Cumpliendo con la inteligencia en amenazas

"Cumpliendo con la inteligencia en amenazas" artículo de Miguel Ángel Arroyo en la seccion "Hack & News" de la edición de febrero de 2024 de la Revista Tecnología y Sentido Común TYSC a Revista Líder de Audiencia de la Alta Dirección y los Profesionales en Gestión de Proyectos, Servicios, Procesos, Riesgos y por supuesto Gobierno de Tecnologías de la Información

En esta sección de Hack&News ya hemos hablado en varias ocasiones de la inteligencia en amenazas, y de la importancia de implementarla en la organización para ayudar a que el proceso de gestión de riesgos, concretamente la evaluación, sea más eficaz, a través del conocimiento profundo de las amenazas, con información de valor, que permitan a las organizaciones tomar las mejores decisiones para el tratamiento de los riesgos derivados de estas amenazas. Pocos marcos de controles de seguridad hacían referencia de manera específica a la inteligencia en amenazas, al hecho de disponer de un programa de inteligencia en amenazas. Salvo NIST (National Institute of Standards and Technology), que sí hace referencia a un control como es PM-16: Threat Awareness Program, el resto de los marcos de controles no hacían una referencia específica, y algunos siguen sin hacerlo.

Inteligencia en amenazas en la nueva versión ISO/IEC 27001:2022

Antes de focalizarnos en el control específico, recordemos que tenemos nueva versión de esta Norma ISO, y con significantes cambios respecto a su versión anterior (2013). En la versión 2013 podíamos contabilizar hasta 114 controles, que se dividían en dominios (14) y objetivos de control (35). En esta nueva versión, se han fusionado más de 50 controles y se han añadido 11 nuevos controles. La versión 2022 agrupa los controles en; controles de personas, controles físicos, controles tecnológicos y controles organizacionales.

Lo que no ha cambiado es el enfoque del sistema de gestión de seguridad de la información, basada en el riesgo; en su evaluación y en su tratamiento. En este sentido, cobra especial importancia uno de los nuevos controles incluidos en esta versión 2022 y que precisamente hace referencia a la inteligencia en amenazas.

En la nueva versión del Anexo A de las ISO/IEC 27001:2022 podemos encontrar el control A 5.7 – Inteligencia en amenazas, y que precisamente viene cubrir este aspecto que tanto hemos mencionado en esta sección de Hack&News.

Este control precisamente focaliza en que las organizaciones deben disponer de información de valor, inteligencia, sobre amenazas que pueden poner en peligro sus sistemas de información. Para ello, de manera periódica, deberán consultar frameworks como MITRE ATT&CK o informes de fabricantes y organizaciones gubernamentales que hayan investigado los comportamientos de los Grupos APT (Advanced Persistent Threats), es decir, …

Continuar leyendo…

Miguel Ángel es consultor de seguridad de la información, con certificación CISA de ISACA y 15 años de experiencia en el mundo de la ciberseguridad. Experiencia en auditorías de seguridad e implantación de SGSI (ISO/IEC 27001). Desempeña la labor de Director de Ciberseguridad, liderando la estrategia de seguridad para la gestión de riesgos IT. Es Co-Líder del Grupo de Expertos de Seguridad en la Asociación itSMF España. Profesor en varios másteres de ciberseguridad (UCLM, Universidad de Sevilla y Universidad de Córdoba). Es autor del blog hacking-etico.com, fundador de Hack&Beers y ponente en congresos de ciberseguridad de ámbito nacional.

Todo lo que un Directivo debe saber...

Ha llegado la hora de formar a la Alta Dirección

Sesiones Directivas en Directo y en Remoto sobre todos aquellos aspectos que debe conocer la Alta Dirección sobre Gobierno y Gestión Organizacional.

Esta web utiliza cookies propias y de terceros para su correcto funcionamiento y para fines analíticos. Contiene enlaces a sitios web de terceros con políticas de privacidad ajenas que podrás aceptar o no cuando accedas a ellos. Al hacer clic en el botón Aceptar, acepta el uso de estas tecnologías y el procesamiento de tus datos para estos propósitos. Ver
Privacidad