Servicios Profesionales y Empresariales

¡Se te pasó!, accede a los artículos anteriores...

Octubre, 2024

Nueva ISO/IEC 38500-2024 para el gobierno de TI: acercamiento a la ISO 37000
(Por Mondragón Tapia David)

¡El reto de retos en los ámbitos de TI!

Hoy en día las organizaciones y/o los departamentos de TI que han iniciado su camino a, o se encuentran ya en su proceso de inmersión digital (del 2020 a la fecha), están experimentando un “alud” de necesidades, exigencias, alternativas, soluciones, limitaciones y carencias, ¡todas juntas a la vez!, en todos los ámbitos y aspectos del trabajo cotidiano. Los entornos “VUCA (Volatile, Uncertain, Complex, Ambiguous)” como se les conoce por sus siglas en inglés, establecen las nuevas condiciones dentro de las cuales los individuos y las organizaciones (comenzando por sus ejecutivos) deben seguir entregando los resultados esperados, pero sin perder o manteniendo un “cierto nivel de control y dirección” en las actividades, a lo que nos referiremos como “gobernanza o gobierno”.

Cuando uno tiene oportunidad de platicar con miembros de diversas organizaciones, respecto a la gobernanza, su valor o su nivel de éxito alcanzado, el común denominador resulta ser, que el reto está siendo por mucho, un factor agobiante y a veces casi imposible de lograr, si se decantan los esfuerzos o se agudizan las presiones de manera inoportuna. ¿Qué se puede hacer ante esto? Una opción podría ser orar, ¡tal vez ayude temporalmente a armonizar el alma y las emociones elevadas! Otra opción es acercarse a estudiar y entender algunas alternativas ya probadas, en lo que a gobierno corporativo y gobierno de TI se refiere.

La norma internacional ISO/IEC 38500

Desde hace más de quince años y junto a otros marcos o documentos de referencia en materia de “governance o gobernanza”, la norma internacional ISO/IEC 38500 ha venido proponiendo un camino para establecer y mantener un gobierno de TI para las organizaciones, que al menos en el papel se observa sencillo. La norma ISO/IEC 38500 establece un conjunto de definiciones, principios y actividades básicas aglutinadas en un modelo aplicable a órganos rectores, que permiten evaluar, dirigir y monitorizar el uso de la tecnología de la información (TI) tanto en el tiempo actual, como en el futuro. A diferencia de lo que tal vez algunos esperarían de las normas ISO, esta norma no es certificable, sino que es una norma consultiva de alto nivel que establece lineamientos, guías o incluso se podría decir que mejores prácticas, para apuntalar la gobernanza de TI, con base en el uso de estándares apropiados, además de proporcionar una orientación precisa y suficiente sobre el papel de la gobernanza y los órganos de gobierno.

La norma ISO/IEC 38500 busca ser esa ayuda para aquellos, quienes se encuentran en los niveles más altos de las organizaciones públicas y privadas, y requieren establecer o mejorar su comprensión y el cumplimiento de sus obligaciones legales, regulatorias, contractuales, así como aquellas obligaciones éticas que se deriven del uso de la TI (ej. uso ético de la IA o Inteligencia Artificial).

Además, la norma hace una diferencia entre la gobernanza y la gestión (vea términos en la ISO/IEC 38500 y detalles en la ISO/IEC TR 38502), siendo aplicable a organizaciones grandes, órganos de gobierno robustos, organizaciones pequeñas, directores ejecutivos actuando como órganos de gobierno, sin importar el sector, propósito, diseño y estructura de propiedad.

Finalmente, cabe señalar también que la norma internacional ISO/IEC 38500 para la gobernanza o gobierno de TI, cuenta con una guía de implementación en la norma ISO/IEC TS 38501. Esta última norma fue diseñada y desarrollada, para orientar a aquellos que así lo requieran, sobre la forma en que se debe implementar la gobernanza de TI en las organizaciones, considerando lo siguiente:

  1. garantizar que se gestionen los riesgos asociados al uso de TI,
  2. garantizar que la organización maximice el valor de sus inversiones en TI y
  3. asegurar que se sigue una metodología correcta para implementar principios basados en la gobernanza de TI.

La inmersión digital de las organizaciones

En la actualidad, la mayoría de las organizaciones públicas y privadas utilizan la TI como una herramienta de trabajo fundamental, pudiéndose afirmar que pocas podrían funcionar eficazmente sin ella, hoy en día. Además de que la TI, se ha vuelto también un factor importante en el cumplimiento de los planes de negocio o estratégicos, de muchas organizaciones. Lo anterior conlleva que desde el punto de vista presupuestal, el gasto en TI esté llegando a representar una proporción cada vez más significativa, del gasto financiero y del recurso humano total de una organización. Por otro lado, aunque esta proporción sobre el gasto total viene creciendo, esto no implica forzosamente y en todos los casos, que se obtengan los retornos de estas inversiones así como los beneficios esperados y en cambio, si puede traer efectos adversos significativos para las organizaciones.

De acuerdo con las lecciones aprendidas documentadas y compartidas hasta ahora, algunas de las principales razones por las que las inversiones y los altos presupuestos de TI, no están dando los resultados favorables esperados, son:

  • la baja tasa de éxito de los proyectos de TI (del 20 al 60% en el mejor de los casos),
  • el marcado énfasis que se hace en los aspectos técnicos (la tecnología por la tecnología),
  • el buscar solamente los altos beneficios financieros para las organizaciones,
  • el centrarse solamente en los aspectos que conllevan las actividades de TI y
  • la pérdida del enfoque sobre cuál debe ser la principal razón para adoptar o incrementar el uso de TI.

Todas las razones anteriores y algunas más que no se han expuesto, revelan la urgencia de adoptar, actualizar y/o reforzar los modelos de gobierno de TI, que actualmente requieren las organizaciones sin importar su naturaleza o características, tanto en México, América Latina como en el mundo.

La nueva ISO/IEC 38500:2024

El pasado mes de febrero del presente año, la Organización Internacional de Estandarización o también conocida como ISO por sus siglas en inglés, publicó la actualización de la nueva norma internacional ISO/IEC 38500:2024, sustituyendo así a la norma ISO/IEC 38500:2015. Con este evento, se detonó formalmente el proceso de revisión, actualización y sustitución paulatina, de otras normas de la serie 38500 que sirven y complementan a la norma ISO/IEC 38500.

De entre los cambios más notables de la nueva norma, destacan los siguientes:

  • Los principios para la gobernanza de TI, se alinean ahora con los principios de la gobernanza previstos en la norma internacional ISO 37000:2021, lo cual puede llevar a una organización a ser más ágil y adaptable.
  • El modelo para la gobernanza de TI, se ha actualizado para incluir el "involucramiento de las partes interesadas", lo que puede conducir a una mayor claridad en las responsabilidades y la toma de decisiones para todos los aspectos del uso de TI.
  • El marco para la gobernanza de TI, se ha actualizado a partir de la norma internacional ISO/IEC TR 38502:2017, lo que ayuda a que las acciones críticas de la gobernanza se consideren y apliquen al uso de TI.

La guía de implementación para la nueva ISO/IEC 38500:2024, se encuentra aún en proceso de desarrollo (ISO/IEC WD 38501), por lo que mientras se concluye con dicho proceso, sigue vigente para su uso la ISO/IEC TS 38501:2015 aplicable a la ISO/IEC 38500:2015.

Si a ti te interesa saber más sobre el tema o cómo podemos apoyarte con el gobierno de TI de tu organización, ¡escríbenos, será un gusto platicar contigo y poder asesorarte!

Referencias y/o consultas

1. International Standards: ISO/IEC 38500 – Information Technology, Governance of IT for the organization, 2nd. Edition – 2015. ISO/IEC TS 38501 – Information Technology, Governance of IT – Implementation Guide, 1st. Edition – 2015.

2. Portal de ISO Standards: https://www.iso.org/standard/81684.htmlhttps://www.iso.org/standard/45263.html

Septiembre, 2024

ISO 14001: prevención de riesgos ambientales en los Data Center
(Por David Mondragón Tapia)

Dentro del funcionamiento del sistema global, lograr un balance entre el aspecto económico, social y ambiental (pilares del desarrollo sustentable), es fundamental para satisfacer las necesidades de las generaciones actuales, pero sin comprometer el futuro de las generaciones aún por venir. Los gobiernos y la sociedad de hoy, han desarrollado altas expectativas y mayores exigencias respecto al desarrollo sustentable, la rendición de cuentas y la transparencia, aunque pareciera que hemos entrado en un “impasse” con la actual clase política mundial, pues continuamente dan muestras de una falta de congruencia a veces torpe y otras tantas, de manera descarada.

Las legislaciones en materia ambiental son cada vez más robustas y estrictas, tanto para las organizaciones como para los ciudadanos, con el fin de prevenir y proteger al medio ambiente de la contaminación ambiental, el uso ineficiente de recursos, el manejo inadecuado de residuos, el cambio climático y la degradación del ecosistema y su biodiversidad. Dentro del universo de las organizaciones y teniendo una perspectiva de futuro, la industria de los Data Center o Centros de Datos viene presentando un proceso de transformación tecnológica, marcado por el crecimiento del cloud computing entorno al uso del internet. De acuerdo con la firma de expertos Vertiv, a medida que se acerca el año 2025, los Data Center se enfrentan al desafío de satisfacer la creciente demanda de computing, storage y IT applications. Lo anterior implicará, una transformación sustancial de dicha industria en ámbitos como la fabricación, las áreas de defensa o seguridad y los análisis avanzados, pero procurando siempre el balance que exige el desarrollo sustentable.

Aspectos ambientales de la operación del Data Center

La operación habitual de los Data Center, sin importar si se dedican solamente a la coubicación de equipamiento o hasta el hosteo de infraestructura y aplicaciones de TI, puede implicar la realización de diversas actividades que conlleven aspectos ambientales (interacción con el medio ambiente), que impliquen efectos adversos pero también benéficos para este. Ambos casos son de interés, por los perjuicios o bondades que pueden traer a la sociedad, al medio ambiente y a la economía.

Algunos ejemplos típicos de las actividades que realizan los Data Center y que conllevan aspectos ambientales, son los siguientes:

  1. La operación habitual de la infraestructura de servicio (ej. operación de servidores, redes y comunicaciones, almacenamiento, enfriamiento, etc.).
  2. El mantenimiento y limpieza del equipamiento TIC así como del equipamiento ambiental (ej. para generación de energía o climatizar).
  3. El mantenimiento y limpieza de las instalaciones físicas y de trabajo (ej. en los cuartos de comunicaciones, salas de máquinas, estaciones de energía, etc.).
  4. La operación de la infraestructura de emergencia para la electrificación (ej. como las estaciones de generación de energía de emergencia).
  5. La operación habitual de la infraestructura para trabajos administrativos (ej. como la seguridad, el monitoreo, la ingeniería, etc.).

Impactos ambientales: casos comunes del Data Center

De acuerdo con los ejemplos típicos proporcionados anteriormente, ahora se procederá a identificar los diferentes casos que se presentan, en los Data Center, con referencia a sus actividades con aspectos ambientales y los impactos que podrían estar causando, a sus comunidades y al ecosistema en donde operan.

A continuación mencionaremos algunos de los impactos ambientales, que se podrían materializar en los Data Center (como riesgos ambientales) y que requerirían de algún tipo de acción planeada para evitar los efectos adversos (plan de emergencia ambiental):

  1. Operación habitual de la infraestructura de servicio: puede generar contaminación por ruido, por residuos sólidos o peligrosos, por emisión de gases a la atmósfera, tráfico en la zona, así como presión sobre los recursos energéticos, daños a la salud del personal y efectos nocivos en la salud de la población cercana.
  2. Mantenimiento y limpieza del equipamiento TIC y ambiental: puede generar contaminación por residuos o desechos peligrosos, por emisión de gases a la atmósfera, por vertido de sustancias al suelo y efectos nocivos sobre la salud de la población.
  3. El mantenimiento y limpieza de las instalaciones físicas y de trabajo: puede generar contaminación por residuos o desechos sólidos o peligrosos, por vertido de sustancias al suelo y al agua, y daños a la salud del personal.
  4. Operación de la infraestructura de emergencia para la electrificación: puede generar contaminación por emisión de gases derivados de la combustión fósil a la atmósfera, por residuos o desechos peligrosos, por vertido de sustancias al suelo y efectos nocivos sobre la salud de la población cercana.
  5. Operación habitual de la infraestructura para trabajos administrativos: puede generar contaminación por ruido, por residuos sólidos o peligrosos, por emisión de gases a la atmósfera, así como presión sobre los recursos energéticos y daños a la salud del personal.

Prevención de riesgos ambientales: ISO 14001 y los Data Center

Para prevenir los riesgos ambientales en los Data Center, que son ocasionados por las actividades que conllevan aspectos ambientales y sus posibles impactos, las normas ISO han desarrollado un estándar en particular, que puede ser de gran apoyo en la gestión de este tipo de riesgos y en la implementación exitosa de los planes de emergencia ambiental.

La norma ISO 14001 ha sido creada para ayudar a las organizaciones y en especial puede apoyar a los Data Center, para establecer un marco de referencia sistemático que permita proteger el medio ambiente, así como responder a las condiciones ambientales cambiantes y su legislación aplicable, en armonía con las necesidades socioeconómicas. Lo anterior es posible, a través de la especificación de una serie de requisitos necesarios para implementar y operar un Sistema de Gestión Ambiental (SGA), que posibilite a cualquier organización a mejorar su desempeño ambiental.

Un SGA habilita a las organizaciones para que:

  • Desarrollen una política y objetivos ambientales (clave para la mejora del desempeño ambiental).
  • Identifiquen los aspectos de sus actividades, productos y servicios que puedan provocar impactos ambientales.
  • Desarrollen una mayor conciencia de su relación con el medio ambiente.
  • Establezcan controles operacionales para gestionar sus aspectos ambientales y sus obligaciones de cumplimiento ambiental.
  • Logren beneficios financieros y operacionales, como resultado de implementar alternativas ambientales respetuosas con el medio ambiente (clave para un mejor posicionamiento en el mercado).
  • Entre algunas otras.

Si a ti te interesa saber más sobre el tema y cómo podemos apoyarte, ¡escríbenos, será un gusto platicar contigo!

Referencias y/o consultas

1. Norma internacional ISO 14001:2015, “Sistemas de Gestión Ambiental – Requisitos con orientación para su uso”.

2. Portal de OSRAMI: https://osrami.com/blog/como-seran-los-centros-de-datos-en-el-2025 

Agosto, 2024

ISO 22313: un apoyo para implementar un Sistema de Gestión de Continuidad del Negocio
(Por David Mondragón Tapia)

La pandemia de H1N1 en el 2009, el ciberataque mundial con el ransomware WannaCry en el 2017, la pandemia de COVID-19 en el 2019-20 y el incremento de la temperatura global, la sequía y la escasez de agua que venimos experimentando, como consecuencia del cambio climático al 2024, ponen de manifiesto una nueva realidad en donde las organizaciones y los individuos, tienen que aprender a prevenir y a actuar de manera proactiva en su toma de decisiones, si desean aumentar su capacidad de resistir y recuperarse rápidamente de situaciones adversas, así como de garantizar la continuidad de sus actividades diarias.

En la medida en que las organizaciones y los individuos aprendan a afrontar escenarios de crisis “previstos” y “no previstos”, las problemáticas a enfrentar así como las medidas que se puedan adoptar, no sólo nos enseñarán a reaccionar más adecuadamente (adaptarse a la incertidumbre), sino también a salir adelante de cualquier crisis que se nos presente, pudiendo replantear con relativa facilidad nuestras actividades o negocios, así como nuestras capacidades de recuperación o resiliencia.

Ganadores y perdedores después del COVID-19

En México, la pandemia de COVID-19 dejó consigo persistiendo hasta nuestros días, organizaciones (de las 500 empresas más grandes) con crecimientos muy superiores a los esperados y por el otro lado, organizaciones con pérdidas muy significativas que siguen arrastrando hasta la fecha.

Amén de que la mayoría de estas empresas por su envergadura y buenas prácticas corporativas, seguramente contaban en su momento con niveles de madurez suficientes en materia de continuidad del negocio, lo que les permitiría resistir de mejor manera y recuperarse de las exigencias que en materia laboral, fueron impuestas por el aislamiento al que estuvimos sometidos, para reducir riesgos de contagio, esto no fue suficiente para evitar sufrir pérdidas en algunos casos. Por ejemplo, entre algunas empresas que experimentaron grandes crecimientos, derivados de los cambios favorables que trajo la pandemia están: Prolec GE (energía eléctrica) que incremento sus ventas en casi 1,313%, Evraz NA México (siderurgia y metalurgia) que incremento sus ventas en 387% o Mercado Libre (comercio electrónico) que incremento sus ventas en casi 349%. Por el otro lado, están empresas que a pesar de haber contado con capacidades en materia de continuidad del negocio, lo que les ayudó a sobrellevar la situación durante la pandemia, siguen con malos resultados como: Grupo Famsa (mercado minorista) que bajó sus ventas en casi 82.5%, CIE (espectáculos) que bajó sus ventas en casi 61.5% o Cinemex (centros cinematográficos) que bajó sus ventas en casi 55.5%.

Desafortunadamente no podemos contar la misma historia de otras organizaciones, fuera de este privilegiado grupo de 500 empresas grandes en México, que al no contar con niveles de madurez o simplemente no contar con capacidades en materia de continuidad del negocio, tuvieron que cerrar sus puertas y desaparecieron. Algunas de estas últimas organizaciones, experimentaron esa triste situación prácticamente al inicio de la pandemia y otras todavía vienen quebrando, como remanentes de los estragos que les ocasiono la nueva realidad en que vivimos.

Continuidad del negocio a partir de los lineamientos de la ISO 22301

La norma internacional ISO/IEC 22301:2019, establece los requisitos necesarios para implementar y mantener un Sistema de Gestión de Continuidad del Negocio (SGCN), que faculta a las organizaciones para desarrollar capacidades en materia de continuidad del negocio, adecuadas a la cantidad y tipo de impactos que puede o no aceptar, después de experimentar un evento disruptivo (emergencia o desastre).

Así pues la norma define los requisitos para establecer, implementar, mantener y mejorar continuamente, un SGCN que sirva para:

  • protegerse contra,
  • reducir la probabilidad de ocurrencia de,
  • prepararse para,
  • responder ante y
  • recuperarse de las interrupciones cuando éstas se presenten.

Los requisitos son aplicables a cualquier tipo y tamaño de organización, siempre que esté buscando lo siguiente:

  1. Implementar un SGCN.
  2. Asegurar la conformidad con la política de continuidad del negocio (BCM).
  3. Ser capaz de continuar con la entrega de sus productos y servicios, a una capacidad predefinida aceptable durante un evento disruptivo (emergencia o desastre).
  4. Mejorar su capacidad de recuperación.
  5. Evaluar la capacidad de la organización para cumplir sus propias necesidades y obligaciones de continuidad.

Un apoyo para implementar un SGCN

La norma internacional ISO 22213:2020 es una norma complementaria o de apoyo, que proporciona una guía u orientación sobre los requisitos especificados en la norma ISO/IEC 22301:2019. La norma proporciona orientación general sobre todos los aspectos de la continuidad del negocio y sobre los requisitos de un SGCN, sin que esto implique que sea una norma exhaustiva en la materia. La norma cubre los mismos apartados o secciones que la norma ISO 22301, sin reafirmar o alterar los requisitos, términos y definiciones relacionados, pero si tratando de explicar, aclarar y en ocasiones hasta de ilustrar (mediante imágenes y ejemplos), el significado y propósito de los requisitos necesarios para implementar un SGCN, ayudando en la resolución de cualquier problema de interpretación.

Así pues, la ISO 22313 es el documento que fue creado para brindar orientación y recomendaciones, con el fin de poder desarrollar y cubrir los requisitos del Sistema de Gestión de Continuidad del Negocio (SGCN), que han sido establecidos en la ISO 22301. Dicha orientación y recomendaciones, se basan en buenas prácticas internacionales en la materia, las cuales podrán ser encontradas en otros estándares (ej. NIST u otras normas ISO) o marcos de referencia (ej. CobiT o ITIL) que traten del tema.

Si en tu organización necesitan implementar y certificar un SGCN, garantizar la conformidad con la política de continuidad del negocio, continuar entregando productos y servicios durante una interrupción o simplemente mejorar su resiliencia organizacional, entonces necesitan la norma ISO 22301 en conjunto con la ISO 22313, ¡créeme, te pueden ser de mucha utilidad!

Si a ti te interesa saber más sobre el tema y cómo podemos apoyarte, ¡escríbenos, será un gusto platicar contigo!

Referencias y/o consultas

1. Norma internacional ISO 22313:2020, “Security and resilience - Business continuity management systems - Guidance on the use of ISO 22301”, Segunda edición, Ginebra – Suiza.

2. Norma internacional ISO 22301:2019, “Security and resilience - Business continuity management systems - Requirements”, Segunda edición, Ginebra – Suiza.

3. Portal de la firma E&Y: https://www.ey.com/es_mx/strategy-transactions/companies-can-reshape-results-and-plan-for-covid-19-recovery

4. Portal de Revista Expansión: https://expansion.mx/empresas/2022/09/27/empresas-500-ganaron-perdieron-pandemia-covid

Julio, 2024

ISO 27032 - Ciberseguridad: un complemento para la ISO 27001 y 2
(Por David Mondragón Tapia)

Hoy en día, nos encontramos viviendo ya en la era post-pandemia del COVID-19, dejándonos a su paso varias lecciones aprendidas y sobre todo, un cambio significativo en nuestro mundo y en la manera en como realizamos nuestras actividades cotidianas y de trabajo. El mundo ahora se encuentra más interconectado, abarcando desde el funcionamiento de los servicios domésticos (ej. la compra de comida o el mandado), los comercios (ej. tiendas y plazas en línea), los servicios financieros (ej. portales y aplicaciones bancarias), hasta la salud y la educación, entre muchos otros casos. Algo que tienen en común todos los casos anteriores, es el uso de la tecnología y el manejo de la información digital, en un ambiente virtual habilitado por el internet y al que llamamos “ciberespacio”. Es esta dependencia creciente de la tecnología, lo que hace de la ciberseguridad, un tema fundamental para garantizar la existencia de las organizaciones y de los individuos.

Tendencias alarmantes en el ciberespacio

Mirando algunas fuentes de información, así como cifras de interés en materia de ataques dentro del ciberespacio, encontramos lo siguiente:

  1. El “robo de credenciales” es una de las razones más comunes de ataques, entre los individuos.
  2. La “mala configuración” de equipos y/o software es otra de las razones más comunes de ataques, entre los individuos y entre las organizaciones.
  3. El ”ransomware” es otro de los ataques que se está volviendo cada vez más común, entre las organizaciones sin importar sector o actividad económica.
  4. El “denial of service” es otro de los ataques que se mantiene dentro de los más comunes, entre las organizaciones.
  5. La “ingeniería social” es otra más de las razones de ataques, entre los individuos (ej. suplantación o fraude) y entre las organizaciones (ej. robo de información).

De acuerdo con la información publicada en tiempo real, por una de las compañías especializadas en ciberseguridad (Kaspersky), México se encuentra regularmente entre los 10 países más atacados en el mundo y en Norteamérica se encuentra regularmente entre los 5 países más atacados en la región (abarcando el norte y centro de América). Dentro de los casos de ataques más comunes que se dan en México, encontramos los siguientes:

  • Cuando se accede a algún archivo o documento digital, el 12.44% de las veces se detecta el malware: Trojan.WinLNK.Agent.gen.
  • Cuando se accede y utiliza el correo electrónico, el 10.33% de las veces se detecta el malware: DangerousObject.Multi.Generic.
  • Cuando se accede y utiliza internet a través de un navegador web, el 35.05% de las veces se detecta el malware: Trojan.Script.Generic.
  • Cuando un hacker accede a tu red y a tu infraestructura, el 47.09% de las veces puede secuestrar tu infraestructura utilizando alguno de los siguientes malware: Trojan-Ransom.Win32.Wanna.m, Trojan-Ransom.Win32.Wanna.zbu y Trojan-Ransom.Win32.Blocker.pef.
  • Entre algunas otras situaciones interesantes y alarmantes.

De acuerdo con la Asociación de Internet de México, para el año 2023 había ya 96.8 millones de personas conectadas al internet (o ciberespacio), de las cuales solamente la mitad (50%) utilizan algún tipo de solución antimalware (o protección), lo cual sorprende por el incremento exponencial que vienen presentando los ataques en internet a la fecha.

La norma internacional ISO/IEC 27032

En una arena en donde las cifras pueden causar alarma entre las organizaciones y entre los individuos, ¿qué podemos hacer para estar más seguros? La Organización Internacional de Normalización (“ISO” por sus siglas en inglés) ha publicado una norma (la ISO/IEC 27032), cuyo propósito principal es proporcionar a las organizaciones y a los individuos interesados en el tema, guías para la ciberseguridad que ayuden a fortalecer su Sistema de Gestión de Seguridad de la Información (SGSI basado en la ISO/IEC 27001).

La norma 27032 propone formas para abordar los problemas de seguridad en internet, así como orientación para abordar las amenazas más comunes a la seguridad en internet (ej. ataques de ingeniería social, de día cero, a la privacidad, hackeo y malware).

En el contenido de la norma, encontraremos algunos controles técnicos y no técnicos, que se recomienda aplicar para el tratamiento de los riesgos de seguridad de internet, entre los que destacan los siguientes: 

  • Controles para prepararse para los ataques.
  • Controles para prevenir ataques.
  • Controles para la detección y el seguimiento a los ataques.
  • Controles para responder a los ataques.

Seguramente algunos de ustedes habrán encontrado cierta similitud entre lo anterior y el Proceso de respuesta a incidentes de seguridad o las funciones del Ciber Security Framework de NIST. La verdad es que la norma 27032 se centra en proporcionar mejores prácticas de industria, para ayudar a las partes interesadas a desempeñar un mejor papel ante el desafío de la seguridad en internet, además de cubrir los aspectos básicos de la seguridad de la información (confidencialidad, integridad y disponibilidad de la información), de ahí que tenga similitudes con otros conceptos o marcos de referencia en materia de ciberseguridad.

La nueva norma ISO/IEC 27032:2023

Derivado del proceso de actualización que experimentaron las normas ISO/IEC 27001 y 27002 durante el año 2022, la norma ISO/IEC 27032:2012 también experimentó un proceso de revisión y actualización, con el ánimo de mantenerse a tono con las anteriores normas. La nueva norma ISO disponible en materia de ciberseguridad, es la ISO/IEC 27032:2023. Entre los principales cambios que se dieron de la versión 2012 a la 2023, se encuentran los siguientes:

  1. Se modificó el título para destacar no solo las guías en ciberseguridad, sino hacer hincapié en la seguridad de internet.
  2. Se modificó la estructura del documento para centrarse en la seguridad de internet (conceptos y controles).
  3. Se cambió el enfoque para la valoración y el tratamiento de riesgos, agregando contenido sobre amenazas, vulnerabilidades y vectores de ataque, para identificar y gestionar los riesgos de seguridad en internet.
  4. Y finalmente se agregó el Anexo “A”, en donde se relacionan los controles para la seguridad de internet de la sección 9.2 de la ISO/IEC 27032, contra los controles contenidos en el Anexo “A” de la ISO/IEC 27001 ó en la ISO/IEC 27002.

Si a ti te interesa saber más sobre el tema y cómo podemos apoyarte, ¡escríbenos, será un gusto platicar contigo!

Referencias y/o consultas

1. Norma internacional ISO/IEC 27032:2012, “Tecnologías de la Información – Técnicas de Seguridad – Lineamientos para la Ciberseguridad”. Primera edición, Ginebra – Suiza.

2. Norma internacional ISO/IEC 27032:2023. “Ciberseguridad – Lineamientos para la Seguridad en Internet”, Segunda edición, Ginebra – Suiza.

3. Portal de las normas ISO: https://www.iso.org/standard/76070.html

4. Portal de Kaspersky “Cyberthreat Real-Time Map”: https://cybermap.kaspersky.com

5. Portal de la Revista Expansión: https://expansion.mx/tecnologia/2023/05/17/los-usuarios-de-internet-en-mexico-alcanzan-su-pico-maximo

6. Portal de Cyberlat firma de ciberseguridad: https://www.cyber.lat/post/encuesta-de-ciberseguridad-en-m%C3%A9xico-2023 

Junio, 2024

Norma ISO 19011: un apoyo para el desarrollo de la práctica de auditoría interna en los SG
(Por David Mondragón Tapia)

De acuerdo con las nuevas necesidades en materia de protección de la información utilizada en el ciberespacio, la Organización Internacional de Normalización (ISO por sus siglas en inglés) publicó la tercera edición de la norma ISO/IEC 27001, misma que entró en vigor desde el pasado 25 de octubre de 2022, dejando sin validez la edición del 2013 a partir del 31 de octubre del 2025.

Esta norma internacional, tiene como propósito que las organizaciones que se certifiquen bajo sus requisitos, logren gestionar sus riesgos de seguridad de la información, a través de un Sistema de Gestión de Seguridad de la Información (SGSI por sus siglas en español), con el fin de proteger la confidencialidad, integridad, disponibilidad y privacidad de la información, mejorando los aspectos operativos, tecnológicos, procedimentales, humanos y del entorno organizacional. Además de la actualización que experimentó en la relación de los controles de seguridad de la información, la norma 27001 tiene un nuevo alcance cubriendo ahora la ciberseguridad y la protección de la privacidad. Sin embargo y a pesar del intenso proceso de renovación al que fue sometida la edición 2013 para llegar a la 2022, la práctica de auditoría interna, es de las que se mantuvo intacta consolidándose como una de las herramientas para la mejora continua del SGSI.

Sección 9.2 de la ISO 27001:2022

Dentro de la norma ISO/IEC 27001:2022 la sección 9.2. Auditoría Interna, corresponde a un grupo de requisitos para certificar un SGSI. En dicha sección se puede apreciar una nueva estructura de la información, con el propósito de remarcar la conveniencia y necesidad de desarrollar una práctica de revisión al Sistema de Gestión de Seguridad de la Información.

Además, se destacan algunos otros aspectos relevantes a la práctica de auditoría interna, como son los siguientes:

  • La realización de revisiones a intervalos planificados.
  • La necesidad de revisarle al SGSI su nivel de conformidad y de efectividad.
  • La importancia de conformar al menos un programa de auditoría en donde se establezcan los intervalos de revisión, entre otros aspectos relevantes (ej. objetivos, alcance y criterios).
  • La selección y el mantenimiento de auditores competentes.
  • La documentación y preservación de los resultados de las auditorías.
  • La información y el seguimiento a los hallazgos de auditoría.

Práctica de Auditoría Interna para los SGSI

Para el desarrollo de una buena práctica de auditoría interna, que ayude al esfuerzo de mejora continua de un SGSI, la norma ISO/IEC 27001 hace referencia a otra norma que es la ISO/IEC 27003, en donde se establecen una serie de lineamientos o guías para implementar de manera adecuada los requisitos propios del SGSI.

Dentro de la 27003 se ha establecido que la actividad de revisar o evaluar un SGSI, debe hacerse a intervalos planificados (ej. mensual o trimestral) mediante ejercicios de revisión interna, que proporcionen a la alta dirección de la organización, la seguridad de que el SGSI se mantiene en buen estado. Adicionalmente, dentro de la misma norma se trata la necesidad de establecer una serie de principios de auditoría (ej. integridad, justa presentación, debido cuidado profesional, entre otros), un enfoque de revisión basado en procesos, además del manejo de un programa de auditoría, la competencia y evaluación continua de los auditores, junto con un proceso de auditoría.

La norma ISO 19011

Una de las más frecuentes recomendaciones que se suelen dar a las organizaciones clientes o potencialmente clientes, para un proceso de certificación bajo la norma ISO/IEC 27001, en lo concerniente al cumplimiento de los requisitos relacionados con la sección 9.2. Auditoría Interna, es el aprovechamiento de la norma ISO 19011.

La norma ISO 19011:2018 es la que establece las principales directrices para desarrollar una práctica de auditoría interna, para cualquier sistema de gestión ISO que apegándose a la estructura de requisitos del “Anexo SL” (para las normas certificables más populares), se requiera o se desee auditarse a intervalos planificados. La norma ISO/IEC 27001:2022 es una de esas normas que se apega al Anexo SL y por lo tanto, revisable bajo las directrices marcadas por la ISO 19011. El contenido de la ISO 19011 no es certificable ya que constituyen directrices, lineamientos o mejores prácticas en materia de auditoría interna. Su estructura documental consta de las siguientes secciones (¡note las similitudes, con lo que establece la ISO 27003!):

  • Sección 1. Objeto y campo de aplicación: para auditar sistemas de gestión en cualquier organización.
  • Sección 2. Referencias normativas: no considera ninguna.
  • Sección 3. Términos y definiciones: por ejemplo, auditoría, programa de auditoría, evidencia de la auditoría, etc.
  • Sección 4. Principios de auditoría: indicando pautas de actuación durante la auditoría.
  • Sección 5. Gestión de un programa de auditoría: que es la calendarización de las revisiones y sus principales aspectos o implicaciones.
  • Sección 6. Realización de una auditoría: indicando las actividades desempeñadas en una auditoría típica.
  • Sección 7. Competencia y evaluación de los auditores: estableciendo y determinando las características de las personas que participan en la realización de las auditorías.

Si a ti te interesa saber más sobre el tema y cómo podemos apoyarte, ¡escríbenos, será un gusto platicar contigo!

Referencias y/o consultas

1. Norma internacional ISO/IEC 27001:2022, “Seguridad de la Información, Ciberseguridad y Protección de la Privacidad – Sistemas de Gestión de Seguridad de la Información - Requerimientos”. Tercera edición, Ginebra – Suiza.

2. Norma internacional ISO 19011:2018, “Directrices para la auditoría de los Sistemas de Gestión”, Tercera edición, Ginebra – Suiza.

Mayo, 2024

Consejos simples para la seguridad en redes de datos
(Por David Mondragón Tapia)

De acuerdo con la visión compartida, por uno de los líderes de opinión en materia de adopción y uso de las tecnologías de información y comunicación, durante el siglo XXI habrá solamente dos tipos de organizaciones, las que estén en internet y las que dejarán de existir (Bill Gates, fundador de Microsoft). El número de organizaciones que están desplegando redes inalámbricas de forma insegura, igual que el número de personas que se conectan diariamente, a cualquier red de datos que se les ofrece como alternativa y/o mantienen permanentemente activadas sus conexiones de datos, WiFi, Bluetooth o NFC, está creando vulnerabilidades a un ritmo alarmante. ¿Por qué, te preguntarás?, porque creen que habilitar una red de datos, conectarse a una red de datos disponible por el solo hecho de ser gratuita o mantener activadas las distintas conexiones de red, solamente se limita a su entorno físico o el del dispositivo de usuario, para poder hacer uso del internet. Después se enteran (¡si se enteran!) que tienen metido a “Juanito El Hacker”, quien utilizando una antena 802.11, ha estado realizando una serie de acciones NO fortuitas NI ingenuas en la red o en el dispositivo personal, que se vuelven un dolor de cabeza o que por alguna razón tu dispositivo de usuario ya no trabaja tan rápido como antes, hace cosas que tu no le indicas o tiene activadas una serie de aplicaciones que no sabías que utilizabas ¡y de pronto, ya no te deja entrar al dispositivo con tu contraseña!

¿Qué son las redes de datos?

Para entender de manera simple y concreta el concepto de “red o redes de datos”, primero se debe revisar el origen etimológico de ambas palabras. La palabra “red” procede del vocablo latino “rete”, que quiere decir “malla”, mientras que la palabra “datos” procede de la evolución del vocablo latino “datum”, que quiere decir “dado”. Con esto, la red de datos se puede entender como: “una estructura que cuenta con un patrón característico, permitiendo la trasmisión de información a través del intercambio de bloques de datos”.

Las redes de datos son entonces redes de telecomunicaciones (comunicaciones a distancia), que están construidas por una mezcla de elementos de hardware (equipamiento) y software (sistemas de información o programas), que permite a los equipos de cómputo conectados a estas, el intercambio de datos. En estas redes de cómputo los dispositivos conectados en red, a través de los nodos de red, pasan los datos entre sí, a lo largo de las conexiones de datos. Las conexiones o enlaces de red que se establecen entre los nodos, se habilitarán a partir de los medios de comunicación, ya sean cableados o inalámbricos. Por lo tanto, una primera clasificación que podríamos heredar a las redes de datos, es que pueden ser cableadas y/o inalámbricas.

Principales tipos de redes de datos utilizadas

Hoy en día las redes de datos están compuestas por múltiples dispositivos y tecnologías, que convergen y se adaptan sobre una misma infraestructura de red. Por lo tanto, existen diferentes enfoques o criterios para clasificar a las redes. Se podría comenzar por clasificarlas en redes internas (intranet) y redes externas (internet) o en redes cableadas y redes inalámbricas o de acuerdo al protocolo de comunicación utilizado (ej. TCP/IP o UDP), pero para efectos prácticos nos avocaremos a la clasificación, de acuerdo a su uso en las actividades de la vida diaria, sea en el ámbito organizacional o en el personal.

  • Redes cableadas con esquema jerárquico: son aquellas que consideran una segmentación física (core, distribución y acceso) y lógica amplia, para conectar a los usuarios (no más de 7 saltos). (organizaciones)
  • Redes cableadas SOHO: son aquellas que consideran un esquema reducido (core y acceso) para conectar a los usuarios. (organizaciones pequeñas y hogar)
  • Redes privadas virtuales (VPN): son aquellas que se usan para el trabajo remoto de colaboradores y proveedores, integrando autenticación de usuarios y cifrado, para el acceso a la infraestructura interna. (organizaciones y personas)
  • Redes WiFi o Wireless Fidelity (WLAN): son aquellas que se habilitan mediante el uso del estándar IEEE 802.11, para conectar a los usuarios de forma aérea dentro de rangos cortos a medios. (organizaciones, hogar y personas)
  • Redes Bluetooth: son aquellas que se habilitan mediante el uso del estándar IEEE 802.15.1, para conectar a los usuarios de forma aérea dentro de rangos cortos. (hogar y personas)
  • Entre otros tipos de redes como: ZigBee, 4G/5G, LoraWAN, ISA100, etc.

Dependiendo del tipo de red o redes de datos que se habiliten y/o usen, las vulnerabilidades van cambiando y con estas los riesgos a la seguridad de la información, de las organizaciones y personas interconectadas a estas. Por eso, es crucial que los usuarios aprendamos a seguir algunas medidas básicas de seguridad.

Consejos para un uso seguro de las redes de datos

Sin importar el tipo de red o redes de datos que se estén utilizando, así como el ámbito dentro del cual ocurre este evento, los usuarios de las redes de datos debemos aprender algunas medidas básicas, para un manejo más seguro de la información dentro de estas. A continuación se listan algunas de estas:

  • No dejar las configuraciones por default de los dispositivos de interconexión, realizando un proceso de “hardening o endurecimiento” de estas.
  • Integrar tecnologías para el robustecimiento de la infraestructura de red, como son: DHCP snooping, port security o ARP inspection.
  • Habilitar listas de control de acceso (ACL) en la configuración de terminales virtuales.
  • Asociar las direcciones MAC con las IP, en los segmentos de red.
  • Implementar buenas prácticas en la definición y manejo de contraseñas.
  • Manejar opciones de cifrado en los dispositivos.
  • No publicar los SSID en redes inalámbricas e integrar al menos el uso de WPA2 (ideal WPA3).
  • Deshabilitar o desactivar las conexiones WiFi, Bluetooth, NFC o de datos 4G/5G cuando no se estén utilizando.
  • Integrar dispositivos de análisis y filtrado como antimalware, firewalls, IDS, IPS, etc.

Finalmente cabe agregar que en las normas ISO/IEC 27001:2022 y 27002:2022, se ha definido un grupo de controles de seguridad de la información, ciberseguridad y protección de privacidad (controles tecnológicos), que están orientados a la protección de riesgos vinculados con la tecnología y particularmente con el uso de las redes (ej. seguridad en las redes, seguridad en servicios de red, segregación de redes, autenticación segura, prevención de fuga de datos, filtrado web, etc.), que debidamente complementados con otros controles (ej. organizacionales, de personas y/o físicos), pueden también ser de utilidad para lograr un manejo o uso más seguro de las redes de datos de tu organización o de uso personal.

Si a ti te interesa saber más sobre el tema y cómo podemos apoyarte, ¡escríbenos, será un gusto platicar contigo!

Referencias y/o consultas

1. Portal de Definición: https://definicion.de/red-de-datos/

2. Portal Computer Weekly: https://www.computerweekly.com/es/consejo/Networking-redes-cableado-Similitudes-y-diferencias

Abril, 2024

Planes de emergencia y planes de seguridad: ISO 14001, 22301 y 27001
(Por David Mondragón Tapia)

Tras la crisis mundial de COVID-19, han quedado muchas lecciones que las organizaciones y los individuos deberíamos aprovechar, para tratar de aprender algo de utilidad para el intrincado futuro y así poder estar en mejor posición, para hacer frente a las posibles crisis que vendrán por delante. Mientras tanto, las organizaciones deberían tomar decisiones y medidas teniendo en cuenta su capacidad para garantizar la continuidad de las operaciones y la recuperación ante los daños causados por los desastres. Al término de cada crisis, las organizaciones deberían revisar su capacidad de recuperación y la agilidad para replantear su estrategia, de manera que puedan seguir prosperando en el tiempo.

De acuerdo con un análisis realizado por la firma E&Y (2020), el escenario de pandemia por COVID-19, ha dejado lecciones aprendidas muy valiosas para las organizaciones, en materia de continuidad y recuperación. De estas, se pueden destacar algunas de las siguientes:

  • Evaluar la solidez organizacional, del equipo ejecutivo y de sus iniciativas, para hacer frente a nuevas crisis en el contexto post-pandemia.
  • Reajustar los supuestos que sustentan el funcionamiento de las cadenas de suministro.
  • Priorizar la seguridad de las personas sobre todo lo demás y comunicarse adecuadamente con todas las partes interesadas.
  • Replantear la estrategia para mantener la continuidad del negocio y construir una mayor resistencia para estar mejor preparados para la recuperación.

De estas lecciones, cabe destacar la importancia que deberían tener la definición e implementación de las estrategias, planes y procedimientos de continuidad y recuperación en las organizaciones.

Importancia de los planes de emergencia

Dentro de las capacidades que deberán mostrar las organizaciones en la era post-pandemia, las que tienen que ver con la continuidad y recuperación, integran el manejo de los planes de emergencia entre algunos otros tipos de planes (ej. de recuperación, de pruebas, de personal, de comunicación, de evaluación de daños, de seguridad, etc.). Los famosos “planes de emergencia” son definidos a partir de un conjunto de estrategias, que permiten el establecimiento de las acciones a seguir, en caso de que algunas situaciones se materialicen de manera accidental, pudiendo ocasionar diferentes tipos de consecuencias a la organización. Es pues a partir de la detección y/o presencia de los incidentes (normales, de seguridad o disruptivos), que las organizaciones deben establecer los criterios, condiciones, tiempos, responsables, acciones, recursos y otros aspectos necesarios, para manejar de una manera planificada y no improvisada, la respuesta a darle a este tipo de situaciones que tendrían el potencial de llegar a convertirse, en verdaderos desastres.

Los planes de emergencia pues, deben considerar los escenarios de riesgo más relevantes para la operación del día a día (desde los activos hasta las consecuencias), pudiendo abarcar desde un aspecto ambiental (ej. por contaminación radioactiva), uno de seguridad de la información (ej. por un ciberataque) o uno que afecte la capacidad de entrega de los productos y/o servicios de la organización (ej. por una inundación o terremoto).

Importancia de los planes de seguridad

De la misma manera que ocurre con los planes de emergencia, ocurre con los planes de seguridad. Los famosos “planes de seguridad” también deben ser parte integral de las capacidades que deberán mostrar las organizaciones, en materia de continuidad y recuperación, ya que se definen también a partir de estrategias, para establecer las acciones junto con los criterios, condiciones , tiempos, responsables, recursos, departamentos y demás aspectos necesarios, para habilitar de manera planificada, los distintos lineamientos mínimos necesarios para operar con seguridad, aún en condiciones de emergencia o de desastre.

Los planes de seguridad pues, deben considerar los mecanismos más importantes a mantener durante la operación en contingencia, pudiendo abarcar desde la preservación de ciertos roles de seguridad (ej. guardias de seguridad), los mecanismos de gestión del personal (ej. acuerdos de no divulgación), hasta la tecnología aplicada a la seguridad (ej. control de acceso a los sistemas).

ISO 14001 (SGA) vs ISO 22301 (SGCN) vs ISO 27001 (SGSI)

Dentro del grupo de normas ISO, existen tres que han sido elaboradas para facilitar a las organizaciones, el logro de sus objetivos en materia de gestión ambiental (ISO 14001), de gestión de la continuidad del negocio (ISO 22301) y de gestión de la seguridad de la información – ciberseguridad – protección de la privacidad (ISO 27001). La norma ISO 22301 establece una serie de requisitos, que permiten a las organizaciones seguir un orden lógico en la definición, determinación y establecimiento de las estrategias, soluciones, planes y procedimientos necesarios, para desarrollar una capacidad organizacional en continuidad del negocio. De esta, el manejo de los planes de continuidad y recuperación (ej. BCP y DRP) son los más populares.

Por otra parte, la norma ISO 14001 establece una serie de requisitos, que permiten a las organizaciones seguir un orden en la definición, determinación y establecimiento de las situaciones y acciones de emergencia ambiental, que se deberían de planear para dar una respuesta ordenada, en caso de que se presenten algunos de estos escenarios, desarrollando una capacidad organizacional en materia de respuesta a emergencias ambientales. De esta, el manejo de los planes de emergencia ambiental son los más destacados, los cuales a su vez, podrían estar integrados en lo que sería el plan de emergencia, que es uno de los muchos planes que conforman la estructura de los planes de continuidad y recuperación.

Finalmente, la norma ISO 27001 establece una serie de requisitos y controles, que facilitan a las organizaciones considerar la inclusión de los aspectos mínimos de seguridad de la información, dentro de los planes de continuidad y recuperación, y por ende, en los planes de emergencia, desarrollando una capacidad organizacional en materia de protección de la información, a partir del tratamiento de los riesgos. De esta sobresale, la integración de la seguridad de la información en la continuidad del negocio, ya sea en casos de emergencia o desastre.

Si a ti te interesa saber más sobre el tema y cómo podemos apoyarte, ¡escríbenos, será un placer conversar contigo!

Referencias y/o consultas

1. Portal de Ernest & Young: https://www.ey.com/es_mx/strategy-transactions/companies-can-reshape-results-and-plan-for-covid-19-recovery

2. ISO/IEC 27001:2022 standard, “Information Security, Cybersecurity and Privacy Protection - Information Security Management Systems - Requirements”, Third edition, Ginebra – Suiza.

3. Norma internacional ISO 14001:2015, “Sistemas de Gestión Ambiental – Requisitos con orientación para su uso”, Segunda edición, Ginebra – Suiza.

4. ISO 22301:2019 standard, “Security and Resilience - Business Continuity Management Systems - Requirements”, Second edition, Ginebra – Suiza.

Marzo, 2024

Importancia del Risk Manager o RM
(Por David Mondragón Tapia)

De acuerdo con la revista Security Magazine, diversos líderes y expertos internacionales en materia de ciberseguridad o seguridad cibernética, predijeron para el año 2023 hasta 18 distintas tendencias a observar y de estas, muchas de ellas seguramente prevalecerán durante los años por venir (2024 a 2030). Una de estas dieciocho tendencias en materia de ciberseguridad, establecía que: “la gestión del riesgo cibernético sería una de las principales prioridades de los líderes de negocio (Karen Worstell, VMware)”.

La tendencia anterior destaca el hecho, de que la gestión de riesgos deberá moverse al centro de los sistemas productivos y en particular en lo referente a la ciberseguridad. Los sistemas productivos ya no funcionan ni son lo que eran hace diez o quince años. Hoy en día, las organizaciones y sus sistemas productivos deben enfrentar un creciente dinamismo y mayores consecuencias de los riesgos que enfrentan, los cuales se encuentran a su vez con reputaciones corporativas más frágiles. Como resultado de esto, en 2023 las organizaciones comenzaron a redoblar sus esfuerzos en la gestión del riesgo cibernético, las juntas directivas comenzaron a tener un papel y una responsabilidad mayor con respecto al proceso de garantizar controles adecuados, entendiendo que la gobernabilidad del riesgo cibernético ya no es sólo terreno del CISO o Chief Information Security Officer; sino que ahora es también una preocupación a nivel de directivos y funcionarios, descargando dicha preocupación en la figura del Risk Manager o RM.

¿Qué es el RM o Risk Manager?

El Risk Manager (RM) o también denominado Gestor de Riesgos, es la figura al interior de las organizaciones que se encarga de la gestión del riesgo y la incertidumbre, de una manera profesional y dedicada. Su principal responsabilidad consiste en identificar, analizar y evaluar los distintos peligros, a los que se puede enfrentar la organización diariamente, elaborando planes de tratamiento para prevenirlos y mitigar sus efectos negativos en caso de que estos riesgos se materialicen. Contar con un profesional de la gestión de riesgos, debidamente formado, capacitado y experimentado, se ha vuelto una prioridad en los diferentes sectores, actividades y organizaciones. Sin embargo, así como está pasando con los profesionales de la seguridad de la información o ciberseguridad, de la misma manera se viene experimentando una demanda  creciente por este tipo de talento y una falta de disponibilidad en el mercado laboral. Cabe agregar que el gestor de riesgos calificado, debe conocer y manejar marcos o estándares como son: CRAMM, ISO 27005, NIST SP 800-30, Octave Allegro, Risk Management de Cobit o del PMBoK y/o ISO 31000.

En el ámbito de la seguridad de la información o ciberseguridad, esta actividad ha venido experimentando un cambio de enfoque del año 2004 a la fecha, pasando de lo técnico a lo estratégico y en su aplicación, pasando de la simple adopción de controles tecnológicos, a la integración de mejores prácticas en la materia, hasta lo que tenemos hoy en día con la implementación de programas completos (NIST CSF) o sistemas de gestión completos (ISO 27001) basados en la gobernabilidad y la gestión de riesgos de seguridad, integrando también con estos la continuidad del negocio (ISO 22301).

Principales competencias del RM

Sin importar el tamaño de la organización, el sector al que pertenezca o la actividad que desarrolle, el Risk Manager o Gestor de Riesgos debe ser una persona que además de formación, capacitación y experiencia, integre algunas de las siguientes competencias para desempeñar de manera competitiva, su actividad al interior de las organizaciones (Gartner y Forrester, 2020).

Las principales competencias identificadas y con las que debería contar el RM, son:

  1. Tener conocimiento y conciencia de negocio, además de mentalidad estratégica.
  2. Capacidad para absorber y procesar grandes cantidades de información.
  3. Saber allegarse las fuentes de información y las herramientas de análisis adecuadas.
  4. Capacidad para trabajar rápido pero con la debida certeza.
  5. Tranquilidad para determinar y medir los riesgos.
  6. Habilidad para realizar los análisis financieros necesarios.
  7. Capacidad para comunicarse claramente a todos los niveles.
  8. Habilidad para convencer y negociar, siendo político o diplomático.
  9. Habilidad para crear políticas y procedimientos.
  10. Promover la colaboración y los resultados.
  11. Gestionar debidamente a los colaboradores.
  12. Saber sobre diversas regulaciones, estándares y cumplimiento.

Necesidad del RM en las organizaciones

Un reconocido experto en materia de ciberseguridad decía que: “si tú piensas que la tecnología puede resolver tus problemas de seguridad, entonces tú no entiendes los problemas y tú no entiendes la tecnología (Bruce Schneier)”.

Como ya se comentó previamente, los sistemas productivos cambiaron en los últimos diez a quince años y con estos, la seguridad de la información o ciberseguridad -aspecto clave en los primeros- hoy más que nunca requiere basarse en la gestión de riesgos. Sin embargo, las personas aún insisten en tomar decisiones basadas más en una percepción del riesgo (¡yo creo o yo no creo!), que en una evaluación real del riesgo. Lo anterior puede resultar en una sistemática mala toma de decisiones y por ende, en un aumento progresivo de la incertidumbre reflejada en el cumplimiento de los objetivos organizacionales (menor posibilidad). Uno pensaría que es más probable morir hoy en día de un “ataque de tiburón” o porque te “pegó un rayo”, ¡claro, sobretodo después de haber visto ciertas imágenes virales en internet!, que morir por un “ataque al corazón” o un “accidente de carro”. Sin embargo, las cifras indican que por cada muerto ocasionado por “ataque de tiburón” o “caída de rayo”, mueren poco más de 725,000 personas por “algún problema en el corazón” o más de 41,700 personas por “algún incidente con un carro” y eso solamente en los E.U.A. ¿Qué será en el resto del mundo?, ¡habría que consultarlo con un RM!

Si a ti te interesa saber más sobre el tema y cómo podemos apoyarte, ¡escríbenos, será un gusto platicar contigo!

Referencias y/o consultas

1. Portal de la Escuela Europea de Excelencia: https://www.escuelaeuropeaexcelencia.com/2019/08/10-habilidades-esenciales-para-un-buen-gestor-de-riesgos/

2. Portal personal de Bruce Schneier: https://www.schneier.com/

3. Portal de la revista Security Magazine: https://www.securitymagazine.com/articles/98729-18-cybersecurity-predictions-for-2023

4. Portal de UNIR la Universidad en Internet: https://www.unir.net/empresa/revista/risk-manager/

Febrero, 2024

La nueva ISO 27005:2022 y los SGSI - ISO 27001
(Por David Mondragón Tapia)

Ya sea por razones de gobernabilidad o de cumplimiento, por necesidades del mercado o por madurez organizacional, la seguridad de la información, la ciberseguridad y la protección de la privacidad de la información, constituyen hoy en día un “must” para las organizaciones y los individuos. Comúnmente es mediante la adopción de los Programas de Seguridad (ej. mediante NIST-CSF) o los Sistemas de Gestión de Seguridad de la Información (SGSI) (ej. mediante ISO 27001), que principalmente las organizaciones logran alcanzar niveles de seguridad, ciberseguridad y protección de la privacidad, aceptables para el contexto actual de riesgos. A raíz de la pandemia de COVID-19 y con esta, del aumento exponencial del teletrabajo y de la conexión a internet para tener acceso a los servicios en la nube, se dio también cabida a un incremento en el número de posibilidades (vulnerabilidades) para cometer una mayor variedad de delitos (amenazas) en el ciberespacio.

Ante este escenario, potenciar o al menos poner en igualdad de circunstancias a las organizaciones y a sus equipos de seguridad, se ha vuelto vital. Es aquí en donde los programas y sistemas de gestión en la materia, requieren de la rápida adopción y el desarrollo acelerado de una práctica de gestión de riesgos, que permita alcanzar esta meta. La nueva norma internacional ISO 27005:2022 es una opción más, disponible en el mercado, que viene a apuntalar dicho esfuerzo y en particular en la implementación de un SGSI con base en los requisitos y controles de seguridad de la ISO 27001.

La nueva norma ISO 27005:2022

La nueva norma ISO 27005:2022 ha sido revisada y actualizada para asistir a las organizaciones, en el proceso de implementación de los requisitos relacionados con los riesgos de seguridad de la información, especificados dentro de las secciones 6.1.2 y 6.1.3 de la norma internacional ISO 27001 (6. Planeación), así como en las secciones 8.2 y 8.3 de la misma norma (8. Operación). Dichas secciones han sido propuestas para respaldar la planeación y operación de las actividades de la gestión de riesgos de seguridad de la información, a través de la continua valoración de riesgos (risk assessment) y el adecuado tratamiento de riesgos (risk treatment).

La nueva norma ISO 27005:2022 toma como base para su desarrollo, los nuevos requisitos y controles plasmados en la norma ISO 27001:2022, así como la guía de implementación para la gestión de riesgos de la norma ISO 31000:2018, por lo que viene a constituirse ahora como la norma especializada para la gestión de riesgos en el contexto de la seguridad de la información, la ciberseguridad y la protección de la privacidad.

Por otra parte, esta norma también amplía la información contenida en la norma ISO 27003, para proporcionar una orientación más completa sobre cómo se debe implementar, una práctica de gestión de riesgos especializada en la seguridad de la información.

Finalmente cabe mencionar, que la nueva ISO 27005:2022 ha sido liberada para servir a las organizaciones en los siguientes aspectos:

  • En el establecimiento e implementación de un Sistema de Gestión de Seguridad de la Información (SGSI) de acuerdo con la norma ISO 27001.
  • En brindar apoyo a las personas y/o profesionales que participan o realizan la gestión de riesgos de seguridad de la información.
  • En facilitar el proceso de mejora de su práctica de gestión de riesgos de seguridad de la información.

ISO 27005:2018 vs 2022

Una de las mayores inquietudes que surgen cuando se actualiza y libera la nueva versión de algo, tiene que ver con la determinación de los principales cambios o afectaciones que experimentó la nueva versión, con respecto a la versión anterior. Así que atendiendo a dicha inquietud, diré que de manera general, los cambios que experimentó la nueva versión 2022 de la norma (4ª edición), contra la versión anterior 2018 (3ª edición), no son tan significativos o de fondo. A continuación se listan los principales cambios sufridos por la norma ISO 27005:2022:

  1. Se alineo el texto con el de la norma ISO 27001:2022 e ISO 31000:2018.
  2. También se alineo la terminología con la terminología utilizada en la ISO 31000:2018.
  3. La estructura de las secciones se ajustó a la estructura de la norma ISO 27001:2022.
  4. Se introdujo el concepto de “escenarios de riesgo”.
  5. Para la identificación de riesgos, se contrasta el enfoque basado en eventos (event-based) con el enfoque basado en activos (asset-based).
  6. Se revisó y reestructuró el contenido de los múltiples anexos, integrándolos ahora en un único anexo, de acuerdo con los dos enfoques para la identificación de riesgos.

Importancia de la gestión de riesgos

La gestión de riesgos está enfocada en la creación y protección del valor en las organizaciones, sin importar el sector al que pertenezcan, la naturaleza de su actividad o el tamaño de esta. El “valor” debemos entenderlo como todo aquello que es importante, útil o benéfico para las organizaciones, creándolo y protegiéndolo a través de la gestión de los riesgos, la toma de decisiones, el establecimiento y logro de los objetivos, y la mejora del desempeño. La gestión de riesgos ayuda a las organizaciones en el establecimiento de su estrategia, sus objetivos y en la toma de decisiones informadas, para enfrentar los factores e influencias externas e internas que provocan incertidumbre en el logro de los objetivos.

La gestión de riesgos de hoy, debe ser parte del liderazgo y la gobernabilidad de las organizaciones en todos sus niveles, siendo parte de todas las actividades asociadas con estas y las partes interesadas con que interactúan, incluyendo los factores culturales y el comportamiento humano.

La información junto con el talento humano y la tecnología, son algunos de los activos claves para el buen desempeño de las organizaciones competitivas. En el ámbito de la seguridad de la información, proteger la confidencialidad, integridad, disponibilidad y privacidad de la información, se logra no solamente a partir de la experiencia de los profesionales en la materia o el cumplimiento legal, regulatorio o contractual, sino también a través de una adecuada y efectiva gestión de riesgos de seguridad de la información, que constituyen el corazón de los Sistemas de Gestión de Seguridad de la Información (SGSI) con base en la ISO 27001:2022.

Si a ti te interesa saber más sobre el tema y cómo podemos apoyarte, ¡escríbenos, será un placer conversar contigo!

Referencias y/o consultas

1. Norma internacional ISO/IEC 27005:2022, “Seguridad de la Información, Ciberseguridad y Protección de la Privacidad – Guía para la Gestión de Riesgos de Seguridad de la Información”, Cuarta edición, Ginebra – Suiza.

2. Norma internacional ISO/IEC 27005:2018, “Tecnología de la Información – Técnicas de Seguridad, Gestión de Riesgos de Seguridad de la Información”, Tercera edición, Ginebra – Suiza.

3. Norma internacional ISO/IEC 31000:2018, “Gestión del Riesgo - Directrices”, Segunda edición, Ginebra – Suiza.

Enero, 2024

Habilidades del CISO en la tercera década
(Por David Mondragón Tapia)

¿Eres de los que todavía cree que el cibercrimen es una cuestión de ficción o aislada, que solamente se ve y se trata en el cine, o que afecta a los gobiernos de las naciones “poderosas”, o a las grandes empresas multinacionales, o a personas acaudaladas?

¡Entérate!, “Líder de banda hacker ganaba 100 millones de pesos al mes”, ¡sí!, y esto no ocurrió en Londres, Nueva York, Paris o Ámsterdam, sino en la mismísima ciudad de León, Guanajuato. En el año 2019 en pleno corazón de la República Mexicana, fue descubierta y detenida una organización criminal denominada “Bandidos Revolutions Team”, un grupo conformado por seis hackers que infectaban con “software malicioso”, el sistema SPEI de bancos para extraer dinero y depositarlo a terceros. Además, la organización criminal también buscaba vulnerabilidades en los sistemas bancarios, para seleccionar cajeros automáticos de los que podían extraer entre 100 a 200 millones de pesos por evento, realizaban clonación de tarjetas bancarias y fraudes con tarjetas de supermercado.

Hoy en día, es posible encontrar más incentivos para cometer ciberdelitos, que para mantenerse alejado de dicha actividad ilegal. La motivación de los ciberdelincuentes mejora cada vez más con el paso del tiempo y los avances tecnológicos, encontrándose ahora con: 1) grandes cantidades de dinero de por medio, 2) trabajo desde casa y cuando se desea, 3) bajo o nulo riesgo físico, 4) gran número de oportunidades y poco esfuerzo, 5) creciente incapacidad de las autoridades y gobiernos para combatirlos, y 6) lagunas en el marco legal y regulatorio a nivel internacional.

¡Ante este panorama no podemos agachar la cabeza o hacer como que nada pasa!, por el contrario, se vuelve prioritario desarrollar una cultura de seguridad organizacional e individual que fomente hábitos de trabajo seguro, una estrategia, un departamento, una práctica y nombrar al menos a un responsable de encabezar dichos esfuerzos en la organización: el CISO (Chief Information Security Officer) o ISO (Information Security Officer).

¿Qué es el CISO o Chief Information Security Officer?

El Chief Information Security Officer o CISO como es más conocido por sus siglas en inglés, es o debiera ser una posición clave y estratégica prácticamente en cualquier sector, tipo o tamaño de organización. En el pasado se solía decir que el CISO o Director de Seguridad de la Información, era el ejecutivo responsable de la seguridad de la información y los datos de una organización. Aunque esta definición pudiera resultar sencilla de entender, su simpleza pudiera no ser reflejo del rol que juega realmente el CISO en la actualidad.

Tal vez la mejor manera de entender lo que es o hace un CISO, es partiendo de las responsabilidades expuestas por Stephen Katz, quien fuera pionero en ocupar el rol del CISO en Citigroup. Katz describe las responsabilidades del CISO de la siguiente manera:

  1. Operaciones de seguridad: análisis en tiempo real de amenazas inmediatas y sus protocolos de intervención.
  2. Ciberiesgo y ciberinteligencia: mantenerse al tanto de amenazas de seguridad emergentes, ayudando a la junta directiva a entender los problemas de seguridad derivados de los movimientos empresariales importantes.
  3. Pérdida de datos y prevención de fraude: asegurar que el personal interno no robe ni haga mal uso de los datos.
  4. Arquitectura de seguridad: planificar, adquirir e implementar el hardware y software de seguridad, además de asegurarse de que la infraestructura TIC integra las mejores prácticas de seguridad.
  5. Gestión de identidad y acceso: asegurar que sólo las entidades autorizadas tengan acceso a los datos y sistemas restringidos de la organización.
  6. Gestión de programas de seguridad: anticipar las necesidades de seguridad implementando los programas que mitiguen riesgos en la materia (ej. instalación regular de parches de sistema).
  7. Investigaciones forenses: determinar las causas de una filtración, tratar con los responsables y evitar que se repita la misma crisis.
  8. Gobernanza: asegurar que los puntos anteriores se lleven a cabo y que el liderazgo organizacional entienda su importancia.

Principales habilidades del CISO

De acuerdo con ciertas predicciones hechas por la firma Gartner y la revista Forbes, en donde se prevé que algunos roles del área de gestión de riesgos y de la seguridad, serán requeridos por las organizaciones con base en sus competencias individuales (conocimientos, capacidades, habilidades y actitudes) y no tanto por sus habilidades técnicas o años de experiencia. Así, se espera que a partir del año 2020 al menos el 30% de los CISO que protagonicen la tercera década del siglo XXI, sean aquellos que logren cubrir además de ciertos conocimientos técnicos, una buena parte o preferiblemente todas las siguientes competencias individuales:

  1. Buenas habilidades de comunicación y de presentación.
  2. Conocimientos de administración y capacidad para el desarrollo de políticas.
  3. Actitud diplomática y conciliadora.
  4. Facilidad para el entendimiento del “negocio” y su lenguaje.
  5. Habilidades para la colaboración y resolución de conflictos.
  6. Conocimientos, capacidades y habilidades para la planeación y gestión estratégica.
  7. Habilidades para la gestión de colaboradores.
  8. Conocimientos y capacidades para la gestión de incidentes.
  9. Buen conocimiento sobre regulaciones, estándares y cumplimiento en seguridad.
  10. Conocimiento, capacidades y habilidades para la gestión de riesgos.

Necesidad del CISO en las organizaciones

¡Recuerda!, no existe la seguridad perfecta, tan solo la seguridad que nos ayuda a reducir la experiencia de padecer un mayor número de amenazas y que nos compra tiempo, para poder responder oportunamente a los ciberataques o incidentes. De acuerdo con algunas cifras y tendencias publicadas por la empresa IBM, a industrias como: salud, gobierno, entretenimiento, educación, consumo o servicios, les puede tomar más de 7 meses detectar una brecha de seguridad y más de 2.5 meses contenerla. De la misma manera, se estima que el 21% de todas las carpetas de una organización, están abiertas (públicas) a todos (permisos) y que el 30% de estos casos, corresponde a información sensible.  Por otro lado, el crecimiento de la población respecto al uso del ciberespacio, arroja cifras como que más del 50% de esta está ya en línea y que 1 millón de personas se siguen sumando diariamente al internet, además de que más de 2/3 de la población tiene al menos 1 dispositivo móvil.

Si a las cifras y tendencias anteriores les agregamos otras como son: 1) el incremento exponencial de los ataques a dispositivos móviles en los últimos 5 a 7 años, 2) el aumento del IoT/IIoT y su bajo nivel de seguridad, 3) la continua migración a los servicios en la nube, 4) el aumento de las campañas de ransomware y su eficacia (superior al 70%), 5) el aumento del 350% de las vacantes en seguridad o ciberseguridad del año 2013 a la fecha, 6) la falta de capital humano disponible o la incapacidad de las organizaciones para encontrar al talento adecuado y 7) que el 100% de las compañías Fortune 500 contarán con un CISO, todo lo anterior nos grita y nos restriega en la cara, la importancia y la necesidad de contar con esta figura al interior de las organizaciones, para poder hacer frente en condiciones más favorables, al complicado panorama que se viene por delante.

Si a ti te interesa saber más sobre el tema y cómo podemos apoyarte, ¡escríbenos, será un gusto platicar contigo!

Referencias y/o consultas

1. Portal de noticias de Milenio Diario: https://www.milenio.com/policia/lider-banda-hacker-ganaba-100-mdp-mes

2. Portal del CIO México: https://cio.com.mx/que-es-y-que-hace-un-ciso/

3. Portal de reportes de IBM: https://www.ibm.com/reports/data-breach

4. Estadísticas sobre internet: www.internetlivestats.com

Diciembre, 2023 

Gestionar riesgos a partir de la norma ISO 31000
(Por David Mondragón Tapia)

En el artículo del mes de septiembre, mencionaba que uno de los estándares internacionales que viene tomando cada vez mayor relevancia y preferencia, en el interesante reto de desarrollar la práctica de gestión de riesgos al interior de la organización, es la norma internacional ISO 31000 en su edición actual 2018, la cual propone un conjunto de tres componentes en materia de gestión del riesgo (1) principios, 2) marco de referencia y 3) proceso).

A partir de la adopción de estos tres componentes, la norma persigue lo siguiente:

  • Crear y proteger el valor en las organizaciones.
  • Mayor certeza en el logro de los objetivos organizacionales.
  • Asistir a las organizaciones en el establecimiento de su estrategia.
  • Contribuir a la mejora de los sistemas de gestión.
  • Ser parte de todas las actividades y partes interesadas de la organización.
  • Considerar el comportamiento humano y los factores culturales.
  • Gestionar los riesgos de manera eficaz, eficiente y coherente.
  • Enriquecer el proceso de toma de decisiones.

Componentes de la ISO 31000

La norma proporciona una serie de directrices fundamentales para gestionar el riesgo de cualquier tipo de organización, adaptándose a su contexto y a cualquier tipo de riesgo. Por lo tanto, contrario a lo que se podría pensar, no es una norma específica para un tipo de industria o sector (ej. solamente para el sector de las TICs o para el sector Financiero).

A continuación se presenta una breve descripción de cada uno de los tres componentes, que conforman a la norma:

  1. Principios: compuesto de ocho principios en total, los cuales proporcionan la orientación necesaria sobre las características que debe tener una gestión de riesgos eficaz y eficiente, partiendo de la “comunicación de su valor” para la organización y explicando su intención y propósito.
  2. Marco de referencia: compuesto de seis partes en total, las cuales buscan asistir a la organización en la integración de la gestión de riesgos, en las actividades y funciones significativas con el apoyo de la alta dirección, e integrándola a la gobernanza y al proceso de toma de decisiones habitual.
  3. Proceso: compuesto de seis etapas o fases en total, las cuales implican la aplicación sistemática de políticas, procedimientos y prácticas a las actividades de establecimiento del contexto, valoración y tratamiento, registro e informe, comunicación y consulta, seguimiento y revisión de los riesgos.

Gestión de riesgos: principios

Los principios son el fundamento de la gestión del riesgo y deben ser considerados junto con el marco de referencia y el proceso, para habilitar a la organización en el manejo de los efectos de la incertidumbre sobre sus objetivos. Así, la gestión del riesgo debe ser:

  • Integrada: como parte de todas las actividades de la organización.
  • Estructurada y exhaustiva: para obtener resultados coherentes y comparables.
  • Adaptada: al contexto externo e interno de la organización.
  • Inclusiva: con la participación de las partes interesadas.
  • Dinámica: en función de los cambios en el contexto externo e interno.
  • Mejor información disponible: como entradas de información histórica y actualizada.
  • Factores humanos y culturales: que influyen en los aspectos de la gestión del riesgo.
  • Mejora continua: a través del aprendizaje y experiencia.

Gestión de riesgos: marco de referencia

El marco de referencia para la gestión del riesgo implica su integración, diseño, implementación, valoración y mejora a lo largo de toda la organización, adaptando sus partes y la forma en que trabajan juntas, a las necesidades de la organización. Sus partes son:

  • Liderazgo y compromiso: de la alta dirección y de los órganos de supervisión.
  • Integración: siendo responsabilidad de todos los miembros de la organización.
  • Diseño: adecuado al contexto, compromiso, estructura organizacional, recursos y comunicación de la organización.
  • Implementación: mediante el desarrollo de un plan de proyecto apropiado.
  • Valoración: mediante la medición del desempeño y la evaluación de su idoneidad.
  • Mejora: a través de la adaptación a los cambios y la mejora de su idoneidad, adecuación y efectividad (eficacia + eficiencia).

Gestión de riesgos: proceso

Finalmente el proceso para la gestión del riesgo, debe ser parte integral de la gobernanza, la gestión y la toma de decisiones de la organización, siendo preferentemente “iterativo” aunque se documente y presente como etapas o fases secuenciales. Sus etapas son:

  • Establecimiento del alcance, contexto y criterios aplicables a cada iteración.
  • Valoración del riesgo abarcando su identificación, análisis y evaluación.
  • Tratamiento del riesgo abarcando sus opciones, medidas y plan de tratamiento.
  • Registro e informe de los resultados, decisiones y acciones necesarias.
  • Comunicación y consulta de las partes interesadas.
  • Seguimiento y revisión del diseño, implementación y resultados del proceso.

Si a ti te interesa saber más sobre el tema y cómo podemos apoyarte, ¡escríbenos, será un gusto platicar contigo!

Referencias y/o consultas

1. Norma Internacional ISO 31000:2018, Gestión del Riesgo – Directrices (traducción oficial al español), Segunda edición.

Noviembre, 2023 

Nuevos controles de seguridad de la información de la norma ISO 27001:2022
(Por David Mondragón Tapia)

De acuerdo con la información publicada en la revista Cybercrime Magazine, el costo de los daños causados por el cibercrimen se espera que en el año 2023, ascienda a 8 billones de dólares americanos y para el año 2025, alcance la espeluznante cifra de los 10.5 billones. ¿Qué hacer ante este panorama tan adverso para las organizaciones y las personas en materia de ciberseguridad?

A partir del año 2022, las normas internacionales ISO 27001 y 27002 tuvieron una serie de actualizaciones, principalmente a nivel de los controles de seguridad de la información (durante el 1er. semestre) y muy levemente en los requisitos para implementar un Sistema de Gestión de Seguridad de la Información (durante el 2do. semestre). Lo anterior se dio a raíz de las nuevas exigencias planteadas por la pandemia de COVID-19, en materia de teletrabajo y con este, en materia de ciberseguridad. Como lo señalaba anteriormente, el mayor cambio lo encontramos en los controles de seguridad de la información, los cuales pasaron de 14 dominios, 35 objetivos de control y 114 controles en la edición del año 2013, a 4 temas o categorías de controles y 93 controles en la nueva edición del año 2022. Los controles ahora se dividen en: “controles organizacionales”,  “controles de personas”, “controles físicos” y “controles tecnológicos”. Aunque a primera vista pareciera que disminuyeron el número total de controles (se simplificó), la realidad es que no es así, ya que se agruparon en varios casos dos o más controles de la edición 2013, en un solo control de la nueva edición y además se adicionaron 11 nuevos controles.

Nuevos controles organizacionales

Los controles organizacionales son aquellos que han sido determinados para regular las relaciones, entre los grupos de personas u organizaciones con la organización. A continuación se muestra una breve descripción de los nuevos controles organizacionales:

  • 5.7. Inteligencia de amenazas: se refiere a la recopilación y análisis de la información relacionada con las amenazas a la seguridad de la información, para producir inteligencia sobre nuevas o potenciales amenazas.
  • 5.23. Seguridad de la información en el uso de servicios cloud: se refiere al establecimiento de los requisitos de seguridad de la información de la organización, en los procesos de adquisición, uso, gestión y salida de los servicios cloud.
  • 5.30. Preparación de las TIC para continuidad del negocio: se refiere a la necesidad de planificar, aplicar, mantener y probar las TICs, para cumplir con los objetivos y requisitos de continuidad de las actividades de la organización.

Nuevo control físico

Los controles físicos son aquellos que han sido determinados para regular los objetos y espacios físicos de la organización. A continuación se muestra una breve descripción del nuevo control físico:

  • 7.4. Monitoreo de seguridad física: se refiere a la conveniencia de monitorizar continuamente las instalaciones, para detectar accesos físicos no autorizados.

Nuevos controles tecnológicos

Los controles tecnológicos son aquellos que han sido determinados para regular el uso de las tecnologías aplicables a la seguridad de la información en la organización. A continuación se muestra una breve descripción de los nuevos controles tecnológicos:

  • 8.9. Gestión de la configuración: se refiere al establecimiento, documentación, implementación, supervisión y revisión de las configuraciones (incluidas las configuraciones de seguridad) de hardware, software, servicios y redes.
  • 8.10. Borrado de información: se refiere a la eliminación de la información almacenada en sistemas de información, dispositivos o en cualquier otro medio de almacenamiento, cuando ya no sea necesaria.
  • 8.11. Enmascaramiento de datos: se refiere al uso de técnicas de ocultamiento de datos, para proteger la confidencialidad y privacidad de la información de acuerdo con la legislación aplicable.
  • 8.12. Prevención contra fuga de datos: se refiere a la aplicación de medidas para la prevención de fugas de datos sobre sistemas, redes y cualquier otro dispositivo que procese, almacene o transmita información confidencial.
  • 8.16. Monitoreo de actividades: se refiere a la conveniencia de monitorizar las redes, los sistemas y las aplicaciones, para detectar comportamientos anómalos y tomar las medidas apropiadas para evaluar posibles incidentes.
  • 8.23. Filtrado web: se refiere a la gestión de los accesos a los sitios web externos para reducir la exposición a contenido malicioso.
  • 8.28. Codificación segura: se refiere a la aplicación de principios de codificación segura del software, para reducir posibles vulnerabilidades durante el desarrollo.

Si a ti te interesa saber más sobre el tema y cómo podemos apoyarte, ¡escríbenos, será un gusto platicar contigo!

Referencias y/o consultas

1. ISO/IEC 27001:2022 standard, “Information Security, Cybersecurity and Privacy Protection — Information Security Management sSystems — Requirements”.

2. ISO/IEC 27002:2022 standard, “Information Security, Cybersecurity and Privacy Protection – Information Security Controls”.

3. Portal de Ciberseguridad: https://cybersecurityventures.com/cybercrime-to-cost-the-world-8-trillion-annually-in-2023/

Derechos reservados © 2022. DieresiS - Servicios Profesionales y Empresariales.

Necesitamos su consentimiento para cargar las traducciones

Utilizamos un servicio de terceros para traducir el contenido del sitio web que puede recopilar datos sobre su actividad. Por favor revise los detalles en la política de privacidad y acepte el servicio para ver las traducciones.

Configuración de privacidad

Traductor de páginas web

Vídeo de YouTube

Configuración de privacidad

Con esta herramienta podrá activar o desactivar varias funcionalidades utilizadas en este sitio web tales como etiquetas, rastreadores, herramientas de análisis, etc.

Seleccione todos los servicios
Traductor de páginas web
Más
Vídeo de YouTube
Más
Guardar la configuración