La nueva versión del estándar de controles de seguridad de la información ISO27002 se publicó en febrero de 2022 y se incorporará al estándar de requisitos ISO27001 durante el año como un anexo de reemplazo A. El nuevo conjunto contiene once controles que no hemos visto antes y en esta serie De los blogs estamos viendo algunos de estos a su vez para comprender de qué se trata y lo que un auditor podría esperar ver en el futuro. En este blog, estamos examinando el tema de la inteligencia de amenazas.
¿Qué es la inteligencia de amenazas?
Básicamente, se trata de comprender más sobre las personas y los grupos que podrían desear el daño de su organización y las formas en que podrían lograrlo. Puede ver cómo esto sería útil, tanto en términos de evaluar el riesgo como para asegurarse de que los controles sean tan efectivos como pueden ser. La inteligencia de amenazas a menudo se aborda en tres niveles, estratégico, táctico y operativo.
Inteligencia de amenazas estratégicas
Una comprensión de la dirección general del viaje de las amenazas puede ayudar a decidir cómo la organización necesita cambiar para mantenerse lo más segura posible a largo plazo. Por lo tanto, las tendencias sobre cómo las amenazas están evolucionando en el año por año pueden ser útiles; es la amenaza de Corea del Norte que crece o disminuye; ¿Están aumentando los ataques de ransomware o se vuelven más sofisticados, o ambos? Las mejores fuentes de información en este nivel son a menudo informes anuales emitidos por agencias gubernamentales, como el Centro Nacional de Seguridad Cibernética del Reino Unido o la ENISA de la UE, y los proveedores comerciales con una buena reputación en el mercado de seguridad cibernética, como Mandiant o Sophos.
Inteligencia de amenaza táctica
En el siguiente nivel hacia abajo, nos preocupa los atacantes o tipos de atacantes específicos y las tácticas, técnicas y procedimientos (TTP) que están utilizando actualmente para obtener acceso a sistemas o representar una amenaza para nuestra organización. Si bien es posible que no estemos lidiando con un ataque actual, necesitamos saber quién está activo y cuáles son sus métodos actuales de entrada, así como qué tipo de organización es su víctima de elección en este momento. Conocer esta información nos permite abordar las deficiencias en nuestras defensas, como los sistemas de parcheo que se utilizan como una forma.
Inteligencia de amenaza operativa
En el nivel más bajo, podemos tratar con información sobre ataques que están en curso, y las organizaciones de víctimas proporcionan información útil sobre qué buscar para determinar si usted también se ha comprometido (denominado «indicadores de compromiso»). Por supuesto, nuestra organización en sí misma puede ser la última víctima, en cuyo caso la inteligencia de amenazas funcionará de la mano con la gestión de incidentes para descubrir cualquier cosa que sea de ayuda para tratar el incidente.
Fuentes de información
Para satisfacer las necesidades en cada nivel, se puede obtener información de muchas fuentes diferentes. A nivel estratégico, a menudo son informes anuales de «Estado de la nación» y presentaciones en conferencias que proporcionan el nivel general de lo que está sucediendo en el ciberespacio. A medida que nos volvemos más específicos, los feeds como blogs y boletines son una buena fuente de información oportuna y al final operativo del espectro, las membresías de las asociaciones de intercambio de información y las alertas urgentes presentadas por las agencias son una ayuda, así como información de su sistemas propios como información de seguridad y gestión de eventos (SIEM). El intercambio de información generalmente se considera algo bueno, por lo que es importante desempeñar su parte es difundir la palabra cuando se da cuenta de una amenaza activa.
Satisfacer el requisito ISO27001
En términos básicos, el nuevo control en ISO27002 (y pronto será ISO27001 Anexo A) requiere simplemente que «la información relacionada con las amenazas de seguridad de la información debe recopilarse y analizarse para producir inteligencia de amenazas». Pero, ¿cómo se vería esto en términos reales y qué esperaría ver un auditor?
Bueno, nuestra primera sugerencia es que debe tener una política que establezca su enfoque general para la inteligencia de amenazas, probablemente en la línea del modelo de capa estratégica/táctica/operativa. Siguiendo eso con un documento de proceso que explica cómo se planifica, recopilan, analiza y comunicando la inteligencia de amenazas una buena idea, posiblemente respaldada por procedimientos más específicos en áreas clave. Un auditor querrá ver evidencia de la producción de inteligencia de amenazas, por lo que será útil una colección de informes relevantes (tanto externos como producidos internamente), junto con ejemplos de cómo se ha utilizado la inteligencia para identificar acciones como los controles de fortalecimiento. , aplicando parches y mejorando la conciencia del usuario.
Aquí hay una fuerte conexión con la evaluación y el tratamiento de riesgos y la mejora continua, por nombrar solo dos áreas del sistema de gestión, por lo que poder mostrar esos enlaces sería beneficioso en el momento de la auditoría.
En resumen
Es muy probable que este control sea aplicable a su organización (como se enumera en su declaración de aplicabilidad) y no es necesario que sea un control difícil de implementar. Tener un método básico para recopilar información sobre amenazas y convertirla en un conjunto de acciones que pueda tomar para reducir el riesgo debería satisfacer la necesidad. La inteligencia de amenazas es un tema fascinante, por lo que es posible que desee aprender más sobre lo que está sucediendo.
Como dicen, ¡el conocimiento es poder!
Escrito por Ken Holmes CISSP, CIPP/E. Ken es un auditor principal ISO27001 y ha ayudado a implementar, operar y auditar certificaciones ISO durante una carrera variada de 30 años en la industria de la tecnología de la información.
Publicado en inglés en: https://certikit.com/the-new-iso27002-controls-threat-intelligence/
