Seguridad de la información: hackear, o no ser hackeado


Publicidad

Cuando pensamos en la seguridad de TI, por lo general piensa en las grandes cortes que fueron reportados en la prensa. Cuando se ve como un todo, podemos entender la magnitud de los datos perdidos. No es de extrañar que estos trucos sean lo que nos viene a la mente cuando pensamos en la seguridad de la información.

La siguiente tabla muestra algunos de los hacks más grandes que ocurrieron en este siglo. El número de cuentas afectadas varía en millones.

Las más grandes infracciones de seguridad, 2003–2018, clasificadas


Empresa
Cuentas hackeadasFecha de hackeo
Yahoo3 mil millonesAgosto de 2013
Marriott500 millones2014-2018
Yahoo500 millonesFinales de 2014
Adult FriendFinder412 millonesOctubre 2016
Mi espacio360 millonesMayo 2016
Debajo de la armadura150 millonesFebrero 2018
Equifax145.5 millonesJulio 2017
EBay145 millonesMayo 2014
Objetivo110 millonesNoviembre de 2013
Sistemas de pago Heartland100+ millonesMayo 2008
LinkedIn100 millonesjunio 2012
Rambler.ru98 millonesFebrero de 2012
TJX94 millones2003–2004
Sony PlayStation Network77 millonesAbril 2011
JPMorgan Chase83 millonesJulio de 2014
Tumblr65 millonesFebrero de 2013
Uber57 millonesFinales de 2016
Deposito de casa53 millonesAbril 2014
Facebook50 millonesJulio 2017
Oficina de Administración de Personal de los Estados Unidos (OPM)22 millones2012-2014
Himno78.8 millonesFebrero 2015
Seguridad RSA40 millonesMarzo 2011
Adobe38 millones2014-2015

Fuente: 
“Las 18 violaciones de datos más grandes del siglo XXI”, por Taylor Armerding , CSO 
“ Las violaciones de datos más grandes de todos los tiempos, clasificadas  , por Nicolas Rivero, Quartz

El hack más grande le sucedió a Yahoo en 2013; ¿Te imaginas los efectos de 3 billones de cuentas hackeadas? Eso es aproximadamente 10 veces la población actual de los Estados Unidos. El segundo ataque más grande es el ataque contra Marriot, que afectó a 500 millones de cuentas. El hackeo de Marriott me golpea especialmente cerca de casa porque uso el hotel a menudo y soy un viajero de primer nivel. Los hackers no solo tienen la información personal de 500 millones de cuentas, sino también varios números de tarjetas de crédito. Marriott aún tiene que reconocer el problema o advertir a los clientes que cambien sus números de tarjeta de crédito.

Si revisa esta lista de hacks, es probable que esté de acuerdo en que el problema es algo que todos debemos preocuparnos. Tomemos Yahoo, por ejemplo. La compañía primero tuvo 3 mil millones de cuentas pirateadas y luego otros 500 millones un año después. Parece que el equipo de seguridad de TI de Yahoo no pudo estar a la altura de los piratas informáticos, o que la alta dirección no proporcionó el ímpetu y el enfoque dentro de la organización. Creemos que hay muchos otros trucos que no están siendo noticia porque han pasado a las organizaciones de fabricación y diseño y no están afectando al público en general.

Estos hacks externos son problemas de ciberseguridad, definidos como ataques desde Internet, o como lo llaman las normas ISO, el ciberespacio. Vale la pena considerar el término tal como se define en la norma de orientación ISO 27032 “Tecnología de la información: técnicas de seguridad — Directrices para la ciberseguridad”. La ISO 27032 define la ciberseguridad como “Seguridad del ciberespacio: preservación de la confidencialidad, integridad y disponibilidad de información en el ciberespacio. . ”

El ciberespacio se define como el “entorno complejo que resulta de la interacción de personas, software y servicios en Internet mediante dispositivos de tecnología y redes conectadas a él, que no existen en ninguna forma física”.

La ciberseguridad es importante, pero las organizaciones también necesitan implementar la seguridad de la información. La seguridad de la información es el problema más amplio que contiene la ciberseguridad como uno de sus elementos. Consulte el diagrama a continuación, que muestra la seguridad de la información y su relación con la ciberseguridad.

Los estándares de seguridad de la información son los estándares más importantes de nuestro tiempo. Muchos CEOs han dejado el tema de la ciberseguridad a los CIO y no se han involucrado. La Comisión de Valores e Intercambio de los Estados Unidos emitió una guía interpretativa.El año pasado a empresas que cotizan en bolsa. Según la guía, “los riesgos de ciberseguridad representan amenazas graves para los inversores, nuestros mercados de capital y nuestro país. Ya sea en las empresas en las que invierten los inversores, sus cuentas en empresas de servicios financieros, los mercados a través de los cuales operan, o la infraestructura con la que cuentan diariamente, el público inversor y la economía de los Estados Unidos dependen de la seguridad y confiabilidad de la tecnología de la información y las comunicaciones. , sistemas y redes … Hoy en día, la importancia de la administración de datos y la tecnología para las empresas es análoga a la importancia de la electricidad y otras formas de energía en el siglo pasado … Primero, esta versión hace hincapié en la importancia de mantener un servicio integral. Políticas y procedimientos relacionados con los riesgos e incidentes de ciberseguridad. Se requiere que las empresas establezcan y mantengan controles y procedimientos de divulgación adecuados y efectivos que les permitan realizar revelaciones precisas y oportunas de eventos importantes, incluidos los relacionados con la ciberseguridad. Tales controles y procedimientos robustos de divulgación ayudan a las compañías a cumplir con sus obligaciones de divulgación según las leyes federales de valores “.

Esta guía deja claro que la implementación de un estándar de guía de TI como ISO 27001 no es realmente una opción sino un requisito para las empresas que cotizan en bolsa.

Cómo funciona ISO 27001

Para aquellos familiarizados con los estándares ISO, es bueno saber que ISO 27001 sigue la estructura de alto nivelde las normas ISO. Además, presenta el ciclo planear-hacer-verificar-actuar, también conocido como el ciclo Deming. Hay diferencias clave en los controles de esta norma frente a otras normas ISO, como cabría esperar. La ISO 27001 presenta dos requisitos: la cláusula 6.1.2, que requiere que se realice una evaluación de riesgos de seguridad de la información; y la cláusula 6.1.3, que requiere un tratamiento de riesgos de seguridad de la información. Por lo tanto, la cláusula 6.1 en Riesgo y planificación identificará los objetivos de seguridad de la información y ciberseguridad y también el riesgo asociado con las amenazas de seguridad de la información, tanto externas como internas. La sección de tratamiento de riesgos requiere que las organizaciones consideren 132 controles de riesgo en el Anexo A de la norma. (Más sobre esto más adelante.)

En la cláusula 6.2, ISO 27001 requiere que las organizaciones identifiquen los objetivos de seguridad de la información y desarrollen planes para alcanzarlos. Bajo la cláusula 8.0 — Operaciones, la norma requiere que la organización implemente los planes desarrollados en las cláusulas 6.1 y 6.2, realice evaluaciones periódicas de seguridad de la información (cláusula 8.2) e implemente el plan de tratamiento de riesgos de seguridad de la información creado, según lo requiere la cláusula 6.1.3.

Anexo A: Controles de seguridad de la información

El anexo A de ISO 27001 se divide en 14 áreas de categorías de control, que en conjunto presentan 132 controles individuales. La expectativa es que cada una de las áreas sea considerada y cubierta. Si no es así, el motivo por el que debe justificarse. La evaluación, el plan de tratamiento de riesgos y, luego, la implementación deben cubrir cada una de estas áreas. Aquí también es donde los programas del Instituto Nacional de Estándares y Tecnología (NIST) pueden integrarse con la norma ISO 27001.

El NIST es una agencia no reguladora del Departamento de Comercio de los Estados Unidos.

La Publicación especial 800-53 de NIST  proporciona un catálogo de controles de seguridad para todos los sistemas de información federales de los EE. UU., Excepto aquellos relacionados con la seguridad nacional. Las normas NIST se están convirtiendo rápidamente en requisitos obligatorios para que los fabricantes puedan suministrar al gobierno federal. La ley de los Estados Unidos especifica un mínimo para los requisitos de seguridad de la información para los sistemas de información utilizados por el gobierno federal. A su vez, esto se refiere a la Publicación Especial 800-53 como los  controles mínimos obligatorios que deben implementar las agencias federales.

Papel de la alta dirección

La cláusula 5.0 de ISO 27001 explica que la alta gerencia es responsable de la seguridad de la información y que los procesos de seguridad de la información deben integrarse en los procesos de negocios de la organización; en otras palabras, el “enfoque del proceso o el mapa del proceso”. Como se esperaba, los objetivos, El progreso hacia los objetivos, la efectividad de los controles y otras métricas se revisan durante las revisiones de gestión o de negocios que son dirigidas por la alta gerencia. Es crucial que la alta dirección entienda su importante papel en la gestión de la seguridad de la información y la ciberseguridad.

¿A dónde vamos desde aquí?

La comprensión de una organización de los riesgos relacionados con la seguridad de la información y la ciberseguridad debe comenzar con el liderazgo de la empresa. La Comisión de Bolsa y Valores de EE. UU. Ha dejado muy claro que si usted es una empresa que cotiza en bolsa, deberá desarrollar políticas y procedimientos que aborden el riesgo de ciberseguridad. Un buen lugar para comenzar es ISO 27001 con sus requisitos bien definidos y su metodología de proceso. Además, ISO 27001 se integra bien con el sistema de gestión de calidad de la organización.

El consejo de la empresa debe involucrarse y proporcionar supervisión y responsabilidades a este esfuerzo. La guía de la Comisión de Valores e Intercambio de EE. UU. Solicitó una descripción de cómo la junta administra la supervisión del riesgo. ISO 27001 requiere auditorías internas y externas. Al igual que la Ley Sarbanes-Oxley, el sistema debe ser probado regularmente por los evaluadores que prueban el proceso. Además, las pruebas de vulnerabilidad y penetración con partes externas contratadas deben convertirse en prácticas habituales para las organizaciones. Las organizaciones no solo deben centrarse en las partes externas, sino también en los ataques internos y la disponibilidad general de información. Ahí es donde los sistemas de gestión ISO 27001 pueden desempeñar un papel fundamental.

Implementar ISO 27001 y obtener un certificado de terceros no es suficiente. La seguridad cibernética y la seguridad de la información requieren un monitoreo continuo y actualizaciones de la defensa de la organización. La tecnología cambia constantemente y requiere que los equipos de seguridad de TI actualicen constantemente los procesos y las tecnologías.

Como punto de partida, Omnex recomienda que la alta gerencia, junto con la junta directiva de la compañía, reciba un resumen ejecutivo de este problema. Únase a Quality Digest y Chad Kymal, fundador de Omnex y CTO, en el seminario web, “¿Ciberinseguridad ? Cómo proteger su sistema contra un ataque de piratería: ISO / IEC 27001 ” para obtener información sobre cómo implementar un programa sólido de ciberseguridad y seguridad de la Información. Registrate aqui

SOBRE EL AUTOR

Imagen de Chad Kymal

Chad Kymal

Chad Kymal es el CTO y fundador de Omnex Inc. , una organización internacional de consultoría y capacitación con sede en los Estados Unidos. También es presidente de Omnex Systems, un proveedor de software de los sistemas de gestión ISO 9001, ISO 14001 e ISO 27001. Desarrolló y enseña la capacitación de auditores para ISO 9001, IATF 16949, ISO 14001 e ISO 45001, así como un curso de capacitación de Auditor Líder de Sistemas de Gestión Integrada en el que las tres normas se combinan en una sola auditoría.

Kymal también participa en los comités ISO / TC 176, ISO / TC 207 y PC283 para el desarrollo del sistema de gestión ISO 9001: 2015 (calidad), ISO 14001: 2015 (ambiental) e ISO 45001 (salud y seguridad).

Fuente: qualitydigest.com

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.

A %d blogueros les gusta esto: