8564
post-template-default,single,single-post,postid-8564,single-format-standard,cookies-not-set,stockholm-core-1.2.1,cooltimeline-body,select-child-theme-ver-1.0.0,select-theme-ver-5.2.1,ajax_fade,page_not_loaded,menu-animation-underline,fs-menu-animation-underline,wpb-js-composer js-comp-ver-6.1,vc_responsive
Title Image

La ciberseguridad, una herramienta clave contra las amenazas de las organizaciones

En un lapso de tres meses se detectan hasta 40 billones de intentos de ciberataques en Colombia. Así avanza la normalización como un aporte para la prevención contra este delito.

Artículo tomado de la Revista Normas & Calidad, edición 123, con la autorización del ICONTEC


Ocurrió entre abril y julio de 2019, y lo reportó la Forma Fortinet durante el congreso Andicom celebrado en Cartagena, según informó la revista Dinero en septiembre del presente año. Se contabilizaron cerca de 40 billones de ciberataques en ese periodo, convirtiendo a Colombia en uno de los países de la región con más amenazas de este tipo. La ciberseguridad se ha convertido en un asunto de alta prioridad para el Estado, para las organizaciones de todos los sectores y para las personas, que temen que sus recursos, y la continuidad de sus negocios, se ponga en riesgo ante la vulnerabilidad que pueda tener la información que alojan en el mundo virtual.

Como un aporte para tomar las medidas pertinentes y combatir los delitos asociados con esta práctica, el Comité Técnico 181 de ICONTEC, que trabaja en técnicas de seguridad, ha venido revisando las normas ISO asociadas con seguridad y ciberseguridad, principalmente con la familia ISO 27000, ISO 27001 e ISO 27002, que contienen el deber ser de la seguridad de la información en las organizaciones.

Dichas normas han evolucionado, y en la actualidad está vigente la ISO 27032, que trata específicamente la ciberseguridad, con los riesgos más importantes relacionados con el asunto y las recomendaciones para mejorar los controles. Esta norma es la más importante hoy a este nivel.

Colombia, líder en la región

El país ha asumido un liderazgo en Latinoamérica, y en eso ha tenido mucho que ver la circular 007 de 2018 emitida por la Superintendencia Financiera, que obligó y le dio orientación al sector bancario a implementar controles de ciberseguridad, con un seguimiento directo a su cumplimiento. A nivel mundial existen otras normas emitidas por organismos como el Instituto de Normas y Estándares de EE.UU., que en su caso son la serie NIST SP 800, que puede ser una referencia alternativa a la ISO 27032.

Isaca es otra organización líder mundial en normatividad y certificaciones en ciberseguridad, que se ha especializado en certificar a las personas en niveles principiante, intermedio o avanzado, para ofrecer su apoyo a las empresas que quieren dominar el tema.

Instituciones como la Organización de Estados Americanos –OEA– han venido trabajando con fuerza de la mano de organizaciones y Estados para generar normas sobre ciberseguridad e impulsando su aplicación, con resultados exitosos en México, Perú, Colombia, Chile, Argentina y Guatemala. Sin embargo, aunque todos tienen el mismo objetivo, no existe aún una organización que agrupe a todas las instituciones

Recomendaciones fundamentales

Las empresas deben saber que la ciberseguridad es un asunto que compromete a todos sus integrantes, ya que los delincuentes no escogen su objetivo sino que atacan al que ofrezca mayor vulnerabilidad. Por eso es clave proteger toda la organización y su información.

La mayoría de los delitos son cometidos por malas configuraciones de la infraestructura tecnológica de las organizaciones. Antes de aplicar algún programa o aplicación, es necesario hacerle pruebas que permitan detectar un hueco que se deba cubrir antes de ser víctima de un ataque.

A quienes prestan el servicio de ciberseguridad, lo recomendable es que se preparen, estudien y obtengan certificaciones que avalen sus competencias en este campo. Hoy existen jóvenes que adquieren destrezas de manera natural, pero que requieren una estructuración mental antes de ser encargados de esta tarea ya que hay que mirar los riesgos a nivel de negocio, más que desde una máquina.

Los tipos de malware o software malicioso

Troyano: su fin es dar acceso remoto al sistema sobre el cual se ha instalado de manera clandestina para permitir la eliminación, copiado, extracción o bloqueo de información. Por lo general llega al sistema escondido dentro de archivos o mediante engaños al usuario.

Spyware: recopila información del equipo en que se aloja para luego transmitirla a un sujeto externo sin el conocimiento del propietario.

Rootkit: conjunto de herramientas que permite a los crackers abrir puertas traseras (backdoor) en los equipos, y ocultar órdenes y procesos maliciosos sobre la máquina.

Gusanos: tienen la propiedad de duplicarse; buscan hacer más lentos los procesos de la máquina y la transmisión en las redes de comunicación.

Ramsonware: cifra la información y el sistema en que se aloja, impide su acceso y obliga a que se realice el pago de un rescate para poder ingresar de nuevo a los archivos. En ningún rescate pagado se ha desencriptado la información.

Keyloogers: se encarga de registrar las pulsaciones del teclado, para luego memorizarlas en un fichero o enviarlas por internet. (Fuente: Policía Nacional de Colombia)

El manejo del Gobierno colombiano

El Ministerio de Defensa y la Policía dirigen un organismo denominado el Comando Cibernético, que agrupa a diferentes entidades del sector estatal y la empresa privada, para unificar criterios normativos.

Han sido creados comités empresariales y estatales que buscan protección ante cualquier ataque cibernético.

Desde allí han sido lanzadas diversas publicaciones asociadas a ciberseguridad, con las cuales se ha levantado un inventario de aquellas organizaciones con una vulnerabilidad crítica y que tienen prioridad en la atención.

El Ministerio de Tecnologías de la Información y las Comunicaciones también lidera esfuerzos con la estructuración de unos comités en organizaciones públicas y privadas, en especial del sector financiero, para generar normas y regulaciones que propendan la protección de la información y los recursos.


Software

ISOLUCIÓN SEGURIDAD DE LA INFORMACIÓN

El apoyo que su organización requiere para una administración eficaz del Sistema de Gestión de Seguridad de la Información ISO 27001 y del Plan de Continuidad de Negocio

Solicite cotización

Si está interesado en más de una opción, por favor escríbala aquí.

AdminIso

ISOLUCIÓN es el software más completo para administrar de manera ágil, eficaz e integrada sus Sistemas de Gestión ISO 9001, ISO 14001, SST ISO 45001, HSEQ, MIPG, ISO 31000, SARLAFT, ISO 27001, Planeación Estratégica e ISO 50001, entre otros modelos de cumplimiento normativo.