 228
Fecha: 22 y 23 de septiembre 2020
Lugar: Centro Citibanamex CDMX
Información del evento: https://www.infosecuritymexico.com/es.html