TEUNO utiliza cookies
TEUNO utiliza cookies para recolectar información sobre el uso del sitio web, para utilizar redes sociales y para garantizar que los anuncios sean relevantes para ti, lee más sobre nuestra Política de Cookies. Al aceptar nuestras cookies, aceptas que se recopile información por nosotros y por parte terceros en la plataforma.
Configuración de cookies
Este sitio web utiliza diferentes tipos de cookies. Algunas cookies son puestas por servicios de terceros que se desprende en nuestra página. Mira también nuestra Política de Cookies.

Aprende sobre Normas y Marcos de Seguridad con esta guía

Aprende sobre Normas y Marcos de Seguridad con esta guía

Seguridad informática

Por seguridad de la información se entiende el conjunto de medidas preventivas y reactivas que permiten resguardar y proteger la información. En otras palabras, se trata de todas aquellas políticas y medidas que afectan al tratamiento de los datos que se utilizan en una firma.
La seguridad de la información es clave para que la organización pueda llevar a cabo sus operaciones sin asumir demasiados riesgos. Los datos que se manejan son esenciales para el devenir del negocio. Aparte, hay que tomar en cuenta que la seguridad de la información debe hacer frente a los riesgos, además de analizarlos, prevenirlos y encontrar soluciones rápidas para eliminarlos dado el caso.
La seguridad de la información se basa en cuatro fundamentos: disponibilidad, integridad, confidencialidad y autenticación.
  • Disponibilidad: Acceso a la información cuando se requiere, teniendo en cuenta la privacidad. Se evitan así “caídas” del sistema que permitan accesos ilegítimos, que impidan el acceso al correo.
  • Confidencialidad: Información accesible solo para personal autorizado.
  • Integridad: Información correcta sin modificaciones no autorizadas ni errores. Se protege frente a vulnerabilidades externas o errores humanos.
  • Autenticación: Información procedente de un usuario que es quien dice ser.

Tecnología, normas y regulaciones comunes de seguridad de la información

La certificación de un sistema de gestión de la seguridad de la información demuestra el compromiso de una compañía para gestionar y proteger proactivamente información y activos para poder garantizar el cumplimiento de los requisitos legales. La norma

ISO 27001

detalla los requisitos para establecer, implantar, mantener, supervisar y mejorar el sistema de gestión de la seguridad de la información de una organización.
Así, por ejemplo, la norma ISO/IEC 27001 opera actualmente como la norma internacional más reconocida para los sistemas de gestión de la seguridad de la información.
  • Ayuda a las organizaciones a establecer la política y los objetivos de gestión de la seguridad de la información. Permite entender cómo se pueden gestionar los aspectos importantes, aplicar los controles necesarios y establecer objetivos claros para mejorar la seguridad de la información.
  • Hace posible que una organización gestione su obligación de cumplir con los requisitos legales aplicables, como el GDPR (junto con la norma ISO 27701) y comprobar periódicamente el estado de cumplimiento. Esto permite una mejora sostenida del sistema para garantizar la protección y abordar las vulnerabilidades.
  • Adopta un enfoque integral de la seguridad de la información. Los activos que necesitan protección van desde la información digital, los documentos en papel y los activos físicos (ordenadores y redes) hasta los conocimientos de cada empleado. Los aspectos para abordar van desde el desarrollo de la competencia del personal hasta la protección técnica contra el fraude informático.
  • La norma ISO 27001 está diseñada para ser compatible con otras normas reconocidas de sistemas de gestión. Por lo tanto, es ideal para su integración en los sistemas y procesos de gestión existentes.
Sistema de gestion de la seguridad de la información
Por otro lado, el Instituto Nacional de Normas y Tecnología de Estados Unidos (NIST) , define directrices y estándares relacionados con la seguridad de la información. El NIST desarrolló la publicación especial 800-53 ( NIST SP 800-53 ) como guía para el cumplimiento de las obligaciones que define la ley federal de protección de la información de Estados Unidos (Federal Information Security Management Act o FISMA). De conformidad con la ley federal 107-347, los organismos públicos de EE. UU. deben crear, revisar y monitorizar prácticas que tengan la seguridad de la información como prioridad. En el estándar 800-53 del NIST se detallan los controles de privacidad y seguridad específicos que deben satisfacer tanto el Gobierno federal como las infraestructuras más importantes de Estados Unidos.
Tras someterse a una evaluación independiente de terceros, Google Cloud ha recibido una carta de certificación en la que se confirma que un subconjunto de servicios de Google Cloud Platform y Google Workspace operan de conformidad con el estándar 800-53 del NIST.
La publicación especial 800-53 del NIST, Revisión 4, proporciona un catálogo de controles de seguridad para los sistemas y organizaciones de información federales y los procedimientos de evaluación. El cumplimiento de

NIST 800-53

se puede lograr por medio de las siguientes estrategias:
  • Cifrado de datos y administración de claves
  • Políticas de acceso y controles de usuarios con acceso a información privilegiada
  • Inteligencia de seguridad
  • Regulación
  • Cumplimiento

Seguridad cibernética: ¿Qué es el RGPD?

El RGPD reemplaza la actual Directiva de Protección de Datos de la UE y se aplica directamente en toda la Unión Europea. El RGPD cambia significativamente el panorama de la UE en materia de regulación de protección de datos, estableciendo requerimientos más estrictos, afectando a más empresas e imponiendo sanciones potencialmente más elevadas. Las empresas deben, por ejemplo:
  • Implementar medidas programáticas para asegurar y demostrar activamente su cumplimiento.
  • Implementar las medidas técnicas y organizativas adecuadas para proteger los derechos de los individuos en el momento de diseñar un sistema de tratamiento de datos y al momento de procesarlos.
  • Concretar evaluaciones del impacto de las actividades de procesamiento de alto riesgo sobre la protección de datos.
  • Implementar la privacidad desde el diseño y por defecto.
  • Efectuar notificaciones en caso de violación de los datos.
Herramientas de seguridad comunes
Los cibercriminales no son un problema menor en un mundo hiperconectado como el contemporáneo. Según Cybersecurity Ventures, el cibercrimen costó al mundo alrededor de 6 billones de dólares en 2021, una cifra mayor a la entregada por el comercio mundial de todas las principales drogas ilegales combinadas.
¿Qué pueden hacer las empresas de cualquier tamaño para proteger sus activos intangibles como datos e información crítica? Deben, en efecto, integrar en sus procesos herramientas de seguridad informática que reduzca riesgos e incertidumbre frente a delitos de esta categoría.
Cinco recursos para proteger la seguridad en sistemas informáticos:
Una encuesta de AttackIQ, realizada a 577 profesionales de TI y seguridad de TI en Estados Unidos, arrojó que el 53% de las empresas no saben si sus herramientas de ciberseguridad funcionan y no están completamente seguras de que eviten las violaciones de datos.
Así, es fundamental que se conozcan los principales medios tecnológicos para hacer frente a los ataques cibernéticos.
1. Software antivirus
En cualquier caso, todos los computadores conectados a la red -personales y corporativos- deben contar con un antivirus gratuito y confiable. Este tipo de programas permite contar con medidas de protección efectivas ante la detección de malware u otros elementos maliciosos, por medio de ofrecer la posibilidad de eliminar las posibles amenazas o poner al dispositivo en estado de “cuarentena”. En el mercado existen soluciones que integran diferentes funcionalidades adaptables a las necesidades de cada organización.
2. Firewall perimetral de red
Es una de las herramientas de ciberseguridad más recomendadas. Su funcionamiento es simple: escanea los paquetes de red, permitiéndolos o bloqueándolos según las reglas definidas por un administrador. Si bien es cierto que su estructura es básica si se compara a la sofisticación de las amenazas, se pueden encontrar firewalls modernos que pueden clasificar los archivos utilizando varios parámetros. Así, se puede inspeccionar con eficiencia el tráfico web, identificar a usuarios, bloquear el acceso que no está autorizado, entre otras acciones.
3. Servidor proxy
Un proxy es un dispositivo o programa informático que actúa como intermediario entre las conexiones del navegador e internet, filtrando todos los paquetes entre ambos. Está catalogada como una de las buenas herramientas de seguridad informática debido a que puede bloquear sitios web identificados como peligrosos o prohibidos dentro del ambiente laboral. Por otro lado, permite establecer un sistema de autentificación, el cual limita el acceso a la red externa, permitiendo contar con registros sobre sitios, visitas, entre otros datos.
4. Cifrado de punto final o endpoint disk encryption
Es un proceso de codificación de datos para que no pueda ser leído o utilizado por nadie que no tenga la clave de descifrado. Así, protege los sistemas operativos de la instalación de archivos de arranque corruptos, bloqueando los archivos almacenados en computadores, servidores, entre otros puntos finales.
5. Escáner de vulnerabilidades
Es una de las herramientas de seguridad en sistemas informáticos fundamentales en las empresas de cualquier tamaño. Consiste en un software que se encarga de detectar, analizar y gestionar los puntos débiles del sistema. Es indispensable para cualquier empresa que no quiere arriesgar sus operaciones, implementar las herramientas necesarias para fortalecer su infraestructura informática y así evitar riesgos.
Escaner de vulnerabilidades de seguridad informática
Para garantizar que los parches se desplieguen y apliquen de manera correcta al software y sistemas, las siguientes son las mejores prácticas de gestión de parches:
La gestión de parches es mucho más fácil y optimizada cuando se lleva a cabo a través del software de gestión de parches. Esto permite gestionar y proteger todos los endpoints, automatizar los procesos de aplicación de parches y reducir tanto el costo como la complejidad de la aplicación de parches. El software de parches hace el trabajo pesado mientras dedica más tiempo a garantizar que el proceso funcione eficientemente.
Evaluación de riesgos de seguridad y soluciones de software
La evaluación de riesgos de seguridad de la información es un proceso por el cual se identifican, analizan, categorizan y priorizan amenazas para el cumplimiento de los objetivos propuestos. De este modo, se obtiene la información necesaria para tomar decisiones sobre qué hacer con esos riesgos.
En el área de seguridad de la información, las evaluaciones de riesgos se basan en los activos de datos e información corporativa. Por eso, ISO 27001 es muy claro en solicitar que se realice un proceso de gestión de riesgos para revisar y confirmar los controles de seguridad, de acuerdo con las obligaciones regulatorias, legales y contractuales.
Este proceso es el paso más complicado, pero al mismo tiempo el más importante a considerar cuando se desea construir un Sistema de Gestión eficiente y que tenga la capacidad para mejorar de forma continua.
TEUNO Ecuador
En TEUNO contamos con vasta experiencia en marcos y normas de ciberseguridad, ofreciendo a las empresas soluciones y estrategias que les permitan blindarse ante incidentes como ataques y filtraciones de datos. Contáctanos para conocer más.
nube
Conoce nuestras soluciones
Los artículos más populares
Ley de Protección de Datos Personales para empresas Nacionales
Conoce todo sobre la Ley de Protección de Datos en Ecuador
Leer el artículo completo
Hacker vulnerando la ciberseguridad de una empresa
7 simples pasos para evitar que la información de su empresa sea hackeada
Leer el artículo completo
Sectores impactados por la Ley de Protección de Datos en Ecuador

Sectores impactados por la Ley de Protección de Datos en Ecuador

Leer el artículo completo
¿Tienes alguna pregunta?
¡Hablemos!