Norma ISO 27001 ¿Conoces la vulnerabilidad de tu sistema?
Norma ISO 27001
Un famoso hacker informático, Kevin Mitnick, dijo en un momento de su vida: “Yo he sido contratado por empresas para comprobar que sus instalaciones no tengan agujeros de seguridad. Nuestra tasa de éxito es del 100%, ya que siempre hemos encontrado algún agujero”. La norma ISO 27001 puede ayudarnos a evitar esto.
Esto nos indica que puede darse el caso en el que no se pueda evitar, pero no debemos renunciar a poder evitarlo. Una cosa que podemos hacer es minimizar o eliminar la posibilidad de entrar en el entorno de TI. Si usted conoce todas sus vulnerabilidades ante los ataques, usted se encuentra más protegido. Durante este artículo vamos a explicar esto con un mayor nivel de detalle.
Análisis de la vulnerabilidad frente a las pruebas de penetración
Cuando se realizar un análisis de vulnerabilidad en su sistema de información, se pueden identificar todas las vulnerabilidades técnicas que están relacionadas con ellas. Pero será necesario realizar una prueba de penetración.
Nos podemos imaginar que usted cuenta con un sistema vulnerable a la Inyección de SQL (siendo un método para realizar las operaciones en base a los datos) comprobando de esta forma la vulnerabilidad de su sistema. Después de realizar el análisis de vulnerabilidad, las pruebas de penetración pueden realizarse y la vulnerabilidad puede ser explorada. Esto significa que se puede acceder al sistema vulnerable y se puede tener acceso o incluso modificar la información confidencial de la organización.
Según el apartado A.12.6.1 del Anexo A de la norma ISO 27001 podemos saber cómo evitar la explotación de las vulnerabilidades técnicas. Para la prevención de la explotación de la vulnerabilidad relacionada con el sistema, ¿que necesitamos para llevar a cabo las pruebas de penetración? La repuesta será no necesariamente, ya que después de realizar un análisis de vulnerabilidad y sabemos que el sistema es vulnerable, debemos finarnos en cómo podemos evitar dicha vulnerabilidad.
Por lo tanto, si desea cumplir con la norma ISO 27001 se puede realizar el análisis de vulnerabilidad, aunque las pruebas de penetración sean una buena práctica, y es muy recomendable si quiere saber lo vulnerable que son sus sistemas.
Fases de la prueba de penetración
Si está pensando en realizar las pruebas de penetración para mejorar la implantación de la norma ISO 27001, existen diferentes empresas del sector de servicios públicos y plataformas que pueden utilizarse para automatizar, pero mi recomendación es que sigan estos pasos:
- Planificar: la planificación de las actividades, además de la identificación de los sistemas y los objetivos de información involucrada, siendo el mejor momento para la ejecución de las actividades y la planificación de las reuniones con las personas involucradas. También es importante la creación de un acuerdo entre la empresa y la persona que realiza la penetración.
- Recopilar información: se tiene que reunir la mayor cantidad de información posible, que se conoce de forma común como dos métodos comunes para realizar esta prueba son: OSINT e ingeniería social.
- El modelado de amenazas: existe mucha información sobre nuestros objetivos, además en el momento de desarrollar la estrategia necesaria para atacar a los sistemas del cliente. Puede imaginar un centro de llamadas en la que se han determinado en la fases anteriores de toda la información crítica sobre los clientes se almacena en una base de datos interna.
- Análisis de vulnerabilidades: se deben buscar todas las vulnerabilidades, lo que significa que se tendrá que identificar todas las vulnerabilidades que están relacionadas con nuestros objetivos. Como se ha visto antes, este paso puede ser obligatorio para la norma ISO 27001.
- Explotación: se realiza una explotación de medios, por lo que se realiza para explotar la vulnerabilidad determinada y obtener el control del sistema vulnerable.
- Post-explotación: Una vez que hemos obtenido el control del sistema, podemos acceder y descargar o transferir la información confidencial sobre clientes. O, tal vez podamos tratar de acceder a otros recursos internos de un sistema interno.
- Informes: Tenemos que desarrollar un informecon los resultados. Se recomienda realizarlo en dos partes diferentes: un resumen técnico y un resumen ejecutivo.
Otra cuestión importante es cómo definir el tipo de pruebas de penetración. Básicamente, hay dos tipos principales:
- Caja negra: Usted no tiene información sobre la compañía.
- Caja blanca: La organización le da información y también se dará acceso a los sistemas y recursos internos.
Hay otra posibilidad que es una mezcla de la caja negra y la caja blanca: la caja gris, la organización le puede dar un poco de información acerca de sus sistemas.
Hay muchas personas en todo el mundo que exploran constantemente internet en busca de sistemas vulnerables, y puede impresionar la cantidad de equipos vulnerables que se puede encontrar sólo con un motor de búsqueda. Por lo tanto, no espere a realizar un análisis de vulnerabilidad si quieres estar más seguro debes llevar a cabo una prueba de penetración. Y, recuerda que la aplicación de la norma ISO 27001 ayudará a llevar a cabo análisis de vulnerabilidad y realizar las pruebas de penetración en su organización, lo que significa que la alta dirección estará mucho más tranquila.
Software ISO 27001
El Software ISOTools Excellence para la norma ISO 27001 presta solución a todas estas cuestiones que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa. Toda protección es importante, por mínima que sea, pues el mínimo descuido puede ocasionar una violación de los datos de la misma.