Saltear al contenido principal
ISO 27001

ISO 27001: ¿Qué grado de vulnerabilidad tiene tu sistema?

ISO 27001

ISO 27001

En ocasiones, las organizaciones han llegado a contratar a hackers informáticos para comprobar los posibles agujeros de seguridad que tienen. Ante esto, el porcentaje de éxito de encontrar algún tipo de error es del 100%. Para intentar evitar esta situación podemos ayudarnos de la norma ISO 27001.

Gracias a la ISO 27001 minimizamos o eliminamos la posibilidad de penetrar en el entorno de Tecnologías de la Información. Cuando se conoce cada una de las vulnerabilidades ante los posible ataques informáticos, se encuentra más protegido.

 

Análisis de la vulnerabilidad vs. pruebas de penetración

Cuando se lleva a cabo un análisis de vulnerabilidad en el sistema de información, pueden identificarse las vulnerabilidades técnicas relacionadas. Para ello, es necesario llevar a cabo una prueba de penetración.

Podemos suponer que se cuenta con un sistema vulnerable a la Inyección de SQL verificando de esta manera la vulnerabilidad del sistema. A continuación, pueden llevarse a cabo las pruebas de penetración, así como explorar la vulnerabilidad. Como consecuencia, puede accederse al sistema vulnerable y tener acceso o llegar a modificar información confidencial de la empresa.

En base al apartado A.12.6.1 del Anexo A de la ISO 27001 se puede conocer cómo impedir la explotación de las vulnerabilidades técnicas. En cuanto a la prevención de la explotación de la vulnerabilidad del sistema debemos preguntarnos qué se necesita para realizar las pruebas de penetración.

Por ello, si queremos cumplir con la ISO 27001 podemos llevar a cabo un análisis de vulnerabilidad, a pesar de que las pruebas de penetración sean una buena práctica. Esto es muy aconsejable si se desea conocer el grado de vulnerabilidad de los sistemas.

 

Fases de la prueba de penetración

Si decidimos llevar a cabo las pruebas de penetración con el objetivo de mejorar la implantación de la ISO 27001, encontraremos distintas organizaciones del sector de servicios públicos y plataformas de las que servirnos para automatizar dichas tareas. No obstante, se aconseja seguir los pasos que se indican a continuación:

  • Planificar. Elaborar la planificación de las actividades, así como la identificación de los sistemas y los objetivos de información involucrada. El mejor momento es durante la ejecución de las actividades y la planificación de las reuniones con las partes involucradas. Es significativa la elaboración de un acuerdo entre la organización y la persona que lleva a cabo la penetración.
  • Recopilar información. Se debe concentrar la mayor cantidad de información posible. Dos metodologías para llevar a cabo esta prueba son OSINT e ingeniería social.
  • Modelado de amenazas. Encontramos una gran cantidad de información acerca de los objetivos de la organización. Esta aparece en el momento de desarrollar la estrategia necesaria para atacar a los sistemas del cliente.
  • Análisis de vulnerabilidades. Debemos de buscar todas las vulnerabilidades posibles. Por lo tanto deben identificarse cada una de las vulnerabilidades relacionadas con los objetivos de la organización.
  • Explotación. Se realiza una explotación de medios. Esto se lleva a cabo para explotar una vulnerabilidad determinada y obtener de esta manera el control del sistema vulnerable.
  • Post-explotación. En el momento que hayamos obtenido el control del sistema, se puede acceder y descargar o transferir la información confidencial sobre clientes.
  • Informes. Debemos elaborar un informe con los resultados. Es recomendable llevar a cabo en dos partes diferenciadas. Por un lado un resumen técnico y, por otro, un resumen ejecutivo.

 

Definición de las pruebas de penetración

Otro de los aspectos relevantes es la forma de definición del tipo de pruebas de penetración. Principalmente encontramos dos tipos fundamentales:

  • Caja negra. No se tiene información acerca de la organización.
  • Caja blanca. La organización ofrece información, así como acceso a los sistemas y a los recursos internos.

Existe otra opción que es una combinación de la caja negra y la caja blanca, conocida como caja gris. En esta opción la organización aporta un poco de información sobre sus sistemas.

No se debe esperar a llevar a cabo un análisis de vulnerabilidad para ser conscientes del problema. Es mucho más recomendable realizar una prueba de penetración. A través de la ISO 27001 podemos llevar a cabo análisis de vulnerabilidad y pruebas de penetración en la organización. Como consecuencia, la alta dirección estará mucho más tranquila.

 

Software ISO 27001

Para garantizar la automatización, gestión y control de un Sistema de Gestión de Seguridad de la Información de manera eficaz, podemos ayudarnos con el Software ISOTools Excellence. Soluciona de forma completa los requisitos de la norma ISO 27001. Además, ofrece al cliente la herramienta imprescindible para obtener una mejora continua en su gestión de procesos, con el consiguiente aumento de sus beneficios a corto plazo.

¿Desea saber más?

Entradas relacionadas

Volver arriba