En esta sección de Hack&News ya hemos hablado en varias ocasiones de la inteligencia en amenazas, y de la importancia de implementarla en la organización para ayudar a que el proceso de gestión de riesgos, concretamente la evaluación, sea más eficaz, a través del conocimiento profundo de las amenazas, con información de valor, que permitan a las organizaciones tomar las mejores decisiones para el tratamiento de los riesgos derivados de estas amenazas. Pocos marcos de controles de seguridad hacían referencia de manera específica a la inteligencia en amenazas, al hecho de disponer de un programa de inteligencia en amenazas. Salvo NIST (National Institute of Standards and Technology), que sí hace referencia a un control como es PM-16: Threat Awareness Program, el resto de los marcos de controles no hacían una referencia específica, y algunos siguen sin hacerlo.
Inteligencia en amenazas en la nueva versión ISO/IEC 27001:2022
Antes de focalizarnos en el control específico, recordemos que tenemos nueva versión de esta Norma ISO, y con significantes cambios respecto a su versión anterior (2013). En la versión 2013 podíamos contabilizar hasta 114 controles, que se dividían en dominios (14) y objetivos de control (35). En esta nueva versión, se han fusionado más de 50 controles y se han añadido 11 nuevos controles. La versión 2022 agrupa los controles en; controles de personas, controles físicos, controles tecnológicos y controles organizacionales.
Lo que no ha cambiado es el enfoque del sistema de gestión de seguridad de la información, basada en el riesgo; en su evaluación y en su tratamiento. En este sentido, cobra especial importancia uno de los nuevos controles incluidos en esta versión 2022 y que precisamente hace referencia a la inteligencia en amenazas.
En la nueva versión del Anexo A de las ISO/IEC 27001:2022 podemos encontrar el control A 5.7 – Inteligencia en amenazas, y que precisamente viene cubrir este aspecto que tanto hemos mencionado en esta sección de Hack&News.
Este control precisamente focaliza en que las organizaciones deben disponer de información de valor, inteligencia, sobre amenazas que pueden poner en peligro sus sistemas de información. Para ello, de manera periódica, deberán consultar frameworks como MITRE ATT&CK o informes de fabricantes y organizaciones gubernamentales que hayan investigado los comportamientos de los Grupos APT (Advanced Persistent Threats), es decir, …
Miguel Ángel es consultor de seguridad de la información, con certificación CISA de ISACA y 15 años de experiencia en el mundo de la ciberseguridad. Experiencia en auditorías de seguridad e implantación de SGSI (ISO/IEC 27001). Desempeña la labor de Director de Ciberseguridad, liderando la estrategia de seguridad para la gestión de riesgos IT. Es Co-Líder del Grupo de Expertos de Seguridad en la Asociación itSMF España. Profesor en varios másteres de ciberseguridad (UCLM, Universidad de Sevilla y Universidad de Córdoba). Es autor del blog hacking-etico.com, fundador de Hack&Beers y ponente en congresos de ciberseguridad de ámbito nacional.
Todo lo que un Directivo debe saber...
Ha llegado la hora de formar a la Alta Dirección
Sesiones Directivas en Directo y en Remoto sobre todos aquellos aspectos que debe conocer la Alta Dirección sobre Gobierno y Gestión Organizacional.
Debe estar conectado para enviar un comentario.