martes, 23 de agosto de 2022

Nueva ISO 27002-2022

zGALO LIMA, CUMPLIMIENTO Y SEGURIDAD INFORMÁTICA, 0981478818


Nos han mantenido en suspenso durante mucho tiempo, pero finalmente la han publicado en febrero de este año. La nueva versión del estándar internacional ISO 27002, supone una revisión muy esperada por los profesionales y empresas que tienen implantado un Sistema de Gestión de Seguridad de la Información (SGSI) basado en la ISO 27001. La última gran versión data del año 2013 y, como podemos suponer, la seguridad de la información, ciberseguridad y la privacidad de los datos personales han sufrido grandes cambios y han introducido nuevos conceptos en nuestro día a día.

Recordemos que la ISO 27002 es un código de prácticas para los controles de seguridad que nos propone la propia norma ISO 27001. Al implantar el SGSI, debemos aplicar los controles necesarios para tratar los riesgos evaluados en la organización, y ahí opera este código para guiarnos en su implantación, gestión y comprobación de su idoneidad. Hasta la fecha, la ISO 27002 estaba compuesta de un total de 114 controles, agrupados en los que denominamos dominios o áreas de actuación de los controles (control de acceso, recursos humanos, desarrollo, etc.). Algunos controles ha perdido mucho peso, como los controles sobre soportes (apena usamos CDs o cintas, por mencionar algunos), y otros controles tienen una estructura poco consistente con la realidad, como es el caso de los dedicados al desarrollo de aplicaciones.

¿Y qué nos propone la nueva versión de la ISO 27002? Vamos a resumir los principales cambios:

1.      El número total de controles se ha reducido a 94.

2.      Se han eliminado los dominios, tal como los conocemos en la versión anterior. Ahora los controles se organizan en cuatro secciones: controles organizativos, sobre las personas, físicos y tecnológicos.

3.      Los controles ahora disponen de atributos. ¿Para qué nos sirven? Dependiendo de la perspectiva desde la cual necesitemos acudir a clasificar o ver los controles, los atributos nos permiten filtrarlos. Así pues, cada control tiene la siguientes características:

a.    Tipo de control, que puede ser preventivo, detective o correctivo.

b.   Propiedad de seguridad de la información a la que afecta: confidencialidad, disponibilidad e integridad.

c. Concepto de ciberseguridad al que aplica: identificar, proteger, detectar, responder o recuperar.

d.   Capacidades operativas. Este atributo del control es el más extenso y útil desde la perspectiva de quien aplica el control. Muy similar a los dominios de la versión anterior, los controles se agrupan, entre otros, en gobierno, seguridad física, control de vulnerabilidad y amenazas, recursos humanos o gestión de activos.

e.  Por último, se encuentra el atributo de dominios de seguridad, que se agrupan en cuatro: Gobierno y ecosistema, protección, defensa y resiliencia.

Si analizamos en detalle los nuevos controles, podemos observar que se adaptan mucho mejor a un entorno como es la ciberseguridad. Echábamos en falta un nuevo enfoque de los controles hacia un área concreta de la seguridad de la información que ha cobrado tanta relevancia, como es la ciberseguridad. Las empresas han emprendido un proceso de digitalización desde hace años, con mayor o menor velocidad, pero inevitable en cualquier caso. Esta digitalización no venía soportada por un elenco de medidas de seguridad más racional y con capacidad de adaptación a la empresa, sea cual sea su tamaño o complejidad. Asimismo, la capacidad para poder clasificar los controles en función de las diferentes necesidades (implantación de ciberseguridad, gobierno de la seguridad, implantación de controles o área donde se aplican), por fin permite darle más sentido a su aplicación.

Destacar que la norma deberá implantarse en todas las organizaciones que tengan certificada la norma ISO 27001, en un plazo de dos a tres años. Nos vienen años de trabajo, aplicando los nuevos controles, actualizando políticas y procedimientos, revisando su cumplimiento y, sobre todo, aprendiendo a asegurar la información de las empresas.

 

Los 10 nuevos controles de la ISO 27002:2022

La edición recientemente publicada de ISO/IEC 27002:2022 es la última actualización del catálogo principal de controles ISO 27002, oficialmente, un “conjunto de controles de referencia sobre seguridad de la información”.

Además de reestructurar y actualizar en general los controles de la segunda edición de 2013, el comité aprovechó la oportunidad para reforzar (por fin) la cobertura de la “Seguridad para la computación en la nube” con el nuevo control 5.23, además de otros diez controles nuevos, principalmente en la sección 8 (controles tecnológicos):

  1. Inteligencia de amenazas (5.7): recopilar inteligencia relevante y procesable sobre las amenazas a la información, alimentándola en el proceso de gestión de riesgos de la información.
  2. Preparación de las TIC para la continuidad del negocio (5.30): las organizaciones deben prepararse para manejar incidentes graves que afecten y/o involucren a las procesos críticos.
  3. Supervisión de seguridad física (7.4): instalar alarmas contra intrusos, circuito cerrado de televisión, guardias, etc. para locales comerciales. Este es un control tan básico y común que no se puede creer que faltara en edición anterior.
  4. Gestión de la configuración (8.9): se refiere a la necesidad de gestionar la seguridad y otros detalles de configuración para hardware, software, servicios y redes.
  5. Eliminación de información (8.10): este es otro control “obvio” que indica que los datos deben eliminarse cuando ya no sean necesarios para evitar una divulgación innecesaria y por razones de cumplimiento. Sin embargo, los detalles finos sobre cómo se eliminan la información son importantes en la práctica.
  6. Enmascaramiento de datos (8.11): de acuerdo con la política de control de acceso de la organización, además de otros requisitos comerciales y obligaciones de cumplimiento, los controles de seguridad son apropiados para mitigar el riesgo de revelar información personal confidencial.
  7. Prevención de fuga de datos (8.12): se requiere DLP para proteger la información confidencial contra la divulgación y extracción no autorizada de datos (robo, vigilancia, etc.).
  8. Actividades de monitoreo (8.16): las “anomalías” en las redes, sistemas y aplicaciones de TI deben detectarse y responderse para mitigar los riesgos asociados.
  9. Filtrado web (8.23): limitar el acceso a sitios web inapropiado o riesgoso es, aparentemente, un control de seguridad de la información lo suficientemente importante como para justificar su inclusión en la tercera edición.
  10. Codificación segura (8.28): el software debe estar diseñado y programado de forma segura, reduciendo el número y la gravedad de las vulnerabilidades explotables que surgen de fallas de diseño y los errores de programación. Este control está casi completamente dirigido al principio de ‘seguro por diseño’.

 Este nuevo estándar revisado es bastante débil en cuanto a la seguridad en Internet de las Cosas (IoT), lo que no sorprende dado que este campo aún es inmaduro. Las cosas de la IoT proliferan tan rápidamente y la tecnología es tan limitada en términos de procesamiento, almacenamiento y otras capacidades, que los controles de seguridad de la información son problemáticos.

CONTROLES ISO 27002-2022


BLOGS RELACIONADOS
GALO LIMA, CUMPLIMIENTO Y SEGURIDAD INFORMÁTICA, 0981478818

miércoles, 17 de agosto de 2022

Pugna por la Superintendencia que controla el lavado de activos

GALO LIMA, CUMPLIMIENTO Y SEGURIDAD INFORMÁTICA, 0981478818

 
Desde temas relacionados con lavado de activos e instituciones ilegales, hasta negociados todavía no saldados del todo, están en el cóctel de intereses.

Todo el mundo comenta que hay oscuros intereses detrás de la pugna para cooptar la Superintendencia de Bancos, tanto en redes como en conversaciones informales; pero casi nadie quiere dar el paso y pasar de los rumores a las evidencias concretas.

En una de sus últimas entrevistas públicas, cuando todavía era superintendente subrogante y no había sido descalificada de la terna del Gobierno para ser titular, Rosa Matilde Guerrero explicó la importancia central de la Superintendencia de Bancos.

“La Superintendencia de Bancos juega un rol, según la Constitución, de ser un organismo técnico de vigilancia, auditoría, intervención y control de las entidades a quienes da permiso de actuar, a quienes otorga entrada en el mercado financiero. Para eso, lo primero es saber de qué tipo de instituciones se trata y hacer cumplir requisitos mínimos como capital, interés, patrimonio técnico y regulación de riesgos”, puntualizó.

En este contexto, un primer interés detrás de las recientes disputas sobre la elección del nuevo Superintendente es tomar control de la institución que da carta de acceso y permiso de funcionamiento legal a cualquier tipo de entidad financiera.

Según Aníbal N., exfuncionario de la Superintendencia quien prefiere que su nombre no sea público, actualmente hay enormes riesgos y un aumento preocupante de las empresas financieras ilegales. “El papel de detección y prevención de delitos financieros, que hace la Superintendencia, es vital para evitar una mayor penetración del lavado de activos y el dinero del narcotráfico en el sistema formal. Aunque no todo se ha hecho perfecto, un manejo político y con intereses oscuros podría abrir la puerta a mayores problemas. Grupos políticos y económicos están detrás de eso”, dijo.

Saúl Romero, abogado con especialización en temas financieros, recalcó que el narcotráfico, la minería ilegal, los negociados en instituciones como el IESS, el Isspol e incluso el contrabando han crecido exponencialmente en el país durante los últimos 15 años. El paso siguiente para consolidar su dominio sería tener autoridades de control de bolsillo para tapar “movidas” pasadas, presentes y futuras.

Banco territorial, Biess y otros negociados

En el tema de las “movidas” pasadas hay casos con amplias repercusiones políticas, económicas e incluso sociales, donde la Superintendencia de Bancos tiene un papel importante que cumplir, ya sea para terminar la liquidación de entidades manejadas irregularmente como el Banco territorial o determinar responsabilidades en negociados dentro de entidades como el Banco del Instituto Ecuatoriano de Seguridad Social (Biess).

En este último caso, por ejemplo, la conjunción de un irresponsable manejo político y jugosos intereses económicos, provocaron el despilfarro de parte de la cartera de inversiones del Biess.

Se estima que al menos $419 millones se invirtieron en fideicomisos con serios problemas financieros y legales. De un total de 38 fideicomisos, 14 están paralizados, 13 se encuentran en liquidación, 6 están en fase de recuperación de inversiones, 2 son administrativos y solo tres están en ejecución.

Estas malas inversiones, según Macarena exfuncionaria consultada que también pide la reserva de su nombre,  se detectaron hace tiempo, pero los procesos de liquidación e investigación fueron tortuosos y lentos por los intereses políticos y económicos que hay detrás. “Incluso con una institucionalidad no totalmente cooptada por esos intereses, las presiones para que se actúe en tal o cual dirección son diarias en organismos de control como la Superintendencia. Lo que se logra detectar, con todos los limitantes, incomoda y siempre será mejor tener funcionarios a la carta para tapar todo”, añadió.

Otro negociado del pasado que no se termina de cerrar está relacionado con el lavado de activos del sistema Sucre, a través de instituciones financieras como el Banco Territorial. En este tema, si bien la Fiscalía acaba de anunciar el llamamiento a juicio a 30 personas naturales y 33 jurídicas, el proceso de liquidación del banco sigue a medias y con vacíos.

En ese proceso estuvo involucrado, como liquidador, Raúl González, quien fue designado superintendente de Bancos por la Asamblea, pero desconocido por el Gobierno de Guillermo Lasso (a pesar de haberlo incluido en la terna oficial).

Por eso, entre las primeras medidas que intentó imponer el fallido funcionario, según fuentes consultadas, se incluye el nombramiento de “personas de confianza” para encubrir los manejos en instituciones cuestionadas en las que no solo está el Banco Territorial, sino también otras como la Asociación Mutualista de Ahorro y Crédito para la Vivienda ‘Guayaquil’.

A todo esto, se suma que la Superintendencia de Bancos también es el controlador y supervisor de la banca pública, donde se han registrado innumerables manejos irregulares en los dos gobiernos anteriores; y que en la administración actual se busca sanear en medio de complicados procesos de cobro a grandes deudores morosos.

Manipulación política y caos

Otro aspecto para tomar en cuenta dentro de la disputa por la Superintendencia de Bancos es que también hay intereses en generar caos y manejar de manera política a la institución de control. Así, por ejemplo, Mauricio Pozo, exministro de Economía, en el contexto de la descalificación de Rosa Matilde Guerrero, aseveró que “quieren que la Superintendencia de Bancos baje las tasas de interés a dedo. Por eso descalifican a Rosa Matilde Guerrero. ¡Qué ignorancia!».

Asimismo, se hizo viral la disputa a través de twitter entre el economista Alberto Acosta Burneo y Raúl González.

En un tweet, Acosta Burneo aseguró: “El culebrón de la elección del Superintendente de Bancos pudo evitarse. Si el Presidente enviaba una terna bien analizada. Ahora es tarde y nuestros depósitos están expuestos a una supervisión política, en vez de a una supervisión técnica”.

En otras palabras, el tomar el control de la Superintendencia de Bancos también puede servir para generar caos y profundizar los problemas del país, pero sin hacerse responsable de nada desde la trastienda.

Ante la crítica de Acosta Burneo, la respuesta de González fue pedir acción inmediata de la Fiscalía y acusarlo de cometer el delito de pánico financiero. Es decir, acciones de amedrentamiento. (JS)

Entre 2021 y 2022, la Superintendencia de Bancos detectó 135 entidades no autorizadas, involucradas en estafas financieras.

La Superintendencia de Bancos controla y supervisa a todas las entidades bancarias públicas y privadas; las empresas de servicios financieros auxiliares y además las relacionadas con el sistema de seguridad social

 

GALO LIMA, CUMPLIMIENTO Y SEGURIDAD INFORMÁTICA, 0981478818

jueves, 26 de mayo de 2022

CiberSecuestro–Ransomware

GALO LIMA, CUMPLIMIENTO Y SEGURIDAD INFORMÁTICA, 0981478818

Los secuestros han migrado al ambiente digital y aunque no se trate de personas, siguen siendo peligrosos, pero ¿por qué? El ransomware es una herramienta que los ciberdelincuentes utilizan para secuestrar datos, archivos y demás información privada de usuarios y empresas a cambio de una recompensa económica. Te has preguntado ¿cuánto estás dispuesto a pagar y ceder para recuperar lo que es tuyo? Quizás el precio sea demasiado alto, así que lo mejor que puedes hacer es aprender cómo actuar en caso de que seas víctima de este tipo de ataque.

Ransom (rescate) + ware (software) 

La combinación de ambos términos da el nombre a este malwaresoftware (maligno) de rescate. Y aunque sea uno más en la familia de ciberataques, es especialmente temido porque no solo compromete archivos, datos e información privada sino también porque significa la pérdida de recursos económicos e, incluso, llega a poner en tela de duda la reputación de las empresas.  

Ataque de ransomware: así es como lo hacen

Así funciona un ataque de ransomware.

  1. El correo electrónico forma parte de un ataque de ingeniería social que ya conoces: el phishing.
  2. Al superar el filtro de seguridad de spam, el usuario abre el correo infectado.  
  3. El texto del correo puede contener un enlace malicioso o archivos infectados que el usuario descarga.
  4. El antivirus no detecta la amenaza o incluso pueda que el dispositivo no cuente con esta barrera de protección.
  5. El malware se conecta con el servidor del atacante desde donde va a recibir instrucciones.
  6. El ransomware encripta los archivos o sistemas de la víctima.
  7. Tal como en las llamadas de secuestro, el cibercriminal muestra una nota de rescate donde solicita una recompensa monetaria.
  8. El ransomware empieza a propagarse a través de la red para infectar otros dispositivos y tomar mayor control del sistema.

Este escenario solo deja al descubierto que los grupos delictivos o los atacantes en solitario están enfocándose cada vez más en las ganancias económicas que pueda dejar esta actividad.  

¿Cifrado o bloqueo?  

Otra cosa que tienes que saber es que hay varios tipos de ransomwares. ¡Por si fuera poco! Aunque todos tienen el mismo objetivo, que es el beneficio económico, se clasifican en cuanto a la forma de secuestrar información. 

Ransomware de bloqueo

Ransomware de bloqueo: pide el acceso al equipo con una pantalla de inicio en la que se le informa a la víctima de que ha sido atacada. Se pide un rescate económico a cambio de recuperar la información. 

Ransomware de cifrado

Ransomware de cifrado: es el más común y sofisticado, ya que selecciona archivos de valor y los codifica para que el usuario no los pueda usar a menos de que pague el rescate.

Estos son los dos tipos de ransomware más comunes, sin embargo hoy en día las técnicas de ataque han evolucionado y se han identificado otras clases. 

  • Leakware: son amenazas de filtración de archivos si la víctima no paga una cantidad determinada de dinero.  
  • Scareware: se trata de ventanas emergentes que indican que se ha encontrado una amenaza en el dispositivo. Tratan de convencer al usuario que compre un antivirus falso y de esa manera empezar el ataque. 

¿Qué hacer en caso de cibersecuestro? 

Si desafortunadamente fuiste engañado e instalaste un ransomware, lo más importante es mantener la calma. Si un hacker secuestró tu equipo o archivos, esto es lo que te aconsejamos hacer: 

  1. Apaga el dispositivo: esto sirve para  aislarlo y prevenir que otros equipos en la misma red se infecten. Desconecta otros dispositivos que tengas conectados a la computadora como discos externos o memorias extraíbles.
  2. Desconecta tu equipo: interrumpir la conexión a Internet sirve para que el ataque no se expanda.
  3. Elimina el malware: utiliza un antivirus potente que sea capaz que librarte de este ataque o visita un taller de asistencia técnica para resolverlo. El pagar por el rescate no te asegura que vayas a recuperar tu información.
  4. Instala luego la copia de seguridad: asegúrate de que tu equipo esté desinfectado antes de usarlo nuevamente.

Cinco formas de prevenir un ataque de ransomware 

¡Evita ser víctima de extorsión! Como con cualquier otro malware, las medidas para prevenir una infección de ransomware son muy sencillas y no requieren que seas un experto informático para adoptarlas en tu día a día. 

  1. Instala un buen antivirus o programa de seguridad informática. Esta es la mejor herramienta para detectar y eliminar un ransomware.
  2. Desconfía de correos electrónicos de remitentes desconocidos en los que te motivan a hacer clic en un enlace o descargar un archivo adjunto.
  3. Evita navegar por páginas web de dudosa procedencia y asegúrate de que la URL siempre empiece por HTTPS.
  4. Mantén actualizado el sistema operativo y las aplicaciones de todos tus dispositivos para evitar brechas de seguridad.
  5. Sigue estos consejos de seguridad para protegerte de este y otros ataques informáticos que amenazan tu dinero y privacidad.

PRO TIP: pon en marcha las copias de seguridad mensuales de tus archivos en un disco externo o en la nube. Esto garantiza que, aunque seas víctima de un ataque, recuperes tus archivos. 

 No importa si eres una persona o una empresa. La seguridad de tus datos depende de estar alerta y educarte constantemente para reconocer y prevenir el secuestro de información por ransomware o cualquier otro tipo de amenaza. 

 

 

Suscribirse a: Entradas (Atom)