Conformidad con la norma ISO27001 · 2020. 11. 22. · Certificación y cumplimiento de la norma...
22
www. Ridgesecurity.ai Documento Téchnico de Conformidad con la norma ISO27001 1 Conformidad con la norma ISO27001 Usando la validación de seguridad de RidgeBot DOCUMENTO TÉCHNICO
Transcript of Conformidad con la norma ISO27001 · 2020. 11. 22. · Certificación y cumplimiento de la norma...
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 1
Conformidad con la norma ISO27001Usando la validacioacuten de seguridad de RidgeBot
DOCUMENTO TEacuteCHNICO
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 2
Visioacuten general Validacioacuten continua con ataques automatizados pasos detallados para resolver y bloquear las vulnerabilidades
La transformacioacuten digital de la economiacutea mundial los negocios y las operaciones gubernamentales han visto un raacutepido crecimiento en las tecnologiacuteas de defensa de la seguridad como la encriptacioacuten Next-gen firewalls meacutetodos de filtrado deteccioacuten de malware autentificacioacuten multifactorial y vigilancia
A pesar de los avances en estas tecnologiacuteas defensivas las redes los servidores y las aplicaciones estaacuten continuamente bajo ataque por meacutetodos cada vez maacutes creativos y sofisticados Las brechas estaacuten creciendo continuamente en nuacutemero tamantildeo y el dantildeo infligido por los atacantes
Tendencias de la industria
Los mecanismos de seguridad defensiva tradicionales no han logrado proteger adecuadamente las redes los centros de datos los hosts y las aplicaciones de las infiltraciones los ataques y las brechas La eficacia de los mecanismos defensivos de seguridad tradicionales gira principalmente en torno al concepto de seguridad fronteriza mientras que cada vez maacutes las tendencias de la industria en SaaS IaaS computacioacuten en nube IO virtualizacioacuten y movilidad han desdibujado o eliminado las fronteras en las redes y los sistemas de procesamiento y almacenamiento de computadoras
La postura de seguridad tambieacuten se ve afectada porque mientras que los ataques han aumentado en nuacutemero en sutileza y en precisioacuten los recursos de TI para las medidas de seguridad las auditoriacuteas y las actividades de proteccioacuten se han endurecido
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 3
Prueba de penetracioacuten
El raacutepido aumento de la incidencia de amenazas y la sofisticacioacuten han hecho imperativo endurecer las posturas de seguridad con meacutetodos activos y ofensivos Posturas que no suplantan sino que se suman a las medidas defensivas tradicionales como las pruebas de penetracioacuten que buscan vulnerabilidades Abordar las vulnerabilidades antes de la explotacioacuten
Las pruebas de penetracioacuten son un proceso costoso que requiere muchos recursos que causa trastornos y a menudo se realiza de forma manual y se ejecuta perioacutedicamente (por ejemplo anualmente) Las pruebas soacutelo pueden realizarse cuando se acerca una auditoriacutea u otra necesidad colateral para obtener o reafirmar el cumplimiento de una de las muchas normas y reglamentos mundiales relativos a la informacioacuten financiera personal de salud o informacioacuten confidencial adicional Su entorno es vulnerable durante los periacuteodos a menudo prolongados que transcurren entre las auditoriacuteas que realizan la validacioacuten programada de las pruebas de penetracioacuten
Validacioacuten continua automatizada con RidgeBot
RidgeBot es un robot inteligente que proporciona servicios de validacioacuten de seguridad automatizados continuos y de bajo costo para endurecer su postura de seguridad en forma continua y brindar un monitoreo de cumplimiento siempre activo Tiene incorporado el conocimiento colectivo en tiempo real de las uacuteltimas amenazas vulnerabilidades exploits y meacutetodos y teacutecnicas de hacking asistido por AIML de uacuteltima generacioacuten Se escala seguacuten sea necesario y se ejecuta como un VM en un aparato o como SaaS
RidgeBot automatiza las pruebas de penetracioacuten convirtieacutendolo en una herramienta de alto uso continuo integral a su poliacutetica y procedimientos de seguridad en lugar de un costoso ejercicio de prueba de una sola vez
RidgeBot es su asistente robot personal que detalla coacutemo y doacutende un hacker puede comprometer exitosamente sus activos Recomienda instrucciones paso a paso sobre coacutemo construir y mantener sus activos de manera segura y protegida
ltgt
Prevencioacuten de brechasDefensa Tradicional
2002
Post BrechaDeteccioacuten
2012
Defensa Ofensiva Previa al Ataque
2020
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 4
RidgeBot hace mucho maacutes que una prueba de penetracioacuten autodescubre los activos y luego procede a sondearlos de forma continua iterativa totalmente automatizada a escala y explota las vulnerabilidades encontradas En su informe le alerta de la lista de vulnerabilidades peligrosas que se han explotado con eacutexito asiacute como de una lista de vulnerabilidades de menor prioridad que no se han explotado Su red estaacute siempre bloqueada siempre actualizada con parches siempre lista para ser auditada siempre lista para presentar pruebas de la postura de seguridad todo a un costo miacutenimo y con intervencioacuten humana
RidgeBot proporciona las siguientes capacidades claves
bull Descubrimiento Se arrastra automaacuteticamente a traveacutes de su entorno para identificar y documentar los tipos de activos (incluyendo redes hosts aplicaciones plug-ins imaacutegenes dispositivos de IO y dispositivos moacuteviles) y las superficies de ataque de esos activos
bull Escaneo Extraiga activos y superficies de ataque en busca de vulnerabilidades aprovechando la Plataforma de Inteligencia sobre Amenazas de Ridge Security una base de datos de conocimiento de vulnerabilidades colectivas que incluye maacutes de 2000 millones de datos de inteligencia de seguridad 100 millones de bibliotecas de ataques y 150000 bibliotecas de exploits
bull Explotar Las teacutecnicasmodos de ataque asistido por AIML explotan automaacuteticamente las vulnerabilidades encontradas Documentan los hallazgos junto con las recomendaciones de reparacioacuten en informes precisos fiables y utilizables Los algoritmos AIML se basan en una base de conocimientos expertos para guiar a RidgeBot en la buacutesqueda de la ruta de ataque y en la seleccioacuten de la ruta Lanzar ataques iterativos basados en el aprendizaje a lo largo del camino logrando una cobertura de pruebas mucho maacutes amplia y una inspeccioacuten maacutes profunda que los meacutetodos tradicionales de prueba de penetracioacuten
bull Priorizacioacuten de riesgos posteriores a la explotacioacuten RidgeBot visualiza la cadena de muerte y cuantifica los riesgos basaacutendose en muacuteltiples factores para dar a las organizaciones una clasificacioacuten detallada y especiacutefica de las vulnerabilidades maacutes peligrosas El anaacutelisis de RidgeBot reduce draacutesticamente el trabajo manual necesario para clasificar y remediar las vulnerabilidades centraacutendose en las vulnerabilidades explotables especiacuteficas (un porcentaje de un solo diacutegito)
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 5
Visioacuten general de la ISO 27001La familia de normas ISO 27000 ofrece un conjunto de especificaciones coacutedigos de conducta y directrices sobre las mejores praacutecticas para que las organizaciones garanticen una soacutelida gestioacuten de la seguridad de la informacioacuten La ISOIEC 270012013 que sustituye a la ISOIEC 270012005 especifica las mejores praacutecticas para implementar y mantener una gestioacuten de seguridad de la informacioacuten de datos e incluye a las personas los procesos y la tecnologiacutea
La ISO 27001 es un estaacutendar de gestioacuten de seguridad de tecnologiacutea neutra que prescribe los atributos de un SGSI efectivo La ISO 27002mdashuna pieza complementaria esencial del estaacutendarmdashdetalla las mejores praacutecticas para implementar un SGSI efectivo
Tipo de requisitoISO 27001 es un estaacutendar de la industria de seguridad de la informacioacuten No es un requisito legal pero la certificacioacuten es a menudo un prerrequisito para los contratos o la realizacioacuten de negocios con entidades gubernamentales entidades financiadas por el gobierno o grandes clientes corporativos
Aplicabilidad geograacutefica En todo el mundo
Ownership Publicado por la Organizacioacuten Internacional de Normalizacioacuten (ISO) (una organizacioacuten internacional de normas de gestioacuten y continuidad de las actividades con representantes de 165 organizaciones nacionales de normalizacioacuten) y la Comisioacuten Electroteacutecnica Internacional (CEI) (una organizacioacuten internacional de normas para las tecnologiacuteas eleacutectricas electroacutenicas y afines)
Verificacioacuten del cumplimiento y aplicacioacuten de la normativa Las empresas logran la certificacioacuten con la ISO 27001 preparaacutendose para el cumplimiento Luego las empresas deben programar una auditoriacutea con un organismo nacional de acreditacioacuten que sea miembro del Foro de Acreditacioacuten Internacional (IAF) El Consejo Nacional de Acreditacioacuten de ANSI (ANAB) estaacute en los EEUU o el Servicio de Acreditacioacuten del Reino Unido (UKAS) estaacute en el Reino Unido Las empresas certificadas participan anualmente en un proceso de revisioacuten externa y deben recertificarse cada tres antildeos para mantener el cumplimiento
Para maacutes informacioacuten
bull ISO 27001 httpswwwiso27001securitycomhtml27001html
bull ISO 27002 httpswwwiso27001securitycomhtml27002html
bull Reino Unido httpswwwitgovernancecoukiso27001
bull Estados Unidos httpswwwitgovernanceusacomiso27001
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 6
Certificacioacuten y cumplimiento de la norma ISO 27001
La ISO 270012013 se centra en el establecimiento de objetivos la evaluacioacuten del rendimiento y la definicioacuten de meacutetricas para medir la eficacia Los objetivos o controles estaacuten organizados por 14 categoriacuteas o dominios con detalles especiacuteficos en el Anexo A de la norma Las organizaciones no estaacuten obligadas a implementar todos los controles de la ISO 27001 sino que representan una lista de posibilidades a considerar en funcioacuten del negocio y el entorno particular de una empresa
1 Anexo A5 Poliacuteticas de seguridad de la informacioacuten
2 Anexo A6 Organizacioacuten de la seguridad de la informacioacuten
3 Anexo A7 Seguridad de los recursos humanos
4 Anexo A8 Gestioacuten de activos
5 Anexo A9 Control de acceso
6 Anexo A10 Criptografiacutea
7 Anexo A11 Seguridad fiacutesica y ambiental
8 Anexo A12 Seguridad de las operaciones
9 Anexo A13 Seguridad de las comunicaciones
10 Anexo A14 Adquisicioacuten desarrollo y mantenimiento de sistemas
11 Anexo A15 Relaciones con los proveedores
12 Anexo A16 Gestioacuten de incidentes de seguridad de la informacioacuten
13 Anexo A17 Aspectos de la seguridad de la informacioacuten en la gestioacuten de la continuidad de las operaciones
14 Anexo A18 Cumplimiento
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 7
La implementacioacuten de un SGSI que cumpla con la norma ISO 27001 es un proceso de varios pasos que en liacuteneas generales sigue este esquema
bull Gobernabilidad Esto requiere un compromiso demostrado de la alta direccioacuten con un SGSI
bull Evaluacioacuten del riesgo Requiere una comprensioacuten exacta de los riesgos para la seguridad de la informacioacuten a los que se enfrenta la organizacioacuten
bull Documentacioacuten Establece coacutemo funciona el SGSI
bull Mejora continua Una vez que se implementa el SGSI se debe medir el rendimiento y la efectividad se deben identificar las desviaciones y se deben tomar medidas correctivas
Varias normas complementarias contribuyen a la interpretacioacuten e implementacioacuten de la ISO 27001
bull La ISO 27002 recomienda las mejores praacutecticas para la implementacioacuten efectiva de las especificaciones de la ISO 27001
bull La ISO 27005 guiacutea la gestioacuten de los riesgos de seguridad de la informacioacuten
bull La ISO 27017 se centra en la forma en que los controles de la ISO 27001 se aplican a la informacioacuten almacenada en la nube
bull ISO 27018 ofrece orientacioacuten sobre la proteccioacuten de la informacioacuten sensible en la nube
bull La ISO 27701 define los requisitos adicionales del SGSI para cubrir la privacidad de los datos reconociendo que la seguridad de la informacioacuten es esencial para una gestioacuten eficaz de la privacidad Fue creada en respuesta al Reglamento General de Proteccioacuten de Datos (GDPR) para detallar la forma en que los controles de la ISO 27001 se cruzan con la privacidad de los datos
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 8
En un sentido general RidgeBot ayuda a encontrar los problemas de incumplimiento en sus activos y guiacutea coacutemo y resuelve inmediatamente cualquier exposicioacuten Ademaacutes RidgeBot mantiene continuamente una postura de seguridad que siempre cumple con la ISO 27001 y otras normas y regulaciones
Algunos de los beneficios clave de RidgeBot para la postura de seguridad de su organizacioacuten incluyen
Mejorar y simplificar las actividades y procesos de seguridad
bull Descubrir inventariar y documentar los componentes del sistema los activos y las superficies de ataque Debido a que RidgeBot estaacute completamente automatizado puede hacerlo continuamente o en intervalos mucho maacutes frecuentes que los procesos manuales perioacutedicos anteriores
bull Los informes ayudan a documentar las vulnerabilidades encontradas explotadas remediadas y validadas
bull Los informes proporcionan una clara clasificacioacuten de los riesgos para centrar la actividad de remediacioacuten manual en las vulnerabilidades de mayor riesgo
bull La flexibilidad de RidgeBot le permite ejecutar pruebas de ataque desde dentro y fuera de su entorno
bull La base de conocimientos de la Plataforma de Inteligencia de Amenazas de RidgeSecurity asegura que usted esteacute siempre al diacutea con la informacioacuten de las vulnerabilidades de seguridad liacutederes en la industria
bull Ejecute los ataques y escaneos de RidgeBot como parte estaacutendar de su poliacutetica de seguridad en curso
Risk Weightedderada de riesgoExplotadas verificades Riesgo de explotacioacuten no verificades
Alto
366Medio
79Baja
517
Explotadas
14Vulnerabilidades
VISIOacuteN GENERAL
iquestCoacutemo puede RidgeBot ayudar
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 9
Validacioacuten de seguridad continua
bull RidgeBot provee sin costo alguno endurecimiento continuo e inventario de activos Puede ejecutar diferentes escaneos de forma perioacutedica o continua ya que estaacute totalmente automatizado no se requiere ninguna intervencioacuten manual hasta que se informa de una vulnerabilidad
bull El monitoreo continuo y el descubrimiento de activos protegen contra la intrusioacuten de hackers causada por un empleado (o cualquier otra persona) que conecta accidental o maliciosamente dispositivos no confiables o no planeados de IO inalaacutembricos u otros dispositivos no autorizados al ambiente
bull Los informes de exploracioacuten proporcionan una lista de vulnerabilidades explotables que deben ser corregidas para documentarlas y resolverlas La salida de informes garantiza que todos los parches y actualizaciones de software necesarios para resolver las vulnerabilidades peligrosas se instalen en todos los activos afectados
Desarrollo de software y pruebas de lanzamiento de DevOpsSecOps
bull Utilice el RidgeBot durante el desarrollo del software para asegurarse de que las praacutecticas de codificacioacuten peligrosas que introducen vulnerabilidades nunca se incorporen a las nuevas versiones del software
bull Usar RidgeBot para endurecer los parches de software actualizaciones de software nuevos dispositivos y cualquier cambio de configuracioacuten antes de introducirlos en el entorno de produccioacuten
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 10
Validacioacuten de la posicioacuten de seguridad
bull Atacar continuamente de forma iterativa el entorno de produccioacuten para mantener la postura de seguridad Descubra las malas configuraciones de los aparatos o servicios de seguridad inalaacutembricos o defensivos como las reglas de los cortafuegos o los aparatos UTM
bull Supervisar continuamente y endurecer las credenciales de acceso a los activos sensibles
Auditoriacutea de conformidad
bull El continuo escaneo de descubrimiento de activos y los intentos de ataque y explotacioacuten (y los informes emitidos) significan que su entorno siempre estaacute listo para la auditoriacutea
bull Los informes de RidgeBot presentan pruebas de vulnerabilidades probadas remediadas y resueltas
Respuesta a incidentes de seguridad
bull Escanee los informes que contienen las soluciones recomendadas para cada vulnerabilidad encontrada y proporcione informacioacuten criacutetica a su equipo de respuestaescalada de incidentes de seguridad
bull La clasificacioacuten de riesgos de las vulnerabilidades alimenta las prioridades y procedimientos de respuesta a los incidentes
bull Los ataques de explotacioacuten AIML de RidgeBot proporcionan capacidades forenses para investigar el origen y el camino tomado por una brecha y una guiacutea paso a paso sobre coacutemo resolver la vulnerabilidad del punto de entrada
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 11
RidgeBot incluye varias plantillas de escaneado y la flexibilidad de personalizar completamente sus escaneos Las plantillas del sistema incluyen
bull Escaneo completo Esta prueba lanza numerosas teacutecnicas de ataques utilizadas por los hackers del mundo real Basaacutendose en la inteligencia de amenazas y en una base de conocimientos de explotacioacuten RidgeBot perfila los activos extrae las vulnerabilidades y lanza ataques contra los activos objetivo que pueden ser internos o externos a su entorno en un entorno privado o puacuteblico
bull Escaneo de contrasentildeas deacutebiles Esta prueba lanza ataques directos o iterativos basados en informacioacuten sensible recogida a traveacutes de credenciales deacutebiles o vulnerabilidades de acceso no autorizadas Los objetivos del ataque incluyen Redis Elasticsearch ActiveMQ base de datos acceso a la web y otras aplicaciones
bull Escaneo de Struts 2 Esta prueba lanza ataques directos o iterativos basados en vulnerabilidades conocidas de 1 diacutea o N diacuteas detectadas en los objetivos usando el marco de Struts 2
bull Escaneo Weblogic Esta prueba lanza ataques directos o iterativos basados en vulnerabilidades conocidas de 1 o N diacuteas detectadas en objetivos que utilizan el middleware de Weblogic
bull Escaneo web Esta prueba lanza ciberataques contra sitios web aplicaciones web y todas las superficies de ataque relacionadas para obtener el control del sitio web objetivo tanto para sitios web de desarrollo propio como para sitios web basados en sistemas de gestioacuten de contactos
bull Escaneo del host Esta prueba lanza ataques directos o iterativos desde el interior de una red corporativa para validar la respuesta del sistema de seguridad a una amenaza interna Los sistemas objetivo incluyen todos los hosts y servidores internos accesibles a la red
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 12
Implementacioacuten y certificacioacuten de la ISO 27001RidgeBot puede ayudar de muchas maneras con las siguientes etapas especiacuteficas de implementacioacuten desafiacuteos de implementacioacuten y mantenimiento continuo de la certificacioacuten auditoriacutea y revisioacuten de la norma ISO 27001
bull Identificacioacuten de activos La ISO 27001 requiere que se inventariacuteen varias clases de activos incluyendo registros digitales activos de TI aplicaciones de negocios y dispositivos moacuteviles
El descubrimiento automatizado de activos de RidgeBot puede ayudar a inventariar todos los activos mientras se prepara para una [re]certificacioacuten ISO 27001 Ademaacutes puede verificar que no haya nuevos dispositivos no planificados conectados a la infraestructura que introduce vulnerabilidades de manera continua Por ejemplo un atacante podriacutea establecer un punto de acceso inalaacutembrico no autorizado o instalar un dispositivo de IoT que permita el acceso remoto a la red interna
bull Evaluacioacuten de riesgos La norma ISO 27001 requiere que se realicen evaluaciones de riesgos con regularidad La norma establece que su proceso de evaluacioacuten de riesgos debe producir ldquoresultados consistentes vaacutelidos y comparablesrdquo las etapas de la evaluacioacuten de riesgos implican la identificacioacuten el anaacutelisis y la evaluacioacuten de los riesgos Ademaacutes la norma ISO 27001 establece que una vez identificados todos los riesgos cada uno de ellos debe ser evaluado individualmente en cuanto a la probabilidad de explotacioacuten el dantildeo que podriacutea ocurrir Se debe asignar un rango o puntuacioacuten a cada vulnerabilidad seguacuten los criterios de riesgo
La capacidad de prueba de penetracioacuten que tiene RidgeBot identifica analiza y evaluacutea todos los riesgos encontrados Ademaacutes explota los riesgos encontrados y proporciona medidas correctivas Los informes de escaneo proporcionan una clasificacioacuten lista de vulnerabilidades encontradas en base a la probabilidad de cada una de ellas de ser explotada incluidas las que fueron explotadas con eacutexito durante el ensayo Los informes tambieacuten proporcionan una evaluacioacuten con pasos granulares para remediar cada vulnerabilidad Los informes de exploracioacuten de RidgeBot proporcionan un vehiacuteculo para cumplir con el requisito de ldquoresultados consistentes vaacutelidos y comparablesrdquo de la norma ISO 27001
bull Plan de gestioacuten de riesgos La ISO 27001 establece que su Plan de Gestioacuten de Riesgos debe determinar los ldquomeacutetodos de control medicioacuten anaacutelisis y evaluacioacuten [] para asegurar resultados vaacutelidosrdquo La eficacia de aproximadamente la mitad de los controles enumerados en el Anexo A de la ISO 27001 soacutelo puede evaluarse suficientemente mediante pruebas de penetracioacuten
Las capacidades de la prueba de penetracioacuten totalmente automatizada de RidgeBot pueden ser ejecutadas de manera rentable tan frecuentemente como sea necesario en lugar de contratar a una empresa consultora para hacer una prueba de una uacutenica vez La paz y la tranquilidad estaacute asegurada de que sus activos estaacuten continuamente bloqueados Las nuevas vulnerabilidades se detectan inmediatamente despueacutesmdasho a menudo antesmdashde ser introducidas en su entorno de produccioacuten Su entorno empresarial siempre cumple con la norma ISO 27001 no soacutelo cuando se prepara para una auditoriacutea una revisioacuten o una recertificacioacuten
iquestCoacutemo puede RidgeBot ayudar
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 13
bull Documentacioacuten Un aspecto arduo de la implementacioacuten de un SGSI ISO 27001 es el desarrollo de la documentacioacuten de la Norma requerida expliacutecitamente
Los informes de exploracioacuten de RidgeBot (resultados de la misma repeticioacuten de exploracioacuten en un horario fijo) pueden ayudar a recopilar documentacioacuten ldquoconsistente vaacutelida y comparablerdquo de las vulnerabilidades encontradas la clasificacioacuten de la vulnerabilidad las explotaciones exitosas y las medidas de mitigacioacuten y correccioacuten que se tomen
bull Mejora continua a traveacutes de la medicioacuten el control y la revisioacuten Este aspecto de la ISO 27001 requiere que su SGSI sea continuamente analizado y revisado en cuanto a su desempentildeo efectividad cumplimiento e identificacioacuten de mejoras en los procesos
Los informes de exploracioacuten de RidgeBot que se realizan de forma continua o perioacutedica pueden ayudar a proporcionar informes y medidas correctivas recomendadas aportando las pruebas que la Norma requiere para demostrar que los riesgos se encuentran miden revisan y tratan adecuadamente
Un servicio de pruebas de penetracioacuten que compruebe regularmente los controles de la ISO 27001 y cuando sea necesario pruebe los cambios en la infraestructura de TI y de seguridad es una parte fundamental de cualquier proceso de mejora continua
RidgeBot ofrece este servicio a un precio muy econoacutemico Estaacute totalmente automatizado Los escaneos pueden ser programados tan a menudo como sea necesario (cumpliendo con el requisito de ldquoauditoriacutea internardquo ISO 27001) La salida de los escaneos de RidgeBot proporciona informes consistentes y comparables incluyendo mediciones cuantitativas (categoriacuteas y clasificaciones de vulnerabilidad) que demuestran la eficacia de su SGSI
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 14
ISO 27001 Anexo A Controles
El Anexo A de la norma ISO 27001 ofrece un breve resumen de los controles y dominios La norma ISO 27002 proporciona informacioacuten maacutes detallada para ayudar a la aplicacioacuten
A continuacioacuten se resume cada uno de los 14 dominios de la norma ISO 270012013 (y los controles dentro de ellos) Muchos controles se refieren a praacutecticas y procedimientos de gestioacuten humana Varios otros se refieren a los activos y la infraestructura de la tecnologiacutea de la informacioacuten En ellos se anotan las pruebas de penetracioacuten la clasificacioacuten de la vulnerabilidad la explotacioacuten de la vulnerabilidad asistida por IAML de RidgeBot y los pasos de reparacioacuten comunicados para ayudar a implementar y cumplir el control de la norma ISO 27001
Anexo A5 Poliacuteticas de seguridad de la informacioacutenAsegurarse de que las poliacuteticas se redacten y revisen de acuerdo con las praacutecticas de seguridad de la informacioacuten de la organizacioacuten
51 Direccioacuten de la gestioacuten de la seguridad de la informacioacuten Definir un conjunto de poliacuteticas para aclarar la direccioacuten de la gestioacuten y el apoyo a la seguridad de la informacioacuten
Anexo A6 Organizacioacuten de la seguridad de la informacioacutenAsignacioacuten de responsabilidades para tareas especiacuteficas
61 Organizacioacuten interna Establecer las funciones y responsabilidades en materia de seguridad de la informacioacuten y asignarlas a las personas
62 Dispositivos moacuteviles y teletrabajo Establecer poliacuteticas y controles de seguridad para los dispositivos moacuteviles y el teletrabajo Asegurarse de que toda persona que trabaje desde su casa o en movimiento siga las praacutecticas adecuadas
Anexo A7 Seguridad de los recursos humanosAsegurarse de que los empleados y contratistas potenciales actuales y pasados entiendan sus responsabilidades en materia de seguridad de la informacioacuten
71 Antes del empleo Las responsabilidades en materia de seguridad de la informacioacuten deben tenerse en cuenta al contratar a empleados permanentes contratistas y personal temporal e incluirse en los contratos
72 Durante el empleo Asegurarse de que los empleados y contratistas conozcan las obligaciones en materia de seguridad de la informacioacuten y esteacuten motivados para cumplirlas incluido un proceso disciplinario
73 Terminacioacuten y cambio de empleo Deben gestionarse los aspectos de seguridad de la salida o el cambio de funcioacuten de una persona como la devolucioacuten de la informacioacuten y el equipo de la empresa y actualizando los derechos de acceso
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 15
Anexo A8 Gestioacuten de activosIdentificar los activos de informacioacuten y definir las responsabilidades de proteccioacuten adecuadas
81 Responsabilidad por los activos Hacer un inventario de todos los activos de informacioacuten e identificar a los propietarios responsables de su seguridad
82 Clasificacioacuten de la informacioacuten Clasificar y etiquetar la informacioacuten de acuerdo con la proteccioacuten de seguridad necesaria y manejarla adecuadamente
83 Manejo de los medios de comunicacioacuten Los medios de almacenamiento de informacioacuten deben ser administrados controlados trasladados y eliminados sin comprometer el contenido de la informacioacuten
USO DE RIDGEBOT QUE SE DEBE CUMPLIRbull Ejecute una exploracioacuten de descubrimiento de activos para identificar y documentar todos los
activos y superficies de ataque Al ejecutar este escaneo se descubre y documenta cualquier cambio en la presencia de los activos que deben ser incluidos en el inventario
Anexo A9 Control de accesoAsegurarse de que los empleados soacutelo puedan ver la informacioacuten relevante para su trabajo
91 Requisitos empresariales de control de acceso Controlar el acceso a los activos de informacioacuten documentados en la poliacutetica y los procedimientos de control Restringir el acceso y las conexiones a la red
92 Gestioacuten del acceso de los usuarios Controlar los derechos de acceso de los usuarios desde el registro inicial del usuario hasta la eliminacioacuten de los derechos cuando ya no sean necesarios Revisar y actualizar perioacutedicamente los derechos de acceso
93 Responsabilidades de los usuarios Los usuarios deben ser conscientes de sus responsabilidades en lo que respecta al mantenimiento de controles de acceso eficaces como contrasentildeas soacutelidas y confidencialidad
94 Control de acceso al sistema y a las aplicaciones Restringir el acceso a la informacioacuten de acuerdo con la poliacutetica de control de acceso como la gestioacuten segura de los nombres de usuario y las contrasentildeas
USO DE RIDGEBOT QUE SE DEBE CUMPLIRbull Ejecutar un escaneo de contrasentildeas deacutebiles contra todos los activos para documentar y
resolver las vulnerabilidades de las credenciales de acceso
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 16
Anexo A10 CriptografiacuteaCifrado de datos y manejo de informacioacuten sensible
101 Controles criptograacuteficos Establecer y mantener una poliacutetica sobre el uso del cifrado la autenticacioacuten criptograacutefica y los controles de integridad como las firmas digitales los coacutedigos de autenticacioacuten de los mensajes y la gestioacuten de las claves criptograacuteficas
USO DE RIDGEBOT QUE SE DEBE CUMPLIR bull Asegurarse de que una exploracioacuten dirigida especiacuteficamente a las vulnerabilidades
relacionadas con el cifrado forma parte de la poliacutetica de controles criptograacuteficos
Anexo A11 Seguridad fiacutesica y ambientalEvitar el acceso fiacutesico no autorizado el dantildeo o la interferencia en las instalaciones el equipo o la informacioacuten sensible de la organizacioacuten
111 Aacutereas seguras Definir periacutemetros fiacutesicos y barreras con controles de entrada fiacutesica proteger los locales oficinas salas aacutereas de entregacarga etc contra el acceso no autorizado
112 Equipo Asegurar y mantener el equipo informaacutetico y de informacioacuten asiacute como los servicios de apoyo (como la electricidad y el aire acondicionado) y el cableado
USO DE RIDGEBOT QUE SE DEBE CUMPLIR bull Ejecute un escaneo de acceso para asegurarse de que todos los sistemas o dispositivos
utilizados para controlar registrar o vigilar la entrada fiacutesica a los locales esteacuten seguros contra credenciales deacutebiles u otras vulnerabilidades de softwaremalware Los hackers pueden permitir el acceso fiacutesico (en lugar de denegarlo) o borrar o alterar los registros la videovigilancia o la informacioacuten de la pista de auditoriacutea
bull Las pruebas de penetracioacuten pueden revelar los puntos deacutebiles de los procesos de seguridad fiacutesica que podriacutean conceder a un atacante el acceso a sistemas o aacutereas seguras
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 17
Anexo A12 Seguridad de las operacionesAsegurarse de que las instalaciones de procesamiento de informacioacuten sean seguras
121 Procedimientos y responsabilidades operacionales Documentar las responsabilidades y procedimientos operativos de la TI controlar los cambios en las instalaciones y sistemas de TI gestionar la capacidad y el rendimiento separar el desarrollo las pruebas y los sistemas operativos
122 Proteccioacuten contra el malware Se requieren controles de malware incluyendo la concienciacioacuten de los usuarios
123 Copias de seguridad Realizar y conservar copias de seguridad adecuadas de conformidad con la poliacutetica de copias de seguridad
124 Registro y supervisioacuten Proteger y registrar las actividades de los usuarios y los administradoresoperadores del sistema las excepciones los fallos y los eventos de seguridad de la informacioacuten Sincronizar los relojes
125 Control del software operativo Controlar la instalacioacuten de programas informaacuteticos en los sistemas operacionales
126 Gestioacuten de la vulnerabilidad teacutecnica Parchear las vulnerabilidades y garantizar que se establezcan normas que rijan la instalacioacuten del software de usuario
127 Consideraciones sobre la auditoriacutea de los sistemas de informacioacuten Planificar y controlar las auditoriacuteas de los sistemas de informacioacuten para reducir al miacutenimo los efectos adversos en los sistemas de produccioacuten o el acceso inapropiado a los datos
USO DE RIDGEBOT QUE SE DEBE CUMPLIRbull Ejecute un anaacutelisis de la prueba de penetracioacuten para asegurarse de que todos los activos
estaacuten seguros contra credenciales deacutebiles u otras vulnerabilidades de softwaremalware donde los hackers pueden obtener acceso no autorizado
bull Ejecute un escaneo para asegurarse de que todos los sistemas o dispositivos utilizados para registrar eventos y actividades estaacuten seguros de credenciales deacutebiles u otras vulnerabilidades de softwaremalware Aacutereas en las que los hackers pueden obtener acceso para borrar o alterar los registros la vigilancia por viacutedeo o la informacioacuten de seguimiento de auditoriacutea
bull Ejecute escaneos completos con la explotacioacuten activada para las vulnerabilidades encontradas como parte regular de su poliacuteticaproceso para endurecer los parches de software actualizaciones de software nuevos dispositivos y cualquier cambio de configuracioacuten antes de empujarlos en vivo al entorno de produccioacuten
bull Los informes de exploracioacuten (que contienen las vulnerabilidades detectadas enumeradas los exploits exitosos y las medidas correctivas) abordan el requisito de la Norma de detectar las vulnerabilidades teacutecnicas emergentes de manera estructurada y sistemaacutetica
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 18
Anexo A13 Seguridad de las comunicacionesProteger la informacioacuten en las redes
131 Gestioacuten de la seguridad de las redes Garantizar la seguridad de las redes y los servicios de red por ejemplo mediante la segregacioacuten
132 Transferencia de informacioacuten Garantizar que se apliquen poliacuteticas procedimientos y acuerdos (como los acuerdos de no divulgacioacuten) relativos a la transferencia de informacioacuten ade terceros incluida la mensajeriacutea electroacutenica
USO DE RIDGEBOT QUE SE DEBE CUMPLIR bull Realice una prueba de penetracioacuten para asegurarse de que todos los activos que participan
en la transferencia de informacioacuten y los sistemas de mensajeriacutea electroacutenica estaacuten a salvo de credenciales deacutebiles u otras vulnerabilidades de softwaremalware en las que los piratas informaacuteticos pueden obtener acceso no autorizado
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 19
Anexo A14 Adquisicioacuten desarrollo y mantenimiento de sistemasGarantizar la seguridad de la informacioacuten sigue siendo una parte central de los procesos a lo largo de todo el ciclo de vida de los sistemas internos asiacute como de los servicios prestados a traveacutes de redes puacuteblicas
141 Requisitos de seguridad de los sistemas de informacioacuten Los requisitos de control de seguridad deben ser analizados y especificados incluyendo las aplicaciones web y las transacciones
142 Seguridad en los procesos de desarrollo y apoyo Definir como poliacutetica las normas que rigen el desarrollo de softwaresistemas seguros Se pueden controlar los cambios en ambas aplicaciones y sistemas operativos Asegurar el entorno de desarrollo asiacute como la seguridad de los sistemas de pruebas de desarrollo subcontratados en funcioacuten de criterios de aceptacioacuten definidos por la seguridad
143 Datos de prueba Los datos de las pruebas deben seleccionarse generarse y controlarse cuidadosamente
USO DE RIDGEBOT QUE SE DEBE CUMPLIR bull Realice una prueba de penetracioacuten contra los sistemas internos asiacute como contra cualquier
proveedor o nube de activos y servicios
bull Ejecutar un escaneo completo con la explotacioacuten activada para las vulnerabilidades encontradas como parte regular del desarrollo de software validacioacuten de software y procesos y procedimientos de control de cambios
bull Ejecute un escaneo de acceso para asegurar que existen controles de acceso apropiados para separar sus entornos de desarrolloprueba de software de los entornos de produccioacuten
bull Ejecute escaneos completos con la explotacioacuten activada para las vulnerabilidades encontradas como una parte regular de su poliacutetica y proceso para endurecer el nuevo software durante el proceso de desarrollo de software
bull Ejecute escaneos continuos con la explotacioacuten activada para las vulnerabilidades encontradas Escanee continuamente partes de su software o del proceso de desarrollo de su sitio web asiacute como el proceso de pruebas para reforzar los parches de software las actualizaciones de software los nuevos dispositivos y cualquier cambio de configuracioacuten antes de introducirlos en su entorno de produccioacuten
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 20
Anexo A15 Relaciones con los proveedoresAcuerdos contractuales entre organizaciones y terceros
151 Seguridad de la informacioacuten en las relaciones con los proveedores Definir poliacuteticas procedimientos concienciacioacuten etc para proteger la informacioacuten accesible a los subcontratistas y proveedores externos a lo largo de la cadena de suministro acordada en los contratos o acuerdos
152 Gestioacuten de la prestacioacuten de servicios de los proveedores Supervisar la prestacioacuten de servicios por parte de los proveedores externos y revisarauditar los contratosacuerdos Controlar los cambios en el servicio
Anexo A16 Gestioacuten de incidentes de seguridad de la informacioacutenGestionar e informar de los incidentes de seguridad
161 Gestioacuten de los incidentes y mejoras de la seguridad de la informacioacuten Definir las responsabilidades y los procedimientos para gestionar (informar evaluar responder y aprender de) los eventos incidentes y debilidades de la seguridad de la informacioacuten de forma coherente y eficaz y recopilar pruebas forenses
USO DE RIDGEBOT QUE SE DEBE CUMPLIRbull Los informes del escaacutener de la prueba de penetracioacutenmdashque incluyen soluciones
recomendadas para cada vulnerabilidadmdashproporcionan informacioacuten criacutetica para su equipo de respuestaescalada de incidentes de seguridad o forense para asegurar el manejo oportuno y efectivo de todas las situaciones
bull Un escaneo forense (despueacutes de que haya ocurrido un incidente de seguridad) tambieacuten puede ayudar a determinar doacutende y coacutemo se perpetra una brecha
Anexo A17 Aspectos de la seguridad de la informacioacuten en la gestioacuten de la continuidad de las operacionesCrear un sistema eficaz para gestionar las interrupciones de los negocios
171 Continuidad de la seguridad de la informacioacuten Planificar implementar y revisar la continuidad de la seguridad de la informacioacuten como parte integral del sistema de gestioacuten de la continuidad del negocio
172 Redundancias Asegurar que las instalaciones de TI tengan suficiente redundancia para satisfacer los requisitos de disponibilidad
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 21
Anexo A18 CumplimientoIdentificar las leyes y reglamentos pertinentes Comprender los requisitos legales y contractuales para mitigar el riesgo de incumplimiento y las sanciones
181 Cumplimiento de los requisitos legales y contractuales Identificar y documentar las obligaciones para con las autoridades externas y otros terceros en relacioacuten con la seguridad de la informacioacuten incluida la propiedad intelectual los registros [comerciales] la informacioacuten de privacidadidentificacioacuten personal y la criptografiacutea
182 Exaacutemenes de la seguridad de la informacioacuten Revisar independientemente las disposiciones de seguridad de la informacioacuten (auditoriacutea) e informar a la administracioacuten Los directivos deben examinar el cumplimiento de las poliacuteticas y procedimientos de seguridad por parte de los empleados y los sistemas e iniciar medidas correctivas
USO DE RIDGEBOT QUE SE DEBE CUMPLIRbull Realice escaneos completos con la explotacioacuten activada para las vulnerabilidades
encontradas como parte regular de su poliacutetica y proceso para revisar que sus controles de seguridad son efectivos contra las uacuteltimas amenazas
bull El motor de explotacioacuten AIML incorporado de RidgeBot utiliza la base de conocimientos de teacutecnicas de ataque de RidgeSecurity liacuteder en la industria y asegura que sus activos esteacuten siempre reforzados con la inteligencia de vulnerabilidades maacutes actualizada
bull Los informes de exploracioacutenmdashque contienen las vulnerabilidades detectadas los exploits exitosos y los pasos correctivosmdashproporcionan documentacioacuten para una revisioacuten independiente o de gestioacuten de sus controles de seguridad y su eficacia Tambieacuten esbozan los pasos para la accioacuten correctiva
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 22
Perfil de la compantildeiacuteaRidge Security ofrece soluciones eacuteticas eficientes y accesibles para la prueba de penetracioacuten a empresas pequentildeas y grandes Nos aseguramos de que nuestros clientes se mantengan conformes alerta y seguros en todo momento en el mundo ciberneacutetico El equipo de administracioacuten tiene muchos antildeos de experiencia en redes y seguridad Ridge Security estaacute ubicada en el corazoacuten de Silicon Valley y se estaacute expandiendo a otras regiones como Ameacuterica Latina Asia y Europa
RidgeBot un sistema de pruebas de penetracioacuten roboacutetica automatizado por completo el proceso se prueba acoplando teacutecnicas de hacking eacutetico a los algoritmos de toma de decisiones Los RidgeBots localizan explotan y documentan los riesgos y vulnerabilidades empresariales descubiertos durante el proceso de prueba destacando el impacto o dantildeo potencial
Ridge Security Technology Incwwwridgesecurityai
copy 2020 Todos los derechos reservados Ridge Security Technology Inc RidgeBot es una marca registrada de Ridge Security Technology Inc
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 2
Visioacuten general Validacioacuten continua con ataques automatizados pasos detallados para resolver y bloquear las vulnerabilidades
La transformacioacuten digital de la economiacutea mundial los negocios y las operaciones gubernamentales han visto un raacutepido crecimiento en las tecnologiacuteas de defensa de la seguridad como la encriptacioacuten Next-gen firewalls meacutetodos de filtrado deteccioacuten de malware autentificacioacuten multifactorial y vigilancia
A pesar de los avances en estas tecnologiacuteas defensivas las redes los servidores y las aplicaciones estaacuten continuamente bajo ataque por meacutetodos cada vez maacutes creativos y sofisticados Las brechas estaacuten creciendo continuamente en nuacutemero tamantildeo y el dantildeo infligido por los atacantes
Tendencias de la industria
Los mecanismos de seguridad defensiva tradicionales no han logrado proteger adecuadamente las redes los centros de datos los hosts y las aplicaciones de las infiltraciones los ataques y las brechas La eficacia de los mecanismos defensivos de seguridad tradicionales gira principalmente en torno al concepto de seguridad fronteriza mientras que cada vez maacutes las tendencias de la industria en SaaS IaaS computacioacuten en nube IO virtualizacioacuten y movilidad han desdibujado o eliminado las fronteras en las redes y los sistemas de procesamiento y almacenamiento de computadoras
La postura de seguridad tambieacuten se ve afectada porque mientras que los ataques han aumentado en nuacutemero en sutileza y en precisioacuten los recursos de TI para las medidas de seguridad las auditoriacuteas y las actividades de proteccioacuten se han endurecido
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 3
Prueba de penetracioacuten
El raacutepido aumento de la incidencia de amenazas y la sofisticacioacuten han hecho imperativo endurecer las posturas de seguridad con meacutetodos activos y ofensivos Posturas que no suplantan sino que se suman a las medidas defensivas tradicionales como las pruebas de penetracioacuten que buscan vulnerabilidades Abordar las vulnerabilidades antes de la explotacioacuten
Las pruebas de penetracioacuten son un proceso costoso que requiere muchos recursos que causa trastornos y a menudo se realiza de forma manual y se ejecuta perioacutedicamente (por ejemplo anualmente) Las pruebas soacutelo pueden realizarse cuando se acerca una auditoriacutea u otra necesidad colateral para obtener o reafirmar el cumplimiento de una de las muchas normas y reglamentos mundiales relativos a la informacioacuten financiera personal de salud o informacioacuten confidencial adicional Su entorno es vulnerable durante los periacuteodos a menudo prolongados que transcurren entre las auditoriacuteas que realizan la validacioacuten programada de las pruebas de penetracioacuten
Validacioacuten continua automatizada con RidgeBot
RidgeBot es un robot inteligente que proporciona servicios de validacioacuten de seguridad automatizados continuos y de bajo costo para endurecer su postura de seguridad en forma continua y brindar un monitoreo de cumplimiento siempre activo Tiene incorporado el conocimiento colectivo en tiempo real de las uacuteltimas amenazas vulnerabilidades exploits y meacutetodos y teacutecnicas de hacking asistido por AIML de uacuteltima generacioacuten Se escala seguacuten sea necesario y se ejecuta como un VM en un aparato o como SaaS
RidgeBot automatiza las pruebas de penetracioacuten convirtieacutendolo en una herramienta de alto uso continuo integral a su poliacutetica y procedimientos de seguridad en lugar de un costoso ejercicio de prueba de una sola vez
RidgeBot es su asistente robot personal que detalla coacutemo y doacutende un hacker puede comprometer exitosamente sus activos Recomienda instrucciones paso a paso sobre coacutemo construir y mantener sus activos de manera segura y protegida
ltgt
Prevencioacuten de brechasDefensa Tradicional
2002
Post BrechaDeteccioacuten
2012
Defensa Ofensiva Previa al Ataque
2020
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 4
RidgeBot hace mucho maacutes que una prueba de penetracioacuten autodescubre los activos y luego procede a sondearlos de forma continua iterativa totalmente automatizada a escala y explota las vulnerabilidades encontradas En su informe le alerta de la lista de vulnerabilidades peligrosas que se han explotado con eacutexito asiacute como de una lista de vulnerabilidades de menor prioridad que no se han explotado Su red estaacute siempre bloqueada siempre actualizada con parches siempre lista para ser auditada siempre lista para presentar pruebas de la postura de seguridad todo a un costo miacutenimo y con intervencioacuten humana
RidgeBot proporciona las siguientes capacidades claves
bull Descubrimiento Se arrastra automaacuteticamente a traveacutes de su entorno para identificar y documentar los tipos de activos (incluyendo redes hosts aplicaciones plug-ins imaacutegenes dispositivos de IO y dispositivos moacuteviles) y las superficies de ataque de esos activos
bull Escaneo Extraiga activos y superficies de ataque en busca de vulnerabilidades aprovechando la Plataforma de Inteligencia sobre Amenazas de Ridge Security una base de datos de conocimiento de vulnerabilidades colectivas que incluye maacutes de 2000 millones de datos de inteligencia de seguridad 100 millones de bibliotecas de ataques y 150000 bibliotecas de exploits
bull Explotar Las teacutecnicasmodos de ataque asistido por AIML explotan automaacuteticamente las vulnerabilidades encontradas Documentan los hallazgos junto con las recomendaciones de reparacioacuten en informes precisos fiables y utilizables Los algoritmos AIML se basan en una base de conocimientos expertos para guiar a RidgeBot en la buacutesqueda de la ruta de ataque y en la seleccioacuten de la ruta Lanzar ataques iterativos basados en el aprendizaje a lo largo del camino logrando una cobertura de pruebas mucho maacutes amplia y una inspeccioacuten maacutes profunda que los meacutetodos tradicionales de prueba de penetracioacuten
bull Priorizacioacuten de riesgos posteriores a la explotacioacuten RidgeBot visualiza la cadena de muerte y cuantifica los riesgos basaacutendose en muacuteltiples factores para dar a las organizaciones una clasificacioacuten detallada y especiacutefica de las vulnerabilidades maacutes peligrosas El anaacutelisis de RidgeBot reduce draacutesticamente el trabajo manual necesario para clasificar y remediar las vulnerabilidades centraacutendose en las vulnerabilidades explotables especiacuteficas (un porcentaje de un solo diacutegito)
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 5
Visioacuten general de la ISO 27001La familia de normas ISO 27000 ofrece un conjunto de especificaciones coacutedigos de conducta y directrices sobre las mejores praacutecticas para que las organizaciones garanticen una soacutelida gestioacuten de la seguridad de la informacioacuten La ISOIEC 270012013 que sustituye a la ISOIEC 270012005 especifica las mejores praacutecticas para implementar y mantener una gestioacuten de seguridad de la informacioacuten de datos e incluye a las personas los procesos y la tecnologiacutea
La ISO 27001 es un estaacutendar de gestioacuten de seguridad de tecnologiacutea neutra que prescribe los atributos de un SGSI efectivo La ISO 27002mdashuna pieza complementaria esencial del estaacutendarmdashdetalla las mejores praacutecticas para implementar un SGSI efectivo
Tipo de requisitoISO 27001 es un estaacutendar de la industria de seguridad de la informacioacuten No es un requisito legal pero la certificacioacuten es a menudo un prerrequisito para los contratos o la realizacioacuten de negocios con entidades gubernamentales entidades financiadas por el gobierno o grandes clientes corporativos
Aplicabilidad geograacutefica En todo el mundo
Ownership Publicado por la Organizacioacuten Internacional de Normalizacioacuten (ISO) (una organizacioacuten internacional de normas de gestioacuten y continuidad de las actividades con representantes de 165 organizaciones nacionales de normalizacioacuten) y la Comisioacuten Electroteacutecnica Internacional (CEI) (una organizacioacuten internacional de normas para las tecnologiacuteas eleacutectricas electroacutenicas y afines)
Verificacioacuten del cumplimiento y aplicacioacuten de la normativa Las empresas logran la certificacioacuten con la ISO 27001 preparaacutendose para el cumplimiento Luego las empresas deben programar una auditoriacutea con un organismo nacional de acreditacioacuten que sea miembro del Foro de Acreditacioacuten Internacional (IAF) El Consejo Nacional de Acreditacioacuten de ANSI (ANAB) estaacute en los EEUU o el Servicio de Acreditacioacuten del Reino Unido (UKAS) estaacute en el Reino Unido Las empresas certificadas participan anualmente en un proceso de revisioacuten externa y deben recertificarse cada tres antildeos para mantener el cumplimiento
Para maacutes informacioacuten
bull ISO 27001 httpswwwiso27001securitycomhtml27001html
bull ISO 27002 httpswwwiso27001securitycomhtml27002html
bull Reino Unido httpswwwitgovernancecoukiso27001
bull Estados Unidos httpswwwitgovernanceusacomiso27001
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 6
Certificacioacuten y cumplimiento de la norma ISO 27001
La ISO 270012013 se centra en el establecimiento de objetivos la evaluacioacuten del rendimiento y la definicioacuten de meacutetricas para medir la eficacia Los objetivos o controles estaacuten organizados por 14 categoriacuteas o dominios con detalles especiacuteficos en el Anexo A de la norma Las organizaciones no estaacuten obligadas a implementar todos los controles de la ISO 27001 sino que representan una lista de posibilidades a considerar en funcioacuten del negocio y el entorno particular de una empresa
1 Anexo A5 Poliacuteticas de seguridad de la informacioacuten
2 Anexo A6 Organizacioacuten de la seguridad de la informacioacuten
3 Anexo A7 Seguridad de los recursos humanos
4 Anexo A8 Gestioacuten de activos
5 Anexo A9 Control de acceso
6 Anexo A10 Criptografiacutea
7 Anexo A11 Seguridad fiacutesica y ambiental
8 Anexo A12 Seguridad de las operaciones
9 Anexo A13 Seguridad de las comunicaciones
10 Anexo A14 Adquisicioacuten desarrollo y mantenimiento de sistemas
11 Anexo A15 Relaciones con los proveedores
12 Anexo A16 Gestioacuten de incidentes de seguridad de la informacioacuten
13 Anexo A17 Aspectos de la seguridad de la informacioacuten en la gestioacuten de la continuidad de las operaciones
14 Anexo A18 Cumplimiento
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 7
La implementacioacuten de un SGSI que cumpla con la norma ISO 27001 es un proceso de varios pasos que en liacuteneas generales sigue este esquema
bull Gobernabilidad Esto requiere un compromiso demostrado de la alta direccioacuten con un SGSI
bull Evaluacioacuten del riesgo Requiere una comprensioacuten exacta de los riesgos para la seguridad de la informacioacuten a los que se enfrenta la organizacioacuten
bull Documentacioacuten Establece coacutemo funciona el SGSI
bull Mejora continua Una vez que se implementa el SGSI se debe medir el rendimiento y la efectividad se deben identificar las desviaciones y se deben tomar medidas correctivas
Varias normas complementarias contribuyen a la interpretacioacuten e implementacioacuten de la ISO 27001
bull La ISO 27002 recomienda las mejores praacutecticas para la implementacioacuten efectiva de las especificaciones de la ISO 27001
bull La ISO 27005 guiacutea la gestioacuten de los riesgos de seguridad de la informacioacuten
bull La ISO 27017 se centra en la forma en que los controles de la ISO 27001 se aplican a la informacioacuten almacenada en la nube
bull ISO 27018 ofrece orientacioacuten sobre la proteccioacuten de la informacioacuten sensible en la nube
bull La ISO 27701 define los requisitos adicionales del SGSI para cubrir la privacidad de los datos reconociendo que la seguridad de la informacioacuten es esencial para una gestioacuten eficaz de la privacidad Fue creada en respuesta al Reglamento General de Proteccioacuten de Datos (GDPR) para detallar la forma en que los controles de la ISO 27001 se cruzan con la privacidad de los datos
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 8
En un sentido general RidgeBot ayuda a encontrar los problemas de incumplimiento en sus activos y guiacutea coacutemo y resuelve inmediatamente cualquier exposicioacuten Ademaacutes RidgeBot mantiene continuamente una postura de seguridad que siempre cumple con la ISO 27001 y otras normas y regulaciones
Algunos de los beneficios clave de RidgeBot para la postura de seguridad de su organizacioacuten incluyen
Mejorar y simplificar las actividades y procesos de seguridad
bull Descubrir inventariar y documentar los componentes del sistema los activos y las superficies de ataque Debido a que RidgeBot estaacute completamente automatizado puede hacerlo continuamente o en intervalos mucho maacutes frecuentes que los procesos manuales perioacutedicos anteriores
bull Los informes ayudan a documentar las vulnerabilidades encontradas explotadas remediadas y validadas
bull Los informes proporcionan una clara clasificacioacuten de los riesgos para centrar la actividad de remediacioacuten manual en las vulnerabilidades de mayor riesgo
bull La flexibilidad de RidgeBot le permite ejecutar pruebas de ataque desde dentro y fuera de su entorno
bull La base de conocimientos de la Plataforma de Inteligencia de Amenazas de RidgeSecurity asegura que usted esteacute siempre al diacutea con la informacioacuten de las vulnerabilidades de seguridad liacutederes en la industria
bull Ejecute los ataques y escaneos de RidgeBot como parte estaacutendar de su poliacutetica de seguridad en curso
Risk Weightedderada de riesgoExplotadas verificades Riesgo de explotacioacuten no verificades
Alto
366Medio
79Baja
517
Explotadas
14Vulnerabilidades
VISIOacuteN GENERAL
iquestCoacutemo puede RidgeBot ayudar
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 9
Validacioacuten de seguridad continua
bull RidgeBot provee sin costo alguno endurecimiento continuo e inventario de activos Puede ejecutar diferentes escaneos de forma perioacutedica o continua ya que estaacute totalmente automatizado no se requiere ninguna intervencioacuten manual hasta que se informa de una vulnerabilidad
bull El monitoreo continuo y el descubrimiento de activos protegen contra la intrusioacuten de hackers causada por un empleado (o cualquier otra persona) que conecta accidental o maliciosamente dispositivos no confiables o no planeados de IO inalaacutembricos u otros dispositivos no autorizados al ambiente
bull Los informes de exploracioacuten proporcionan una lista de vulnerabilidades explotables que deben ser corregidas para documentarlas y resolverlas La salida de informes garantiza que todos los parches y actualizaciones de software necesarios para resolver las vulnerabilidades peligrosas se instalen en todos los activos afectados
Desarrollo de software y pruebas de lanzamiento de DevOpsSecOps
bull Utilice el RidgeBot durante el desarrollo del software para asegurarse de que las praacutecticas de codificacioacuten peligrosas que introducen vulnerabilidades nunca se incorporen a las nuevas versiones del software
bull Usar RidgeBot para endurecer los parches de software actualizaciones de software nuevos dispositivos y cualquier cambio de configuracioacuten antes de introducirlos en el entorno de produccioacuten
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 10
Validacioacuten de la posicioacuten de seguridad
bull Atacar continuamente de forma iterativa el entorno de produccioacuten para mantener la postura de seguridad Descubra las malas configuraciones de los aparatos o servicios de seguridad inalaacutembricos o defensivos como las reglas de los cortafuegos o los aparatos UTM
bull Supervisar continuamente y endurecer las credenciales de acceso a los activos sensibles
Auditoriacutea de conformidad
bull El continuo escaneo de descubrimiento de activos y los intentos de ataque y explotacioacuten (y los informes emitidos) significan que su entorno siempre estaacute listo para la auditoriacutea
bull Los informes de RidgeBot presentan pruebas de vulnerabilidades probadas remediadas y resueltas
Respuesta a incidentes de seguridad
bull Escanee los informes que contienen las soluciones recomendadas para cada vulnerabilidad encontrada y proporcione informacioacuten criacutetica a su equipo de respuestaescalada de incidentes de seguridad
bull La clasificacioacuten de riesgos de las vulnerabilidades alimenta las prioridades y procedimientos de respuesta a los incidentes
bull Los ataques de explotacioacuten AIML de RidgeBot proporcionan capacidades forenses para investigar el origen y el camino tomado por una brecha y una guiacutea paso a paso sobre coacutemo resolver la vulnerabilidad del punto de entrada
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 11
RidgeBot incluye varias plantillas de escaneado y la flexibilidad de personalizar completamente sus escaneos Las plantillas del sistema incluyen
bull Escaneo completo Esta prueba lanza numerosas teacutecnicas de ataques utilizadas por los hackers del mundo real Basaacutendose en la inteligencia de amenazas y en una base de conocimientos de explotacioacuten RidgeBot perfila los activos extrae las vulnerabilidades y lanza ataques contra los activos objetivo que pueden ser internos o externos a su entorno en un entorno privado o puacuteblico
bull Escaneo de contrasentildeas deacutebiles Esta prueba lanza ataques directos o iterativos basados en informacioacuten sensible recogida a traveacutes de credenciales deacutebiles o vulnerabilidades de acceso no autorizadas Los objetivos del ataque incluyen Redis Elasticsearch ActiveMQ base de datos acceso a la web y otras aplicaciones
bull Escaneo de Struts 2 Esta prueba lanza ataques directos o iterativos basados en vulnerabilidades conocidas de 1 diacutea o N diacuteas detectadas en los objetivos usando el marco de Struts 2
bull Escaneo Weblogic Esta prueba lanza ataques directos o iterativos basados en vulnerabilidades conocidas de 1 o N diacuteas detectadas en objetivos que utilizan el middleware de Weblogic
bull Escaneo web Esta prueba lanza ciberataques contra sitios web aplicaciones web y todas las superficies de ataque relacionadas para obtener el control del sitio web objetivo tanto para sitios web de desarrollo propio como para sitios web basados en sistemas de gestioacuten de contactos
bull Escaneo del host Esta prueba lanza ataques directos o iterativos desde el interior de una red corporativa para validar la respuesta del sistema de seguridad a una amenaza interna Los sistemas objetivo incluyen todos los hosts y servidores internos accesibles a la red
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 12
Implementacioacuten y certificacioacuten de la ISO 27001RidgeBot puede ayudar de muchas maneras con las siguientes etapas especiacuteficas de implementacioacuten desafiacuteos de implementacioacuten y mantenimiento continuo de la certificacioacuten auditoriacutea y revisioacuten de la norma ISO 27001
bull Identificacioacuten de activos La ISO 27001 requiere que se inventariacuteen varias clases de activos incluyendo registros digitales activos de TI aplicaciones de negocios y dispositivos moacuteviles
El descubrimiento automatizado de activos de RidgeBot puede ayudar a inventariar todos los activos mientras se prepara para una [re]certificacioacuten ISO 27001 Ademaacutes puede verificar que no haya nuevos dispositivos no planificados conectados a la infraestructura que introduce vulnerabilidades de manera continua Por ejemplo un atacante podriacutea establecer un punto de acceso inalaacutembrico no autorizado o instalar un dispositivo de IoT que permita el acceso remoto a la red interna
bull Evaluacioacuten de riesgos La norma ISO 27001 requiere que se realicen evaluaciones de riesgos con regularidad La norma establece que su proceso de evaluacioacuten de riesgos debe producir ldquoresultados consistentes vaacutelidos y comparablesrdquo las etapas de la evaluacioacuten de riesgos implican la identificacioacuten el anaacutelisis y la evaluacioacuten de los riesgos Ademaacutes la norma ISO 27001 establece que una vez identificados todos los riesgos cada uno de ellos debe ser evaluado individualmente en cuanto a la probabilidad de explotacioacuten el dantildeo que podriacutea ocurrir Se debe asignar un rango o puntuacioacuten a cada vulnerabilidad seguacuten los criterios de riesgo
La capacidad de prueba de penetracioacuten que tiene RidgeBot identifica analiza y evaluacutea todos los riesgos encontrados Ademaacutes explota los riesgos encontrados y proporciona medidas correctivas Los informes de escaneo proporcionan una clasificacioacuten lista de vulnerabilidades encontradas en base a la probabilidad de cada una de ellas de ser explotada incluidas las que fueron explotadas con eacutexito durante el ensayo Los informes tambieacuten proporcionan una evaluacioacuten con pasos granulares para remediar cada vulnerabilidad Los informes de exploracioacuten de RidgeBot proporcionan un vehiacuteculo para cumplir con el requisito de ldquoresultados consistentes vaacutelidos y comparablesrdquo de la norma ISO 27001
bull Plan de gestioacuten de riesgos La ISO 27001 establece que su Plan de Gestioacuten de Riesgos debe determinar los ldquomeacutetodos de control medicioacuten anaacutelisis y evaluacioacuten [] para asegurar resultados vaacutelidosrdquo La eficacia de aproximadamente la mitad de los controles enumerados en el Anexo A de la ISO 27001 soacutelo puede evaluarse suficientemente mediante pruebas de penetracioacuten
Las capacidades de la prueba de penetracioacuten totalmente automatizada de RidgeBot pueden ser ejecutadas de manera rentable tan frecuentemente como sea necesario en lugar de contratar a una empresa consultora para hacer una prueba de una uacutenica vez La paz y la tranquilidad estaacute asegurada de que sus activos estaacuten continuamente bloqueados Las nuevas vulnerabilidades se detectan inmediatamente despueacutesmdasho a menudo antesmdashde ser introducidas en su entorno de produccioacuten Su entorno empresarial siempre cumple con la norma ISO 27001 no soacutelo cuando se prepara para una auditoriacutea una revisioacuten o una recertificacioacuten
iquestCoacutemo puede RidgeBot ayudar
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 13
bull Documentacioacuten Un aspecto arduo de la implementacioacuten de un SGSI ISO 27001 es el desarrollo de la documentacioacuten de la Norma requerida expliacutecitamente
Los informes de exploracioacuten de RidgeBot (resultados de la misma repeticioacuten de exploracioacuten en un horario fijo) pueden ayudar a recopilar documentacioacuten ldquoconsistente vaacutelida y comparablerdquo de las vulnerabilidades encontradas la clasificacioacuten de la vulnerabilidad las explotaciones exitosas y las medidas de mitigacioacuten y correccioacuten que se tomen
bull Mejora continua a traveacutes de la medicioacuten el control y la revisioacuten Este aspecto de la ISO 27001 requiere que su SGSI sea continuamente analizado y revisado en cuanto a su desempentildeo efectividad cumplimiento e identificacioacuten de mejoras en los procesos
Los informes de exploracioacuten de RidgeBot que se realizan de forma continua o perioacutedica pueden ayudar a proporcionar informes y medidas correctivas recomendadas aportando las pruebas que la Norma requiere para demostrar que los riesgos se encuentran miden revisan y tratan adecuadamente
Un servicio de pruebas de penetracioacuten que compruebe regularmente los controles de la ISO 27001 y cuando sea necesario pruebe los cambios en la infraestructura de TI y de seguridad es una parte fundamental de cualquier proceso de mejora continua
RidgeBot ofrece este servicio a un precio muy econoacutemico Estaacute totalmente automatizado Los escaneos pueden ser programados tan a menudo como sea necesario (cumpliendo con el requisito de ldquoauditoriacutea internardquo ISO 27001) La salida de los escaneos de RidgeBot proporciona informes consistentes y comparables incluyendo mediciones cuantitativas (categoriacuteas y clasificaciones de vulnerabilidad) que demuestran la eficacia de su SGSI
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 14
ISO 27001 Anexo A Controles
El Anexo A de la norma ISO 27001 ofrece un breve resumen de los controles y dominios La norma ISO 27002 proporciona informacioacuten maacutes detallada para ayudar a la aplicacioacuten
A continuacioacuten se resume cada uno de los 14 dominios de la norma ISO 270012013 (y los controles dentro de ellos) Muchos controles se refieren a praacutecticas y procedimientos de gestioacuten humana Varios otros se refieren a los activos y la infraestructura de la tecnologiacutea de la informacioacuten En ellos se anotan las pruebas de penetracioacuten la clasificacioacuten de la vulnerabilidad la explotacioacuten de la vulnerabilidad asistida por IAML de RidgeBot y los pasos de reparacioacuten comunicados para ayudar a implementar y cumplir el control de la norma ISO 27001
Anexo A5 Poliacuteticas de seguridad de la informacioacutenAsegurarse de que las poliacuteticas se redacten y revisen de acuerdo con las praacutecticas de seguridad de la informacioacuten de la organizacioacuten
51 Direccioacuten de la gestioacuten de la seguridad de la informacioacuten Definir un conjunto de poliacuteticas para aclarar la direccioacuten de la gestioacuten y el apoyo a la seguridad de la informacioacuten
Anexo A6 Organizacioacuten de la seguridad de la informacioacutenAsignacioacuten de responsabilidades para tareas especiacuteficas
61 Organizacioacuten interna Establecer las funciones y responsabilidades en materia de seguridad de la informacioacuten y asignarlas a las personas
62 Dispositivos moacuteviles y teletrabajo Establecer poliacuteticas y controles de seguridad para los dispositivos moacuteviles y el teletrabajo Asegurarse de que toda persona que trabaje desde su casa o en movimiento siga las praacutecticas adecuadas
Anexo A7 Seguridad de los recursos humanosAsegurarse de que los empleados y contratistas potenciales actuales y pasados entiendan sus responsabilidades en materia de seguridad de la informacioacuten
71 Antes del empleo Las responsabilidades en materia de seguridad de la informacioacuten deben tenerse en cuenta al contratar a empleados permanentes contratistas y personal temporal e incluirse en los contratos
72 Durante el empleo Asegurarse de que los empleados y contratistas conozcan las obligaciones en materia de seguridad de la informacioacuten y esteacuten motivados para cumplirlas incluido un proceso disciplinario
73 Terminacioacuten y cambio de empleo Deben gestionarse los aspectos de seguridad de la salida o el cambio de funcioacuten de una persona como la devolucioacuten de la informacioacuten y el equipo de la empresa y actualizando los derechos de acceso
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 15
Anexo A8 Gestioacuten de activosIdentificar los activos de informacioacuten y definir las responsabilidades de proteccioacuten adecuadas
81 Responsabilidad por los activos Hacer un inventario de todos los activos de informacioacuten e identificar a los propietarios responsables de su seguridad
82 Clasificacioacuten de la informacioacuten Clasificar y etiquetar la informacioacuten de acuerdo con la proteccioacuten de seguridad necesaria y manejarla adecuadamente
83 Manejo de los medios de comunicacioacuten Los medios de almacenamiento de informacioacuten deben ser administrados controlados trasladados y eliminados sin comprometer el contenido de la informacioacuten
USO DE RIDGEBOT QUE SE DEBE CUMPLIRbull Ejecute una exploracioacuten de descubrimiento de activos para identificar y documentar todos los
activos y superficies de ataque Al ejecutar este escaneo se descubre y documenta cualquier cambio en la presencia de los activos que deben ser incluidos en el inventario
Anexo A9 Control de accesoAsegurarse de que los empleados soacutelo puedan ver la informacioacuten relevante para su trabajo
91 Requisitos empresariales de control de acceso Controlar el acceso a los activos de informacioacuten documentados en la poliacutetica y los procedimientos de control Restringir el acceso y las conexiones a la red
92 Gestioacuten del acceso de los usuarios Controlar los derechos de acceso de los usuarios desde el registro inicial del usuario hasta la eliminacioacuten de los derechos cuando ya no sean necesarios Revisar y actualizar perioacutedicamente los derechos de acceso
93 Responsabilidades de los usuarios Los usuarios deben ser conscientes de sus responsabilidades en lo que respecta al mantenimiento de controles de acceso eficaces como contrasentildeas soacutelidas y confidencialidad
94 Control de acceso al sistema y a las aplicaciones Restringir el acceso a la informacioacuten de acuerdo con la poliacutetica de control de acceso como la gestioacuten segura de los nombres de usuario y las contrasentildeas
USO DE RIDGEBOT QUE SE DEBE CUMPLIRbull Ejecutar un escaneo de contrasentildeas deacutebiles contra todos los activos para documentar y
resolver las vulnerabilidades de las credenciales de acceso
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 16
Anexo A10 CriptografiacuteaCifrado de datos y manejo de informacioacuten sensible
101 Controles criptograacuteficos Establecer y mantener una poliacutetica sobre el uso del cifrado la autenticacioacuten criptograacutefica y los controles de integridad como las firmas digitales los coacutedigos de autenticacioacuten de los mensajes y la gestioacuten de las claves criptograacuteficas
USO DE RIDGEBOT QUE SE DEBE CUMPLIR bull Asegurarse de que una exploracioacuten dirigida especiacuteficamente a las vulnerabilidades
relacionadas con el cifrado forma parte de la poliacutetica de controles criptograacuteficos
Anexo A11 Seguridad fiacutesica y ambientalEvitar el acceso fiacutesico no autorizado el dantildeo o la interferencia en las instalaciones el equipo o la informacioacuten sensible de la organizacioacuten
111 Aacutereas seguras Definir periacutemetros fiacutesicos y barreras con controles de entrada fiacutesica proteger los locales oficinas salas aacutereas de entregacarga etc contra el acceso no autorizado
112 Equipo Asegurar y mantener el equipo informaacutetico y de informacioacuten asiacute como los servicios de apoyo (como la electricidad y el aire acondicionado) y el cableado
USO DE RIDGEBOT QUE SE DEBE CUMPLIR bull Ejecute un escaneo de acceso para asegurarse de que todos los sistemas o dispositivos
utilizados para controlar registrar o vigilar la entrada fiacutesica a los locales esteacuten seguros contra credenciales deacutebiles u otras vulnerabilidades de softwaremalware Los hackers pueden permitir el acceso fiacutesico (en lugar de denegarlo) o borrar o alterar los registros la videovigilancia o la informacioacuten de la pista de auditoriacutea
bull Las pruebas de penetracioacuten pueden revelar los puntos deacutebiles de los procesos de seguridad fiacutesica que podriacutean conceder a un atacante el acceso a sistemas o aacutereas seguras
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 17
Anexo A12 Seguridad de las operacionesAsegurarse de que las instalaciones de procesamiento de informacioacuten sean seguras
121 Procedimientos y responsabilidades operacionales Documentar las responsabilidades y procedimientos operativos de la TI controlar los cambios en las instalaciones y sistemas de TI gestionar la capacidad y el rendimiento separar el desarrollo las pruebas y los sistemas operativos
122 Proteccioacuten contra el malware Se requieren controles de malware incluyendo la concienciacioacuten de los usuarios
123 Copias de seguridad Realizar y conservar copias de seguridad adecuadas de conformidad con la poliacutetica de copias de seguridad
124 Registro y supervisioacuten Proteger y registrar las actividades de los usuarios y los administradoresoperadores del sistema las excepciones los fallos y los eventos de seguridad de la informacioacuten Sincronizar los relojes
125 Control del software operativo Controlar la instalacioacuten de programas informaacuteticos en los sistemas operacionales
126 Gestioacuten de la vulnerabilidad teacutecnica Parchear las vulnerabilidades y garantizar que se establezcan normas que rijan la instalacioacuten del software de usuario
127 Consideraciones sobre la auditoriacutea de los sistemas de informacioacuten Planificar y controlar las auditoriacuteas de los sistemas de informacioacuten para reducir al miacutenimo los efectos adversos en los sistemas de produccioacuten o el acceso inapropiado a los datos
USO DE RIDGEBOT QUE SE DEBE CUMPLIRbull Ejecute un anaacutelisis de la prueba de penetracioacuten para asegurarse de que todos los activos
estaacuten seguros contra credenciales deacutebiles u otras vulnerabilidades de softwaremalware donde los hackers pueden obtener acceso no autorizado
bull Ejecute un escaneo para asegurarse de que todos los sistemas o dispositivos utilizados para registrar eventos y actividades estaacuten seguros de credenciales deacutebiles u otras vulnerabilidades de softwaremalware Aacutereas en las que los hackers pueden obtener acceso para borrar o alterar los registros la vigilancia por viacutedeo o la informacioacuten de seguimiento de auditoriacutea
bull Ejecute escaneos completos con la explotacioacuten activada para las vulnerabilidades encontradas como parte regular de su poliacuteticaproceso para endurecer los parches de software actualizaciones de software nuevos dispositivos y cualquier cambio de configuracioacuten antes de empujarlos en vivo al entorno de produccioacuten
bull Los informes de exploracioacuten (que contienen las vulnerabilidades detectadas enumeradas los exploits exitosos y las medidas correctivas) abordan el requisito de la Norma de detectar las vulnerabilidades teacutecnicas emergentes de manera estructurada y sistemaacutetica
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 18
Anexo A13 Seguridad de las comunicacionesProteger la informacioacuten en las redes
131 Gestioacuten de la seguridad de las redes Garantizar la seguridad de las redes y los servicios de red por ejemplo mediante la segregacioacuten
132 Transferencia de informacioacuten Garantizar que se apliquen poliacuteticas procedimientos y acuerdos (como los acuerdos de no divulgacioacuten) relativos a la transferencia de informacioacuten ade terceros incluida la mensajeriacutea electroacutenica
USO DE RIDGEBOT QUE SE DEBE CUMPLIR bull Realice una prueba de penetracioacuten para asegurarse de que todos los activos que participan
en la transferencia de informacioacuten y los sistemas de mensajeriacutea electroacutenica estaacuten a salvo de credenciales deacutebiles u otras vulnerabilidades de softwaremalware en las que los piratas informaacuteticos pueden obtener acceso no autorizado
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 19
Anexo A14 Adquisicioacuten desarrollo y mantenimiento de sistemasGarantizar la seguridad de la informacioacuten sigue siendo una parte central de los procesos a lo largo de todo el ciclo de vida de los sistemas internos asiacute como de los servicios prestados a traveacutes de redes puacuteblicas
141 Requisitos de seguridad de los sistemas de informacioacuten Los requisitos de control de seguridad deben ser analizados y especificados incluyendo las aplicaciones web y las transacciones
142 Seguridad en los procesos de desarrollo y apoyo Definir como poliacutetica las normas que rigen el desarrollo de softwaresistemas seguros Se pueden controlar los cambios en ambas aplicaciones y sistemas operativos Asegurar el entorno de desarrollo asiacute como la seguridad de los sistemas de pruebas de desarrollo subcontratados en funcioacuten de criterios de aceptacioacuten definidos por la seguridad
143 Datos de prueba Los datos de las pruebas deben seleccionarse generarse y controlarse cuidadosamente
USO DE RIDGEBOT QUE SE DEBE CUMPLIR bull Realice una prueba de penetracioacuten contra los sistemas internos asiacute como contra cualquier
proveedor o nube de activos y servicios
bull Ejecutar un escaneo completo con la explotacioacuten activada para las vulnerabilidades encontradas como parte regular del desarrollo de software validacioacuten de software y procesos y procedimientos de control de cambios
bull Ejecute un escaneo de acceso para asegurar que existen controles de acceso apropiados para separar sus entornos de desarrolloprueba de software de los entornos de produccioacuten
bull Ejecute escaneos completos con la explotacioacuten activada para las vulnerabilidades encontradas como una parte regular de su poliacutetica y proceso para endurecer el nuevo software durante el proceso de desarrollo de software
bull Ejecute escaneos continuos con la explotacioacuten activada para las vulnerabilidades encontradas Escanee continuamente partes de su software o del proceso de desarrollo de su sitio web asiacute como el proceso de pruebas para reforzar los parches de software las actualizaciones de software los nuevos dispositivos y cualquier cambio de configuracioacuten antes de introducirlos en su entorno de produccioacuten
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 20
Anexo A15 Relaciones con los proveedoresAcuerdos contractuales entre organizaciones y terceros
151 Seguridad de la informacioacuten en las relaciones con los proveedores Definir poliacuteticas procedimientos concienciacioacuten etc para proteger la informacioacuten accesible a los subcontratistas y proveedores externos a lo largo de la cadena de suministro acordada en los contratos o acuerdos
152 Gestioacuten de la prestacioacuten de servicios de los proveedores Supervisar la prestacioacuten de servicios por parte de los proveedores externos y revisarauditar los contratosacuerdos Controlar los cambios en el servicio
Anexo A16 Gestioacuten de incidentes de seguridad de la informacioacutenGestionar e informar de los incidentes de seguridad
161 Gestioacuten de los incidentes y mejoras de la seguridad de la informacioacuten Definir las responsabilidades y los procedimientos para gestionar (informar evaluar responder y aprender de) los eventos incidentes y debilidades de la seguridad de la informacioacuten de forma coherente y eficaz y recopilar pruebas forenses
USO DE RIDGEBOT QUE SE DEBE CUMPLIRbull Los informes del escaacutener de la prueba de penetracioacutenmdashque incluyen soluciones
recomendadas para cada vulnerabilidadmdashproporcionan informacioacuten criacutetica para su equipo de respuestaescalada de incidentes de seguridad o forense para asegurar el manejo oportuno y efectivo de todas las situaciones
bull Un escaneo forense (despueacutes de que haya ocurrido un incidente de seguridad) tambieacuten puede ayudar a determinar doacutende y coacutemo se perpetra una brecha
Anexo A17 Aspectos de la seguridad de la informacioacuten en la gestioacuten de la continuidad de las operacionesCrear un sistema eficaz para gestionar las interrupciones de los negocios
171 Continuidad de la seguridad de la informacioacuten Planificar implementar y revisar la continuidad de la seguridad de la informacioacuten como parte integral del sistema de gestioacuten de la continuidad del negocio
172 Redundancias Asegurar que las instalaciones de TI tengan suficiente redundancia para satisfacer los requisitos de disponibilidad
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 21
Anexo A18 CumplimientoIdentificar las leyes y reglamentos pertinentes Comprender los requisitos legales y contractuales para mitigar el riesgo de incumplimiento y las sanciones
181 Cumplimiento de los requisitos legales y contractuales Identificar y documentar las obligaciones para con las autoridades externas y otros terceros en relacioacuten con la seguridad de la informacioacuten incluida la propiedad intelectual los registros [comerciales] la informacioacuten de privacidadidentificacioacuten personal y la criptografiacutea
182 Exaacutemenes de la seguridad de la informacioacuten Revisar independientemente las disposiciones de seguridad de la informacioacuten (auditoriacutea) e informar a la administracioacuten Los directivos deben examinar el cumplimiento de las poliacuteticas y procedimientos de seguridad por parte de los empleados y los sistemas e iniciar medidas correctivas
USO DE RIDGEBOT QUE SE DEBE CUMPLIRbull Realice escaneos completos con la explotacioacuten activada para las vulnerabilidades
encontradas como parte regular de su poliacutetica y proceso para revisar que sus controles de seguridad son efectivos contra las uacuteltimas amenazas
bull El motor de explotacioacuten AIML incorporado de RidgeBot utiliza la base de conocimientos de teacutecnicas de ataque de RidgeSecurity liacuteder en la industria y asegura que sus activos esteacuten siempre reforzados con la inteligencia de vulnerabilidades maacutes actualizada
bull Los informes de exploracioacutenmdashque contienen las vulnerabilidades detectadas los exploits exitosos y los pasos correctivosmdashproporcionan documentacioacuten para una revisioacuten independiente o de gestioacuten de sus controles de seguridad y su eficacia Tambieacuten esbozan los pasos para la accioacuten correctiva
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 22
Perfil de la compantildeiacuteaRidge Security ofrece soluciones eacuteticas eficientes y accesibles para la prueba de penetracioacuten a empresas pequentildeas y grandes Nos aseguramos de que nuestros clientes se mantengan conformes alerta y seguros en todo momento en el mundo ciberneacutetico El equipo de administracioacuten tiene muchos antildeos de experiencia en redes y seguridad Ridge Security estaacute ubicada en el corazoacuten de Silicon Valley y se estaacute expandiendo a otras regiones como Ameacuterica Latina Asia y Europa
RidgeBot un sistema de pruebas de penetracioacuten roboacutetica automatizado por completo el proceso se prueba acoplando teacutecnicas de hacking eacutetico a los algoritmos de toma de decisiones Los RidgeBots localizan explotan y documentan los riesgos y vulnerabilidades empresariales descubiertos durante el proceso de prueba destacando el impacto o dantildeo potencial
Ridge Security Technology Incwwwridgesecurityai
copy 2020 Todos los derechos reservados Ridge Security Technology Inc RidgeBot es una marca registrada de Ridge Security Technology Inc
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 3
Prueba de penetracioacuten
El raacutepido aumento de la incidencia de amenazas y la sofisticacioacuten han hecho imperativo endurecer las posturas de seguridad con meacutetodos activos y ofensivos Posturas que no suplantan sino que se suman a las medidas defensivas tradicionales como las pruebas de penetracioacuten que buscan vulnerabilidades Abordar las vulnerabilidades antes de la explotacioacuten
Las pruebas de penetracioacuten son un proceso costoso que requiere muchos recursos que causa trastornos y a menudo se realiza de forma manual y se ejecuta perioacutedicamente (por ejemplo anualmente) Las pruebas soacutelo pueden realizarse cuando se acerca una auditoriacutea u otra necesidad colateral para obtener o reafirmar el cumplimiento de una de las muchas normas y reglamentos mundiales relativos a la informacioacuten financiera personal de salud o informacioacuten confidencial adicional Su entorno es vulnerable durante los periacuteodos a menudo prolongados que transcurren entre las auditoriacuteas que realizan la validacioacuten programada de las pruebas de penetracioacuten
Validacioacuten continua automatizada con RidgeBot
RidgeBot es un robot inteligente que proporciona servicios de validacioacuten de seguridad automatizados continuos y de bajo costo para endurecer su postura de seguridad en forma continua y brindar un monitoreo de cumplimiento siempre activo Tiene incorporado el conocimiento colectivo en tiempo real de las uacuteltimas amenazas vulnerabilidades exploits y meacutetodos y teacutecnicas de hacking asistido por AIML de uacuteltima generacioacuten Se escala seguacuten sea necesario y se ejecuta como un VM en un aparato o como SaaS
RidgeBot automatiza las pruebas de penetracioacuten convirtieacutendolo en una herramienta de alto uso continuo integral a su poliacutetica y procedimientos de seguridad en lugar de un costoso ejercicio de prueba de una sola vez
RidgeBot es su asistente robot personal que detalla coacutemo y doacutende un hacker puede comprometer exitosamente sus activos Recomienda instrucciones paso a paso sobre coacutemo construir y mantener sus activos de manera segura y protegida
ltgt
Prevencioacuten de brechasDefensa Tradicional
2002
Post BrechaDeteccioacuten
2012
Defensa Ofensiva Previa al Ataque
2020
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 4
RidgeBot hace mucho maacutes que una prueba de penetracioacuten autodescubre los activos y luego procede a sondearlos de forma continua iterativa totalmente automatizada a escala y explota las vulnerabilidades encontradas En su informe le alerta de la lista de vulnerabilidades peligrosas que se han explotado con eacutexito asiacute como de una lista de vulnerabilidades de menor prioridad que no se han explotado Su red estaacute siempre bloqueada siempre actualizada con parches siempre lista para ser auditada siempre lista para presentar pruebas de la postura de seguridad todo a un costo miacutenimo y con intervencioacuten humana
RidgeBot proporciona las siguientes capacidades claves
bull Descubrimiento Se arrastra automaacuteticamente a traveacutes de su entorno para identificar y documentar los tipos de activos (incluyendo redes hosts aplicaciones plug-ins imaacutegenes dispositivos de IO y dispositivos moacuteviles) y las superficies de ataque de esos activos
bull Escaneo Extraiga activos y superficies de ataque en busca de vulnerabilidades aprovechando la Plataforma de Inteligencia sobre Amenazas de Ridge Security una base de datos de conocimiento de vulnerabilidades colectivas que incluye maacutes de 2000 millones de datos de inteligencia de seguridad 100 millones de bibliotecas de ataques y 150000 bibliotecas de exploits
bull Explotar Las teacutecnicasmodos de ataque asistido por AIML explotan automaacuteticamente las vulnerabilidades encontradas Documentan los hallazgos junto con las recomendaciones de reparacioacuten en informes precisos fiables y utilizables Los algoritmos AIML se basan en una base de conocimientos expertos para guiar a RidgeBot en la buacutesqueda de la ruta de ataque y en la seleccioacuten de la ruta Lanzar ataques iterativos basados en el aprendizaje a lo largo del camino logrando una cobertura de pruebas mucho maacutes amplia y una inspeccioacuten maacutes profunda que los meacutetodos tradicionales de prueba de penetracioacuten
bull Priorizacioacuten de riesgos posteriores a la explotacioacuten RidgeBot visualiza la cadena de muerte y cuantifica los riesgos basaacutendose en muacuteltiples factores para dar a las organizaciones una clasificacioacuten detallada y especiacutefica de las vulnerabilidades maacutes peligrosas El anaacutelisis de RidgeBot reduce draacutesticamente el trabajo manual necesario para clasificar y remediar las vulnerabilidades centraacutendose en las vulnerabilidades explotables especiacuteficas (un porcentaje de un solo diacutegito)
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 5
Visioacuten general de la ISO 27001La familia de normas ISO 27000 ofrece un conjunto de especificaciones coacutedigos de conducta y directrices sobre las mejores praacutecticas para que las organizaciones garanticen una soacutelida gestioacuten de la seguridad de la informacioacuten La ISOIEC 270012013 que sustituye a la ISOIEC 270012005 especifica las mejores praacutecticas para implementar y mantener una gestioacuten de seguridad de la informacioacuten de datos e incluye a las personas los procesos y la tecnologiacutea
La ISO 27001 es un estaacutendar de gestioacuten de seguridad de tecnologiacutea neutra que prescribe los atributos de un SGSI efectivo La ISO 27002mdashuna pieza complementaria esencial del estaacutendarmdashdetalla las mejores praacutecticas para implementar un SGSI efectivo
Tipo de requisitoISO 27001 es un estaacutendar de la industria de seguridad de la informacioacuten No es un requisito legal pero la certificacioacuten es a menudo un prerrequisito para los contratos o la realizacioacuten de negocios con entidades gubernamentales entidades financiadas por el gobierno o grandes clientes corporativos
Aplicabilidad geograacutefica En todo el mundo
Ownership Publicado por la Organizacioacuten Internacional de Normalizacioacuten (ISO) (una organizacioacuten internacional de normas de gestioacuten y continuidad de las actividades con representantes de 165 organizaciones nacionales de normalizacioacuten) y la Comisioacuten Electroteacutecnica Internacional (CEI) (una organizacioacuten internacional de normas para las tecnologiacuteas eleacutectricas electroacutenicas y afines)
Verificacioacuten del cumplimiento y aplicacioacuten de la normativa Las empresas logran la certificacioacuten con la ISO 27001 preparaacutendose para el cumplimiento Luego las empresas deben programar una auditoriacutea con un organismo nacional de acreditacioacuten que sea miembro del Foro de Acreditacioacuten Internacional (IAF) El Consejo Nacional de Acreditacioacuten de ANSI (ANAB) estaacute en los EEUU o el Servicio de Acreditacioacuten del Reino Unido (UKAS) estaacute en el Reino Unido Las empresas certificadas participan anualmente en un proceso de revisioacuten externa y deben recertificarse cada tres antildeos para mantener el cumplimiento
Para maacutes informacioacuten
bull ISO 27001 httpswwwiso27001securitycomhtml27001html
bull ISO 27002 httpswwwiso27001securitycomhtml27002html
bull Reino Unido httpswwwitgovernancecoukiso27001
bull Estados Unidos httpswwwitgovernanceusacomiso27001
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 6
Certificacioacuten y cumplimiento de la norma ISO 27001
La ISO 270012013 se centra en el establecimiento de objetivos la evaluacioacuten del rendimiento y la definicioacuten de meacutetricas para medir la eficacia Los objetivos o controles estaacuten organizados por 14 categoriacuteas o dominios con detalles especiacuteficos en el Anexo A de la norma Las organizaciones no estaacuten obligadas a implementar todos los controles de la ISO 27001 sino que representan una lista de posibilidades a considerar en funcioacuten del negocio y el entorno particular de una empresa
1 Anexo A5 Poliacuteticas de seguridad de la informacioacuten
2 Anexo A6 Organizacioacuten de la seguridad de la informacioacuten
3 Anexo A7 Seguridad de los recursos humanos
4 Anexo A8 Gestioacuten de activos
5 Anexo A9 Control de acceso
6 Anexo A10 Criptografiacutea
7 Anexo A11 Seguridad fiacutesica y ambiental
8 Anexo A12 Seguridad de las operaciones
9 Anexo A13 Seguridad de las comunicaciones
10 Anexo A14 Adquisicioacuten desarrollo y mantenimiento de sistemas
11 Anexo A15 Relaciones con los proveedores
12 Anexo A16 Gestioacuten de incidentes de seguridad de la informacioacuten
13 Anexo A17 Aspectos de la seguridad de la informacioacuten en la gestioacuten de la continuidad de las operaciones
14 Anexo A18 Cumplimiento
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 7
La implementacioacuten de un SGSI que cumpla con la norma ISO 27001 es un proceso de varios pasos que en liacuteneas generales sigue este esquema
bull Gobernabilidad Esto requiere un compromiso demostrado de la alta direccioacuten con un SGSI
bull Evaluacioacuten del riesgo Requiere una comprensioacuten exacta de los riesgos para la seguridad de la informacioacuten a los que se enfrenta la organizacioacuten
bull Documentacioacuten Establece coacutemo funciona el SGSI
bull Mejora continua Una vez que se implementa el SGSI se debe medir el rendimiento y la efectividad se deben identificar las desviaciones y se deben tomar medidas correctivas
Varias normas complementarias contribuyen a la interpretacioacuten e implementacioacuten de la ISO 27001
bull La ISO 27002 recomienda las mejores praacutecticas para la implementacioacuten efectiva de las especificaciones de la ISO 27001
bull La ISO 27005 guiacutea la gestioacuten de los riesgos de seguridad de la informacioacuten
bull La ISO 27017 se centra en la forma en que los controles de la ISO 27001 se aplican a la informacioacuten almacenada en la nube
bull ISO 27018 ofrece orientacioacuten sobre la proteccioacuten de la informacioacuten sensible en la nube
bull La ISO 27701 define los requisitos adicionales del SGSI para cubrir la privacidad de los datos reconociendo que la seguridad de la informacioacuten es esencial para una gestioacuten eficaz de la privacidad Fue creada en respuesta al Reglamento General de Proteccioacuten de Datos (GDPR) para detallar la forma en que los controles de la ISO 27001 se cruzan con la privacidad de los datos
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 8
En un sentido general RidgeBot ayuda a encontrar los problemas de incumplimiento en sus activos y guiacutea coacutemo y resuelve inmediatamente cualquier exposicioacuten Ademaacutes RidgeBot mantiene continuamente una postura de seguridad que siempre cumple con la ISO 27001 y otras normas y regulaciones
Algunos de los beneficios clave de RidgeBot para la postura de seguridad de su organizacioacuten incluyen
Mejorar y simplificar las actividades y procesos de seguridad
bull Descubrir inventariar y documentar los componentes del sistema los activos y las superficies de ataque Debido a que RidgeBot estaacute completamente automatizado puede hacerlo continuamente o en intervalos mucho maacutes frecuentes que los procesos manuales perioacutedicos anteriores
bull Los informes ayudan a documentar las vulnerabilidades encontradas explotadas remediadas y validadas
bull Los informes proporcionan una clara clasificacioacuten de los riesgos para centrar la actividad de remediacioacuten manual en las vulnerabilidades de mayor riesgo
bull La flexibilidad de RidgeBot le permite ejecutar pruebas de ataque desde dentro y fuera de su entorno
bull La base de conocimientos de la Plataforma de Inteligencia de Amenazas de RidgeSecurity asegura que usted esteacute siempre al diacutea con la informacioacuten de las vulnerabilidades de seguridad liacutederes en la industria
bull Ejecute los ataques y escaneos de RidgeBot como parte estaacutendar de su poliacutetica de seguridad en curso
Risk Weightedderada de riesgoExplotadas verificades Riesgo de explotacioacuten no verificades
Alto
366Medio
79Baja
517
Explotadas
14Vulnerabilidades
VISIOacuteN GENERAL
iquestCoacutemo puede RidgeBot ayudar
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 9
Validacioacuten de seguridad continua
bull RidgeBot provee sin costo alguno endurecimiento continuo e inventario de activos Puede ejecutar diferentes escaneos de forma perioacutedica o continua ya que estaacute totalmente automatizado no se requiere ninguna intervencioacuten manual hasta que se informa de una vulnerabilidad
bull El monitoreo continuo y el descubrimiento de activos protegen contra la intrusioacuten de hackers causada por un empleado (o cualquier otra persona) que conecta accidental o maliciosamente dispositivos no confiables o no planeados de IO inalaacutembricos u otros dispositivos no autorizados al ambiente
bull Los informes de exploracioacuten proporcionan una lista de vulnerabilidades explotables que deben ser corregidas para documentarlas y resolverlas La salida de informes garantiza que todos los parches y actualizaciones de software necesarios para resolver las vulnerabilidades peligrosas se instalen en todos los activos afectados
Desarrollo de software y pruebas de lanzamiento de DevOpsSecOps
bull Utilice el RidgeBot durante el desarrollo del software para asegurarse de que las praacutecticas de codificacioacuten peligrosas que introducen vulnerabilidades nunca se incorporen a las nuevas versiones del software
bull Usar RidgeBot para endurecer los parches de software actualizaciones de software nuevos dispositivos y cualquier cambio de configuracioacuten antes de introducirlos en el entorno de produccioacuten
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 10
Validacioacuten de la posicioacuten de seguridad
bull Atacar continuamente de forma iterativa el entorno de produccioacuten para mantener la postura de seguridad Descubra las malas configuraciones de los aparatos o servicios de seguridad inalaacutembricos o defensivos como las reglas de los cortafuegos o los aparatos UTM
bull Supervisar continuamente y endurecer las credenciales de acceso a los activos sensibles
Auditoriacutea de conformidad
bull El continuo escaneo de descubrimiento de activos y los intentos de ataque y explotacioacuten (y los informes emitidos) significan que su entorno siempre estaacute listo para la auditoriacutea
bull Los informes de RidgeBot presentan pruebas de vulnerabilidades probadas remediadas y resueltas
Respuesta a incidentes de seguridad
bull Escanee los informes que contienen las soluciones recomendadas para cada vulnerabilidad encontrada y proporcione informacioacuten criacutetica a su equipo de respuestaescalada de incidentes de seguridad
bull La clasificacioacuten de riesgos de las vulnerabilidades alimenta las prioridades y procedimientos de respuesta a los incidentes
bull Los ataques de explotacioacuten AIML de RidgeBot proporcionan capacidades forenses para investigar el origen y el camino tomado por una brecha y una guiacutea paso a paso sobre coacutemo resolver la vulnerabilidad del punto de entrada
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 11
RidgeBot incluye varias plantillas de escaneado y la flexibilidad de personalizar completamente sus escaneos Las plantillas del sistema incluyen
bull Escaneo completo Esta prueba lanza numerosas teacutecnicas de ataques utilizadas por los hackers del mundo real Basaacutendose en la inteligencia de amenazas y en una base de conocimientos de explotacioacuten RidgeBot perfila los activos extrae las vulnerabilidades y lanza ataques contra los activos objetivo que pueden ser internos o externos a su entorno en un entorno privado o puacuteblico
bull Escaneo de contrasentildeas deacutebiles Esta prueba lanza ataques directos o iterativos basados en informacioacuten sensible recogida a traveacutes de credenciales deacutebiles o vulnerabilidades de acceso no autorizadas Los objetivos del ataque incluyen Redis Elasticsearch ActiveMQ base de datos acceso a la web y otras aplicaciones
bull Escaneo de Struts 2 Esta prueba lanza ataques directos o iterativos basados en vulnerabilidades conocidas de 1 diacutea o N diacuteas detectadas en los objetivos usando el marco de Struts 2
bull Escaneo Weblogic Esta prueba lanza ataques directos o iterativos basados en vulnerabilidades conocidas de 1 o N diacuteas detectadas en objetivos que utilizan el middleware de Weblogic
bull Escaneo web Esta prueba lanza ciberataques contra sitios web aplicaciones web y todas las superficies de ataque relacionadas para obtener el control del sitio web objetivo tanto para sitios web de desarrollo propio como para sitios web basados en sistemas de gestioacuten de contactos
bull Escaneo del host Esta prueba lanza ataques directos o iterativos desde el interior de una red corporativa para validar la respuesta del sistema de seguridad a una amenaza interna Los sistemas objetivo incluyen todos los hosts y servidores internos accesibles a la red
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 12
Implementacioacuten y certificacioacuten de la ISO 27001RidgeBot puede ayudar de muchas maneras con las siguientes etapas especiacuteficas de implementacioacuten desafiacuteos de implementacioacuten y mantenimiento continuo de la certificacioacuten auditoriacutea y revisioacuten de la norma ISO 27001
bull Identificacioacuten de activos La ISO 27001 requiere que se inventariacuteen varias clases de activos incluyendo registros digitales activos de TI aplicaciones de negocios y dispositivos moacuteviles
El descubrimiento automatizado de activos de RidgeBot puede ayudar a inventariar todos los activos mientras se prepara para una [re]certificacioacuten ISO 27001 Ademaacutes puede verificar que no haya nuevos dispositivos no planificados conectados a la infraestructura que introduce vulnerabilidades de manera continua Por ejemplo un atacante podriacutea establecer un punto de acceso inalaacutembrico no autorizado o instalar un dispositivo de IoT que permita el acceso remoto a la red interna
bull Evaluacioacuten de riesgos La norma ISO 27001 requiere que se realicen evaluaciones de riesgos con regularidad La norma establece que su proceso de evaluacioacuten de riesgos debe producir ldquoresultados consistentes vaacutelidos y comparablesrdquo las etapas de la evaluacioacuten de riesgos implican la identificacioacuten el anaacutelisis y la evaluacioacuten de los riesgos Ademaacutes la norma ISO 27001 establece que una vez identificados todos los riesgos cada uno de ellos debe ser evaluado individualmente en cuanto a la probabilidad de explotacioacuten el dantildeo que podriacutea ocurrir Se debe asignar un rango o puntuacioacuten a cada vulnerabilidad seguacuten los criterios de riesgo
La capacidad de prueba de penetracioacuten que tiene RidgeBot identifica analiza y evaluacutea todos los riesgos encontrados Ademaacutes explota los riesgos encontrados y proporciona medidas correctivas Los informes de escaneo proporcionan una clasificacioacuten lista de vulnerabilidades encontradas en base a la probabilidad de cada una de ellas de ser explotada incluidas las que fueron explotadas con eacutexito durante el ensayo Los informes tambieacuten proporcionan una evaluacioacuten con pasos granulares para remediar cada vulnerabilidad Los informes de exploracioacuten de RidgeBot proporcionan un vehiacuteculo para cumplir con el requisito de ldquoresultados consistentes vaacutelidos y comparablesrdquo de la norma ISO 27001
bull Plan de gestioacuten de riesgos La ISO 27001 establece que su Plan de Gestioacuten de Riesgos debe determinar los ldquomeacutetodos de control medicioacuten anaacutelisis y evaluacioacuten [] para asegurar resultados vaacutelidosrdquo La eficacia de aproximadamente la mitad de los controles enumerados en el Anexo A de la ISO 27001 soacutelo puede evaluarse suficientemente mediante pruebas de penetracioacuten
Las capacidades de la prueba de penetracioacuten totalmente automatizada de RidgeBot pueden ser ejecutadas de manera rentable tan frecuentemente como sea necesario en lugar de contratar a una empresa consultora para hacer una prueba de una uacutenica vez La paz y la tranquilidad estaacute asegurada de que sus activos estaacuten continuamente bloqueados Las nuevas vulnerabilidades se detectan inmediatamente despueacutesmdasho a menudo antesmdashde ser introducidas en su entorno de produccioacuten Su entorno empresarial siempre cumple con la norma ISO 27001 no soacutelo cuando se prepara para una auditoriacutea una revisioacuten o una recertificacioacuten
iquestCoacutemo puede RidgeBot ayudar
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 13
bull Documentacioacuten Un aspecto arduo de la implementacioacuten de un SGSI ISO 27001 es el desarrollo de la documentacioacuten de la Norma requerida expliacutecitamente
Los informes de exploracioacuten de RidgeBot (resultados de la misma repeticioacuten de exploracioacuten en un horario fijo) pueden ayudar a recopilar documentacioacuten ldquoconsistente vaacutelida y comparablerdquo de las vulnerabilidades encontradas la clasificacioacuten de la vulnerabilidad las explotaciones exitosas y las medidas de mitigacioacuten y correccioacuten que se tomen
bull Mejora continua a traveacutes de la medicioacuten el control y la revisioacuten Este aspecto de la ISO 27001 requiere que su SGSI sea continuamente analizado y revisado en cuanto a su desempentildeo efectividad cumplimiento e identificacioacuten de mejoras en los procesos
Los informes de exploracioacuten de RidgeBot que se realizan de forma continua o perioacutedica pueden ayudar a proporcionar informes y medidas correctivas recomendadas aportando las pruebas que la Norma requiere para demostrar que los riesgos se encuentran miden revisan y tratan adecuadamente
Un servicio de pruebas de penetracioacuten que compruebe regularmente los controles de la ISO 27001 y cuando sea necesario pruebe los cambios en la infraestructura de TI y de seguridad es una parte fundamental de cualquier proceso de mejora continua
RidgeBot ofrece este servicio a un precio muy econoacutemico Estaacute totalmente automatizado Los escaneos pueden ser programados tan a menudo como sea necesario (cumpliendo con el requisito de ldquoauditoriacutea internardquo ISO 27001) La salida de los escaneos de RidgeBot proporciona informes consistentes y comparables incluyendo mediciones cuantitativas (categoriacuteas y clasificaciones de vulnerabilidad) que demuestran la eficacia de su SGSI
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 14
ISO 27001 Anexo A Controles
El Anexo A de la norma ISO 27001 ofrece un breve resumen de los controles y dominios La norma ISO 27002 proporciona informacioacuten maacutes detallada para ayudar a la aplicacioacuten
A continuacioacuten se resume cada uno de los 14 dominios de la norma ISO 270012013 (y los controles dentro de ellos) Muchos controles se refieren a praacutecticas y procedimientos de gestioacuten humana Varios otros se refieren a los activos y la infraestructura de la tecnologiacutea de la informacioacuten En ellos se anotan las pruebas de penetracioacuten la clasificacioacuten de la vulnerabilidad la explotacioacuten de la vulnerabilidad asistida por IAML de RidgeBot y los pasos de reparacioacuten comunicados para ayudar a implementar y cumplir el control de la norma ISO 27001
Anexo A5 Poliacuteticas de seguridad de la informacioacutenAsegurarse de que las poliacuteticas se redacten y revisen de acuerdo con las praacutecticas de seguridad de la informacioacuten de la organizacioacuten
51 Direccioacuten de la gestioacuten de la seguridad de la informacioacuten Definir un conjunto de poliacuteticas para aclarar la direccioacuten de la gestioacuten y el apoyo a la seguridad de la informacioacuten
Anexo A6 Organizacioacuten de la seguridad de la informacioacutenAsignacioacuten de responsabilidades para tareas especiacuteficas
61 Organizacioacuten interna Establecer las funciones y responsabilidades en materia de seguridad de la informacioacuten y asignarlas a las personas
62 Dispositivos moacuteviles y teletrabajo Establecer poliacuteticas y controles de seguridad para los dispositivos moacuteviles y el teletrabajo Asegurarse de que toda persona que trabaje desde su casa o en movimiento siga las praacutecticas adecuadas
Anexo A7 Seguridad de los recursos humanosAsegurarse de que los empleados y contratistas potenciales actuales y pasados entiendan sus responsabilidades en materia de seguridad de la informacioacuten
71 Antes del empleo Las responsabilidades en materia de seguridad de la informacioacuten deben tenerse en cuenta al contratar a empleados permanentes contratistas y personal temporal e incluirse en los contratos
72 Durante el empleo Asegurarse de que los empleados y contratistas conozcan las obligaciones en materia de seguridad de la informacioacuten y esteacuten motivados para cumplirlas incluido un proceso disciplinario
73 Terminacioacuten y cambio de empleo Deben gestionarse los aspectos de seguridad de la salida o el cambio de funcioacuten de una persona como la devolucioacuten de la informacioacuten y el equipo de la empresa y actualizando los derechos de acceso
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 15
Anexo A8 Gestioacuten de activosIdentificar los activos de informacioacuten y definir las responsabilidades de proteccioacuten adecuadas
81 Responsabilidad por los activos Hacer un inventario de todos los activos de informacioacuten e identificar a los propietarios responsables de su seguridad
82 Clasificacioacuten de la informacioacuten Clasificar y etiquetar la informacioacuten de acuerdo con la proteccioacuten de seguridad necesaria y manejarla adecuadamente
83 Manejo de los medios de comunicacioacuten Los medios de almacenamiento de informacioacuten deben ser administrados controlados trasladados y eliminados sin comprometer el contenido de la informacioacuten
USO DE RIDGEBOT QUE SE DEBE CUMPLIRbull Ejecute una exploracioacuten de descubrimiento de activos para identificar y documentar todos los
activos y superficies de ataque Al ejecutar este escaneo se descubre y documenta cualquier cambio en la presencia de los activos que deben ser incluidos en el inventario
Anexo A9 Control de accesoAsegurarse de que los empleados soacutelo puedan ver la informacioacuten relevante para su trabajo
91 Requisitos empresariales de control de acceso Controlar el acceso a los activos de informacioacuten documentados en la poliacutetica y los procedimientos de control Restringir el acceso y las conexiones a la red
92 Gestioacuten del acceso de los usuarios Controlar los derechos de acceso de los usuarios desde el registro inicial del usuario hasta la eliminacioacuten de los derechos cuando ya no sean necesarios Revisar y actualizar perioacutedicamente los derechos de acceso
93 Responsabilidades de los usuarios Los usuarios deben ser conscientes de sus responsabilidades en lo que respecta al mantenimiento de controles de acceso eficaces como contrasentildeas soacutelidas y confidencialidad
94 Control de acceso al sistema y a las aplicaciones Restringir el acceso a la informacioacuten de acuerdo con la poliacutetica de control de acceso como la gestioacuten segura de los nombres de usuario y las contrasentildeas
USO DE RIDGEBOT QUE SE DEBE CUMPLIRbull Ejecutar un escaneo de contrasentildeas deacutebiles contra todos los activos para documentar y
resolver las vulnerabilidades de las credenciales de acceso
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 16
Anexo A10 CriptografiacuteaCifrado de datos y manejo de informacioacuten sensible
101 Controles criptograacuteficos Establecer y mantener una poliacutetica sobre el uso del cifrado la autenticacioacuten criptograacutefica y los controles de integridad como las firmas digitales los coacutedigos de autenticacioacuten de los mensajes y la gestioacuten de las claves criptograacuteficas
USO DE RIDGEBOT QUE SE DEBE CUMPLIR bull Asegurarse de que una exploracioacuten dirigida especiacuteficamente a las vulnerabilidades
relacionadas con el cifrado forma parte de la poliacutetica de controles criptograacuteficos
Anexo A11 Seguridad fiacutesica y ambientalEvitar el acceso fiacutesico no autorizado el dantildeo o la interferencia en las instalaciones el equipo o la informacioacuten sensible de la organizacioacuten
111 Aacutereas seguras Definir periacutemetros fiacutesicos y barreras con controles de entrada fiacutesica proteger los locales oficinas salas aacutereas de entregacarga etc contra el acceso no autorizado
112 Equipo Asegurar y mantener el equipo informaacutetico y de informacioacuten asiacute como los servicios de apoyo (como la electricidad y el aire acondicionado) y el cableado
USO DE RIDGEBOT QUE SE DEBE CUMPLIR bull Ejecute un escaneo de acceso para asegurarse de que todos los sistemas o dispositivos
utilizados para controlar registrar o vigilar la entrada fiacutesica a los locales esteacuten seguros contra credenciales deacutebiles u otras vulnerabilidades de softwaremalware Los hackers pueden permitir el acceso fiacutesico (en lugar de denegarlo) o borrar o alterar los registros la videovigilancia o la informacioacuten de la pista de auditoriacutea
bull Las pruebas de penetracioacuten pueden revelar los puntos deacutebiles de los procesos de seguridad fiacutesica que podriacutean conceder a un atacante el acceso a sistemas o aacutereas seguras
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 17
Anexo A12 Seguridad de las operacionesAsegurarse de que las instalaciones de procesamiento de informacioacuten sean seguras
121 Procedimientos y responsabilidades operacionales Documentar las responsabilidades y procedimientos operativos de la TI controlar los cambios en las instalaciones y sistemas de TI gestionar la capacidad y el rendimiento separar el desarrollo las pruebas y los sistemas operativos
122 Proteccioacuten contra el malware Se requieren controles de malware incluyendo la concienciacioacuten de los usuarios
123 Copias de seguridad Realizar y conservar copias de seguridad adecuadas de conformidad con la poliacutetica de copias de seguridad
124 Registro y supervisioacuten Proteger y registrar las actividades de los usuarios y los administradoresoperadores del sistema las excepciones los fallos y los eventos de seguridad de la informacioacuten Sincronizar los relojes
125 Control del software operativo Controlar la instalacioacuten de programas informaacuteticos en los sistemas operacionales
126 Gestioacuten de la vulnerabilidad teacutecnica Parchear las vulnerabilidades y garantizar que se establezcan normas que rijan la instalacioacuten del software de usuario
127 Consideraciones sobre la auditoriacutea de los sistemas de informacioacuten Planificar y controlar las auditoriacuteas de los sistemas de informacioacuten para reducir al miacutenimo los efectos adversos en los sistemas de produccioacuten o el acceso inapropiado a los datos
USO DE RIDGEBOT QUE SE DEBE CUMPLIRbull Ejecute un anaacutelisis de la prueba de penetracioacuten para asegurarse de que todos los activos
estaacuten seguros contra credenciales deacutebiles u otras vulnerabilidades de softwaremalware donde los hackers pueden obtener acceso no autorizado
bull Ejecute un escaneo para asegurarse de que todos los sistemas o dispositivos utilizados para registrar eventos y actividades estaacuten seguros de credenciales deacutebiles u otras vulnerabilidades de softwaremalware Aacutereas en las que los hackers pueden obtener acceso para borrar o alterar los registros la vigilancia por viacutedeo o la informacioacuten de seguimiento de auditoriacutea
bull Ejecute escaneos completos con la explotacioacuten activada para las vulnerabilidades encontradas como parte regular de su poliacuteticaproceso para endurecer los parches de software actualizaciones de software nuevos dispositivos y cualquier cambio de configuracioacuten antes de empujarlos en vivo al entorno de produccioacuten
bull Los informes de exploracioacuten (que contienen las vulnerabilidades detectadas enumeradas los exploits exitosos y las medidas correctivas) abordan el requisito de la Norma de detectar las vulnerabilidades teacutecnicas emergentes de manera estructurada y sistemaacutetica
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 18
Anexo A13 Seguridad de las comunicacionesProteger la informacioacuten en las redes
131 Gestioacuten de la seguridad de las redes Garantizar la seguridad de las redes y los servicios de red por ejemplo mediante la segregacioacuten
132 Transferencia de informacioacuten Garantizar que se apliquen poliacuteticas procedimientos y acuerdos (como los acuerdos de no divulgacioacuten) relativos a la transferencia de informacioacuten ade terceros incluida la mensajeriacutea electroacutenica
USO DE RIDGEBOT QUE SE DEBE CUMPLIR bull Realice una prueba de penetracioacuten para asegurarse de que todos los activos que participan
en la transferencia de informacioacuten y los sistemas de mensajeriacutea electroacutenica estaacuten a salvo de credenciales deacutebiles u otras vulnerabilidades de softwaremalware en las que los piratas informaacuteticos pueden obtener acceso no autorizado
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 19
Anexo A14 Adquisicioacuten desarrollo y mantenimiento de sistemasGarantizar la seguridad de la informacioacuten sigue siendo una parte central de los procesos a lo largo de todo el ciclo de vida de los sistemas internos asiacute como de los servicios prestados a traveacutes de redes puacuteblicas
141 Requisitos de seguridad de los sistemas de informacioacuten Los requisitos de control de seguridad deben ser analizados y especificados incluyendo las aplicaciones web y las transacciones
142 Seguridad en los procesos de desarrollo y apoyo Definir como poliacutetica las normas que rigen el desarrollo de softwaresistemas seguros Se pueden controlar los cambios en ambas aplicaciones y sistemas operativos Asegurar el entorno de desarrollo asiacute como la seguridad de los sistemas de pruebas de desarrollo subcontratados en funcioacuten de criterios de aceptacioacuten definidos por la seguridad
143 Datos de prueba Los datos de las pruebas deben seleccionarse generarse y controlarse cuidadosamente
USO DE RIDGEBOT QUE SE DEBE CUMPLIR bull Realice una prueba de penetracioacuten contra los sistemas internos asiacute como contra cualquier
proveedor o nube de activos y servicios
bull Ejecutar un escaneo completo con la explotacioacuten activada para las vulnerabilidades encontradas como parte regular del desarrollo de software validacioacuten de software y procesos y procedimientos de control de cambios
bull Ejecute un escaneo de acceso para asegurar que existen controles de acceso apropiados para separar sus entornos de desarrolloprueba de software de los entornos de produccioacuten
bull Ejecute escaneos completos con la explotacioacuten activada para las vulnerabilidades encontradas como una parte regular de su poliacutetica y proceso para endurecer el nuevo software durante el proceso de desarrollo de software
bull Ejecute escaneos continuos con la explotacioacuten activada para las vulnerabilidades encontradas Escanee continuamente partes de su software o del proceso de desarrollo de su sitio web asiacute como el proceso de pruebas para reforzar los parches de software las actualizaciones de software los nuevos dispositivos y cualquier cambio de configuracioacuten antes de introducirlos en su entorno de produccioacuten
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 20
Anexo A15 Relaciones con los proveedoresAcuerdos contractuales entre organizaciones y terceros
151 Seguridad de la informacioacuten en las relaciones con los proveedores Definir poliacuteticas procedimientos concienciacioacuten etc para proteger la informacioacuten accesible a los subcontratistas y proveedores externos a lo largo de la cadena de suministro acordada en los contratos o acuerdos
152 Gestioacuten de la prestacioacuten de servicios de los proveedores Supervisar la prestacioacuten de servicios por parte de los proveedores externos y revisarauditar los contratosacuerdos Controlar los cambios en el servicio
Anexo A16 Gestioacuten de incidentes de seguridad de la informacioacutenGestionar e informar de los incidentes de seguridad
161 Gestioacuten de los incidentes y mejoras de la seguridad de la informacioacuten Definir las responsabilidades y los procedimientos para gestionar (informar evaluar responder y aprender de) los eventos incidentes y debilidades de la seguridad de la informacioacuten de forma coherente y eficaz y recopilar pruebas forenses
USO DE RIDGEBOT QUE SE DEBE CUMPLIRbull Los informes del escaacutener de la prueba de penetracioacutenmdashque incluyen soluciones
recomendadas para cada vulnerabilidadmdashproporcionan informacioacuten criacutetica para su equipo de respuestaescalada de incidentes de seguridad o forense para asegurar el manejo oportuno y efectivo de todas las situaciones
bull Un escaneo forense (despueacutes de que haya ocurrido un incidente de seguridad) tambieacuten puede ayudar a determinar doacutende y coacutemo se perpetra una brecha
Anexo A17 Aspectos de la seguridad de la informacioacuten en la gestioacuten de la continuidad de las operacionesCrear un sistema eficaz para gestionar las interrupciones de los negocios
171 Continuidad de la seguridad de la informacioacuten Planificar implementar y revisar la continuidad de la seguridad de la informacioacuten como parte integral del sistema de gestioacuten de la continuidad del negocio
172 Redundancias Asegurar que las instalaciones de TI tengan suficiente redundancia para satisfacer los requisitos de disponibilidad
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 21
Anexo A18 CumplimientoIdentificar las leyes y reglamentos pertinentes Comprender los requisitos legales y contractuales para mitigar el riesgo de incumplimiento y las sanciones
181 Cumplimiento de los requisitos legales y contractuales Identificar y documentar las obligaciones para con las autoridades externas y otros terceros en relacioacuten con la seguridad de la informacioacuten incluida la propiedad intelectual los registros [comerciales] la informacioacuten de privacidadidentificacioacuten personal y la criptografiacutea
182 Exaacutemenes de la seguridad de la informacioacuten Revisar independientemente las disposiciones de seguridad de la informacioacuten (auditoriacutea) e informar a la administracioacuten Los directivos deben examinar el cumplimiento de las poliacuteticas y procedimientos de seguridad por parte de los empleados y los sistemas e iniciar medidas correctivas
USO DE RIDGEBOT QUE SE DEBE CUMPLIRbull Realice escaneos completos con la explotacioacuten activada para las vulnerabilidades
encontradas como parte regular de su poliacutetica y proceso para revisar que sus controles de seguridad son efectivos contra las uacuteltimas amenazas
bull El motor de explotacioacuten AIML incorporado de RidgeBot utiliza la base de conocimientos de teacutecnicas de ataque de RidgeSecurity liacuteder en la industria y asegura que sus activos esteacuten siempre reforzados con la inteligencia de vulnerabilidades maacutes actualizada
bull Los informes de exploracioacutenmdashque contienen las vulnerabilidades detectadas los exploits exitosos y los pasos correctivosmdashproporcionan documentacioacuten para una revisioacuten independiente o de gestioacuten de sus controles de seguridad y su eficacia Tambieacuten esbozan los pasos para la accioacuten correctiva
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 22
Perfil de la compantildeiacuteaRidge Security ofrece soluciones eacuteticas eficientes y accesibles para la prueba de penetracioacuten a empresas pequentildeas y grandes Nos aseguramos de que nuestros clientes se mantengan conformes alerta y seguros en todo momento en el mundo ciberneacutetico El equipo de administracioacuten tiene muchos antildeos de experiencia en redes y seguridad Ridge Security estaacute ubicada en el corazoacuten de Silicon Valley y se estaacute expandiendo a otras regiones como Ameacuterica Latina Asia y Europa
RidgeBot un sistema de pruebas de penetracioacuten roboacutetica automatizado por completo el proceso se prueba acoplando teacutecnicas de hacking eacutetico a los algoritmos de toma de decisiones Los RidgeBots localizan explotan y documentan los riesgos y vulnerabilidades empresariales descubiertos durante el proceso de prueba destacando el impacto o dantildeo potencial
Ridge Security Technology Incwwwridgesecurityai
copy 2020 Todos los derechos reservados Ridge Security Technology Inc RidgeBot es una marca registrada de Ridge Security Technology Inc
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 4
RidgeBot hace mucho maacutes que una prueba de penetracioacuten autodescubre los activos y luego procede a sondearlos de forma continua iterativa totalmente automatizada a escala y explota las vulnerabilidades encontradas En su informe le alerta de la lista de vulnerabilidades peligrosas que se han explotado con eacutexito asiacute como de una lista de vulnerabilidades de menor prioridad que no se han explotado Su red estaacute siempre bloqueada siempre actualizada con parches siempre lista para ser auditada siempre lista para presentar pruebas de la postura de seguridad todo a un costo miacutenimo y con intervencioacuten humana
RidgeBot proporciona las siguientes capacidades claves
bull Descubrimiento Se arrastra automaacuteticamente a traveacutes de su entorno para identificar y documentar los tipos de activos (incluyendo redes hosts aplicaciones plug-ins imaacutegenes dispositivos de IO y dispositivos moacuteviles) y las superficies de ataque de esos activos
bull Escaneo Extraiga activos y superficies de ataque en busca de vulnerabilidades aprovechando la Plataforma de Inteligencia sobre Amenazas de Ridge Security una base de datos de conocimiento de vulnerabilidades colectivas que incluye maacutes de 2000 millones de datos de inteligencia de seguridad 100 millones de bibliotecas de ataques y 150000 bibliotecas de exploits
bull Explotar Las teacutecnicasmodos de ataque asistido por AIML explotan automaacuteticamente las vulnerabilidades encontradas Documentan los hallazgos junto con las recomendaciones de reparacioacuten en informes precisos fiables y utilizables Los algoritmos AIML se basan en una base de conocimientos expertos para guiar a RidgeBot en la buacutesqueda de la ruta de ataque y en la seleccioacuten de la ruta Lanzar ataques iterativos basados en el aprendizaje a lo largo del camino logrando una cobertura de pruebas mucho maacutes amplia y una inspeccioacuten maacutes profunda que los meacutetodos tradicionales de prueba de penetracioacuten
bull Priorizacioacuten de riesgos posteriores a la explotacioacuten RidgeBot visualiza la cadena de muerte y cuantifica los riesgos basaacutendose en muacuteltiples factores para dar a las organizaciones una clasificacioacuten detallada y especiacutefica de las vulnerabilidades maacutes peligrosas El anaacutelisis de RidgeBot reduce draacutesticamente el trabajo manual necesario para clasificar y remediar las vulnerabilidades centraacutendose en las vulnerabilidades explotables especiacuteficas (un porcentaje de un solo diacutegito)
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 5
Visioacuten general de la ISO 27001La familia de normas ISO 27000 ofrece un conjunto de especificaciones coacutedigos de conducta y directrices sobre las mejores praacutecticas para que las organizaciones garanticen una soacutelida gestioacuten de la seguridad de la informacioacuten La ISOIEC 270012013 que sustituye a la ISOIEC 270012005 especifica las mejores praacutecticas para implementar y mantener una gestioacuten de seguridad de la informacioacuten de datos e incluye a las personas los procesos y la tecnologiacutea
La ISO 27001 es un estaacutendar de gestioacuten de seguridad de tecnologiacutea neutra que prescribe los atributos de un SGSI efectivo La ISO 27002mdashuna pieza complementaria esencial del estaacutendarmdashdetalla las mejores praacutecticas para implementar un SGSI efectivo
Tipo de requisitoISO 27001 es un estaacutendar de la industria de seguridad de la informacioacuten No es un requisito legal pero la certificacioacuten es a menudo un prerrequisito para los contratos o la realizacioacuten de negocios con entidades gubernamentales entidades financiadas por el gobierno o grandes clientes corporativos
Aplicabilidad geograacutefica En todo el mundo
Ownership Publicado por la Organizacioacuten Internacional de Normalizacioacuten (ISO) (una organizacioacuten internacional de normas de gestioacuten y continuidad de las actividades con representantes de 165 organizaciones nacionales de normalizacioacuten) y la Comisioacuten Electroteacutecnica Internacional (CEI) (una organizacioacuten internacional de normas para las tecnologiacuteas eleacutectricas electroacutenicas y afines)
Verificacioacuten del cumplimiento y aplicacioacuten de la normativa Las empresas logran la certificacioacuten con la ISO 27001 preparaacutendose para el cumplimiento Luego las empresas deben programar una auditoriacutea con un organismo nacional de acreditacioacuten que sea miembro del Foro de Acreditacioacuten Internacional (IAF) El Consejo Nacional de Acreditacioacuten de ANSI (ANAB) estaacute en los EEUU o el Servicio de Acreditacioacuten del Reino Unido (UKAS) estaacute en el Reino Unido Las empresas certificadas participan anualmente en un proceso de revisioacuten externa y deben recertificarse cada tres antildeos para mantener el cumplimiento
Para maacutes informacioacuten
bull ISO 27001 httpswwwiso27001securitycomhtml27001html
bull ISO 27002 httpswwwiso27001securitycomhtml27002html
bull Reino Unido httpswwwitgovernancecoukiso27001
bull Estados Unidos httpswwwitgovernanceusacomiso27001
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 6
Certificacioacuten y cumplimiento de la norma ISO 27001
La ISO 270012013 se centra en el establecimiento de objetivos la evaluacioacuten del rendimiento y la definicioacuten de meacutetricas para medir la eficacia Los objetivos o controles estaacuten organizados por 14 categoriacuteas o dominios con detalles especiacuteficos en el Anexo A de la norma Las organizaciones no estaacuten obligadas a implementar todos los controles de la ISO 27001 sino que representan una lista de posibilidades a considerar en funcioacuten del negocio y el entorno particular de una empresa
1 Anexo A5 Poliacuteticas de seguridad de la informacioacuten
2 Anexo A6 Organizacioacuten de la seguridad de la informacioacuten
3 Anexo A7 Seguridad de los recursos humanos
4 Anexo A8 Gestioacuten de activos
5 Anexo A9 Control de acceso
6 Anexo A10 Criptografiacutea
7 Anexo A11 Seguridad fiacutesica y ambiental
8 Anexo A12 Seguridad de las operaciones
9 Anexo A13 Seguridad de las comunicaciones
10 Anexo A14 Adquisicioacuten desarrollo y mantenimiento de sistemas
11 Anexo A15 Relaciones con los proveedores
12 Anexo A16 Gestioacuten de incidentes de seguridad de la informacioacuten
13 Anexo A17 Aspectos de la seguridad de la informacioacuten en la gestioacuten de la continuidad de las operaciones
14 Anexo A18 Cumplimiento
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 7
La implementacioacuten de un SGSI que cumpla con la norma ISO 27001 es un proceso de varios pasos que en liacuteneas generales sigue este esquema
bull Gobernabilidad Esto requiere un compromiso demostrado de la alta direccioacuten con un SGSI
bull Evaluacioacuten del riesgo Requiere una comprensioacuten exacta de los riesgos para la seguridad de la informacioacuten a los que se enfrenta la organizacioacuten
bull Documentacioacuten Establece coacutemo funciona el SGSI
bull Mejora continua Una vez que se implementa el SGSI se debe medir el rendimiento y la efectividad se deben identificar las desviaciones y se deben tomar medidas correctivas
Varias normas complementarias contribuyen a la interpretacioacuten e implementacioacuten de la ISO 27001
bull La ISO 27002 recomienda las mejores praacutecticas para la implementacioacuten efectiva de las especificaciones de la ISO 27001
bull La ISO 27005 guiacutea la gestioacuten de los riesgos de seguridad de la informacioacuten
bull La ISO 27017 se centra en la forma en que los controles de la ISO 27001 se aplican a la informacioacuten almacenada en la nube
bull ISO 27018 ofrece orientacioacuten sobre la proteccioacuten de la informacioacuten sensible en la nube
bull La ISO 27701 define los requisitos adicionales del SGSI para cubrir la privacidad de los datos reconociendo que la seguridad de la informacioacuten es esencial para una gestioacuten eficaz de la privacidad Fue creada en respuesta al Reglamento General de Proteccioacuten de Datos (GDPR) para detallar la forma en que los controles de la ISO 27001 se cruzan con la privacidad de los datos
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 8
En un sentido general RidgeBot ayuda a encontrar los problemas de incumplimiento en sus activos y guiacutea coacutemo y resuelve inmediatamente cualquier exposicioacuten Ademaacutes RidgeBot mantiene continuamente una postura de seguridad que siempre cumple con la ISO 27001 y otras normas y regulaciones
Algunos de los beneficios clave de RidgeBot para la postura de seguridad de su organizacioacuten incluyen
Mejorar y simplificar las actividades y procesos de seguridad
bull Descubrir inventariar y documentar los componentes del sistema los activos y las superficies de ataque Debido a que RidgeBot estaacute completamente automatizado puede hacerlo continuamente o en intervalos mucho maacutes frecuentes que los procesos manuales perioacutedicos anteriores
bull Los informes ayudan a documentar las vulnerabilidades encontradas explotadas remediadas y validadas
bull Los informes proporcionan una clara clasificacioacuten de los riesgos para centrar la actividad de remediacioacuten manual en las vulnerabilidades de mayor riesgo
bull La flexibilidad de RidgeBot le permite ejecutar pruebas de ataque desde dentro y fuera de su entorno
bull La base de conocimientos de la Plataforma de Inteligencia de Amenazas de RidgeSecurity asegura que usted esteacute siempre al diacutea con la informacioacuten de las vulnerabilidades de seguridad liacutederes en la industria
bull Ejecute los ataques y escaneos de RidgeBot como parte estaacutendar de su poliacutetica de seguridad en curso
Risk Weightedderada de riesgoExplotadas verificades Riesgo de explotacioacuten no verificades
Alto
366Medio
79Baja
517
Explotadas
14Vulnerabilidades
VISIOacuteN GENERAL
iquestCoacutemo puede RidgeBot ayudar
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 9
Validacioacuten de seguridad continua
bull RidgeBot provee sin costo alguno endurecimiento continuo e inventario de activos Puede ejecutar diferentes escaneos de forma perioacutedica o continua ya que estaacute totalmente automatizado no se requiere ninguna intervencioacuten manual hasta que se informa de una vulnerabilidad
bull El monitoreo continuo y el descubrimiento de activos protegen contra la intrusioacuten de hackers causada por un empleado (o cualquier otra persona) que conecta accidental o maliciosamente dispositivos no confiables o no planeados de IO inalaacutembricos u otros dispositivos no autorizados al ambiente
bull Los informes de exploracioacuten proporcionan una lista de vulnerabilidades explotables que deben ser corregidas para documentarlas y resolverlas La salida de informes garantiza que todos los parches y actualizaciones de software necesarios para resolver las vulnerabilidades peligrosas se instalen en todos los activos afectados
Desarrollo de software y pruebas de lanzamiento de DevOpsSecOps
bull Utilice el RidgeBot durante el desarrollo del software para asegurarse de que las praacutecticas de codificacioacuten peligrosas que introducen vulnerabilidades nunca se incorporen a las nuevas versiones del software
bull Usar RidgeBot para endurecer los parches de software actualizaciones de software nuevos dispositivos y cualquier cambio de configuracioacuten antes de introducirlos en el entorno de produccioacuten
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 10
Validacioacuten de la posicioacuten de seguridad
bull Atacar continuamente de forma iterativa el entorno de produccioacuten para mantener la postura de seguridad Descubra las malas configuraciones de los aparatos o servicios de seguridad inalaacutembricos o defensivos como las reglas de los cortafuegos o los aparatos UTM
bull Supervisar continuamente y endurecer las credenciales de acceso a los activos sensibles
Auditoriacutea de conformidad
bull El continuo escaneo de descubrimiento de activos y los intentos de ataque y explotacioacuten (y los informes emitidos) significan que su entorno siempre estaacute listo para la auditoriacutea
bull Los informes de RidgeBot presentan pruebas de vulnerabilidades probadas remediadas y resueltas
Respuesta a incidentes de seguridad
bull Escanee los informes que contienen las soluciones recomendadas para cada vulnerabilidad encontrada y proporcione informacioacuten criacutetica a su equipo de respuestaescalada de incidentes de seguridad
bull La clasificacioacuten de riesgos de las vulnerabilidades alimenta las prioridades y procedimientos de respuesta a los incidentes
bull Los ataques de explotacioacuten AIML de RidgeBot proporcionan capacidades forenses para investigar el origen y el camino tomado por una brecha y una guiacutea paso a paso sobre coacutemo resolver la vulnerabilidad del punto de entrada
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 11
RidgeBot incluye varias plantillas de escaneado y la flexibilidad de personalizar completamente sus escaneos Las plantillas del sistema incluyen
bull Escaneo completo Esta prueba lanza numerosas teacutecnicas de ataques utilizadas por los hackers del mundo real Basaacutendose en la inteligencia de amenazas y en una base de conocimientos de explotacioacuten RidgeBot perfila los activos extrae las vulnerabilidades y lanza ataques contra los activos objetivo que pueden ser internos o externos a su entorno en un entorno privado o puacuteblico
bull Escaneo de contrasentildeas deacutebiles Esta prueba lanza ataques directos o iterativos basados en informacioacuten sensible recogida a traveacutes de credenciales deacutebiles o vulnerabilidades de acceso no autorizadas Los objetivos del ataque incluyen Redis Elasticsearch ActiveMQ base de datos acceso a la web y otras aplicaciones
bull Escaneo de Struts 2 Esta prueba lanza ataques directos o iterativos basados en vulnerabilidades conocidas de 1 diacutea o N diacuteas detectadas en los objetivos usando el marco de Struts 2
bull Escaneo Weblogic Esta prueba lanza ataques directos o iterativos basados en vulnerabilidades conocidas de 1 o N diacuteas detectadas en objetivos que utilizan el middleware de Weblogic
bull Escaneo web Esta prueba lanza ciberataques contra sitios web aplicaciones web y todas las superficies de ataque relacionadas para obtener el control del sitio web objetivo tanto para sitios web de desarrollo propio como para sitios web basados en sistemas de gestioacuten de contactos
bull Escaneo del host Esta prueba lanza ataques directos o iterativos desde el interior de una red corporativa para validar la respuesta del sistema de seguridad a una amenaza interna Los sistemas objetivo incluyen todos los hosts y servidores internos accesibles a la red
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 12
Implementacioacuten y certificacioacuten de la ISO 27001RidgeBot puede ayudar de muchas maneras con las siguientes etapas especiacuteficas de implementacioacuten desafiacuteos de implementacioacuten y mantenimiento continuo de la certificacioacuten auditoriacutea y revisioacuten de la norma ISO 27001
bull Identificacioacuten de activos La ISO 27001 requiere que se inventariacuteen varias clases de activos incluyendo registros digitales activos de TI aplicaciones de negocios y dispositivos moacuteviles
El descubrimiento automatizado de activos de RidgeBot puede ayudar a inventariar todos los activos mientras se prepara para una [re]certificacioacuten ISO 27001 Ademaacutes puede verificar que no haya nuevos dispositivos no planificados conectados a la infraestructura que introduce vulnerabilidades de manera continua Por ejemplo un atacante podriacutea establecer un punto de acceso inalaacutembrico no autorizado o instalar un dispositivo de IoT que permita el acceso remoto a la red interna
bull Evaluacioacuten de riesgos La norma ISO 27001 requiere que se realicen evaluaciones de riesgos con regularidad La norma establece que su proceso de evaluacioacuten de riesgos debe producir ldquoresultados consistentes vaacutelidos y comparablesrdquo las etapas de la evaluacioacuten de riesgos implican la identificacioacuten el anaacutelisis y la evaluacioacuten de los riesgos Ademaacutes la norma ISO 27001 establece que una vez identificados todos los riesgos cada uno de ellos debe ser evaluado individualmente en cuanto a la probabilidad de explotacioacuten el dantildeo que podriacutea ocurrir Se debe asignar un rango o puntuacioacuten a cada vulnerabilidad seguacuten los criterios de riesgo
La capacidad de prueba de penetracioacuten que tiene RidgeBot identifica analiza y evaluacutea todos los riesgos encontrados Ademaacutes explota los riesgos encontrados y proporciona medidas correctivas Los informes de escaneo proporcionan una clasificacioacuten lista de vulnerabilidades encontradas en base a la probabilidad de cada una de ellas de ser explotada incluidas las que fueron explotadas con eacutexito durante el ensayo Los informes tambieacuten proporcionan una evaluacioacuten con pasos granulares para remediar cada vulnerabilidad Los informes de exploracioacuten de RidgeBot proporcionan un vehiacuteculo para cumplir con el requisito de ldquoresultados consistentes vaacutelidos y comparablesrdquo de la norma ISO 27001
bull Plan de gestioacuten de riesgos La ISO 27001 establece que su Plan de Gestioacuten de Riesgos debe determinar los ldquomeacutetodos de control medicioacuten anaacutelisis y evaluacioacuten [] para asegurar resultados vaacutelidosrdquo La eficacia de aproximadamente la mitad de los controles enumerados en el Anexo A de la ISO 27001 soacutelo puede evaluarse suficientemente mediante pruebas de penetracioacuten
Las capacidades de la prueba de penetracioacuten totalmente automatizada de RidgeBot pueden ser ejecutadas de manera rentable tan frecuentemente como sea necesario en lugar de contratar a una empresa consultora para hacer una prueba de una uacutenica vez La paz y la tranquilidad estaacute asegurada de que sus activos estaacuten continuamente bloqueados Las nuevas vulnerabilidades se detectan inmediatamente despueacutesmdasho a menudo antesmdashde ser introducidas en su entorno de produccioacuten Su entorno empresarial siempre cumple con la norma ISO 27001 no soacutelo cuando se prepara para una auditoriacutea una revisioacuten o una recertificacioacuten
iquestCoacutemo puede RidgeBot ayudar
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 13
bull Documentacioacuten Un aspecto arduo de la implementacioacuten de un SGSI ISO 27001 es el desarrollo de la documentacioacuten de la Norma requerida expliacutecitamente
Los informes de exploracioacuten de RidgeBot (resultados de la misma repeticioacuten de exploracioacuten en un horario fijo) pueden ayudar a recopilar documentacioacuten ldquoconsistente vaacutelida y comparablerdquo de las vulnerabilidades encontradas la clasificacioacuten de la vulnerabilidad las explotaciones exitosas y las medidas de mitigacioacuten y correccioacuten que se tomen
bull Mejora continua a traveacutes de la medicioacuten el control y la revisioacuten Este aspecto de la ISO 27001 requiere que su SGSI sea continuamente analizado y revisado en cuanto a su desempentildeo efectividad cumplimiento e identificacioacuten de mejoras en los procesos
Los informes de exploracioacuten de RidgeBot que se realizan de forma continua o perioacutedica pueden ayudar a proporcionar informes y medidas correctivas recomendadas aportando las pruebas que la Norma requiere para demostrar que los riesgos se encuentran miden revisan y tratan adecuadamente
Un servicio de pruebas de penetracioacuten que compruebe regularmente los controles de la ISO 27001 y cuando sea necesario pruebe los cambios en la infraestructura de TI y de seguridad es una parte fundamental de cualquier proceso de mejora continua
RidgeBot ofrece este servicio a un precio muy econoacutemico Estaacute totalmente automatizado Los escaneos pueden ser programados tan a menudo como sea necesario (cumpliendo con el requisito de ldquoauditoriacutea internardquo ISO 27001) La salida de los escaneos de RidgeBot proporciona informes consistentes y comparables incluyendo mediciones cuantitativas (categoriacuteas y clasificaciones de vulnerabilidad) que demuestran la eficacia de su SGSI
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 14
ISO 27001 Anexo A Controles
El Anexo A de la norma ISO 27001 ofrece un breve resumen de los controles y dominios La norma ISO 27002 proporciona informacioacuten maacutes detallada para ayudar a la aplicacioacuten
A continuacioacuten se resume cada uno de los 14 dominios de la norma ISO 270012013 (y los controles dentro de ellos) Muchos controles se refieren a praacutecticas y procedimientos de gestioacuten humana Varios otros se refieren a los activos y la infraestructura de la tecnologiacutea de la informacioacuten En ellos se anotan las pruebas de penetracioacuten la clasificacioacuten de la vulnerabilidad la explotacioacuten de la vulnerabilidad asistida por IAML de RidgeBot y los pasos de reparacioacuten comunicados para ayudar a implementar y cumplir el control de la norma ISO 27001
Anexo A5 Poliacuteticas de seguridad de la informacioacutenAsegurarse de que las poliacuteticas se redacten y revisen de acuerdo con las praacutecticas de seguridad de la informacioacuten de la organizacioacuten
51 Direccioacuten de la gestioacuten de la seguridad de la informacioacuten Definir un conjunto de poliacuteticas para aclarar la direccioacuten de la gestioacuten y el apoyo a la seguridad de la informacioacuten
Anexo A6 Organizacioacuten de la seguridad de la informacioacutenAsignacioacuten de responsabilidades para tareas especiacuteficas
61 Organizacioacuten interna Establecer las funciones y responsabilidades en materia de seguridad de la informacioacuten y asignarlas a las personas
62 Dispositivos moacuteviles y teletrabajo Establecer poliacuteticas y controles de seguridad para los dispositivos moacuteviles y el teletrabajo Asegurarse de que toda persona que trabaje desde su casa o en movimiento siga las praacutecticas adecuadas
Anexo A7 Seguridad de los recursos humanosAsegurarse de que los empleados y contratistas potenciales actuales y pasados entiendan sus responsabilidades en materia de seguridad de la informacioacuten
71 Antes del empleo Las responsabilidades en materia de seguridad de la informacioacuten deben tenerse en cuenta al contratar a empleados permanentes contratistas y personal temporal e incluirse en los contratos
72 Durante el empleo Asegurarse de que los empleados y contratistas conozcan las obligaciones en materia de seguridad de la informacioacuten y esteacuten motivados para cumplirlas incluido un proceso disciplinario
73 Terminacioacuten y cambio de empleo Deben gestionarse los aspectos de seguridad de la salida o el cambio de funcioacuten de una persona como la devolucioacuten de la informacioacuten y el equipo de la empresa y actualizando los derechos de acceso
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 15
Anexo A8 Gestioacuten de activosIdentificar los activos de informacioacuten y definir las responsabilidades de proteccioacuten adecuadas
81 Responsabilidad por los activos Hacer un inventario de todos los activos de informacioacuten e identificar a los propietarios responsables de su seguridad
82 Clasificacioacuten de la informacioacuten Clasificar y etiquetar la informacioacuten de acuerdo con la proteccioacuten de seguridad necesaria y manejarla adecuadamente
83 Manejo de los medios de comunicacioacuten Los medios de almacenamiento de informacioacuten deben ser administrados controlados trasladados y eliminados sin comprometer el contenido de la informacioacuten
USO DE RIDGEBOT QUE SE DEBE CUMPLIRbull Ejecute una exploracioacuten de descubrimiento de activos para identificar y documentar todos los
activos y superficies de ataque Al ejecutar este escaneo se descubre y documenta cualquier cambio en la presencia de los activos que deben ser incluidos en el inventario
Anexo A9 Control de accesoAsegurarse de que los empleados soacutelo puedan ver la informacioacuten relevante para su trabajo
91 Requisitos empresariales de control de acceso Controlar el acceso a los activos de informacioacuten documentados en la poliacutetica y los procedimientos de control Restringir el acceso y las conexiones a la red
92 Gestioacuten del acceso de los usuarios Controlar los derechos de acceso de los usuarios desde el registro inicial del usuario hasta la eliminacioacuten de los derechos cuando ya no sean necesarios Revisar y actualizar perioacutedicamente los derechos de acceso
93 Responsabilidades de los usuarios Los usuarios deben ser conscientes de sus responsabilidades en lo que respecta al mantenimiento de controles de acceso eficaces como contrasentildeas soacutelidas y confidencialidad
94 Control de acceso al sistema y a las aplicaciones Restringir el acceso a la informacioacuten de acuerdo con la poliacutetica de control de acceso como la gestioacuten segura de los nombres de usuario y las contrasentildeas
USO DE RIDGEBOT QUE SE DEBE CUMPLIRbull Ejecutar un escaneo de contrasentildeas deacutebiles contra todos los activos para documentar y
resolver las vulnerabilidades de las credenciales de acceso
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 16
Anexo A10 CriptografiacuteaCifrado de datos y manejo de informacioacuten sensible
101 Controles criptograacuteficos Establecer y mantener una poliacutetica sobre el uso del cifrado la autenticacioacuten criptograacutefica y los controles de integridad como las firmas digitales los coacutedigos de autenticacioacuten de los mensajes y la gestioacuten de las claves criptograacuteficas
USO DE RIDGEBOT QUE SE DEBE CUMPLIR bull Asegurarse de que una exploracioacuten dirigida especiacuteficamente a las vulnerabilidades
relacionadas con el cifrado forma parte de la poliacutetica de controles criptograacuteficos
Anexo A11 Seguridad fiacutesica y ambientalEvitar el acceso fiacutesico no autorizado el dantildeo o la interferencia en las instalaciones el equipo o la informacioacuten sensible de la organizacioacuten
111 Aacutereas seguras Definir periacutemetros fiacutesicos y barreras con controles de entrada fiacutesica proteger los locales oficinas salas aacutereas de entregacarga etc contra el acceso no autorizado
112 Equipo Asegurar y mantener el equipo informaacutetico y de informacioacuten asiacute como los servicios de apoyo (como la electricidad y el aire acondicionado) y el cableado
USO DE RIDGEBOT QUE SE DEBE CUMPLIR bull Ejecute un escaneo de acceso para asegurarse de que todos los sistemas o dispositivos
utilizados para controlar registrar o vigilar la entrada fiacutesica a los locales esteacuten seguros contra credenciales deacutebiles u otras vulnerabilidades de softwaremalware Los hackers pueden permitir el acceso fiacutesico (en lugar de denegarlo) o borrar o alterar los registros la videovigilancia o la informacioacuten de la pista de auditoriacutea
bull Las pruebas de penetracioacuten pueden revelar los puntos deacutebiles de los procesos de seguridad fiacutesica que podriacutean conceder a un atacante el acceso a sistemas o aacutereas seguras
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 17
Anexo A12 Seguridad de las operacionesAsegurarse de que las instalaciones de procesamiento de informacioacuten sean seguras
121 Procedimientos y responsabilidades operacionales Documentar las responsabilidades y procedimientos operativos de la TI controlar los cambios en las instalaciones y sistemas de TI gestionar la capacidad y el rendimiento separar el desarrollo las pruebas y los sistemas operativos
122 Proteccioacuten contra el malware Se requieren controles de malware incluyendo la concienciacioacuten de los usuarios
123 Copias de seguridad Realizar y conservar copias de seguridad adecuadas de conformidad con la poliacutetica de copias de seguridad
124 Registro y supervisioacuten Proteger y registrar las actividades de los usuarios y los administradoresoperadores del sistema las excepciones los fallos y los eventos de seguridad de la informacioacuten Sincronizar los relojes
125 Control del software operativo Controlar la instalacioacuten de programas informaacuteticos en los sistemas operacionales
126 Gestioacuten de la vulnerabilidad teacutecnica Parchear las vulnerabilidades y garantizar que se establezcan normas que rijan la instalacioacuten del software de usuario
127 Consideraciones sobre la auditoriacutea de los sistemas de informacioacuten Planificar y controlar las auditoriacuteas de los sistemas de informacioacuten para reducir al miacutenimo los efectos adversos en los sistemas de produccioacuten o el acceso inapropiado a los datos
USO DE RIDGEBOT QUE SE DEBE CUMPLIRbull Ejecute un anaacutelisis de la prueba de penetracioacuten para asegurarse de que todos los activos
estaacuten seguros contra credenciales deacutebiles u otras vulnerabilidades de softwaremalware donde los hackers pueden obtener acceso no autorizado
bull Ejecute un escaneo para asegurarse de que todos los sistemas o dispositivos utilizados para registrar eventos y actividades estaacuten seguros de credenciales deacutebiles u otras vulnerabilidades de softwaremalware Aacutereas en las que los hackers pueden obtener acceso para borrar o alterar los registros la vigilancia por viacutedeo o la informacioacuten de seguimiento de auditoriacutea
bull Ejecute escaneos completos con la explotacioacuten activada para las vulnerabilidades encontradas como parte regular de su poliacuteticaproceso para endurecer los parches de software actualizaciones de software nuevos dispositivos y cualquier cambio de configuracioacuten antes de empujarlos en vivo al entorno de produccioacuten
bull Los informes de exploracioacuten (que contienen las vulnerabilidades detectadas enumeradas los exploits exitosos y las medidas correctivas) abordan el requisito de la Norma de detectar las vulnerabilidades teacutecnicas emergentes de manera estructurada y sistemaacutetica
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 18
Anexo A13 Seguridad de las comunicacionesProteger la informacioacuten en las redes
131 Gestioacuten de la seguridad de las redes Garantizar la seguridad de las redes y los servicios de red por ejemplo mediante la segregacioacuten
132 Transferencia de informacioacuten Garantizar que se apliquen poliacuteticas procedimientos y acuerdos (como los acuerdos de no divulgacioacuten) relativos a la transferencia de informacioacuten ade terceros incluida la mensajeriacutea electroacutenica
USO DE RIDGEBOT QUE SE DEBE CUMPLIR bull Realice una prueba de penetracioacuten para asegurarse de que todos los activos que participan
en la transferencia de informacioacuten y los sistemas de mensajeriacutea electroacutenica estaacuten a salvo de credenciales deacutebiles u otras vulnerabilidades de softwaremalware en las que los piratas informaacuteticos pueden obtener acceso no autorizado
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 19
Anexo A14 Adquisicioacuten desarrollo y mantenimiento de sistemasGarantizar la seguridad de la informacioacuten sigue siendo una parte central de los procesos a lo largo de todo el ciclo de vida de los sistemas internos asiacute como de los servicios prestados a traveacutes de redes puacuteblicas
141 Requisitos de seguridad de los sistemas de informacioacuten Los requisitos de control de seguridad deben ser analizados y especificados incluyendo las aplicaciones web y las transacciones
142 Seguridad en los procesos de desarrollo y apoyo Definir como poliacutetica las normas que rigen el desarrollo de softwaresistemas seguros Se pueden controlar los cambios en ambas aplicaciones y sistemas operativos Asegurar el entorno de desarrollo asiacute como la seguridad de los sistemas de pruebas de desarrollo subcontratados en funcioacuten de criterios de aceptacioacuten definidos por la seguridad
143 Datos de prueba Los datos de las pruebas deben seleccionarse generarse y controlarse cuidadosamente
USO DE RIDGEBOT QUE SE DEBE CUMPLIR bull Realice una prueba de penetracioacuten contra los sistemas internos asiacute como contra cualquier
proveedor o nube de activos y servicios
bull Ejecutar un escaneo completo con la explotacioacuten activada para las vulnerabilidades encontradas como parte regular del desarrollo de software validacioacuten de software y procesos y procedimientos de control de cambios
bull Ejecute un escaneo de acceso para asegurar que existen controles de acceso apropiados para separar sus entornos de desarrolloprueba de software de los entornos de produccioacuten
bull Ejecute escaneos completos con la explotacioacuten activada para las vulnerabilidades encontradas como una parte regular de su poliacutetica y proceso para endurecer el nuevo software durante el proceso de desarrollo de software
bull Ejecute escaneos continuos con la explotacioacuten activada para las vulnerabilidades encontradas Escanee continuamente partes de su software o del proceso de desarrollo de su sitio web asiacute como el proceso de pruebas para reforzar los parches de software las actualizaciones de software los nuevos dispositivos y cualquier cambio de configuracioacuten antes de introducirlos en su entorno de produccioacuten
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 20
Anexo A15 Relaciones con los proveedoresAcuerdos contractuales entre organizaciones y terceros
151 Seguridad de la informacioacuten en las relaciones con los proveedores Definir poliacuteticas procedimientos concienciacioacuten etc para proteger la informacioacuten accesible a los subcontratistas y proveedores externos a lo largo de la cadena de suministro acordada en los contratos o acuerdos
152 Gestioacuten de la prestacioacuten de servicios de los proveedores Supervisar la prestacioacuten de servicios por parte de los proveedores externos y revisarauditar los contratosacuerdos Controlar los cambios en el servicio
Anexo A16 Gestioacuten de incidentes de seguridad de la informacioacutenGestionar e informar de los incidentes de seguridad
161 Gestioacuten de los incidentes y mejoras de la seguridad de la informacioacuten Definir las responsabilidades y los procedimientos para gestionar (informar evaluar responder y aprender de) los eventos incidentes y debilidades de la seguridad de la informacioacuten de forma coherente y eficaz y recopilar pruebas forenses
USO DE RIDGEBOT QUE SE DEBE CUMPLIRbull Los informes del escaacutener de la prueba de penetracioacutenmdashque incluyen soluciones
recomendadas para cada vulnerabilidadmdashproporcionan informacioacuten criacutetica para su equipo de respuestaescalada de incidentes de seguridad o forense para asegurar el manejo oportuno y efectivo de todas las situaciones
bull Un escaneo forense (despueacutes de que haya ocurrido un incidente de seguridad) tambieacuten puede ayudar a determinar doacutende y coacutemo se perpetra una brecha
Anexo A17 Aspectos de la seguridad de la informacioacuten en la gestioacuten de la continuidad de las operacionesCrear un sistema eficaz para gestionar las interrupciones de los negocios
171 Continuidad de la seguridad de la informacioacuten Planificar implementar y revisar la continuidad de la seguridad de la informacioacuten como parte integral del sistema de gestioacuten de la continuidad del negocio
172 Redundancias Asegurar que las instalaciones de TI tengan suficiente redundancia para satisfacer los requisitos de disponibilidad
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 21
Anexo A18 CumplimientoIdentificar las leyes y reglamentos pertinentes Comprender los requisitos legales y contractuales para mitigar el riesgo de incumplimiento y las sanciones
181 Cumplimiento de los requisitos legales y contractuales Identificar y documentar las obligaciones para con las autoridades externas y otros terceros en relacioacuten con la seguridad de la informacioacuten incluida la propiedad intelectual los registros [comerciales] la informacioacuten de privacidadidentificacioacuten personal y la criptografiacutea
182 Exaacutemenes de la seguridad de la informacioacuten Revisar independientemente las disposiciones de seguridad de la informacioacuten (auditoriacutea) e informar a la administracioacuten Los directivos deben examinar el cumplimiento de las poliacuteticas y procedimientos de seguridad por parte de los empleados y los sistemas e iniciar medidas correctivas
USO DE RIDGEBOT QUE SE DEBE CUMPLIRbull Realice escaneos completos con la explotacioacuten activada para las vulnerabilidades
encontradas como parte regular de su poliacutetica y proceso para revisar que sus controles de seguridad son efectivos contra las uacuteltimas amenazas
bull El motor de explotacioacuten AIML incorporado de RidgeBot utiliza la base de conocimientos de teacutecnicas de ataque de RidgeSecurity liacuteder en la industria y asegura que sus activos esteacuten siempre reforzados con la inteligencia de vulnerabilidades maacutes actualizada
bull Los informes de exploracioacutenmdashque contienen las vulnerabilidades detectadas los exploits exitosos y los pasos correctivosmdashproporcionan documentacioacuten para una revisioacuten independiente o de gestioacuten de sus controles de seguridad y su eficacia Tambieacuten esbozan los pasos para la accioacuten correctiva
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 22
Perfil de la compantildeiacuteaRidge Security ofrece soluciones eacuteticas eficientes y accesibles para la prueba de penetracioacuten a empresas pequentildeas y grandes Nos aseguramos de que nuestros clientes se mantengan conformes alerta y seguros en todo momento en el mundo ciberneacutetico El equipo de administracioacuten tiene muchos antildeos de experiencia en redes y seguridad Ridge Security estaacute ubicada en el corazoacuten de Silicon Valley y se estaacute expandiendo a otras regiones como Ameacuterica Latina Asia y Europa
RidgeBot un sistema de pruebas de penetracioacuten roboacutetica automatizado por completo el proceso se prueba acoplando teacutecnicas de hacking eacutetico a los algoritmos de toma de decisiones Los RidgeBots localizan explotan y documentan los riesgos y vulnerabilidades empresariales descubiertos durante el proceso de prueba destacando el impacto o dantildeo potencial
Ridge Security Technology Incwwwridgesecurityai
copy 2020 Todos los derechos reservados Ridge Security Technology Inc RidgeBot es una marca registrada de Ridge Security Technology Inc
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 5
Visioacuten general de la ISO 27001La familia de normas ISO 27000 ofrece un conjunto de especificaciones coacutedigos de conducta y directrices sobre las mejores praacutecticas para que las organizaciones garanticen una soacutelida gestioacuten de la seguridad de la informacioacuten La ISOIEC 270012013 que sustituye a la ISOIEC 270012005 especifica las mejores praacutecticas para implementar y mantener una gestioacuten de seguridad de la informacioacuten de datos e incluye a las personas los procesos y la tecnologiacutea
La ISO 27001 es un estaacutendar de gestioacuten de seguridad de tecnologiacutea neutra que prescribe los atributos de un SGSI efectivo La ISO 27002mdashuna pieza complementaria esencial del estaacutendarmdashdetalla las mejores praacutecticas para implementar un SGSI efectivo
Tipo de requisitoISO 27001 es un estaacutendar de la industria de seguridad de la informacioacuten No es un requisito legal pero la certificacioacuten es a menudo un prerrequisito para los contratos o la realizacioacuten de negocios con entidades gubernamentales entidades financiadas por el gobierno o grandes clientes corporativos
Aplicabilidad geograacutefica En todo el mundo
Ownership Publicado por la Organizacioacuten Internacional de Normalizacioacuten (ISO) (una organizacioacuten internacional de normas de gestioacuten y continuidad de las actividades con representantes de 165 organizaciones nacionales de normalizacioacuten) y la Comisioacuten Electroteacutecnica Internacional (CEI) (una organizacioacuten internacional de normas para las tecnologiacuteas eleacutectricas electroacutenicas y afines)
Verificacioacuten del cumplimiento y aplicacioacuten de la normativa Las empresas logran la certificacioacuten con la ISO 27001 preparaacutendose para el cumplimiento Luego las empresas deben programar una auditoriacutea con un organismo nacional de acreditacioacuten que sea miembro del Foro de Acreditacioacuten Internacional (IAF) El Consejo Nacional de Acreditacioacuten de ANSI (ANAB) estaacute en los EEUU o el Servicio de Acreditacioacuten del Reino Unido (UKAS) estaacute en el Reino Unido Las empresas certificadas participan anualmente en un proceso de revisioacuten externa y deben recertificarse cada tres antildeos para mantener el cumplimiento
Para maacutes informacioacuten
bull ISO 27001 httpswwwiso27001securitycomhtml27001html
bull ISO 27002 httpswwwiso27001securitycomhtml27002html
bull Reino Unido httpswwwitgovernancecoukiso27001
bull Estados Unidos httpswwwitgovernanceusacomiso27001
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 6
Certificacioacuten y cumplimiento de la norma ISO 27001
La ISO 270012013 se centra en el establecimiento de objetivos la evaluacioacuten del rendimiento y la definicioacuten de meacutetricas para medir la eficacia Los objetivos o controles estaacuten organizados por 14 categoriacuteas o dominios con detalles especiacuteficos en el Anexo A de la norma Las organizaciones no estaacuten obligadas a implementar todos los controles de la ISO 27001 sino que representan una lista de posibilidades a considerar en funcioacuten del negocio y el entorno particular de una empresa
1 Anexo A5 Poliacuteticas de seguridad de la informacioacuten
2 Anexo A6 Organizacioacuten de la seguridad de la informacioacuten
3 Anexo A7 Seguridad de los recursos humanos
4 Anexo A8 Gestioacuten de activos
5 Anexo A9 Control de acceso
6 Anexo A10 Criptografiacutea
7 Anexo A11 Seguridad fiacutesica y ambiental
8 Anexo A12 Seguridad de las operaciones
9 Anexo A13 Seguridad de las comunicaciones
10 Anexo A14 Adquisicioacuten desarrollo y mantenimiento de sistemas
11 Anexo A15 Relaciones con los proveedores
12 Anexo A16 Gestioacuten de incidentes de seguridad de la informacioacuten
13 Anexo A17 Aspectos de la seguridad de la informacioacuten en la gestioacuten de la continuidad de las operaciones
14 Anexo A18 Cumplimiento
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 7
La implementacioacuten de un SGSI que cumpla con la norma ISO 27001 es un proceso de varios pasos que en liacuteneas generales sigue este esquema
bull Gobernabilidad Esto requiere un compromiso demostrado de la alta direccioacuten con un SGSI
bull Evaluacioacuten del riesgo Requiere una comprensioacuten exacta de los riesgos para la seguridad de la informacioacuten a los que se enfrenta la organizacioacuten
bull Documentacioacuten Establece coacutemo funciona el SGSI
bull Mejora continua Una vez que se implementa el SGSI se debe medir el rendimiento y la efectividad se deben identificar las desviaciones y se deben tomar medidas correctivas
Varias normas complementarias contribuyen a la interpretacioacuten e implementacioacuten de la ISO 27001
bull La ISO 27002 recomienda las mejores praacutecticas para la implementacioacuten efectiva de las especificaciones de la ISO 27001
bull La ISO 27005 guiacutea la gestioacuten de los riesgos de seguridad de la informacioacuten
bull La ISO 27017 se centra en la forma en que los controles de la ISO 27001 se aplican a la informacioacuten almacenada en la nube
bull ISO 27018 ofrece orientacioacuten sobre la proteccioacuten de la informacioacuten sensible en la nube
bull La ISO 27701 define los requisitos adicionales del SGSI para cubrir la privacidad de los datos reconociendo que la seguridad de la informacioacuten es esencial para una gestioacuten eficaz de la privacidad Fue creada en respuesta al Reglamento General de Proteccioacuten de Datos (GDPR) para detallar la forma en que los controles de la ISO 27001 se cruzan con la privacidad de los datos
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 8
En un sentido general RidgeBot ayuda a encontrar los problemas de incumplimiento en sus activos y guiacutea coacutemo y resuelve inmediatamente cualquier exposicioacuten Ademaacutes RidgeBot mantiene continuamente una postura de seguridad que siempre cumple con la ISO 27001 y otras normas y regulaciones
Algunos de los beneficios clave de RidgeBot para la postura de seguridad de su organizacioacuten incluyen
Mejorar y simplificar las actividades y procesos de seguridad
bull Descubrir inventariar y documentar los componentes del sistema los activos y las superficies de ataque Debido a que RidgeBot estaacute completamente automatizado puede hacerlo continuamente o en intervalos mucho maacutes frecuentes que los procesos manuales perioacutedicos anteriores
bull Los informes ayudan a documentar las vulnerabilidades encontradas explotadas remediadas y validadas
bull Los informes proporcionan una clara clasificacioacuten de los riesgos para centrar la actividad de remediacioacuten manual en las vulnerabilidades de mayor riesgo
bull La flexibilidad de RidgeBot le permite ejecutar pruebas de ataque desde dentro y fuera de su entorno
bull La base de conocimientos de la Plataforma de Inteligencia de Amenazas de RidgeSecurity asegura que usted esteacute siempre al diacutea con la informacioacuten de las vulnerabilidades de seguridad liacutederes en la industria
bull Ejecute los ataques y escaneos de RidgeBot como parte estaacutendar de su poliacutetica de seguridad en curso
Risk Weightedderada de riesgoExplotadas verificades Riesgo de explotacioacuten no verificades
Alto
366Medio
79Baja
517
Explotadas
14Vulnerabilidades
VISIOacuteN GENERAL
iquestCoacutemo puede RidgeBot ayudar
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 9
Validacioacuten de seguridad continua
bull RidgeBot provee sin costo alguno endurecimiento continuo e inventario de activos Puede ejecutar diferentes escaneos de forma perioacutedica o continua ya que estaacute totalmente automatizado no se requiere ninguna intervencioacuten manual hasta que se informa de una vulnerabilidad
bull El monitoreo continuo y el descubrimiento de activos protegen contra la intrusioacuten de hackers causada por un empleado (o cualquier otra persona) que conecta accidental o maliciosamente dispositivos no confiables o no planeados de IO inalaacutembricos u otros dispositivos no autorizados al ambiente
bull Los informes de exploracioacuten proporcionan una lista de vulnerabilidades explotables que deben ser corregidas para documentarlas y resolverlas La salida de informes garantiza que todos los parches y actualizaciones de software necesarios para resolver las vulnerabilidades peligrosas se instalen en todos los activos afectados
Desarrollo de software y pruebas de lanzamiento de DevOpsSecOps
bull Utilice el RidgeBot durante el desarrollo del software para asegurarse de que las praacutecticas de codificacioacuten peligrosas que introducen vulnerabilidades nunca se incorporen a las nuevas versiones del software
bull Usar RidgeBot para endurecer los parches de software actualizaciones de software nuevos dispositivos y cualquier cambio de configuracioacuten antes de introducirlos en el entorno de produccioacuten
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 10
Validacioacuten de la posicioacuten de seguridad
bull Atacar continuamente de forma iterativa el entorno de produccioacuten para mantener la postura de seguridad Descubra las malas configuraciones de los aparatos o servicios de seguridad inalaacutembricos o defensivos como las reglas de los cortafuegos o los aparatos UTM
bull Supervisar continuamente y endurecer las credenciales de acceso a los activos sensibles
Auditoriacutea de conformidad
bull El continuo escaneo de descubrimiento de activos y los intentos de ataque y explotacioacuten (y los informes emitidos) significan que su entorno siempre estaacute listo para la auditoriacutea
bull Los informes de RidgeBot presentan pruebas de vulnerabilidades probadas remediadas y resueltas
Respuesta a incidentes de seguridad
bull Escanee los informes que contienen las soluciones recomendadas para cada vulnerabilidad encontrada y proporcione informacioacuten criacutetica a su equipo de respuestaescalada de incidentes de seguridad
bull La clasificacioacuten de riesgos de las vulnerabilidades alimenta las prioridades y procedimientos de respuesta a los incidentes
bull Los ataques de explotacioacuten AIML de RidgeBot proporcionan capacidades forenses para investigar el origen y el camino tomado por una brecha y una guiacutea paso a paso sobre coacutemo resolver la vulnerabilidad del punto de entrada
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 11
RidgeBot incluye varias plantillas de escaneado y la flexibilidad de personalizar completamente sus escaneos Las plantillas del sistema incluyen
bull Escaneo completo Esta prueba lanza numerosas teacutecnicas de ataques utilizadas por los hackers del mundo real Basaacutendose en la inteligencia de amenazas y en una base de conocimientos de explotacioacuten RidgeBot perfila los activos extrae las vulnerabilidades y lanza ataques contra los activos objetivo que pueden ser internos o externos a su entorno en un entorno privado o puacuteblico
bull Escaneo de contrasentildeas deacutebiles Esta prueba lanza ataques directos o iterativos basados en informacioacuten sensible recogida a traveacutes de credenciales deacutebiles o vulnerabilidades de acceso no autorizadas Los objetivos del ataque incluyen Redis Elasticsearch ActiveMQ base de datos acceso a la web y otras aplicaciones
bull Escaneo de Struts 2 Esta prueba lanza ataques directos o iterativos basados en vulnerabilidades conocidas de 1 diacutea o N diacuteas detectadas en los objetivos usando el marco de Struts 2
bull Escaneo Weblogic Esta prueba lanza ataques directos o iterativos basados en vulnerabilidades conocidas de 1 o N diacuteas detectadas en objetivos que utilizan el middleware de Weblogic
bull Escaneo web Esta prueba lanza ciberataques contra sitios web aplicaciones web y todas las superficies de ataque relacionadas para obtener el control del sitio web objetivo tanto para sitios web de desarrollo propio como para sitios web basados en sistemas de gestioacuten de contactos
bull Escaneo del host Esta prueba lanza ataques directos o iterativos desde el interior de una red corporativa para validar la respuesta del sistema de seguridad a una amenaza interna Los sistemas objetivo incluyen todos los hosts y servidores internos accesibles a la red
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 12
Implementacioacuten y certificacioacuten de la ISO 27001RidgeBot puede ayudar de muchas maneras con las siguientes etapas especiacuteficas de implementacioacuten desafiacuteos de implementacioacuten y mantenimiento continuo de la certificacioacuten auditoriacutea y revisioacuten de la norma ISO 27001
bull Identificacioacuten de activos La ISO 27001 requiere que se inventariacuteen varias clases de activos incluyendo registros digitales activos de TI aplicaciones de negocios y dispositivos moacuteviles
El descubrimiento automatizado de activos de RidgeBot puede ayudar a inventariar todos los activos mientras se prepara para una [re]certificacioacuten ISO 27001 Ademaacutes puede verificar que no haya nuevos dispositivos no planificados conectados a la infraestructura que introduce vulnerabilidades de manera continua Por ejemplo un atacante podriacutea establecer un punto de acceso inalaacutembrico no autorizado o instalar un dispositivo de IoT que permita el acceso remoto a la red interna
bull Evaluacioacuten de riesgos La norma ISO 27001 requiere que se realicen evaluaciones de riesgos con regularidad La norma establece que su proceso de evaluacioacuten de riesgos debe producir ldquoresultados consistentes vaacutelidos y comparablesrdquo las etapas de la evaluacioacuten de riesgos implican la identificacioacuten el anaacutelisis y la evaluacioacuten de los riesgos Ademaacutes la norma ISO 27001 establece que una vez identificados todos los riesgos cada uno de ellos debe ser evaluado individualmente en cuanto a la probabilidad de explotacioacuten el dantildeo que podriacutea ocurrir Se debe asignar un rango o puntuacioacuten a cada vulnerabilidad seguacuten los criterios de riesgo
La capacidad de prueba de penetracioacuten que tiene RidgeBot identifica analiza y evaluacutea todos los riesgos encontrados Ademaacutes explota los riesgos encontrados y proporciona medidas correctivas Los informes de escaneo proporcionan una clasificacioacuten lista de vulnerabilidades encontradas en base a la probabilidad de cada una de ellas de ser explotada incluidas las que fueron explotadas con eacutexito durante el ensayo Los informes tambieacuten proporcionan una evaluacioacuten con pasos granulares para remediar cada vulnerabilidad Los informes de exploracioacuten de RidgeBot proporcionan un vehiacuteculo para cumplir con el requisito de ldquoresultados consistentes vaacutelidos y comparablesrdquo de la norma ISO 27001
bull Plan de gestioacuten de riesgos La ISO 27001 establece que su Plan de Gestioacuten de Riesgos debe determinar los ldquomeacutetodos de control medicioacuten anaacutelisis y evaluacioacuten [] para asegurar resultados vaacutelidosrdquo La eficacia de aproximadamente la mitad de los controles enumerados en el Anexo A de la ISO 27001 soacutelo puede evaluarse suficientemente mediante pruebas de penetracioacuten
Las capacidades de la prueba de penetracioacuten totalmente automatizada de RidgeBot pueden ser ejecutadas de manera rentable tan frecuentemente como sea necesario en lugar de contratar a una empresa consultora para hacer una prueba de una uacutenica vez La paz y la tranquilidad estaacute asegurada de que sus activos estaacuten continuamente bloqueados Las nuevas vulnerabilidades se detectan inmediatamente despueacutesmdasho a menudo antesmdashde ser introducidas en su entorno de produccioacuten Su entorno empresarial siempre cumple con la norma ISO 27001 no soacutelo cuando se prepara para una auditoriacutea una revisioacuten o una recertificacioacuten
iquestCoacutemo puede RidgeBot ayudar
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 13
bull Documentacioacuten Un aspecto arduo de la implementacioacuten de un SGSI ISO 27001 es el desarrollo de la documentacioacuten de la Norma requerida expliacutecitamente
Los informes de exploracioacuten de RidgeBot (resultados de la misma repeticioacuten de exploracioacuten en un horario fijo) pueden ayudar a recopilar documentacioacuten ldquoconsistente vaacutelida y comparablerdquo de las vulnerabilidades encontradas la clasificacioacuten de la vulnerabilidad las explotaciones exitosas y las medidas de mitigacioacuten y correccioacuten que se tomen
bull Mejora continua a traveacutes de la medicioacuten el control y la revisioacuten Este aspecto de la ISO 27001 requiere que su SGSI sea continuamente analizado y revisado en cuanto a su desempentildeo efectividad cumplimiento e identificacioacuten de mejoras en los procesos
Los informes de exploracioacuten de RidgeBot que se realizan de forma continua o perioacutedica pueden ayudar a proporcionar informes y medidas correctivas recomendadas aportando las pruebas que la Norma requiere para demostrar que los riesgos se encuentran miden revisan y tratan adecuadamente
Un servicio de pruebas de penetracioacuten que compruebe regularmente los controles de la ISO 27001 y cuando sea necesario pruebe los cambios en la infraestructura de TI y de seguridad es una parte fundamental de cualquier proceso de mejora continua
RidgeBot ofrece este servicio a un precio muy econoacutemico Estaacute totalmente automatizado Los escaneos pueden ser programados tan a menudo como sea necesario (cumpliendo con el requisito de ldquoauditoriacutea internardquo ISO 27001) La salida de los escaneos de RidgeBot proporciona informes consistentes y comparables incluyendo mediciones cuantitativas (categoriacuteas y clasificaciones de vulnerabilidad) que demuestran la eficacia de su SGSI
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 14
ISO 27001 Anexo A Controles
El Anexo A de la norma ISO 27001 ofrece un breve resumen de los controles y dominios La norma ISO 27002 proporciona informacioacuten maacutes detallada para ayudar a la aplicacioacuten
A continuacioacuten se resume cada uno de los 14 dominios de la norma ISO 270012013 (y los controles dentro de ellos) Muchos controles se refieren a praacutecticas y procedimientos de gestioacuten humana Varios otros se refieren a los activos y la infraestructura de la tecnologiacutea de la informacioacuten En ellos se anotan las pruebas de penetracioacuten la clasificacioacuten de la vulnerabilidad la explotacioacuten de la vulnerabilidad asistida por IAML de RidgeBot y los pasos de reparacioacuten comunicados para ayudar a implementar y cumplir el control de la norma ISO 27001
Anexo A5 Poliacuteticas de seguridad de la informacioacutenAsegurarse de que las poliacuteticas se redacten y revisen de acuerdo con las praacutecticas de seguridad de la informacioacuten de la organizacioacuten
51 Direccioacuten de la gestioacuten de la seguridad de la informacioacuten Definir un conjunto de poliacuteticas para aclarar la direccioacuten de la gestioacuten y el apoyo a la seguridad de la informacioacuten
Anexo A6 Organizacioacuten de la seguridad de la informacioacutenAsignacioacuten de responsabilidades para tareas especiacuteficas
61 Organizacioacuten interna Establecer las funciones y responsabilidades en materia de seguridad de la informacioacuten y asignarlas a las personas
62 Dispositivos moacuteviles y teletrabajo Establecer poliacuteticas y controles de seguridad para los dispositivos moacuteviles y el teletrabajo Asegurarse de que toda persona que trabaje desde su casa o en movimiento siga las praacutecticas adecuadas
Anexo A7 Seguridad de los recursos humanosAsegurarse de que los empleados y contratistas potenciales actuales y pasados entiendan sus responsabilidades en materia de seguridad de la informacioacuten
71 Antes del empleo Las responsabilidades en materia de seguridad de la informacioacuten deben tenerse en cuenta al contratar a empleados permanentes contratistas y personal temporal e incluirse en los contratos
72 Durante el empleo Asegurarse de que los empleados y contratistas conozcan las obligaciones en materia de seguridad de la informacioacuten y esteacuten motivados para cumplirlas incluido un proceso disciplinario
73 Terminacioacuten y cambio de empleo Deben gestionarse los aspectos de seguridad de la salida o el cambio de funcioacuten de una persona como la devolucioacuten de la informacioacuten y el equipo de la empresa y actualizando los derechos de acceso
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 15
Anexo A8 Gestioacuten de activosIdentificar los activos de informacioacuten y definir las responsabilidades de proteccioacuten adecuadas
81 Responsabilidad por los activos Hacer un inventario de todos los activos de informacioacuten e identificar a los propietarios responsables de su seguridad
82 Clasificacioacuten de la informacioacuten Clasificar y etiquetar la informacioacuten de acuerdo con la proteccioacuten de seguridad necesaria y manejarla adecuadamente
83 Manejo de los medios de comunicacioacuten Los medios de almacenamiento de informacioacuten deben ser administrados controlados trasladados y eliminados sin comprometer el contenido de la informacioacuten
USO DE RIDGEBOT QUE SE DEBE CUMPLIRbull Ejecute una exploracioacuten de descubrimiento de activos para identificar y documentar todos los
activos y superficies de ataque Al ejecutar este escaneo se descubre y documenta cualquier cambio en la presencia de los activos que deben ser incluidos en el inventario
Anexo A9 Control de accesoAsegurarse de que los empleados soacutelo puedan ver la informacioacuten relevante para su trabajo
91 Requisitos empresariales de control de acceso Controlar el acceso a los activos de informacioacuten documentados en la poliacutetica y los procedimientos de control Restringir el acceso y las conexiones a la red
92 Gestioacuten del acceso de los usuarios Controlar los derechos de acceso de los usuarios desde el registro inicial del usuario hasta la eliminacioacuten de los derechos cuando ya no sean necesarios Revisar y actualizar perioacutedicamente los derechos de acceso
93 Responsabilidades de los usuarios Los usuarios deben ser conscientes de sus responsabilidades en lo que respecta al mantenimiento de controles de acceso eficaces como contrasentildeas soacutelidas y confidencialidad
94 Control de acceso al sistema y a las aplicaciones Restringir el acceso a la informacioacuten de acuerdo con la poliacutetica de control de acceso como la gestioacuten segura de los nombres de usuario y las contrasentildeas
USO DE RIDGEBOT QUE SE DEBE CUMPLIRbull Ejecutar un escaneo de contrasentildeas deacutebiles contra todos los activos para documentar y
resolver las vulnerabilidades de las credenciales de acceso
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 16
Anexo A10 CriptografiacuteaCifrado de datos y manejo de informacioacuten sensible
101 Controles criptograacuteficos Establecer y mantener una poliacutetica sobre el uso del cifrado la autenticacioacuten criptograacutefica y los controles de integridad como las firmas digitales los coacutedigos de autenticacioacuten de los mensajes y la gestioacuten de las claves criptograacuteficas
USO DE RIDGEBOT QUE SE DEBE CUMPLIR bull Asegurarse de que una exploracioacuten dirigida especiacuteficamente a las vulnerabilidades
relacionadas con el cifrado forma parte de la poliacutetica de controles criptograacuteficos
Anexo A11 Seguridad fiacutesica y ambientalEvitar el acceso fiacutesico no autorizado el dantildeo o la interferencia en las instalaciones el equipo o la informacioacuten sensible de la organizacioacuten
111 Aacutereas seguras Definir periacutemetros fiacutesicos y barreras con controles de entrada fiacutesica proteger los locales oficinas salas aacutereas de entregacarga etc contra el acceso no autorizado
112 Equipo Asegurar y mantener el equipo informaacutetico y de informacioacuten asiacute como los servicios de apoyo (como la electricidad y el aire acondicionado) y el cableado
USO DE RIDGEBOT QUE SE DEBE CUMPLIR bull Ejecute un escaneo de acceso para asegurarse de que todos los sistemas o dispositivos
utilizados para controlar registrar o vigilar la entrada fiacutesica a los locales esteacuten seguros contra credenciales deacutebiles u otras vulnerabilidades de softwaremalware Los hackers pueden permitir el acceso fiacutesico (en lugar de denegarlo) o borrar o alterar los registros la videovigilancia o la informacioacuten de la pista de auditoriacutea
bull Las pruebas de penetracioacuten pueden revelar los puntos deacutebiles de los procesos de seguridad fiacutesica que podriacutean conceder a un atacante el acceso a sistemas o aacutereas seguras
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 17
Anexo A12 Seguridad de las operacionesAsegurarse de que las instalaciones de procesamiento de informacioacuten sean seguras
121 Procedimientos y responsabilidades operacionales Documentar las responsabilidades y procedimientos operativos de la TI controlar los cambios en las instalaciones y sistemas de TI gestionar la capacidad y el rendimiento separar el desarrollo las pruebas y los sistemas operativos
122 Proteccioacuten contra el malware Se requieren controles de malware incluyendo la concienciacioacuten de los usuarios
123 Copias de seguridad Realizar y conservar copias de seguridad adecuadas de conformidad con la poliacutetica de copias de seguridad
124 Registro y supervisioacuten Proteger y registrar las actividades de los usuarios y los administradoresoperadores del sistema las excepciones los fallos y los eventos de seguridad de la informacioacuten Sincronizar los relojes
125 Control del software operativo Controlar la instalacioacuten de programas informaacuteticos en los sistemas operacionales
126 Gestioacuten de la vulnerabilidad teacutecnica Parchear las vulnerabilidades y garantizar que se establezcan normas que rijan la instalacioacuten del software de usuario
127 Consideraciones sobre la auditoriacutea de los sistemas de informacioacuten Planificar y controlar las auditoriacuteas de los sistemas de informacioacuten para reducir al miacutenimo los efectos adversos en los sistemas de produccioacuten o el acceso inapropiado a los datos
USO DE RIDGEBOT QUE SE DEBE CUMPLIRbull Ejecute un anaacutelisis de la prueba de penetracioacuten para asegurarse de que todos los activos
estaacuten seguros contra credenciales deacutebiles u otras vulnerabilidades de softwaremalware donde los hackers pueden obtener acceso no autorizado
bull Ejecute un escaneo para asegurarse de que todos los sistemas o dispositivos utilizados para registrar eventos y actividades estaacuten seguros de credenciales deacutebiles u otras vulnerabilidades de softwaremalware Aacutereas en las que los hackers pueden obtener acceso para borrar o alterar los registros la vigilancia por viacutedeo o la informacioacuten de seguimiento de auditoriacutea
bull Ejecute escaneos completos con la explotacioacuten activada para las vulnerabilidades encontradas como parte regular de su poliacuteticaproceso para endurecer los parches de software actualizaciones de software nuevos dispositivos y cualquier cambio de configuracioacuten antes de empujarlos en vivo al entorno de produccioacuten
bull Los informes de exploracioacuten (que contienen las vulnerabilidades detectadas enumeradas los exploits exitosos y las medidas correctivas) abordan el requisito de la Norma de detectar las vulnerabilidades teacutecnicas emergentes de manera estructurada y sistemaacutetica
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 18
Anexo A13 Seguridad de las comunicacionesProteger la informacioacuten en las redes
131 Gestioacuten de la seguridad de las redes Garantizar la seguridad de las redes y los servicios de red por ejemplo mediante la segregacioacuten
132 Transferencia de informacioacuten Garantizar que se apliquen poliacuteticas procedimientos y acuerdos (como los acuerdos de no divulgacioacuten) relativos a la transferencia de informacioacuten ade terceros incluida la mensajeriacutea electroacutenica
USO DE RIDGEBOT QUE SE DEBE CUMPLIR bull Realice una prueba de penetracioacuten para asegurarse de que todos los activos que participan
en la transferencia de informacioacuten y los sistemas de mensajeriacutea electroacutenica estaacuten a salvo de credenciales deacutebiles u otras vulnerabilidades de softwaremalware en las que los piratas informaacuteticos pueden obtener acceso no autorizado
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 19
Anexo A14 Adquisicioacuten desarrollo y mantenimiento de sistemasGarantizar la seguridad de la informacioacuten sigue siendo una parte central de los procesos a lo largo de todo el ciclo de vida de los sistemas internos asiacute como de los servicios prestados a traveacutes de redes puacuteblicas
141 Requisitos de seguridad de los sistemas de informacioacuten Los requisitos de control de seguridad deben ser analizados y especificados incluyendo las aplicaciones web y las transacciones
142 Seguridad en los procesos de desarrollo y apoyo Definir como poliacutetica las normas que rigen el desarrollo de softwaresistemas seguros Se pueden controlar los cambios en ambas aplicaciones y sistemas operativos Asegurar el entorno de desarrollo asiacute como la seguridad de los sistemas de pruebas de desarrollo subcontratados en funcioacuten de criterios de aceptacioacuten definidos por la seguridad
143 Datos de prueba Los datos de las pruebas deben seleccionarse generarse y controlarse cuidadosamente
USO DE RIDGEBOT QUE SE DEBE CUMPLIR bull Realice una prueba de penetracioacuten contra los sistemas internos asiacute como contra cualquier
proveedor o nube de activos y servicios
bull Ejecutar un escaneo completo con la explotacioacuten activada para las vulnerabilidades encontradas como parte regular del desarrollo de software validacioacuten de software y procesos y procedimientos de control de cambios
bull Ejecute un escaneo de acceso para asegurar que existen controles de acceso apropiados para separar sus entornos de desarrolloprueba de software de los entornos de produccioacuten
bull Ejecute escaneos completos con la explotacioacuten activada para las vulnerabilidades encontradas como una parte regular de su poliacutetica y proceso para endurecer el nuevo software durante el proceso de desarrollo de software
bull Ejecute escaneos continuos con la explotacioacuten activada para las vulnerabilidades encontradas Escanee continuamente partes de su software o del proceso de desarrollo de su sitio web asiacute como el proceso de pruebas para reforzar los parches de software las actualizaciones de software los nuevos dispositivos y cualquier cambio de configuracioacuten antes de introducirlos en su entorno de produccioacuten
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 20
Anexo A15 Relaciones con los proveedoresAcuerdos contractuales entre organizaciones y terceros
151 Seguridad de la informacioacuten en las relaciones con los proveedores Definir poliacuteticas procedimientos concienciacioacuten etc para proteger la informacioacuten accesible a los subcontratistas y proveedores externos a lo largo de la cadena de suministro acordada en los contratos o acuerdos
152 Gestioacuten de la prestacioacuten de servicios de los proveedores Supervisar la prestacioacuten de servicios por parte de los proveedores externos y revisarauditar los contratosacuerdos Controlar los cambios en el servicio
Anexo A16 Gestioacuten de incidentes de seguridad de la informacioacutenGestionar e informar de los incidentes de seguridad
161 Gestioacuten de los incidentes y mejoras de la seguridad de la informacioacuten Definir las responsabilidades y los procedimientos para gestionar (informar evaluar responder y aprender de) los eventos incidentes y debilidades de la seguridad de la informacioacuten de forma coherente y eficaz y recopilar pruebas forenses
USO DE RIDGEBOT QUE SE DEBE CUMPLIRbull Los informes del escaacutener de la prueba de penetracioacutenmdashque incluyen soluciones
recomendadas para cada vulnerabilidadmdashproporcionan informacioacuten criacutetica para su equipo de respuestaescalada de incidentes de seguridad o forense para asegurar el manejo oportuno y efectivo de todas las situaciones
bull Un escaneo forense (despueacutes de que haya ocurrido un incidente de seguridad) tambieacuten puede ayudar a determinar doacutende y coacutemo se perpetra una brecha
Anexo A17 Aspectos de la seguridad de la informacioacuten en la gestioacuten de la continuidad de las operacionesCrear un sistema eficaz para gestionar las interrupciones de los negocios
171 Continuidad de la seguridad de la informacioacuten Planificar implementar y revisar la continuidad de la seguridad de la informacioacuten como parte integral del sistema de gestioacuten de la continuidad del negocio
172 Redundancias Asegurar que las instalaciones de TI tengan suficiente redundancia para satisfacer los requisitos de disponibilidad
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 21
Anexo A18 CumplimientoIdentificar las leyes y reglamentos pertinentes Comprender los requisitos legales y contractuales para mitigar el riesgo de incumplimiento y las sanciones
181 Cumplimiento de los requisitos legales y contractuales Identificar y documentar las obligaciones para con las autoridades externas y otros terceros en relacioacuten con la seguridad de la informacioacuten incluida la propiedad intelectual los registros [comerciales] la informacioacuten de privacidadidentificacioacuten personal y la criptografiacutea
182 Exaacutemenes de la seguridad de la informacioacuten Revisar independientemente las disposiciones de seguridad de la informacioacuten (auditoriacutea) e informar a la administracioacuten Los directivos deben examinar el cumplimiento de las poliacuteticas y procedimientos de seguridad por parte de los empleados y los sistemas e iniciar medidas correctivas
USO DE RIDGEBOT QUE SE DEBE CUMPLIRbull Realice escaneos completos con la explotacioacuten activada para las vulnerabilidades
encontradas como parte regular de su poliacutetica y proceso para revisar que sus controles de seguridad son efectivos contra las uacuteltimas amenazas
bull El motor de explotacioacuten AIML incorporado de RidgeBot utiliza la base de conocimientos de teacutecnicas de ataque de RidgeSecurity liacuteder en la industria y asegura que sus activos esteacuten siempre reforzados con la inteligencia de vulnerabilidades maacutes actualizada
bull Los informes de exploracioacutenmdashque contienen las vulnerabilidades detectadas los exploits exitosos y los pasos correctivosmdashproporcionan documentacioacuten para una revisioacuten independiente o de gestioacuten de sus controles de seguridad y su eficacia Tambieacuten esbozan los pasos para la accioacuten correctiva
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 22
Perfil de la compantildeiacuteaRidge Security ofrece soluciones eacuteticas eficientes y accesibles para la prueba de penetracioacuten a empresas pequentildeas y grandes Nos aseguramos de que nuestros clientes se mantengan conformes alerta y seguros en todo momento en el mundo ciberneacutetico El equipo de administracioacuten tiene muchos antildeos de experiencia en redes y seguridad Ridge Security estaacute ubicada en el corazoacuten de Silicon Valley y se estaacute expandiendo a otras regiones como Ameacuterica Latina Asia y Europa
RidgeBot un sistema de pruebas de penetracioacuten roboacutetica automatizado por completo el proceso se prueba acoplando teacutecnicas de hacking eacutetico a los algoritmos de toma de decisiones Los RidgeBots localizan explotan y documentan los riesgos y vulnerabilidades empresariales descubiertos durante el proceso de prueba destacando el impacto o dantildeo potencial
Ridge Security Technology Incwwwridgesecurityai
copy 2020 Todos los derechos reservados Ridge Security Technology Inc RidgeBot es una marca registrada de Ridge Security Technology Inc
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 6
Certificacioacuten y cumplimiento de la norma ISO 27001
La ISO 270012013 se centra en el establecimiento de objetivos la evaluacioacuten del rendimiento y la definicioacuten de meacutetricas para medir la eficacia Los objetivos o controles estaacuten organizados por 14 categoriacuteas o dominios con detalles especiacuteficos en el Anexo A de la norma Las organizaciones no estaacuten obligadas a implementar todos los controles de la ISO 27001 sino que representan una lista de posibilidades a considerar en funcioacuten del negocio y el entorno particular de una empresa
1 Anexo A5 Poliacuteticas de seguridad de la informacioacuten
2 Anexo A6 Organizacioacuten de la seguridad de la informacioacuten
3 Anexo A7 Seguridad de los recursos humanos
4 Anexo A8 Gestioacuten de activos
5 Anexo A9 Control de acceso
6 Anexo A10 Criptografiacutea
7 Anexo A11 Seguridad fiacutesica y ambiental
8 Anexo A12 Seguridad de las operaciones
9 Anexo A13 Seguridad de las comunicaciones
10 Anexo A14 Adquisicioacuten desarrollo y mantenimiento de sistemas
11 Anexo A15 Relaciones con los proveedores
12 Anexo A16 Gestioacuten de incidentes de seguridad de la informacioacuten
13 Anexo A17 Aspectos de la seguridad de la informacioacuten en la gestioacuten de la continuidad de las operaciones
14 Anexo A18 Cumplimiento
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 7
La implementacioacuten de un SGSI que cumpla con la norma ISO 27001 es un proceso de varios pasos que en liacuteneas generales sigue este esquema
bull Gobernabilidad Esto requiere un compromiso demostrado de la alta direccioacuten con un SGSI
bull Evaluacioacuten del riesgo Requiere una comprensioacuten exacta de los riesgos para la seguridad de la informacioacuten a los que se enfrenta la organizacioacuten
bull Documentacioacuten Establece coacutemo funciona el SGSI
bull Mejora continua Una vez que se implementa el SGSI se debe medir el rendimiento y la efectividad se deben identificar las desviaciones y se deben tomar medidas correctivas
Varias normas complementarias contribuyen a la interpretacioacuten e implementacioacuten de la ISO 27001
bull La ISO 27002 recomienda las mejores praacutecticas para la implementacioacuten efectiva de las especificaciones de la ISO 27001
bull La ISO 27005 guiacutea la gestioacuten de los riesgos de seguridad de la informacioacuten
bull La ISO 27017 se centra en la forma en que los controles de la ISO 27001 se aplican a la informacioacuten almacenada en la nube
bull ISO 27018 ofrece orientacioacuten sobre la proteccioacuten de la informacioacuten sensible en la nube
bull La ISO 27701 define los requisitos adicionales del SGSI para cubrir la privacidad de los datos reconociendo que la seguridad de la informacioacuten es esencial para una gestioacuten eficaz de la privacidad Fue creada en respuesta al Reglamento General de Proteccioacuten de Datos (GDPR) para detallar la forma en que los controles de la ISO 27001 se cruzan con la privacidad de los datos
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 8
En un sentido general RidgeBot ayuda a encontrar los problemas de incumplimiento en sus activos y guiacutea coacutemo y resuelve inmediatamente cualquier exposicioacuten Ademaacutes RidgeBot mantiene continuamente una postura de seguridad que siempre cumple con la ISO 27001 y otras normas y regulaciones
Algunos de los beneficios clave de RidgeBot para la postura de seguridad de su organizacioacuten incluyen
Mejorar y simplificar las actividades y procesos de seguridad
bull Descubrir inventariar y documentar los componentes del sistema los activos y las superficies de ataque Debido a que RidgeBot estaacute completamente automatizado puede hacerlo continuamente o en intervalos mucho maacutes frecuentes que los procesos manuales perioacutedicos anteriores
bull Los informes ayudan a documentar las vulnerabilidades encontradas explotadas remediadas y validadas
bull Los informes proporcionan una clara clasificacioacuten de los riesgos para centrar la actividad de remediacioacuten manual en las vulnerabilidades de mayor riesgo
bull La flexibilidad de RidgeBot le permite ejecutar pruebas de ataque desde dentro y fuera de su entorno
bull La base de conocimientos de la Plataforma de Inteligencia de Amenazas de RidgeSecurity asegura que usted esteacute siempre al diacutea con la informacioacuten de las vulnerabilidades de seguridad liacutederes en la industria
bull Ejecute los ataques y escaneos de RidgeBot como parte estaacutendar de su poliacutetica de seguridad en curso
Risk Weightedderada de riesgoExplotadas verificades Riesgo de explotacioacuten no verificades
Alto
366Medio
79Baja
517
Explotadas
14Vulnerabilidades
VISIOacuteN GENERAL
iquestCoacutemo puede RidgeBot ayudar
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 9
Validacioacuten de seguridad continua
bull RidgeBot provee sin costo alguno endurecimiento continuo e inventario de activos Puede ejecutar diferentes escaneos de forma perioacutedica o continua ya que estaacute totalmente automatizado no se requiere ninguna intervencioacuten manual hasta que se informa de una vulnerabilidad
bull El monitoreo continuo y el descubrimiento de activos protegen contra la intrusioacuten de hackers causada por un empleado (o cualquier otra persona) que conecta accidental o maliciosamente dispositivos no confiables o no planeados de IO inalaacutembricos u otros dispositivos no autorizados al ambiente
bull Los informes de exploracioacuten proporcionan una lista de vulnerabilidades explotables que deben ser corregidas para documentarlas y resolverlas La salida de informes garantiza que todos los parches y actualizaciones de software necesarios para resolver las vulnerabilidades peligrosas se instalen en todos los activos afectados
Desarrollo de software y pruebas de lanzamiento de DevOpsSecOps
bull Utilice el RidgeBot durante el desarrollo del software para asegurarse de que las praacutecticas de codificacioacuten peligrosas que introducen vulnerabilidades nunca se incorporen a las nuevas versiones del software
bull Usar RidgeBot para endurecer los parches de software actualizaciones de software nuevos dispositivos y cualquier cambio de configuracioacuten antes de introducirlos en el entorno de produccioacuten
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 10
Validacioacuten de la posicioacuten de seguridad
bull Atacar continuamente de forma iterativa el entorno de produccioacuten para mantener la postura de seguridad Descubra las malas configuraciones de los aparatos o servicios de seguridad inalaacutembricos o defensivos como las reglas de los cortafuegos o los aparatos UTM
bull Supervisar continuamente y endurecer las credenciales de acceso a los activos sensibles
Auditoriacutea de conformidad
bull El continuo escaneo de descubrimiento de activos y los intentos de ataque y explotacioacuten (y los informes emitidos) significan que su entorno siempre estaacute listo para la auditoriacutea
bull Los informes de RidgeBot presentan pruebas de vulnerabilidades probadas remediadas y resueltas
Respuesta a incidentes de seguridad
bull Escanee los informes que contienen las soluciones recomendadas para cada vulnerabilidad encontrada y proporcione informacioacuten criacutetica a su equipo de respuestaescalada de incidentes de seguridad
bull La clasificacioacuten de riesgos de las vulnerabilidades alimenta las prioridades y procedimientos de respuesta a los incidentes
bull Los ataques de explotacioacuten AIML de RidgeBot proporcionan capacidades forenses para investigar el origen y el camino tomado por una brecha y una guiacutea paso a paso sobre coacutemo resolver la vulnerabilidad del punto de entrada
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 11
RidgeBot incluye varias plantillas de escaneado y la flexibilidad de personalizar completamente sus escaneos Las plantillas del sistema incluyen
bull Escaneo completo Esta prueba lanza numerosas teacutecnicas de ataques utilizadas por los hackers del mundo real Basaacutendose en la inteligencia de amenazas y en una base de conocimientos de explotacioacuten RidgeBot perfila los activos extrae las vulnerabilidades y lanza ataques contra los activos objetivo que pueden ser internos o externos a su entorno en un entorno privado o puacuteblico
bull Escaneo de contrasentildeas deacutebiles Esta prueba lanza ataques directos o iterativos basados en informacioacuten sensible recogida a traveacutes de credenciales deacutebiles o vulnerabilidades de acceso no autorizadas Los objetivos del ataque incluyen Redis Elasticsearch ActiveMQ base de datos acceso a la web y otras aplicaciones
bull Escaneo de Struts 2 Esta prueba lanza ataques directos o iterativos basados en vulnerabilidades conocidas de 1 diacutea o N diacuteas detectadas en los objetivos usando el marco de Struts 2
bull Escaneo Weblogic Esta prueba lanza ataques directos o iterativos basados en vulnerabilidades conocidas de 1 o N diacuteas detectadas en objetivos que utilizan el middleware de Weblogic
bull Escaneo web Esta prueba lanza ciberataques contra sitios web aplicaciones web y todas las superficies de ataque relacionadas para obtener el control del sitio web objetivo tanto para sitios web de desarrollo propio como para sitios web basados en sistemas de gestioacuten de contactos
bull Escaneo del host Esta prueba lanza ataques directos o iterativos desde el interior de una red corporativa para validar la respuesta del sistema de seguridad a una amenaza interna Los sistemas objetivo incluyen todos los hosts y servidores internos accesibles a la red
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 12
Implementacioacuten y certificacioacuten de la ISO 27001RidgeBot puede ayudar de muchas maneras con las siguientes etapas especiacuteficas de implementacioacuten desafiacuteos de implementacioacuten y mantenimiento continuo de la certificacioacuten auditoriacutea y revisioacuten de la norma ISO 27001
bull Identificacioacuten de activos La ISO 27001 requiere que se inventariacuteen varias clases de activos incluyendo registros digitales activos de TI aplicaciones de negocios y dispositivos moacuteviles
El descubrimiento automatizado de activos de RidgeBot puede ayudar a inventariar todos los activos mientras se prepara para una [re]certificacioacuten ISO 27001 Ademaacutes puede verificar que no haya nuevos dispositivos no planificados conectados a la infraestructura que introduce vulnerabilidades de manera continua Por ejemplo un atacante podriacutea establecer un punto de acceso inalaacutembrico no autorizado o instalar un dispositivo de IoT que permita el acceso remoto a la red interna
bull Evaluacioacuten de riesgos La norma ISO 27001 requiere que se realicen evaluaciones de riesgos con regularidad La norma establece que su proceso de evaluacioacuten de riesgos debe producir ldquoresultados consistentes vaacutelidos y comparablesrdquo las etapas de la evaluacioacuten de riesgos implican la identificacioacuten el anaacutelisis y la evaluacioacuten de los riesgos Ademaacutes la norma ISO 27001 establece que una vez identificados todos los riesgos cada uno de ellos debe ser evaluado individualmente en cuanto a la probabilidad de explotacioacuten el dantildeo que podriacutea ocurrir Se debe asignar un rango o puntuacioacuten a cada vulnerabilidad seguacuten los criterios de riesgo
La capacidad de prueba de penetracioacuten que tiene RidgeBot identifica analiza y evaluacutea todos los riesgos encontrados Ademaacutes explota los riesgos encontrados y proporciona medidas correctivas Los informes de escaneo proporcionan una clasificacioacuten lista de vulnerabilidades encontradas en base a la probabilidad de cada una de ellas de ser explotada incluidas las que fueron explotadas con eacutexito durante el ensayo Los informes tambieacuten proporcionan una evaluacioacuten con pasos granulares para remediar cada vulnerabilidad Los informes de exploracioacuten de RidgeBot proporcionan un vehiacuteculo para cumplir con el requisito de ldquoresultados consistentes vaacutelidos y comparablesrdquo de la norma ISO 27001
bull Plan de gestioacuten de riesgos La ISO 27001 establece que su Plan de Gestioacuten de Riesgos debe determinar los ldquomeacutetodos de control medicioacuten anaacutelisis y evaluacioacuten [] para asegurar resultados vaacutelidosrdquo La eficacia de aproximadamente la mitad de los controles enumerados en el Anexo A de la ISO 27001 soacutelo puede evaluarse suficientemente mediante pruebas de penetracioacuten
Las capacidades de la prueba de penetracioacuten totalmente automatizada de RidgeBot pueden ser ejecutadas de manera rentable tan frecuentemente como sea necesario en lugar de contratar a una empresa consultora para hacer una prueba de una uacutenica vez La paz y la tranquilidad estaacute asegurada de que sus activos estaacuten continuamente bloqueados Las nuevas vulnerabilidades se detectan inmediatamente despueacutesmdasho a menudo antesmdashde ser introducidas en su entorno de produccioacuten Su entorno empresarial siempre cumple con la norma ISO 27001 no soacutelo cuando se prepara para una auditoriacutea una revisioacuten o una recertificacioacuten
iquestCoacutemo puede RidgeBot ayudar
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 13
bull Documentacioacuten Un aspecto arduo de la implementacioacuten de un SGSI ISO 27001 es el desarrollo de la documentacioacuten de la Norma requerida expliacutecitamente
Los informes de exploracioacuten de RidgeBot (resultados de la misma repeticioacuten de exploracioacuten en un horario fijo) pueden ayudar a recopilar documentacioacuten ldquoconsistente vaacutelida y comparablerdquo de las vulnerabilidades encontradas la clasificacioacuten de la vulnerabilidad las explotaciones exitosas y las medidas de mitigacioacuten y correccioacuten que se tomen
bull Mejora continua a traveacutes de la medicioacuten el control y la revisioacuten Este aspecto de la ISO 27001 requiere que su SGSI sea continuamente analizado y revisado en cuanto a su desempentildeo efectividad cumplimiento e identificacioacuten de mejoras en los procesos
Los informes de exploracioacuten de RidgeBot que se realizan de forma continua o perioacutedica pueden ayudar a proporcionar informes y medidas correctivas recomendadas aportando las pruebas que la Norma requiere para demostrar que los riesgos se encuentran miden revisan y tratan adecuadamente
Un servicio de pruebas de penetracioacuten que compruebe regularmente los controles de la ISO 27001 y cuando sea necesario pruebe los cambios en la infraestructura de TI y de seguridad es una parte fundamental de cualquier proceso de mejora continua
RidgeBot ofrece este servicio a un precio muy econoacutemico Estaacute totalmente automatizado Los escaneos pueden ser programados tan a menudo como sea necesario (cumpliendo con el requisito de ldquoauditoriacutea internardquo ISO 27001) La salida de los escaneos de RidgeBot proporciona informes consistentes y comparables incluyendo mediciones cuantitativas (categoriacuteas y clasificaciones de vulnerabilidad) que demuestran la eficacia de su SGSI
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 14
ISO 27001 Anexo A Controles
El Anexo A de la norma ISO 27001 ofrece un breve resumen de los controles y dominios La norma ISO 27002 proporciona informacioacuten maacutes detallada para ayudar a la aplicacioacuten
A continuacioacuten se resume cada uno de los 14 dominios de la norma ISO 270012013 (y los controles dentro de ellos) Muchos controles se refieren a praacutecticas y procedimientos de gestioacuten humana Varios otros se refieren a los activos y la infraestructura de la tecnologiacutea de la informacioacuten En ellos se anotan las pruebas de penetracioacuten la clasificacioacuten de la vulnerabilidad la explotacioacuten de la vulnerabilidad asistida por IAML de RidgeBot y los pasos de reparacioacuten comunicados para ayudar a implementar y cumplir el control de la norma ISO 27001
Anexo A5 Poliacuteticas de seguridad de la informacioacutenAsegurarse de que las poliacuteticas se redacten y revisen de acuerdo con las praacutecticas de seguridad de la informacioacuten de la organizacioacuten
51 Direccioacuten de la gestioacuten de la seguridad de la informacioacuten Definir un conjunto de poliacuteticas para aclarar la direccioacuten de la gestioacuten y el apoyo a la seguridad de la informacioacuten
Anexo A6 Organizacioacuten de la seguridad de la informacioacutenAsignacioacuten de responsabilidades para tareas especiacuteficas
61 Organizacioacuten interna Establecer las funciones y responsabilidades en materia de seguridad de la informacioacuten y asignarlas a las personas
62 Dispositivos moacuteviles y teletrabajo Establecer poliacuteticas y controles de seguridad para los dispositivos moacuteviles y el teletrabajo Asegurarse de que toda persona que trabaje desde su casa o en movimiento siga las praacutecticas adecuadas
Anexo A7 Seguridad de los recursos humanosAsegurarse de que los empleados y contratistas potenciales actuales y pasados entiendan sus responsabilidades en materia de seguridad de la informacioacuten
71 Antes del empleo Las responsabilidades en materia de seguridad de la informacioacuten deben tenerse en cuenta al contratar a empleados permanentes contratistas y personal temporal e incluirse en los contratos
72 Durante el empleo Asegurarse de que los empleados y contratistas conozcan las obligaciones en materia de seguridad de la informacioacuten y esteacuten motivados para cumplirlas incluido un proceso disciplinario
73 Terminacioacuten y cambio de empleo Deben gestionarse los aspectos de seguridad de la salida o el cambio de funcioacuten de una persona como la devolucioacuten de la informacioacuten y el equipo de la empresa y actualizando los derechos de acceso
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 15
Anexo A8 Gestioacuten de activosIdentificar los activos de informacioacuten y definir las responsabilidades de proteccioacuten adecuadas
81 Responsabilidad por los activos Hacer un inventario de todos los activos de informacioacuten e identificar a los propietarios responsables de su seguridad
82 Clasificacioacuten de la informacioacuten Clasificar y etiquetar la informacioacuten de acuerdo con la proteccioacuten de seguridad necesaria y manejarla adecuadamente
83 Manejo de los medios de comunicacioacuten Los medios de almacenamiento de informacioacuten deben ser administrados controlados trasladados y eliminados sin comprometer el contenido de la informacioacuten
USO DE RIDGEBOT QUE SE DEBE CUMPLIRbull Ejecute una exploracioacuten de descubrimiento de activos para identificar y documentar todos los
activos y superficies de ataque Al ejecutar este escaneo se descubre y documenta cualquier cambio en la presencia de los activos que deben ser incluidos en el inventario
Anexo A9 Control de accesoAsegurarse de que los empleados soacutelo puedan ver la informacioacuten relevante para su trabajo
91 Requisitos empresariales de control de acceso Controlar el acceso a los activos de informacioacuten documentados en la poliacutetica y los procedimientos de control Restringir el acceso y las conexiones a la red
92 Gestioacuten del acceso de los usuarios Controlar los derechos de acceso de los usuarios desde el registro inicial del usuario hasta la eliminacioacuten de los derechos cuando ya no sean necesarios Revisar y actualizar perioacutedicamente los derechos de acceso
93 Responsabilidades de los usuarios Los usuarios deben ser conscientes de sus responsabilidades en lo que respecta al mantenimiento de controles de acceso eficaces como contrasentildeas soacutelidas y confidencialidad
94 Control de acceso al sistema y a las aplicaciones Restringir el acceso a la informacioacuten de acuerdo con la poliacutetica de control de acceso como la gestioacuten segura de los nombres de usuario y las contrasentildeas
USO DE RIDGEBOT QUE SE DEBE CUMPLIRbull Ejecutar un escaneo de contrasentildeas deacutebiles contra todos los activos para documentar y
resolver las vulnerabilidades de las credenciales de acceso
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 16
Anexo A10 CriptografiacuteaCifrado de datos y manejo de informacioacuten sensible
101 Controles criptograacuteficos Establecer y mantener una poliacutetica sobre el uso del cifrado la autenticacioacuten criptograacutefica y los controles de integridad como las firmas digitales los coacutedigos de autenticacioacuten de los mensajes y la gestioacuten de las claves criptograacuteficas
USO DE RIDGEBOT QUE SE DEBE CUMPLIR bull Asegurarse de que una exploracioacuten dirigida especiacuteficamente a las vulnerabilidades
relacionadas con el cifrado forma parte de la poliacutetica de controles criptograacuteficos
Anexo A11 Seguridad fiacutesica y ambientalEvitar el acceso fiacutesico no autorizado el dantildeo o la interferencia en las instalaciones el equipo o la informacioacuten sensible de la organizacioacuten
111 Aacutereas seguras Definir periacutemetros fiacutesicos y barreras con controles de entrada fiacutesica proteger los locales oficinas salas aacutereas de entregacarga etc contra el acceso no autorizado
112 Equipo Asegurar y mantener el equipo informaacutetico y de informacioacuten asiacute como los servicios de apoyo (como la electricidad y el aire acondicionado) y el cableado
USO DE RIDGEBOT QUE SE DEBE CUMPLIR bull Ejecute un escaneo de acceso para asegurarse de que todos los sistemas o dispositivos
utilizados para controlar registrar o vigilar la entrada fiacutesica a los locales esteacuten seguros contra credenciales deacutebiles u otras vulnerabilidades de softwaremalware Los hackers pueden permitir el acceso fiacutesico (en lugar de denegarlo) o borrar o alterar los registros la videovigilancia o la informacioacuten de la pista de auditoriacutea
bull Las pruebas de penetracioacuten pueden revelar los puntos deacutebiles de los procesos de seguridad fiacutesica que podriacutean conceder a un atacante el acceso a sistemas o aacutereas seguras
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 17
Anexo A12 Seguridad de las operacionesAsegurarse de que las instalaciones de procesamiento de informacioacuten sean seguras
121 Procedimientos y responsabilidades operacionales Documentar las responsabilidades y procedimientos operativos de la TI controlar los cambios en las instalaciones y sistemas de TI gestionar la capacidad y el rendimiento separar el desarrollo las pruebas y los sistemas operativos
122 Proteccioacuten contra el malware Se requieren controles de malware incluyendo la concienciacioacuten de los usuarios
123 Copias de seguridad Realizar y conservar copias de seguridad adecuadas de conformidad con la poliacutetica de copias de seguridad
124 Registro y supervisioacuten Proteger y registrar las actividades de los usuarios y los administradoresoperadores del sistema las excepciones los fallos y los eventos de seguridad de la informacioacuten Sincronizar los relojes
125 Control del software operativo Controlar la instalacioacuten de programas informaacuteticos en los sistemas operacionales
126 Gestioacuten de la vulnerabilidad teacutecnica Parchear las vulnerabilidades y garantizar que se establezcan normas que rijan la instalacioacuten del software de usuario
127 Consideraciones sobre la auditoriacutea de los sistemas de informacioacuten Planificar y controlar las auditoriacuteas de los sistemas de informacioacuten para reducir al miacutenimo los efectos adversos en los sistemas de produccioacuten o el acceso inapropiado a los datos
USO DE RIDGEBOT QUE SE DEBE CUMPLIRbull Ejecute un anaacutelisis de la prueba de penetracioacuten para asegurarse de que todos los activos
estaacuten seguros contra credenciales deacutebiles u otras vulnerabilidades de softwaremalware donde los hackers pueden obtener acceso no autorizado
bull Ejecute un escaneo para asegurarse de que todos los sistemas o dispositivos utilizados para registrar eventos y actividades estaacuten seguros de credenciales deacutebiles u otras vulnerabilidades de softwaremalware Aacutereas en las que los hackers pueden obtener acceso para borrar o alterar los registros la vigilancia por viacutedeo o la informacioacuten de seguimiento de auditoriacutea
bull Ejecute escaneos completos con la explotacioacuten activada para las vulnerabilidades encontradas como parte regular de su poliacuteticaproceso para endurecer los parches de software actualizaciones de software nuevos dispositivos y cualquier cambio de configuracioacuten antes de empujarlos en vivo al entorno de produccioacuten
bull Los informes de exploracioacuten (que contienen las vulnerabilidades detectadas enumeradas los exploits exitosos y las medidas correctivas) abordan el requisito de la Norma de detectar las vulnerabilidades teacutecnicas emergentes de manera estructurada y sistemaacutetica
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 18
Anexo A13 Seguridad de las comunicacionesProteger la informacioacuten en las redes
131 Gestioacuten de la seguridad de las redes Garantizar la seguridad de las redes y los servicios de red por ejemplo mediante la segregacioacuten
132 Transferencia de informacioacuten Garantizar que se apliquen poliacuteticas procedimientos y acuerdos (como los acuerdos de no divulgacioacuten) relativos a la transferencia de informacioacuten ade terceros incluida la mensajeriacutea electroacutenica
USO DE RIDGEBOT QUE SE DEBE CUMPLIR bull Realice una prueba de penetracioacuten para asegurarse de que todos los activos que participan
en la transferencia de informacioacuten y los sistemas de mensajeriacutea electroacutenica estaacuten a salvo de credenciales deacutebiles u otras vulnerabilidades de softwaremalware en las que los piratas informaacuteticos pueden obtener acceso no autorizado
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 19
Anexo A14 Adquisicioacuten desarrollo y mantenimiento de sistemasGarantizar la seguridad de la informacioacuten sigue siendo una parte central de los procesos a lo largo de todo el ciclo de vida de los sistemas internos asiacute como de los servicios prestados a traveacutes de redes puacuteblicas
141 Requisitos de seguridad de los sistemas de informacioacuten Los requisitos de control de seguridad deben ser analizados y especificados incluyendo las aplicaciones web y las transacciones
142 Seguridad en los procesos de desarrollo y apoyo Definir como poliacutetica las normas que rigen el desarrollo de softwaresistemas seguros Se pueden controlar los cambios en ambas aplicaciones y sistemas operativos Asegurar el entorno de desarrollo asiacute como la seguridad de los sistemas de pruebas de desarrollo subcontratados en funcioacuten de criterios de aceptacioacuten definidos por la seguridad
143 Datos de prueba Los datos de las pruebas deben seleccionarse generarse y controlarse cuidadosamente
USO DE RIDGEBOT QUE SE DEBE CUMPLIR bull Realice una prueba de penetracioacuten contra los sistemas internos asiacute como contra cualquier
proveedor o nube de activos y servicios
bull Ejecutar un escaneo completo con la explotacioacuten activada para las vulnerabilidades encontradas como parte regular del desarrollo de software validacioacuten de software y procesos y procedimientos de control de cambios
bull Ejecute un escaneo de acceso para asegurar que existen controles de acceso apropiados para separar sus entornos de desarrolloprueba de software de los entornos de produccioacuten
bull Ejecute escaneos completos con la explotacioacuten activada para las vulnerabilidades encontradas como una parte regular de su poliacutetica y proceso para endurecer el nuevo software durante el proceso de desarrollo de software
bull Ejecute escaneos continuos con la explotacioacuten activada para las vulnerabilidades encontradas Escanee continuamente partes de su software o del proceso de desarrollo de su sitio web asiacute como el proceso de pruebas para reforzar los parches de software las actualizaciones de software los nuevos dispositivos y cualquier cambio de configuracioacuten antes de introducirlos en su entorno de produccioacuten
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 20
Anexo A15 Relaciones con los proveedoresAcuerdos contractuales entre organizaciones y terceros
151 Seguridad de la informacioacuten en las relaciones con los proveedores Definir poliacuteticas procedimientos concienciacioacuten etc para proteger la informacioacuten accesible a los subcontratistas y proveedores externos a lo largo de la cadena de suministro acordada en los contratos o acuerdos
152 Gestioacuten de la prestacioacuten de servicios de los proveedores Supervisar la prestacioacuten de servicios por parte de los proveedores externos y revisarauditar los contratosacuerdos Controlar los cambios en el servicio
Anexo A16 Gestioacuten de incidentes de seguridad de la informacioacutenGestionar e informar de los incidentes de seguridad
161 Gestioacuten de los incidentes y mejoras de la seguridad de la informacioacuten Definir las responsabilidades y los procedimientos para gestionar (informar evaluar responder y aprender de) los eventos incidentes y debilidades de la seguridad de la informacioacuten de forma coherente y eficaz y recopilar pruebas forenses
USO DE RIDGEBOT QUE SE DEBE CUMPLIRbull Los informes del escaacutener de la prueba de penetracioacutenmdashque incluyen soluciones
recomendadas para cada vulnerabilidadmdashproporcionan informacioacuten criacutetica para su equipo de respuestaescalada de incidentes de seguridad o forense para asegurar el manejo oportuno y efectivo de todas las situaciones
bull Un escaneo forense (despueacutes de que haya ocurrido un incidente de seguridad) tambieacuten puede ayudar a determinar doacutende y coacutemo se perpetra una brecha
Anexo A17 Aspectos de la seguridad de la informacioacuten en la gestioacuten de la continuidad de las operacionesCrear un sistema eficaz para gestionar las interrupciones de los negocios
171 Continuidad de la seguridad de la informacioacuten Planificar implementar y revisar la continuidad de la seguridad de la informacioacuten como parte integral del sistema de gestioacuten de la continuidad del negocio
172 Redundancias Asegurar que las instalaciones de TI tengan suficiente redundancia para satisfacer los requisitos de disponibilidad
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 21
Anexo A18 CumplimientoIdentificar las leyes y reglamentos pertinentes Comprender los requisitos legales y contractuales para mitigar el riesgo de incumplimiento y las sanciones
181 Cumplimiento de los requisitos legales y contractuales Identificar y documentar las obligaciones para con las autoridades externas y otros terceros en relacioacuten con la seguridad de la informacioacuten incluida la propiedad intelectual los registros [comerciales] la informacioacuten de privacidadidentificacioacuten personal y la criptografiacutea
182 Exaacutemenes de la seguridad de la informacioacuten Revisar independientemente las disposiciones de seguridad de la informacioacuten (auditoriacutea) e informar a la administracioacuten Los directivos deben examinar el cumplimiento de las poliacuteticas y procedimientos de seguridad por parte de los empleados y los sistemas e iniciar medidas correctivas
USO DE RIDGEBOT QUE SE DEBE CUMPLIRbull Realice escaneos completos con la explotacioacuten activada para las vulnerabilidades
encontradas como parte regular de su poliacutetica y proceso para revisar que sus controles de seguridad son efectivos contra las uacuteltimas amenazas
bull El motor de explotacioacuten AIML incorporado de RidgeBot utiliza la base de conocimientos de teacutecnicas de ataque de RidgeSecurity liacuteder en la industria y asegura que sus activos esteacuten siempre reforzados con la inteligencia de vulnerabilidades maacutes actualizada
bull Los informes de exploracioacutenmdashque contienen las vulnerabilidades detectadas los exploits exitosos y los pasos correctivosmdashproporcionan documentacioacuten para una revisioacuten independiente o de gestioacuten de sus controles de seguridad y su eficacia Tambieacuten esbozan los pasos para la accioacuten correctiva
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 22
Perfil de la compantildeiacuteaRidge Security ofrece soluciones eacuteticas eficientes y accesibles para la prueba de penetracioacuten a empresas pequentildeas y grandes Nos aseguramos de que nuestros clientes se mantengan conformes alerta y seguros en todo momento en el mundo ciberneacutetico El equipo de administracioacuten tiene muchos antildeos de experiencia en redes y seguridad Ridge Security estaacute ubicada en el corazoacuten de Silicon Valley y se estaacute expandiendo a otras regiones como Ameacuterica Latina Asia y Europa
RidgeBot un sistema de pruebas de penetracioacuten roboacutetica automatizado por completo el proceso se prueba acoplando teacutecnicas de hacking eacutetico a los algoritmos de toma de decisiones Los RidgeBots localizan explotan y documentan los riesgos y vulnerabilidades empresariales descubiertos durante el proceso de prueba destacando el impacto o dantildeo potencial
Ridge Security Technology Incwwwridgesecurityai
copy 2020 Todos los derechos reservados Ridge Security Technology Inc RidgeBot es una marca registrada de Ridge Security Technology Inc
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 7
La implementacioacuten de un SGSI que cumpla con la norma ISO 27001 es un proceso de varios pasos que en liacuteneas generales sigue este esquema
bull Gobernabilidad Esto requiere un compromiso demostrado de la alta direccioacuten con un SGSI
bull Evaluacioacuten del riesgo Requiere una comprensioacuten exacta de los riesgos para la seguridad de la informacioacuten a los que se enfrenta la organizacioacuten
bull Documentacioacuten Establece coacutemo funciona el SGSI
bull Mejora continua Una vez que se implementa el SGSI se debe medir el rendimiento y la efectividad se deben identificar las desviaciones y se deben tomar medidas correctivas
Varias normas complementarias contribuyen a la interpretacioacuten e implementacioacuten de la ISO 27001
bull La ISO 27002 recomienda las mejores praacutecticas para la implementacioacuten efectiva de las especificaciones de la ISO 27001
bull La ISO 27005 guiacutea la gestioacuten de los riesgos de seguridad de la informacioacuten
bull La ISO 27017 se centra en la forma en que los controles de la ISO 27001 se aplican a la informacioacuten almacenada en la nube
bull ISO 27018 ofrece orientacioacuten sobre la proteccioacuten de la informacioacuten sensible en la nube
bull La ISO 27701 define los requisitos adicionales del SGSI para cubrir la privacidad de los datos reconociendo que la seguridad de la informacioacuten es esencial para una gestioacuten eficaz de la privacidad Fue creada en respuesta al Reglamento General de Proteccioacuten de Datos (GDPR) para detallar la forma en que los controles de la ISO 27001 se cruzan con la privacidad de los datos
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 8
En un sentido general RidgeBot ayuda a encontrar los problemas de incumplimiento en sus activos y guiacutea coacutemo y resuelve inmediatamente cualquier exposicioacuten Ademaacutes RidgeBot mantiene continuamente una postura de seguridad que siempre cumple con la ISO 27001 y otras normas y regulaciones
Algunos de los beneficios clave de RidgeBot para la postura de seguridad de su organizacioacuten incluyen
Mejorar y simplificar las actividades y procesos de seguridad
bull Descubrir inventariar y documentar los componentes del sistema los activos y las superficies de ataque Debido a que RidgeBot estaacute completamente automatizado puede hacerlo continuamente o en intervalos mucho maacutes frecuentes que los procesos manuales perioacutedicos anteriores
bull Los informes ayudan a documentar las vulnerabilidades encontradas explotadas remediadas y validadas
bull Los informes proporcionan una clara clasificacioacuten de los riesgos para centrar la actividad de remediacioacuten manual en las vulnerabilidades de mayor riesgo
bull La flexibilidad de RidgeBot le permite ejecutar pruebas de ataque desde dentro y fuera de su entorno
bull La base de conocimientos de la Plataforma de Inteligencia de Amenazas de RidgeSecurity asegura que usted esteacute siempre al diacutea con la informacioacuten de las vulnerabilidades de seguridad liacutederes en la industria
bull Ejecute los ataques y escaneos de RidgeBot como parte estaacutendar de su poliacutetica de seguridad en curso
Risk Weightedderada de riesgoExplotadas verificades Riesgo de explotacioacuten no verificades
Alto
366Medio
79Baja
517
Explotadas
14Vulnerabilidades
VISIOacuteN GENERAL
iquestCoacutemo puede RidgeBot ayudar
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 9
Validacioacuten de seguridad continua
bull RidgeBot provee sin costo alguno endurecimiento continuo e inventario de activos Puede ejecutar diferentes escaneos de forma perioacutedica o continua ya que estaacute totalmente automatizado no se requiere ninguna intervencioacuten manual hasta que se informa de una vulnerabilidad
bull El monitoreo continuo y el descubrimiento de activos protegen contra la intrusioacuten de hackers causada por un empleado (o cualquier otra persona) que conecta accidental o maliciosamente dispositivos no confiables o no planeados de IO inalaacutembricos u otros dispositivos no autorizados al ambiente
bull Los informes de exploracioacuten proporcionan una lista de vulnerabilidades explotables que deben ser corregidas para documentarlas y resolverlas La salida de informes garantiza que todos los parches y actualizaciones de software necesarios para resolver las vulnerabilidades peligrosas se instalen en todos los activos afectados
Desarrollo de software y pruebas de lanzamiento de DevOpsSecOps
bull Utilice el RidgeBot durante el desarrollo del software para asegurarse de que las praacutecticas de codificacioacuten peligrosas que introducen vulnerabilidades nunca se incorporen a las nuevas versiones del software
bull Usar RidgeBot para endurecer los parches de software actualizaciones de software nuevos dispositivos y cualquier cambio de configuracioacuten antes de introducirlos en el entorno de produccioacuten
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 10
Validacioacuten de la posicioacuten de seguridad
bull Atacar continuamente de forma iterativa el entorno de produccioacuten para mantener la postura de seguridad Descubra las malas configuraciones de los aparatos o servicios de seguridad inalaacutembricos o defensivos como las reglas de los cortafuegos o los aparatos UTM
bull Supervisar continuamente y endurecer las credenciales de acceso a los activos sensibles
Auditoriacutea de conformidad
bull El continuo escaneo de descubrimiento de activos y los intentos de ataque y explotacioacuten (y los informes emitidos) significan que su entorno siempre estaacute listo para la auditoriacutea
bull Los informes de RidgeBot presentan pruebas de vulnerabilidades probadas remediadas y resueltas
Respuesta a incidentes de seguridad
bull Escanee los informes que contienen las soluciones recomendadas para cada vulnerabilidad encontrada y proporcione informacioacuten criacutetica a su equipo de respuestaescalada de incidentes de seguridad
bull La clasificacioacuten de riesgos de las vulnerabilidades alimenta las prioridades y procedimientos de respuesta a los incidentes
bull Los ataques de explotacioacuten AIML de RidgeBot proporcionan capacidades forenses para investigar el origen y el camino tomado por una brecha y una guiacutea paso a paso sobre coacutemo resolver la vulnerabilidad del punto de entrada
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 11
RidgeBot incluye varias plantillas de escaneado y la flexibilidad de personalizar completamente sus escaneos Las plantillas del sistema incluyen
bull Escaneo completo Esta prueba lanza numerosas teacutecnicas de ataques utilizadas por los hackers del mundo real Basaacutendose en la inteligencia de amenazas y en una base de conocimientos de explotacioacuten RidgeBot perfila los activos extrae las vulnerabilidades y lanza ataques contra los activos objetivo que pueden ser internos o externos a su entorno en un entorno privado o puacuteblico
bull Escaneo de contrasentildeas deacutebiles Esta prueba lanza ataques directos o iterativos basados en informacioacuten sensible recogida a traveacutes de credenciales deacutebiles o vulnerabilidades de acceso no autorizadas Los objetivos del ataque incluyen Redis Elasticsearch ActiveMQ base de datos acceso a la web y otras aplicaciones
bull Escaneo de Struts 2 Esta prueba lanza ataques directos o iterativos basados en vulnerabilidades conocidas de 1 diacutea o N diacuteas detectadas en los objetivos usando el marco de Struts 2
bull Escaneo Weblogic Esta prueba lanza ataques directos o iterativos basados en vulnerabilidades conocidas de 1 o N diacuteas detectadas en objetivos que utilizan el middleware de Weblogic
bull Escaneo web Esta prueba lanza ciberataques contra sitios web aplicaciones web y todas las superficies de ataque relacionadas para obtener el control del sitio web objetivo tanto para sitios web de desarrollo propio como para sitios web basados en sistemas de gestioacuten de contactos
bull Escaneo del host Esta prueba lanza ataques directos o iterativos desde el interior de una red corporativa para validar la respuesta del sistema de seguridad a una amenaza interna Los sistemas objetivo incluyen todos los hosts y servidores internos accesibles a la red
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 12
Implementacioacuten y certificacioacuten de la ISO 27001RidgeBot puede ayudar de muchas maneras con las siguientes etapas especiacuteficas de implementacioacuten desafiacuteos de implementacioacuten y mantenimiento continuo de la certificacioacuten auditoriacutea y revisioacuten de la norma ISO 27001
bull Identificacioacuten de activos La ISO 27001 requiere que se inventariacuteen varias clases de activos incluyendo registros digitales activos de TI aplicaciones de negocios y dispositivos moacuteviles
El descubrimiento automatizado de activos de RidgeBot puede ayudar a inventariar todos los activos mientras se prepara para una [re]certificacioacuten ISO 27001 Ademaacutes puede verificar que no haya nuevos dispositivos no planificados conectados a la infraestructura que introduce vulnerabilidades de manera continua Por ejemplo un atacante podriacutea establecer un punto de acceso inalaacutembrico no autorizado o instalar un dispositivo de IoT que permita el acceso remoto a la red interna
bull Evaluacioacuten de riesgos La norma ISO 27001 requiere que se realicen evaluaciones de riesgos con regularidad La norma establece que su proceso de evaluacioacuten de riesgos debe producir ldquoresultados consistentes vaacutelidos y comparablesrdquo las etapas de la evaluacioacuten de riesgos implican la identificacioacuten el anaacutelisis y la evaluacioacuten de los riesgos Ademaacutes la norma ISO 27001 establece que una vez identificados todos los riesgos cada uno de ellos debe ser evaluado individualmente en cuanto a la probabilidad de explotacioacuten el dantildeo que podriacutea ocurrir Se debe asignar un rango o puntuacioacuten a cada vulnerabilidad seguacuten los criterios de riesgo
La capacidad de prueba de penetracioacuten que tiene RidgeBot identifica analiza y evaluacutea todos los riesgos encontrados Ademaacutes explota los riesgos encontrados y proporciona medidas correctivas Los informes de escaneo proporcionan una clasificacioacuten lista de vulnerabilidades encontradas en base a la probabilidad de cada una de ellas de ser explotada incluidas las que fueron explotadas con eacutexito durante el ensayo Los informes tambieacuten proporcionan una evaluacioacuten con pasos granulares para remediar cada vulnerabilidad Los informes de exploracioacuten de RidgeBot proporcionan un vehiacuteculo para cumplir con el requisito de ldquoresultados consistentes vaacutelidos y comparablesrdquo de la norma ISO 27001
bull Plan de gestioacuten de riesgos La ISO 27001 establece que su Plan de Gestioacuten de Riesgos debe determinar los ldquomeacutetodos de control medicioacuten anaacutelisis y evaluacioacuten [] para asegurar resultados vaacutelidosrdquo La eficacia de aproximadamente la mitad de los controles enumerados en el Anexo A de la ISO 27001 soacutelo puede evaluarse suficientemente mediante pruebas de penetracioacuten
Las capacidades de la prueba de penetracioacuten totalmente automatizada de RidgeBot pueden ser ejecutadas de manera rentable tan frecuentemente como sea necesario en lugar de contratar a una empresa consultora para hacer una prueba de una uacutenica vez La paz y la tranquilidad estaacute asegurada de que sus activos estaacuten continuamente bloqueados Las nuevas vulnerabilidades se detectan inmediatamente despueacutesmdasho a menudo antesmdashde ser introducidas en su entorno de produccioacuten Su entorno empresarial siempre cumple con la norma ISO 27001 no soacutelo cuando se prepara para una auditoriacutea una revisioacuten o una recertificacioacuten
iquestCoacutemo puede RidgeBot ayudar
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 13
bull Documentacioacuten Un aspecto arduo de la implementacioacuten de un SGSI ISO 27001 es el desarrollo de la documentacioacuten de la Norma requerida expliacutecitamente
Los informes de exploracioacuten de RidgeBot (resultados de la misma repeticioacuten de exploracioacuten en un horario fijo) pueden ayudar a recopilar documentacioacuten ldquoconsistente vaacutelida y comparablerdquo de las vulnerabilidades encontradas la clasificacioacuten de la vulnerabilidad las explotaciones exitosas y las medidas de mitigacioacuten y correccioacuten que se tomen
bull Mejora continua a traveacutes de la medicioacuten el control y la revisioacuten Este aspecto de la ISO 27001 requiere que su SGSI sea continuamente analizado y revisado en cuanto a su desempentildeo efectividad cumplimiento e identificacioacuten de mejoras en los procesos
Los informes de exploracioacuten de RidgeBot que se realizan de forma continua o perioacutedica pueden ayudar a proporcionar informes y medidas correctivas recomendadas aportando las pruebas que la Norma requiere para demostrar que los riesgos se encuentran miden revisan y tratan adecuadamente
Un servicio de pruebas de penetracioacuten que compruebe regularmente los controles de la ISO 27001 y cuando sea necesario pruebe los cambios en la infraestructura de TI y de seguridad es una parte fundamental de cualquier proceso de mejora continua
RidgeBot ofrece este servicio a un precio muy econoacutemico Estaacute totalmente automatizado Los escaneos pueden ser programados tan a menudo como sea necesario (cumpliendo con el requisito de ldquoauditoriacutea internardquo ISO 27001) La salida de los escaneos de RidgeBot proporciona informes consistentes y comparables incluyendo mediciones cuantitativas (categoriacuteas y clasificaciones de vulnerabilidad) que demuestran la eficacia de su SGSI
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 14
ISO 27001 Anexo A Controles
El Anexo A de la norma ISO 27001 ofrece un breve resumen de los controles y dominios La norma ISO 27002 proporciona informacioacuten maacutes detallada para ayudar a la aplicacioacuten
A continuacioacuten se resume cada uno de los 14 dominios de la norma ISO 270012013 (y los controles dentro de ellos) Muchos controles se refieren a praacutecticas y procedimientos de gestioacuten humana Varios otros se refieren a los activos y la infraestructura de la tecnologiacutea de la informacioacuten En ellos se anotan las pruebas de penetracioacuten la clasificacioacuten de la vulnerabilidad la explotacioacuten de la vulnerabilidad asistida por IAML de RidgeBot y los pasos de reparacioacuten comunicados para ayudar a implementar y cumplir el control de la norma ISO 27001
Anexo A5 Poliacuteticas de seguridad de la informacioacutenAsegurarse de que las poliacuteticas se redacten y revisen de acuerdo con las praacutecticas de seguridad de la informacioacuten de la organizacioacuten
51 Direccioacuten de la gestioacuten de la seguridad de la informacioacuten Definir un conjunto de poliacuteticas para aclarar la direccioacuten de la gestioacuten y el apoyo a la seguridad de la informacioacuten
Anexo A6 Organizacioacuten de la seguridad de la informacioacutenAsignacioacuten de responsabilidades para tareas especiacuteficas
61 Organizacioacuten interna Establecer las funciones y responsabilidades en materia de seguridad de la informacioacuten y asignarlas a las personas
62 Dispositivos moacuteviles y teletrabajo Establecer poliacuteticas y controles de seguridad para los dispositivos moacuteviles y el teletrabajo Asegurarse de que toda persona que trabaje desde su casa o en movimiento siga las praacutecticas adecuadas
Anexo A7 Seguridad de los recursos humanosAsegurarse de que los empleados y contratistas potenciales actuales y pasados entiendan sus responsabilidades en materia de seguridad de la informacioacuten
71 Antes del empleo Las responsabilidades en materia de seguridad de la informacioacuten deben tenerse en cuenta al contratar a empleados permanentes contratistas y personal temporal e incluirse en los contratos
72 Durante el empleo Asegurarse de que los empleados y contratistas conozcan las obligaciones en materia de seguridad de la informacioacuten y esteacuten motivados para cumplirlas incluido un proceso disciplinario
73 Terminacioacuten y cambio de empleo Deben gestionarse los aspectos de seguridad de la salida o el cambio de funcioacuten de una persona como la devolucioacuten de la informacioacuten y el equipo de la empresa y actualizando los derechos de acceso
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 15
Anexo A8 Gestioacuten de activosIdentificar los activos de informacioacuten y definir las responsabilidades de proteccioacuten adecuadas
81 Responsabilidad por los activos Hacer un inventario de todos los activos de informacioacuten e identificar a los propietarios responsables de su seguridad
82 Clasificacioacuten de la informacioacuten Clasificar y etiquetar la informacioacuten de acuerdo con la proteccioacuten de seguridad necesaria y manejarla adecuadamente
83 Manejo de los medios de comunicacioacuten Los medios de almacenamiento de informacioacuten deben ser administrados controlados trasladados y eliminados sin comprometer el contenido de la informacioacuten
USO DE RIDGEBOT QUE SE DEBE CUMPLIRbull Ejecute una exploracioacuten de descubrimiento de activos para identificar y documentar todos los
activos y superficies de ataque Al ejecutar este escaneo se descubre y documenta cualquier cambio en la presencia de los activos que deben ser incluidos en el inventario
Anexo A9 Control de accesoAsegurarse de que los empleados soacutelo puedan ver la informacioacuten relevante para su trabajo
91 Requisitos empresariales de control de acceso Controlar el acceso a los activos de informacioacuten documentados en la poliacutetica y los procedimientos de control Restringir el acceso y las conexiones a la red
92 Gestioacuten del acceso de los usuarios Controlar los derechos de acceso de los usuarios desde el registro inicial del usuario hasta la eliminacioacuten de los derechos cuando ya no sean necesarios Revisar y actualizar perioacutedicamente los derechos de acceso
93 Responsabilidades de los usuarios Los usuarios deben ser conscientes de sus responsabilidades en lo que respecta al mantenimiento de controles de acceso eficaces como contrasentildeas soacutelidas y confidencialidad
94 Control de acceso al sistema y a las aplicaciones Restringir el acceso a la informacioacuten de acuerdo con la poliacutetica de control de acceso como la gestioacuten segura de los nombres de usuario y las contrasentildeas
USO DE RIDGEBOT QUE SE DEBE CUMPLIRbull Ejecutar un escaneo de contrasentildeas deacutebiles contra todos los activos para documentar y
resolver las vulnerabilidades de las credenciales de acceso
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 16
Anexo A10 CriptografiacuteaCifrado de datos y manejo de informacioacuten sensible
101 Controles criptograacuteficos Establecer y mantener una poliacutetica sobre el uso del cifrado la autenticacioacuten criptograacutefica y los controles de integridad como las firmas digitales los coacutedigos de autenticacioacuten de los mensajes y la gestioacuten de las claves criptograacuteficas
USO DE RIDGEBOT QUE SE DEBE CUMPLIR bull Asegurarse de que una exploracioacuten dirigida especiacuteficamente a las vulnerabilidades
relacionadas con el cifrado forma parte de la poliacutetica de controles criptograacuteficos
Anexo A11 Seguridad fiacutesica y ambientalEvitar el acceso fiacutesico no autorizado el dantildeo o la interferencia en las instalaciones el equipo o la informacioacuten sensible de la organizacioacuten
111 Aacutereas seguras Definir periacutemetros fiacutesicos y barreras con controles de entrada fiacutesica proteger los locales oficinas salas aacutereas de entregacarga etc contra el acceso no autorizado
112 Equipo Asegurar y mantener el equipo informaacutetico y de informacioacuten asiacute como los servicios de apoyo (como la electricidad y el aire acondicionado) y el cableado
USO DE RIDGEBOT QUE SE DEBE CUMPLIR bull Ejecute un escaneo de acceso para asegurarse de que todos los sistemas o dispositivos
utilizados para controlar registrar o vigilar la entrada fiacutesica a los locales esteacuten seguros contra credenciales deacutebiles u otras vulnerabilidades de softwaremalware Los hackers pueden permitir el acceso fiacutesico (en lugar de denegarlo) o borrar o alterar los registros la videovigilancia o la informacioacuten de la pista de auditoriacutea
bull Las pruebas de penetracioacuten pueden revelar los puntos deacutebiles de los procesos de seguridad fiacutesica que podriacutean conceder a un atacante el acceso a sistemas o aacutereas seguras
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 17
Anexo A12 Seguridad de las operacionesAsegurarse de que las instalaciones de procesamiento de informacioacuten sean seguras
121 Procedimientos y responsabilidades operacionales Documentar las responsabilidades y procedimientos operativos de la TI controlar los cambios en las instalaciones y sistemas de TI gestionar la capacidad y el rendimiento separar el desarrollo las pruebas y los sistemas operativos
122 Proteccioacuten contra el malware Se requieren controles de malware incluyendo la concienciacioacuten de los usuarios
123 Copias de seguridad Realizar y conservar copias de seguridad adecuadas de conformidad con la poliacutetica de copias de seguridad
124 Registro y supervisioacuten Proteger y registrar las actividades de los usuarios y los administradoresoperadores del sistema las excepciones los fallos y los eventos de seguridad de la informacioacuten Sincronizar los relojes
125 Control del software operativo Controlar la instalacioacuten de programas informaacuteticos en los sistemas operacionales
126 Gestioacuten de la vulnerabilidad teacutecnica Parchear las vulnerabilidades y garantizar que se establezcan normas que rijan la instalacioacuten del software de usuario
127 Consideraciones sobre la auditoriacutea de los sistemas de informacioacuten Planificar y controlar las auditoriacuteas de los sistemas de informacioacuten para reducir al miacutenimo los efectos adversos en los sistemas de produccioacuten o el acceso inapropiado a los datos
USO DE RIDGEBOT QUE SE DEBE CUMPLIRbull Ejecute un anaacutelisis de la prueba de penetracioacuten para asegurarse de que todos los activos
estaacuten seguros contra credenciales deacutebiles u otras vulnerabilidades de softwaremalware donde los hackers pueden obtener acceso no autorizado
bull Ejecute un escaneo para asegurarse de que todos los sistemas o dispositivos utilizados para registrar eventos y actividades estaacuten seguros de credenciales deacutebiles u otras vulnerabilidades de softwaremalware Aacutereas en las que los hackers pueden obtener acceso para borrar o alterar los registros la vigilancia por viacutedeo o la informacioacuten de seguimiento de auditoriacutea
bull Ejecute escaneos completos con la explotacioacuten activada para las vulnerabilidades encontradas como parte regular de su poliacuteticaproceso para endurecer los parches de software actualizaciones de software nuevos dispositivos y cualquier cambio de configuracioacuten antes de empujarlos en vivo al entorno de produccioacuten
bull Los informes de exploracioacuten (que contienen las vulnerabilidades detectadas enumeradas los exploits exitosos y las medidas correctivas) abordan el requisito de la Norma de detectar las vulnerabilidades teacutecnicas emergentes de manera estructurada y sistemaacutetica
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 18
Anexo A13 Seguridad de las comunicacionesProteger la informacioacuten en las redes
131 Gestioacuten de la seguridad de las redes Garantizar la seguridad de las redes y los servicios de red por ejemplo mediante la segregacioacuten
132 Transferencia de informacioacuten Garantizar que se apliquen poliacuteticas procedimientos y acuerdos (como los acuerdos de no divulgacioacuten) relativos a la transferencia de informacioacuten ade terceros incluida la mensajeriacutea electroacutenica
USO DE RIDGEBOT QUE SE DEBE CUMPLIR bull Realice una prueba de penetracioacuten para asegurarse de que todos los activos que participan
en la transferencia de informacioacuten y los sistemas de mensajeriacutea electroacutenica estaacuten a salvo de credenciales deacutebiles u otras vulnerabilidades de softwaremalware en las que los piratas informaacuteticos pueden obtener acceso no autorizado
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 19
Anexo A14 Adquisicioacuten desarrollo y mantenimiento de sistemasGarantizar la seguridad de la informacioacuten sigue siendo una parte central de los procesos a lo largo de todo el ciclo de vida de los sistemas internos asiacute como de los servicios prestados a traveacutes de redes puacuteblicas
141 Requisitos de seguridad de los sistemas de informacioacuten Los requisitos de control de seguridad deben ser analizados y especificados incluyendo las aplicaciones web y las transacciones
142 Seguridad en los procesos de desarrollo y apoyo Definir como poliacutetica las normas que rigen el desarrollo de softwaresistemas seguros Se pueden controlar los cambios en ambas aplicaciones y sistemas operativos Asegurar el entorno de desarrollo asiacute como la seguridad de los sistemas de pruebas de desarrollo subcontratados en funcioacuten de criterios de aceptacioacuten definidos por la seguridad
143 Datos de prueba Los datos de las pruebas deben seleccionarse generarse y controlarse cuidadosamente
USO DE RIDGEBOT QUE SE DEBE CUMPLIR bull Realice una prueba de penetracioacuten contra los sistemas internos asiacute como contra cualquier
proveedor o nube de activos y servicios
bull Ejecutar un escaneo completo con la explotacioacuten activada para las vulnerabilidades encontradas como parte regular del desarrollo de software validacioacuten de software y procesos y procedimientos de control de cambios
bull Ejecute un escaneo de acceso para asegurar que existen controles de acceso apropiados para separar sus entornos de desarrolloprueba de software de los entornos de produccioacuten
bull Ejecute escaneos completos con la explotacioacuten activada para las vulnerabilidades encontradas como una parte regular de su poliacutetica y proceso para endurecer el nuevo software durante el proceso de desarrollo de software
bull Ejecute escaneos continuos con la explotacioacuten activada para las vulnerabilidades encontradas Escanee continuamente partes de su software o del proceso de desarrollo de su sitio web asiacute como el proceso de pruebas para reforzar los parches de software las actualizaciones de software los nuevos dispositivos y cualquier cambio de configuracioacuten antes de introducirlos en su entorno de produccioacuten
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 20
Anexo A15 Relaciones con los proveedoresAcuerdos contractuales entre organizaciones y terceros
151 Seguridad de la informacioacuten en las relaciones con los proveedores Definir poliacuteticas procedimientos concienciacioacuten etc para proteger la informacioacuten accesible a los subcontratistas y proveedores externos a lo largo de la cadena de suministro acordada en los contratos o acuerdos
152 Gestioacuten de la prestacioacuten de servicios de los proveedores Supervisar la prestacioacuten de servicios por parte de los proveedores externos y revisarauditar los contratosacuerdos Controlar los cambios en el servicio
Anexo A16 Gestioacuten de incidentes de seguridad de la informacioacutenGestionar e informar de los incidentes de seguridad
161 Gestioacuten de los incidentes y mejoras de la seguridad de la informacioacuten Definir las responsabilidades y los procedimientos para gestionar (informar evaluar responder y aprender de) los eventos incidentes y debilidades de la seguridad de la informacioacuten de forma coherente y eficaz y recopilar pruebas forenses
USO DE RIDGEBOT QUE SE DEBE CUMPLIRbull Los informes del escaacutener de la prueba de penetracioacutenmdashque incluyen soluciones
recomendadas para cada vulnerabilidadmdashproporcionan informacioacuten criacutetica para su equipo de respuestaescalada de incidentes de seguridad o forense para asegurar el manejo oportuno y efectivo de todas las situaciones
bull Un escaneo forense (despueacutes de que haya ocurrido un incidente de seguridad) tambieacuten puede ayudar a determinar doacutende y coacutemo se perpetra una brecha
Anexo A17 Aspectos de la seguridad de la informacioacuten en la gestioacuten de la continuidad de las operacionesCrear un sistema eficaz para gestionar las interrupciones de los negocios
171 Continuidad de la seguridad de la informacioacuten Planificar implementar y revisar la continuidad de la seguridad de la informacioacuten como parte integral del sistema de gestioacuten de la continuidad del negocio
172 Redundancias Asegurar que las instalaciones de TI tengan suficiente redundancia para satisfacer los requisitos de disponibilidad
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 21
Anexo A18 CumplimientoIdentificar las leyes y reglamentos pertinentes Comprender los requisitos legales y contractuales para mitigar el riesgo de incumplimiento y las sanciones
181 Cumplimiento de los requisitos legales y contractuales Identificar y documentar las obligaciones para con las autoridades externas y otros terceros en relacioacuten con la seguridad de la informacioacuten incluida la propiedad intelectual los registros [comerciales] la informacioacuten de privacidadidentificacioacuten personal y la criptografiacutea
182 Exaacutemenes de la seguridad de la informacioacuten Revisar independientemente las disposiciones de seguridad de la informacioacuten (auditoriacutea) e informar a la administracioacuten Los directivos deben examinar el cumplimiento de las poliacuteticas y procedimientos de seguridad por parte de los empleados y los sistemas e iniciar medidas correctivas
USO DE RIDGEBOT QUE SE DEBE CUMPLIRbull Realice escaneos completos con la explotacioacuten activada para las vulnerabilidades
encontradas como parte regular de su poliacutetica y proceso para revisar que sus controles de seguridad son efectivos contra las uacuteltimas amenazas
bull El motor de explotacioacuten AIML incorporado de RidgeBot utiliza la base de conocimientos de teacutecnicas de ataque de RidgeSecurity liacuteder en la industria y asegura que sus activos esteacuten siempre reforzados con la inteligencia de vulnerabilidades maacutes actualizada
bull Los informes de exploracioacutenmdashque contienen las vulnerabilidades detectadas los exploits exitosos y los pasos correctivosmdashproporcionan documentacioacuten para una revisioacuten independiente o de gestioacuten de sus controles de seguridad y su eficacia Tambieacuten esbozan los pasos para la accioacuten correctiva
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 22
Perfil de la compantildeiacuteaRidge Security ofrece soluciones eacuteticas eficientes y accesibles para la prueba de penetracioacuten a empresas pequentildeas y grandes Nos aseguramos de que nuestros clientes se mantengan conformes alerta y seguros en todo momento en el mundo ciberneacutetico El equipo de administracioacuten tiene muchos antildeos de experiencia en redes y seguridad Ridge Security estaacute ubicada en el corazoacuten de Silicon Valley y se estaacute expandiendo a otras regiones como Ameacuterica Latina Asia y Europa
RidgeBot un sistema de pruebas de penetracioacuten roboacutetica automatizado por completo el proceso se prueba acoplando teacutecnicas de hacking eacutetico a los algoritmos de toma de decisiones Los RidgeBots localizan explotan y documentan los riesgos y vulnerabilidades empresariales descubiertos durante el proceso de prueba destacando el impacto o dantildeo potencial
Ridge Security Technology Incwwwridgesecurityai
copy 2020 Todos los derechos reservados Ridge Security Technology Inc RidgeBot es una marca registrada de Ridge Security Technology Inc
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 8
En un sentido general RidgeBot ayuda a encontrar los problemas de incumplimiento en sus activos y guiacutea coacutemo y resuelve inmediatamente cualquier exposicioacuten Ademaacutes RidgeBot mantiene continuamente una postura de seguridad que siempre cumple con la ISO 27001 y otras normas y regulaciones
Algunos de los beneficios clave de RidgeBot para la postura de seguridad de su organizacioacuten incluyen
Mejorar y simplificar las actividades y procesos de seguridad
bull Descubrir inventariar y documentar los componentes del sistema los activos y las superficies de ataque Debido a que RidgeBot estaacute completamente automatizado puede hacerlo continuamente o en intervalos mucho maacutes frecuentes que los procesos manuales perioacutedicos anteriores
bull Los informes ayudan a documentar las vulnerabilidades encontradas explotadas remediadas y validadas
bull Los informes proporcionan una clara clasificacioacuten de los riesgos para centrar la actividad de remediacioacuten manual en las vulnerabilidades de mayor riesgo
bull La flexibilidad de RidgeBot le permite ejecutar pruebas de ataque desde dentro y fuera de su entorno
bull La base de conocimientos de la Plataforma de Inteligencia de Amenazas de RidgeSecurity asegura que usted esteacute siempre al diacutea con la informacioacuten de las vulnerabilidades de seguridad liacutederes en la industria
bull Ejecute los ataques y escaneos de RidgeBot como parte estaacutendar de su poliacutetica de seguridad en curso
Risk Weightedderada de riesgoExplotadas verificades Riesgo de explotacioacuten no verificades
Alto
366Medio
79Baja
517
Explotadas
14Vulnerabilidades
VISIOacuteN GENERAL
iquestCoacutemo puede RidgeBot ayudar
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 9
Validacioacuten de seguridad continua
bull RidgeBot provee sin costo alguno endurecimiento continuo e inventario de activos Puede ejecutar diferentes escaneos de forma perioacutedica o continua ya que estaacute totalmente automatizado no se requiere ninguna intervencioacuten manual hasta que se informa de una vulnerabilidad
bull El monitoreo continuo y el descubrimiento de activos protegen contra la intrusioacuten de hackers causada por un empleado (o cualquier otra persona) que conecta accidental o maliciosamente dispositivos no confiables o no planeados de IO inalaacutembricos u otros dispositivos no autorizados al ambiente
bull Los informes de exploracioacuten proporcionan una lista de vulnerabilidades explotables que deben ser corregidas para documentarlas y resolverlas La salida de informes garantiza que todos los parches y actualizaciones de software necesarios para resolver las vulnerabilidades peligrosas se instalen en todos los activos afectados
Desarrollo de software y pruebas de lanzamiento de DevOpsSecOps
bull Utilice el RidgeBot durante el desarrollo del software para asegurarse de que las praacutecticas de codificacioacuten peligrosas que introducen vulnerabilidades nunca se incorporen a las nuevas versiones del software
bull Usar RidgeBot para endurecer los parches de software actualizaciones de software nuevos dispositivos y cualquier cambio de configuracioacuten antes de introducirlos en el entorno de produccioacuten
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 10
Validacioacuten de la posicioacuten de seguridad
bull Atacar continuamente de forma iterativa el entorno de produccioacuten para mantener la postura de seguridad Descubra las malas configuraciones de los aparatos o servicios de seguridad inalaacutembricos o defensivos como las reglas de los cortafuegos o los aparatos UTM
bull Supervisar continuamente y endurecer las credenciales de acceso a los activos sensibles
Auditoriacutea de conformidad
bull El continuo escaneo de descubrimiento de activos y los intentos de ataque y explotacioacuten (y los informes emitidos) significan que su entorno siempre estaacute listo para la auditoriacutea
bull Los informes de RidgeBot presentan pruebas de vulnerabilidades probadas remediadas y resueltas
Respuesta a incidentes de seguridad
bull Escanee los informes que contienen las soluciones recomendadas para cada vulnerabilidad encontrada y proporcione informacioacuten criacutetica a su equipo de respuestaescalada de incidentes de seguridad
bull La clasificacioacuten de riesgos de las vulnerabilidades alimenta las prioridades y procedimientos de respuesta a los incidentes
bull Los ataques de explotacioacuten AIML de RidgeBot proporcionan capacidades forenses para investigar el origen y el camino tomado por una brecha y una guiacutea paso a paso sobre coacutemo resolver la vulnerabilidad del punto de entrada
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 11
RidgeBot incluye varias plantillas de escaneado y la flexibilidad de personalizar completamente sus escaneos Las plantillas del sistema incluyen
bull Escaneo completo Esta prueba lanza numerosas teacutecnicas de ataques utilizadas por los hackers del mundo real Basaacutendose en la inteligencia de amenazas y en una base de conocimientos de explotacioacuten RidgeBot perfila los activos extrae las vulnerabilidades y lanza ataques contra los activos objetivo que pueden ser internos o externos a su entorno en un entorno privado o puacuteblico
bull Escaneo de contrasentildeas deacutebiles Esta prueba lanza ataques directos o iterativos basados en informacioacuten sensible recogida a traveacutes de credenciales deacutebiles o vulnerabilidades de acceso no autorizadas Los objetivos del ataque incluyen Redis Elasticsearch ActiveMQ base de datos acceso a la web y otras aplicaciones
bull Escaneo de Struts 2 Esta prueba lanza ataques directos o iterativos basados en vulnerabilidades conocidas de 1 diacutea o N diacuteas detectadas en los objetivos usando el marco de Struts 2
bull Escaneo Weblogic Esta prueba lanza ataques directos o iterativos basados en vulnerabilidades conocidas de 1 o N diacuteas detectadas en objetivos que utilizan el middleware de Weblogic
bull Escaneo web Esta prueba lanza ciberataques contra sitios web aplicaciones web y todas las superficies de ataque relacionadas para obtener el control del sitio web objetivo tanto para sitios web de desarrollo propio como para sitios web basados en sistemas de gestioacuten de contactos
bull Escaneo del host Esta prueba lanza ataques directos o iterativos desde el interior de una red corporativa para validar la respuesta del sistema de seguridad a una amenaza interna Los sistemas objetivo incluyen todos los hosts y servidores internos accesibles a la red
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 12
Implementacioacuten y certificacioacuten de la ISO 27001RidgeBot puede ayudar de muchas maneras con las siguientes etapas especiacuteficas de implementacioacuten desafiacuteos de implementacioacuten y mantenimiento continuo de la certificacioacuten auditoriacutea y revisioacuten de la norma ISO 27001
bull Identificacioacuten de activos La ISO 27001 requiere que se inventariacuteen varias clases de activos incluyendo registros digitales activos de TI aplicaciones de negocios y dispositivos moacuteviles
El descubrimiento automatizado de activos de RidgeBot puede ayudar a inventariar todos los activos mientras se prepara para una [re]certificacioacuten ISO 27001 Ademaacutes puede verificar que no haya nuevos dispositivos no planificados conectados a la infraestructura que introduce vulnerabilidades de manera continua Por ejemplo un atacante podriacutea establecer un punto de acceso inalaacutembrico no autorizado o instalar un dispositivo de IoT que permita el acceso remoto a la red interna
bull Evaluacioacuten de riesgos La norma ISO 27001 requiere que se realicen evaluaciones de riesgos con regularidad La norma establece que su proceso de evaluacioacuten de riesgos debe producir ldquoresultados consistentes vaacutelidos y comparablesrdquo las etapas de la evaluacioacuten de riesgos implican la identificacioacuten el anaacutelisis y la evaluacioacuten de los riesgos Ademaacutes la norma ISO 27001 establece que una vez identificados todos los riesgos cada uno de ellos debe ser evaluado individualmente en cuanto a la probabilidad de explotacioacuten el dantildeo que podriacutea ocurrir Se debe asignar un rango o puntuacioacuten a cada vulnerabilidad seguacuten los criterios de riesgo
La capacidad de prueba de penetracioacuten que tiene RidgeBot identifica analiza y evaluacutea todos los riesgos encontrados Ademaacutes explota los riesgos encontrados y proporciona medidas correctivas Los informes de escaneo proporcionan una clasificacioacuten lista de vulnerabilidades encontradas en base a la probabilidad de cada una de ellas de ser explotada incluidas las que fueron explotadas con eacutexito durante el ensayo Los informes tambieacuten proporcionan una evaluacioacuten con pasos granulares para remediar cada vulnerabilidad Los informes de exploracioacuten de RidgeBot proporcionan un vehiacuteculo para cumplir con el requisito de ldquoresultados consistentes vaacutelidos y comparablesrdquo de la norma ISO 27001
bull Plan de gestioacuten de riesgos La ISO 27001 establece que su Plan de Gestioacuten de Riesgos debe determinar los ldquomeacutetodos de control medicioacuten anaacutelisis y evaluacioacuten [] para asegurar resultados vaacutelidosrdquo La eficacia de aproximadamente la mitad de los controles enumerados en el Anexo A de la ISO 27001 soacutelo puede evaluarse suficientemente mediante pruebas de penetracioacuten
Las capacidades de la prueba de penetracioacuten totalmente automatizada de RidgeBot pueden ser ejecutadas de manera rentable tan frecuentemente como sea necesario en lugar de contratar a una empresa consultora para hacer una prueba de una uacutenica vez La paz y la tranquilidad estaacute asegurada de que sus activos estaacuten continuamente bloqueados Las nuevas vulnerabilidades se detectan inmediatamente despueacutesmdasho a menudo antesmdashde ser introducidas en su entorno de produccioacuten Su entorno empresarial siempre cumple con la norma ISO 27001 no soacutelo cuando se prepara para una auditoriacutea una revisioacuten o una recertificacioacuten
iquestCoacutemo puede RidgeBot ayudar
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 13
bull Documentacioacuten Un aspecto arduo de la implementacioacuten de un SGSI ISO 27001 es el desarrollo de la documentacioacuten de la Norma requerida expliacutecitamente
Los informes de exploracioacuten de RidgeBot (resultados de la misma repeticioacuten de exploracioacuten en un horario fijo) pueden ayudar a recopilar documentacioacuten ldquoconsistente vaacutelida y comparablerdquo de las vulnerabilidades encontradas la clasificacioacuten de la vulnerabilidad las explotaciones exitosas y las medidas de mitigacioacuten y correccioacuten que se tomen
bull Mejora continua a traveacutes de la medicioacuten el control y la revisioacuten Este aspecto de la ISO 27001 requiere que su SGSI sea continuamente analizado y revisado en cuanto a su desempentildeo efectividad cumplimiento e identificacioacuten de mejoras en los procesos
Los informes de exploracioacuten de RidgeBot que se realizan de forma continua o perioacutedica pueden ayudar a proporcionar informes y medidas correctivas recomendadas aportando las pruebas que la Norma requiere para demostrar que los riesgos se encuentran miden revisan y tratan adecuadamente
Un servicio de pruebas de penetracioacuten que compruebe regularmente los controles de la ISO 27001 y cuando sea necesario pruebe los cambios en la infraestructura de TI y de seguridad es una parte fundamental de cualquier proceso de mejora continua
RidgeBot ofrece este servicio a un precio muy econoacutemico Estaacute totalmente automatizado Los escaneos pueden ser programados tan a menudo como sea necesario (cumpliendo con el requisito de ldquoauditoriacutea internardquo ISO 27001) La salida de los escaneos de RidgeBot proporciona informes consistentes y comparables incluyendo mediciones cuantitativas (categoriacuteas y clasificaciones de vulnerabilidad) que demuestran la eficacia de su SGSI
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 14
ISO 27001 Anexo A Controles
El Anexo A de la norma ISO 27001 ofrece un breve resumen de los controles y dominios La norma ISO 27002 proporciona informacioacuten maacutes detallada para ayudar a la aplicacioacuten
A continuacioacuten se resume cada uno de los 14 dominios de la norma ISO 270012013 (y los controles dentro de ellos) Muchos controles se refieren a praacutecticas y procedimientos de gestioacuten humana Varios otros se refieren a los activos y la infraestructura de la tecnologiacutea de la informacioacuten En ellos se anotan las pruebas de penetracioacuten la clasificacioacuten de la vulnerabilidad la explotacioacuten de la vulnerabilidad asistida por IAML de RidgeBot y los pasos de reparacioacuten comunicados para ayudar a implementar y cumplir el control de la norma ISO 27001
Anexo A5 Poliacuteticas de seguridad de la informacioacutenAsegurarse de que las poliacuteticas se redacten y revisen de acuerdo con las praacutecticas de seguridad de la informacioacuten de la organizacioacuten
51 Direccioacuten de la gestioacuten de la seguridad de la informacioacuten Definir un conjunto de poliacuteticas para aclarar la direccioacuten de la gestioacuten y el apoyo a la seguridad de la informacioacuten
Anexo A6 Organizacioacuten de la seguridad de la informacioacutenAsignacioacuten de responsabilidades para tareas especiacuteficas
61 Organizacioacuten interna Establecer las funciones y responsabilidades en materia de seguridad de la informacioacuten y asignarlas a las personas
62 Dispositivos moacuteviles y teletrabajo Establecer poliacuteticas y controles de seguridad para los dispositivos moacuteviles y el teletrabajo Asegurarse de que toda persona que trabaje desde su casa o en movimiento siga las praacutecticas adecuadas
Anexo A7 Seguridad de los recursos humanosAsegurarse de que los empleados y contratistas potenciales actuales y pasados entiendan sus responsabilidades en materia de seguridad de la informacioacuten
71 Antes del empleo Las responsabilidades en materia de seguridad de la informacioacuten deben tenerse en cuenta al contratar a empleados permanentes contratistas y personal temporal e incluirse en los contratos
72 Durante el empleo Asegurarse de que los empleados y contratistas conozcan las obligaciones en materia de seguridad de la informacioacuten y esteacuten motivados para cumplirlas incluido un proceso disciplinario
73 Terminacioacuten y cambio de empleo Deben gestionarse los aspectos de seguridad de la salida o el cambio de funcioacuten de una persona como la devolucioacuten de la informacioacuten y el equipo de la empresa y actualizando los derechos de acceso
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 15
Anexo A8 Gestioacuten de activosIdentificar los activos de informacioacuten y definir las responsabilidades de proteccioacuten adecuadas
81 Responsabilidad por los activos Hacer un inventario de todos los activos de informacioacuten e identificar a los propietarios responsables de su seguridad
82 Clasificacioacuten de la informacioacuten Clasificar y etiquetar la informacioacuten de acuerdo con la proteccioacuten de seguridad necesaria y manejarla adecuadamente
83 Manejo de los medios de comunicacioacuten Los medios de almacenamiento de informacioacuten deben ser administrados controlados trasladados y eliminados sin comprometer el contenido de la informacioacuten
USO DE RIDGEBOT QUE SE DEBE CUMPLIRbull Ejecute una exploracioacuten de descubrimiento de activos para identificar y documentar todos los
activos y superficies de ataque Al ejecutar este escaneo se descubre y documenta cualquier cambio en la presencia de los activos que deben ser incluidos en el inventario
Anexo A9 Control de accesoAsegurarse de que los empleados soacutelo puedan ver la informacioacuten relevante para su trabajo
91 Requisitos empresariales de control de acceso Controlar el acceso a los activos de informacioacuten documentados en la poliacutetica y los procedimientos de control Restringir el acceso y las conexiones a la red
92 Gestioacuten del acceso de los usuarios Controlar los derechos de acceso de los usuarios desde el registro inicial del usuario hasta la eliminacioacuten de los derechos cuando ya no sean necesarios Revisar y actualizar perioacutedicamente los derechos de acceso
93 Responsabilidades de los usuarios Los usuarios deben ser conscientes de sus responsabilidades en lo que respecta al mantenimiento de controles de acceso eficaces como contrasentildeas soacutelidas y confidencialidad
94 Control de acceso al sistema y a las aplicaciones Restringir el acceso a la informacioacuten de acuerdo con la poliacutetica de control de acceso como la gestioacuten segura de los nombres de usuario y las contrasentildeas
USO DE RIDGEBOT QUE SE DEBE CUMPLIRbull Ejecutar un escaneo de contrasentildeas deacutebiles contra todos los activos para documentar y
resolver las vulnerabilidades de las credenciales de acceso
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 16
Anexo A10 CriptografiacuteaCifrado de datos y manejo de informacioacuten sensible
101 Controles criptograacuteficos Establecer y mantener una poliacutetica sobre el uso del cifrado la autenticacioacuten criptograacutefica y los controles de integridad como las firmas digitales los coacutedigos de autenticacioacuten de los mensajes y la gestioacuten de las claves criptograacuteficas
USO DE RIDGEBOT QUE SE DEBE CUMPLIR bull Asegurarse de que una exploracioacuten dirigida especiacuteficamente a las vulnerabilidades
relacionadas con el cifrado forma parte de la poliacutetica de controles criptograacuteficos
Anexo A11 Seguridad fiacutesica y ambientalEvitar el acceso fiacutesico no autorizado el dantildeo o la interferencia en las instalaciones el equipo o la informacioacuten sensible de la organizacioacuten
111 Aacutereas seguras Definir periacutemetros fiacutesicos y barreras con controles de entrada fiacutesica proteger los locales oficinas salas aacutereas de entregacarga etc contra el acceso no autorizado
112 Equipo Asegurar y mantener el equipo informaacutetico y de informacioacuten asiacute como los servicios de apoyo (como la electricidad y el aire acondicionado) y el cableado
USO DE RIDGEBOT QUE SE DEBE CUMPLIR bull Ejecute un escaneo de acceso para asegurarse de que todos los sistemas o dispositivos
utilizados para controlar registrar o vigilar la entrada fiacutesica a los locales esteacuten seguros contra credenciales deacutebiles u otras vulnerabilidades de softwaremalware Los hackers pueden permitir el acceso fiacutesico (en lugar de denegarlo) o borrar o alterar los registros la videovigilancia o la informacioacuten de la pista de auditoriacutea
bull Las pruebas de penetracioacuten pueden revelar los puntos deacutebiles de los procesos de seguridad fiacutesica que podriacutean conceder a un atacante el acceso a sistemas o aacutereas seguras
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 17
Anexo A12 Seguridad de las operacionesAsegurarse de que las instalaciones de procesamiento de informacioacuten sean seguras
121 Procedimientos y responsabilidades operacionales Documentar las responsabilidades y procedimientos operativos de la TI controlar los cambios en las instalaciones y sistemas de TI gestionar la capacidad y el rendimiento separar el desarrollo las pruebas y los sistemas operativos
122 Proteccioacuten contra el malware Se requieren controles de malware incluyendo la concienciacioacuten de los usuarios
123 Copias de seguridad Realizar y conservar copias de seguridad adecuadas de conformidad con la poliacutetica de copias de seguridad
124 Registro y supervisioacuten Proteger y registrar las actividades de los usuarios y los administradoresoperadores del sistema las excepciones los fallos y los eventos de seguridad de la informacioacuten Sincronizar los relojes
125 Control del software operativo Controlar la instalacioacuten de programas informaacuteticos en los sistemas operacionales
126 Gestioacuten de la vulnerabilidad teacutecnica Parchear las vulnerabilidades y garantizar que se establezcan normas que rijan la instalacioacuten del software de usuario
127 Consideraciones sobre la auditoriacutea de los sistemas de informacioacuten Planificar y controlar las auditoriacuteas de los sistemas de informacioacuten para reducir al miacutenimo los efectos adversos en los sistemas de produccioacuten o el acceso inapropiado a los datos
USO DE RIDGEBOT QUE SE DEBE CUMPLIRbull Ejecute un anaacutelisis de la prueba de penetracioacuten para asegurarse de que todos los activos
estaacuten seguros contra credenciales deacutebiles u otras vulnerabilidades de softwaremalware donde los hackers pueden obtener acceso no autorizado
bull Ejecute un escaneo para asegurarse de que todos los sistemas o dispositivos utilizados para registrar eventos y actividades estaacuten seguros de credenciales deacutebiles u otras vulnerabilidades de softwaremalware Aacutereas en las que los hackers pueden obtener acceso para borrar o alterar los registros la vigilancia por viacutedeo o la informacioacuten de seguimiento de auditoriacutea
bull Ejecute escaneos completos con la explotacioacuten activada para las vulnerabilidades encontradas como parte regular de su poliacuteticaproceso para endurecer los parches de software actualizaciones de software nuevos dispositivos y cualquier cambio de configuracioacuten antes de empujarlos en vivo al entorno de produccioacuten
bull Los informes de exploracioacuten (que contienen las vulnerabilidades detectadas enumeradas los exploits exitosos y las medidas correctivas) abordan el requisito de la Norma de detectar las vulnerabilidades teacutecnicas emergentes de manera estructurada y sistemaacutetica
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 18
Anexo A13 Seguridad de las comunicacionesProteger la informacioacuten en las redes
131 Gestioacuten de la seguridad de las redes Garantizar la seguridad de las redes y los servicios de red por ejemplo mediante la segregacioacuten
132 Transferencia de informacioacuten Garantizar que se apliquen poliacuteticas procedimientos y acuerdos (como los acuerdos de no divulgacioacuten) relativos a la transferencia de informacioacuten ade terceros incluida la mensajeriacutea electroacutenica
USO DE RIDGEBOT QUE SE DEBE CUMPLIR bull Realice una prueba de penetracioacuten para asegurarse de que todos los activos que participan
en la transferencia de informacioacuten y los sistemas de mensajeriacutea electroacutenica estaacuten a salvo de credenciales deacutebiles u otras vulnerabilidades de softwaremalware en las que los piratas informaacuteticos pueden obtener acceso no autorizado
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 19
Anexo A14 Adquisicioacuten desarrollo y mantenimiento de sistemasGarantizar la seguridad de la informacioacuten sigue siendo una parte central de los procesos a lo largo de todo el ciclo de vida de los sistemas internos asiacute como de los servicios prestados a traveacutes de redes puacuteblicas
141 Requisitos de seguridad de los sistemas de informacioacuten Los requisitos de control de seguridad deben ser analizados y especificados incluyendo las aplicaciones web y las transacciones
142 Seguridad en los procesos de desarrollo y apoyo Definir como poliacutetica las normas que rigen el desarrollo de softwaresistemas seguros Se pueden controlar los cambios en ambas aplicaciones y sistemas operativos Asegurar el entorno de desarrollo asiacute como la seguridad de los sistemas de pruebas de desarrollo subcontratados en funcioacuten de criterios de aceptacioacuten definidos por la seguridad
143 Datos de prueba Los datos de las pruebas deben seleccionarse generarse y controlarse cuidadosamente
USO DE RIDGEBOT QUE SE DEBE CUMPLIR bull Realice una prueba de penetracioacuten contra los sistemas internos asiacute como contra cualquier
proveedor o nube de activos y servicios
bull Ejecutar un escaneo completo con la explotacioacuten activada para las vulnerabilidades encontradas como parte regular del desarrollo de software validacioacuten de software y procesos y procedimientos de control de cambios
bull Ejecute un escaneo de acceso para asegurar que existen controles de acceso apropiados para separar sus entornos de desarrolloprueba de software de los entornos de produccioacuten
bull Ejecute escaneos completos con la explotacioacuten activada para las vulnerabilidades encontradas como una parte regular de su poliacutetica y proceso para endurecer el nuevo software durante el proceso de desarrollo de software
bull Ejecute escaneos continuos con la explotacioacuten activada para las vulnerabilidades encontradas Escanee continuamente partes de su software o del proceso de desarrollo de su sitio web asiacute como el proceso de pruebas para reforzar los parches de software las actualizaciones de software los nuevos dispositivos y cualquier cambio de configuracioacuten antes de introducirlos en su entorno de produccioacuten
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 20
Anexo A15 Relaciones con los proveedoresAcuerdos contractuales entre organizaciones y terceros
151 Seguridad de la informacioacuten en las relaciones con los proveedores Definir poliacuteticas procedimientos concienciacioacuten etc para proteger la informacioacuten accesible a los subcontratistas y proveedores externos a lo largo de la cadena de suministro acordada en los contratos o acuerdos
152 Gestioacuten de la prestacioacuten de servicios de los proveedores Supervisar la prestacioacuten de servicios por parte de los proveedores externos y revisarauditar los contratosacuerdos Controlar los cambios en el servicio
Anexo A16 Gestioacuten de incidentes de seguridad de la informacioacutenGestionar e informar de los incidentes de seguridad
161 Gestioacuten de los incidentes y mejoras de la seguridad de la informacioacuten Definir las responsabilidades y los procedimientos para gestionar (informar evaluar responder y aprender de) los eventos incidentes y debilidades de la seguridad de la informacioacuten de forma coherente y eficaz y recopilar pruebas forenses
USO DE RIDGEBOT QUE SE DEBE CUMPLIRbull Los informes del escaacutener de la prueba de penetracioacutenmdashque incluyen soluciones
recomendadas para cada vulnerabilidadmdashproporcionan informacioacuten criacutetica para su equipo de respuestaescalada de incidentes de seguridad o forense para asegurar el manejo oportuno y efectivo de todas las situaciones
bull Un escaneo forense (despueacutes de que haya ocurrido un incidente de seguridad) tambieacuten puede ayudar a determinar doacutende y coacutemo se perpetra una brecha
Anexo A17 Aspectos de la seguridad de la informacioacuten en la gestioacuten de la continuidad de las operacionesCrear un sistema eficaz para gestionar las interrupciones de los negocios
171 Continuidad de la seguridad de la informacioacuten Planificar implementar y revisar la continuidad de la seguridad de la informacioacuten como parte integral del sistema de gestioacuten de la continuidad del negocio
172 Redundancias Asegurar que las instalaciones de TI tengan suficiente redundancia para satisfacer los requisitos de disponibilidad
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 21
Anexo A18 CumplimientoIdentificar las leyes y reglamentos pertinentes Comprender los requisitos legales y contractuales para mitigar el riesgo de incumplimiento y las sanciones
181 Cumplimiento de los requisitos legales y contractuales Identificar y documentar las obligaciones para con las autoridades externas y otros terceros en relacioacuten con la seguridad de la informacioacuten incluida la propiedad intelectual los registros [comerciales] la informacioacuten de privacidadidentificacioacuten personal y la criptografiacutea
182 Exaacutemenes de la seguridad de la informacioacuten Revisar independientemente las disposiciones de seguridad de la informacioacuten (auditoriacutea) e informar a la administracioacuten Los directivos deben examinar el cumplimiento de las poliacuteticas y procedimientos de seguridad por parte de los empleados y los sistemas e iniciar medidas correctivas
USO DE RIDGEBOT QUE SE DEBE CUMPLIRbull Realice escaneos completos con la explotacioacuten activada para las vulnerabilidades
encontradas como parte regular de su poliacutetica y proceso para revisar que sus controles de seguridad son efectivos contra las uacuteltimas amenazas
bull El motor de explotacioacuten AIML incorporado de RidgeBot utiliza la base de conocimientos de teacutecnicas de ataque de RidgeSecurity liacuteder en la industria y asegura que sus activos esteacuten siempre reforzados con la inteligencia de vulnerabilidades maacutes actualizada
bull Los informes de exploracioacutenmdashque contienen las vulnerabilidades detectadas los exploits exitosos y los pasos correctivosmdashproporcionan documentacioacuten para una revisioacuten independiente o de gestioacuten de sus controles de seguridad y su eficacia Tambieacuten esbozan los pasos para la accioacuten correctiva
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 22
Perfil de la compantildeiacuteaRidge Security ofrece soluciones eacuteticas eficientes y accesibles para la prueba de penetracioacuten a empresas pequentildeas y grandes Nos aseguramos de que nuestros clientes se mantengan conformes alerta y seguros en todo momento en el mundo ciberneacutetico El equipo de administracioacuten tiene muchos antildeos de experiencia en redes y seguridad Ridge Security estaacute ubicada en el corazoacuten de Silicon Valley y se estaacute expandiendo a otras regiones como Ameacuterica Latina Asia y Europa
RidgeBot un sistema de pruebas de penetracioacuten roboacutetica automatizado por completo el proceso se prueba acoplando teacutecnicas de hacking eacutetico a los algoritmos de toma de decisiones Los RidgeBots localizan explotan y documentan los riesgos y vulnerabilidades empresariales descubiertos durante el proceso de prueba destacando el impacto o dantildeo potencial
Ridge Security Technology Incwwwridgesecurityai
copy 2020 Todos los derechos reservados Ridge Security Technology Inc RidgeBot es una marca registrada de Ridge Security Technology Inc
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 9
Validacioacuten de seguridad continua
bull RidgeBot provee sin costo alguno endurecimiento continuo e inventario de activos Puede ejecutar diferentes escaneos de forma perioacutedica o continua ya que estaacute totalmente automatizado no se requiere ninguna intervencioacuten manual hasta que se informa de una vulnerabilidad
bull El monitoreo continuo y el descubrimiento de activos protegen contra la intrusioacuten de hackers causada por un empleado (o cualquier otra persona) que conecta accidental o maliciosamente dispositivos no confiables o no planeados de IO inalaacutembricos u otros dispositivos no autorizados al ambiente
bull Los informes de exploracioacuten proporcionan una lista de vulnerabilidades explotables que deben ser corregidas para documentarlas y resolverlas La salida de informes garantiza que todos los parches y actualizaciones de software necesarios para resolver las vulnerabilidades peligrosas se instalen en todos los activos afectados
Desarrollo de software y pruebas de lanzamiento de DevOpsSecOps
bull Utilice el RidgeBot durante el desarrollo del software para asegurarse de que las praacutecticas de codificacioacuten peligrosas que introducen vulnerabilidades nunca se incorporen a las nuevas versiones del software
bull Usar RidgeBot para endurecer los parches de software actualizaciones de software nuevos dispositivos y cualquier cambio de configuracioacuten antes de introducirlos en el entorno de produccioacuten
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 10
Validacioacuten de la posicioacuten de seguridad
bull Atacar continuamente de forma iterativa el entorno de produccioacuten para mantener la postura de seguridad Descubra las malas configuraciones de los aparatos o servicios de seguridad inalaacutembricos o defensivos como las reglas de los cortafuegos o los aparatos UTM
bull Supervisar continuamente y endurecer las credenciales de acceso a los activos sensibles
Auditoriacutea de conformidad
bull El continuo escaneo de descubrimiento de activos y los intentos de ataque y explotacioacuten (y los informes emitidos) significan que su entorno siempre estaacute listo para la auditoriacutea
bull Los informes de RidgeBot presentan pruebas de vulnerabilidades probadas remediadas y resueltas
Respuesta a incidentes de seguridad
bull Escanee los informes que contienen las soluciones recomendadas para cada vulnerabilidad encontrada y proporcione informacioacuten criacutetica a su equipo de respuestaescalada de incidentes de seguridad
bull La clasificacioacuten de riesgos de las vulnerabilidades alimenta las prioridades y procedimientos de respuesta a los incidentes
bull Los ataques de explotacioacuten AIML de RidgeBot proporcionan capacidades forenses para investigar el origen y el camino tomado por una brecha y una guiacutea paso a paso sobre coacutemo resolver la vulnerabilidad del punto de entrada
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 11
RidgeBot incluye varias plantillas de escaneado y la flexibilidad de personalizar completamente sus escaneos Las plantillas del sistema incluyen
bull Escaneo completo Esta prueba lanza numerosas teacutecnicas de ataques utilizadas por los hackers del mundo real Basaacutendose en la inteligencia de amenazas y en una base de conocimientos de explotacioacuten RidgeBot perfila los activos extrae las vulnerabilidades y lanza ataques contra los activos objetivo que pueden ser internos o externos a su entorno en un entorno privado o puacuteblico
bull Escaneo de contrasentildeas deacutebiles Esta prueba lanza ataques directos o iterativos basados en informacioacuten sensible recogida a traveacutes de credenciales deacutebiles o vulnerabilidades de acceso no autorizadas Los objetivos del ataque incluyen Redis Elasticsearch ActiveMQ base de datos acceso a la web y otras aplicaciones
bull Escaneo de Struts 2 Esta prueba lanza ataques directos o iterativos basados en vulnerabilidades conocidas de 1 diacutea o N diacuteas detectadas en los objetivos usando el marco de Struts 2
bull Escaneo Weblogic Esta prueba lanza ataques directos o iterativos basados en vulnerabilidades conocidas de 1 o N diacuteas detectadas en objetivos que utilizan el middleware de Weblogic
bull Escaneo web Esta prueba lanza ciberataques contra sitios web aplicaciones web y todas las superficies de ataque relacionadas para obtener el control del sitio web objetivo tanto para sitios web de desarrollo propio como para sitios web basados en sistemas de gestioacuten de contactos
bull Escaneo del host Esta prueba lanza ataques directos o iterativos desde el interior de una red corporativa para validar la respuesta del sistema de seguridad a una amenaza interna Los sistemas objetivo incluyen todos los hosts y servidores internos accesibles a la red
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 12
Implementacioacuten y certificacioacuten de la ISO 27001RidgeBot puede ayudar de muchas maneras con las siguientes etapas especiacuteficas de implementacioacuten desafiacuteos de implementacioacuten y mantenimiento continuo de la certificacioacuten auditoriacutea y revisioacuten de la norma ISO 27001
bull Identificacioacuten de activos La ISO 27001 requiere que se inventariacuteen varias clases de activos incluyendo registros digitales activos de TI aplicaciones de negocios y dispositivos moacuteviles
El descubrimiento automatizado de activos de RidgeBot puede ayudar a inventariar todos los activos mientras se prepara para una [re]certificacioacuten ISO 27001 Ademaacutes puede verificar que no haya nuevos dispositivos no planificados conectados a la infraestructura que introduce vulnerabilidades de manera continua Por ejemplo un atacante podriacutea establecer un punto de acceso inalaacutembrico no autorizado o instalar un dispositivo de IoT que permita el acceso remoto a la red interna
bull Evaluacioacuten de riesgos La norma ISO 27001 requiere que se realicen evaluaciones de riesgos con regularidad La norma establece que su proceso de evaluacioacuten de riesgos debe producir ldquoresultados consistentes vaacutelidos y comparablesrdquo las etapas de la evaluacioacuten de riesgos implican la identificacioacuten el anaacutelisis y la evaluacioacuten de los riesgos Ademaacutes la norma ISO 27001 establece que una vez identificados todos los riesgos cada uno de ellos debe ser evaluado individualmente en cuanto a la probabilidad de explotacioacuten el dantildeo que podriacutea ocurrir Se debe asignar un rango o puntuacioacuten a cada vulnerabilidad seguacuten los criterios de riesgo
La capacidad de prueba de penetracioacuten que tiene RidgeBot identifica analiza y evaluacutea todos los riesgos encontrados Ademaacutes explota los riesgos encontrados y proporciona medidas correctivas Los informes de escaneo proporcionan una clasificacioacuten lista de vulnerabilidades encontradas en base a la probabilidad de cada una de ellas de ser explotada incluidas las que fueron explotadas con eacutexito durante el ensayo Los informes tambieacuten proporcionan una evaluacioacuten con pasos granulares para remediar cada vulnerabilidad Los informes de exploracioacuten de RidgeBot proporcionan un vehiacuteculo para cumplir con el requisito de ldquoresultados consistentes vaacutelidos y comparablesrdquo de la norma ISO 27001
bull Plan de gestioacuten de riesgos La ISO 27001 establece que su Plan de Gestioacuten de Riesgos debe determinar los ldquomeacutetodos de control medicioacuten anaacutelisis y evaluacioacuten [] para asegurar resultados vaacutelidosrdquo La eficacia de aproximadamente la mitad de los controles enumerados en el Anexo A de la ISO 27001 soacutelo puede evaluarse suficientemente mediante pruebas de penetracioacuten
Las capacidades de la prueba de penetracioacuten totalmente automatizada de RidgeBot pueden ser ejecutadas de manera rentable tan frecuentemente como sea necesario en lugar de contratar a una empresa consultora para hacer una prueba de una uacutenica vez La paz y la tranquilidad estaacute asegurada de que sus activos estaacuten continuamente bloqueados Las nuevas vulnerabilidades se detectan inmediatamente despueacutesmdasho a menudo antesmdashde ser introducidas en su entorno de produccioacuten Su entorno empresarial siempre cumple con la norma ISO 27001 no soacutelo cuando se prepara para una auditoriacutea una revisioacuten o una recertificacioacuten
iquestCoacutemo puede RidgeBot ayudar
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 13
bull Documentacioacuten Un aspecto arduo de la implementacioacuten de un SGSI ISO 27001 es el desarrollo de la documentacioacuten de la Norma requerida expliacutecitamente
Los informes de exploracioacuten de RidgeBot (resultados de la misma repeticioacuten de exploracioacuten en un horario fijo) pueden ayudar a recopilar documentacioacuten ldquoconsistente vaacutelida y comparablerdquo de las vulnerabilidades encontradas la clasificacioacuten de la vulnerabilidad las explotaciones exitosas y las medidas de mitigacioacuten y correccioacuten que se tomen
bull Mejora continua a traveacutes de la medicioacuten el control y la revisioacuten Este aspecto de la ISO 27001 requiere que su SGSI sea continuamente analizado y revisado en cuanto a su desempentildeo efectividad cumplimiento e identificacioacuten de mejoras en los procesos
Los informes de exploracioacuten de RidgeBot que se realizan de forma continua o perioacutedica pueden ayudar a proporcionar informes y medidas correctivas recomendadas aportando las pruebas que la Norma requiere para demostrar que los riesgos se encuentran miden revisan y tratan adecuadamente
Un servicio de pruebas de penetracioacuten que compruebe regularmente los controles de la ISO 27001 y cuando sea necesario pruebe los cambios en la infraestructura de TI y de seguridad es una parte fundamental de cualquier proceso de mejora continua
RidgeBot ofrece este servicio a un precio muy econoacutemico Estaacute totalmente automatizado Los escaneos pueden ser programados tan a menudo como sea necesario (cumpliendo con el requisito de ldquoauditoriacutea internardquo ISO 27001) La salida de los escaneos de RidgeBot proporciona informes consistentes y comparables incluyendo mediciones cuantitativas (categoriacuteas y clasificaciones de vulnerabilidad) que demuestran la eficacia de su SGSI
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 14
ISO 27001 Anexo A Controles
El Anexo A de la norma ISO 27001 ofrece un breve resumen de los controles y dominios La norma ISO 27002 proporciona informacioacuten maacutes detallada para ayudar a la aplicacioacuten
A continuacioacuten se resume cada uno de los 14 dominios de la norma ISO 270012013 (y los controles dentro de ellos) Muchos controles se refieren a praacutecticas y procedimientos de gestioacuten humana Varios otros se refieren a los activos y la infraestructura de la tecnologiacutea de la informacioacuten En ellos se anotan las pruebas de penetracioacuten la clasificacioacuten de la vulnerabilidad la explotacioacuten de la vulnerabilidad asistida por IAML de RidgeBot y los pasos de reparacioacuten comunicados para ayudar a implementar y cumplir el control de la norma ISO 27001
Anexo A5 Poliacuteticas de seguridad de la informacioacutenAsegurarse de que las poliacuteticas se redacten y revisen de acuerdo con las praacutecticas de seguridad de la informacioacuten de la organizacioacuten
51 Direccioacuten de la gestioacuten de la seguridad de la informacioacuten Definir un conjunto de poliacuteticas para aclarar la direccioacuten de la gestioacuten y el apoyo a la seguridad de la informacioacuten
Anexo A6 Organizacioacuten de la seguridad de la informacioacutenAsignacioacuten de responsabilidades para tareas especiacuteficas
61 Organizacioacuten interna Establecer las funciones y responsabilidades en materia de seguridad de la informacioacuten y asignarlas a las personas
62 Dispositivos moacuteviles y teletrabajo Establecer poliacuteticas y controles de seguridad para los dispositivos moacuteviles y el teletrabajo Asegurarse de que toda persona que trabaje desde su casa o en movimiento siga las praacutecticas adecuadas
Anexo A7 Seguridad de los recursos humanosAsegurarse de que los empleados y contratistas potenciales actuales y pasados entiendan sus responsabilidades en materia de seguridad de la informacioacuten
71 Antes del empleo Las responsabilidades en materia de seguridad de la informacioacuten deben tenerse en cuenta al contratar a empleados permanentes contratistas y personal temporal e incluirse en los contratos
72 Durante el empleo Asegurarse de que los empleados y contratistas conozcan las obligaciones en materia de seguridad de la informacioacuten y esteacuten motivados para cumplirlas incluido un proceso disciplinario
73 Terminacioacuten y cambio de empleo Deben gestionarse los aspectos de seguridad de la salida o el cambio de funcioacuten de una persona como la devolucioacuten de la informacioacuten y el equipo de la empresa y actualizando los derechos de acceso
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 15
Anexo A8 Gestioacuten de activosIdentificar los activos de informacioacuten y definir las responsabilidades de proteccioacuten adecuadas
81 Responsabilidad por los activos Hacer un inventario de todos los activos de informacioacuten e identificar a los propietarios responsables de su seguridad
82 Clasificacioacuten de la informacioacuten Clasificar y etiquetar la informacioacuten de acuerdo con la proteccioacuten de seguridad necesaria y manejarla adecuadamente
83 Manejo de los medios de comunicacioacuten Los medios de almacenamiento de informacioacuten deben ser administrados controlados trasladados y eliminados sin comprometer el contenido de la informacioacuten
USO DE RIDGEBOT QUE SE DEBE CUMPLIRbull Ejecute una exploracioacuten de descubrimiento de activos para identificar y documentar todos los
activos y superficies de ataque Al ejecutar este escaneo se descubre y documenta cualquier cambio en la presencia de los activos que deben ser incluidos en el inventario
Anexo A9 Control de accesoAsegurarse de que los empleados soacutelo puedan ver la informacioacuten relevante para su trabajo
91 Requisitos empresariales de control de acceso Controlar el acceso a los activos de informacioacuten documentados en la poliacutetica y los procedimientos de control Restringir el acceso y las conexiones a la red
92 Gestioacuten del acceso de los usuarios Controlar los derechos de acceso de los usuarios desde el registro inicial del usuario hasta la eliminacioacuten de los derechos cuando ya no sean necesarios Revisar y actualizar perioacutedicamente los derechos de acceso
93 Responsabilidades de los usuarios Los usuarios deben ser conscientes de sus responsabilidades en lo que respecta al mantenimiento de controles de acceso eficaces como contrasentildeas soacutelidas y confidencialidad
94 Control de acceso al sistema y a las aplicaciones Restringir el acceso a la informacioacuten de acuerdo con la poliacutetica de control de acceso como la gestioacuten segura de los nombres de usuario y las contrasentildeas
USO DE RIDGEBOT QUE SE DEBE CUMPLIRbull Ejecutar un escaneo de contrasentildeas deacutebiles contra todos los activos para documentar y
resolver las vulnerabilidades de las credenciales de acceso
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 16
Anexo A10 CriptografiacuteaCifrado de datos y manejo de informacioacuten sensible
101 Controles criptograacuteficos Establecer y mantener una poliacutetica sobre el uso del cifrado la autenticacioacuten criptograacutefica y los controles de integridad como las firmas digitales los coacutedigos de autenticacioacuten de los mensajes y la gestioacuten de las claves criptograacuteficas
USO DE RIDGEBOT QUE SE DEBE CUMPLIR bull Asegurarse de que una exploracioacuten dirigida especiacuteficamente a las vulnerabilidades
relacionadas con el cifrado forma parte de la poliacutetica de controles criptograacuteficos
Anexo A11 Seguridad fiacutesica y ambientalEvitar el acceso fiacutesico no autorizado el dantildeo o la interferencia en las instalaciones el equipo o la informacioacuten sensible de la organizacioacuten
111 Aacutereas seguras Definir periacutemetros fiacutesicos y barreras con controles de entrada fiacutesica proteger los locales oficinas salas aacutereas de entregacarga etc contra el acceso no autorizado
112 Equipo Asegurar y mantener el equipo informaacutetico y de informacioacuten asiacute como los servicios de apoyo (como la electricidad y el aire acondicionado) y el cableado
USO DE RIDGEBOT QUE SE DEBE CUMPLIR bull Ejecute un escaneo de acceso para asegurarse de que todos los sistemas o dispositivos
utilizados para controlar registrar o vigilar la entrada fiacutesica a los locales esteacuten seguros contra credenciales deacutebiles u otras vulnerabilidades de softwaremalware Los hackers pueden permitir el acceso fiacutesico (en lugar de denegarlo) o borrar o alterar los registros la videovigilancia o la informacioacuten de la pista de auditoriacutea
bull Las pruebas de penetracioacuten pueden revelar los puntos deacutebiles de los procesos de seguridad fiacutesica que podriacutean conceder a un atacante el acceso a sistemas o aacutereas seguras
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 17
Anexo A12 Seguridad de las operacionesAsegurarse de que las instalaciones de procesamiento de informacioacuten sean seguras
121 Procedimientos y responsabilidades operacionales Documentar las responsabilidades y procedimientos operativos de la TI controlar los cambios en las instalaciones y sistemas de TI gestionar la capacidad y el rendimiento separar el desarrollo las pruebas y los sistemas operativos
122 Proteccioacuten contra el malware Se requieren controles de malware incluyendo la concienciacioacuten de los usuarios
123 Copias de seguridad Realizar y conservar copias de seguridad adecuadas de conformidad con la poliacutetica de copias de seguridad
124 Registro y supervisioacuten Proteger y registrar las actividades de los usuarios y los administradoresoperadores del sistema las excepciones los fallos y los eventos de seguridad de la informacioacuten Sincronizar los relojes
125 Control del software operativo Controlar la instalacioacuten de programas informaacuteticos en los sistemas operacionales
126 Gestioacuten de la vulnerabilidad teacutecnica Parchear las vulnerabilidades y garantizar que se establezcan normas que rijan la instalacioacuten del software de usuario
127 Consideraciones sobre la auditoriacutea de los sistemas de informacioacuten Planificar y controlar las auditoriacuteas de los sistemas de informacioacuten para reducir al miacutenimo los efectos adversos en los sistemas de produccioacuten o el acceso inapropiado a los datos
USO DE RIDGEBOT QUE SE DEBE CUMPLIRbull Ejecute un anaacutelisis de la prueba de penetracioacuten para asegurarse de que todos los activos
estaacuten seguros contra credenciales deacutebiles u otras vulnerabilidades de softwaremalware donde los hackers pueden obtener acceso no autorizado
bull Ejecute un escaneo para asegurarse de que todos los sistemas o dispositivos utilizados para registrar eventos y actividades estaacuten seguros de credenciales deacutebiles u otras vulnerabilidades de softwaremalware Aacutereas en las que los hackers pueden obtener acceso para borrar o alterar los registros la vigilancia por viacutedeo o la informacioacuten de seguimiento de auditoriacutea
bull Ejecute escaneos completos con la explotacioacuten activada para las vulnerabilidades encontradas como parte regular de su poliacuteticaproceso para endurecer los parches de software actualizaciones de software nuevos dispositivos y cualquier cambio de configuracioacuten antes de empujarlos en vivo al entorno de produccioacuten
bull Los informes de exploracioacuten (que contienen las vulnerabilidades detectadas enumeradas los exploits exitosos y las medidas correctivas) abordan el requisito de la Norma de detectar las vulnerabilidades teacutecnicas emergentes de manera estructurada y sistemaacutetica
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 18
Anexo A13 Seguridad de las comunicacionesProteger la informacioacuten en las redes
131 Gestioacuten de la seguridad de las redes Garantizar la seguridad de las redes y los servicios de red por ejemplo mediante la segregacioacuten
132 Transferencia de informacioacuten Garantizar que se apliquen poliacuteticas procedimientos y acuerdos (como los acuerdos de no divulgacioacuten) relativos a la transferencia de informacioacuten ade terceros incluida la mensajeriacutea electroacutenica
USO DE RIDGEBOT QUE SE DEBE CUMPLIR bull Realice una prueba de penetracioacuten para asegurarse de que todos los activos que participan
en la transferencia de informacioacuten y los sistemas de mensajeriacutea electroacutenica estaacuten a salvo de credenciales deacutebiles u otras vulnerabilidades de softwaremalware en las que los piratas informaacuteticos pueden obtener acceso no autorizado
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 19
Anexo A14 Adquisicioacuten desarrollo y mantenimiento de sistemasGarantizar la seguridad de la informacioacuten sigue siendo una parte central de los procesos a lo largo de todo el ciclo de vida de los sistemas internos asiacute como de los servicios prestados a traveacutes de redes puacuteblicas
141 Requisitos de seguridad de los sistemas de informacioacuten Los requisitos de control de seguridad deben ser analizados y especificados incluyendo las aplicaciones web y las transacciones
142 Seguridad en los procesos de desarrollo y apoyo Definir como poliacutetica las normas que rigen el desarrollo de softwaresistemas seguros Se pueden controlar los cambios en ambas aplicaciones y sistemas operativos Asegurar el entorno de desarrollo asiacute como la seguridad de los sistemas de pruebas de desarrollo subcontratados en funcioacuten de criterios de aceptacioacuten definidos por la seguridad
143 Datos de prueba Los datos de las pruebas deben seleccionarse generarse y controlarse cuidadosamente
USO DE RIDGEBOT QUE SE DEBE CUMPLIR bull Realice una prueba de penetracioacuten contra los sistemas internos asiacute como contra cualquier
proveedor o nube de activos y servicios
bull Ejecutar un escaneo completo con la explotacioacuten activada para las vulnerabilidades encontradas como parte regular del desarrollo de software validacioacuten de software y procesos y procedimientos de control de cambios
bull Ejecute un escaneo de acceso para asegurar que existen controles de acceso apropiados para separar sus entornos de desarrolloprueba de software de los entornos de produccioacuten
bull Ejecute escaneos completos con la explotacioacuten activada para las vulnerabilidades encontradas como una parte regular de su poliacutetica y proceso para endurecer el nuevo software durante el proceso de desarrollo de software
bull Ejecute escaneos continuos con la explotacioacuten activada para las vulnerabilidades encontradas Escanee continuamente partes de su software o del proceso de desarrollo de su sitio web asiacute como el proceso de pruebas para reforzar los parches de software las actualizaciones de software los nuevos dispositivos y cualquier cambio de configuracioacuten antes de introducirlos en su entorno de produccioacuten
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 20
Anexo A15 Relaciones con los proveedoresAcuerdos contractuales entre organizaciones y terceros
151 Seguridad de la informacioacuten en las relaciones con los proveedores Definir poliacuteticas procedimientos concienciacioacuten etc para proteger la informacioacuten accesible a los subcontratistas y proveedores externos a lo largo de la cadena de suministro acordada en los contratos o acuerdos
152 Gestioacuten de la prestacioacuten de servicios de los proveedores Supervisar la prestacioacuten de servicios por parte de los proveedores externos y revisarauditar los contratosacuerdos Controlar los cambios en el servicio
Anexo A16 Gestioacuten de incidentes de seguridad de la informacioacutenGestionar e informar de los incidentes de seguridad
161 Gestioacuten de los incidentes y mejoras de la seguridad de la informacioacuten Definir las responsabilidades y los procedimientos para gestionar (informar evaluar responder y aprender de) los eventos incidentes y debilidades de la seguridad de la informacioacuten de forma coherente y eficaz y recopilar pruebas forenses
USO DE RIDGEBOT QUE SE DEBE CUMPLIRbull Los informes del escaacutener de la prueba de penetracioacutenmdashque incluyen soluciones
recomendadas para cada vulnerabilidadmdashproporcionan informacioacuten criacutetica para su equipo de respuestaescalada de incidentes de seguridad o forense para asegurar el manejo oportuno y efectivo de todas las situaciones
bull Un escaneo forense (despueacutes de que haya ocurrido un incidente de seguridad) tambieacuten puede ayudar a determinar doacutende y coacutemo se perpetra una brecha
Anexo A17 Aspectos de la seguridad de la informacioacuten en la gestioacuten de la continuidad de las operacionesCrear un sistema eficaz para gestionar las interrupciones de los negocios
171 Continuidad de la seguridad de la informacioacuten Planificar implementar y revisar la continuidad de la seguridad de la informacioacuten como parte integral del sistema de gestioacuten de la continuidad del negocio
172 Redundancias Asegurar que las instalaciones de TI tengan suficiente redundancia para satisfacer los requisitos de disponibilidad
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 21
Anexo A18 CumplimientoIdentificar las leyes y reglamentos pertinentes Comprender los requisitos legales y contractuales para mitigar el riesgo de incumplimiento y las sanciones
181 Cumplimiento de los requisitos legales y contractuales Identificar y documentar las obligaciones para con las autoridades externas y otros terceros en relacioacuten con la seguridad de la informacioacuten incluida la propiedad intelectual los registros [comerciales] la informacioacuten de privacidadidentificacioacuten personal y la criptografiacutea
182 Exaacutemenes de la seguridad de la informacioacuten Revisar independientemente las disposiciones de seguridad de la informacioacuten (auditoriacutea) e informar a la administracioacuten Los directivos deben examinar el cumplimiento de las poliacuteticas y procedimientos de seguridad por parte de los empleados y los sistemas e iniciar medidas correctivas
USO DE RIDGEBOT QUE SE DEBE CUMPLIRbull Realice escaneos completos con la explotacioacuten activada para las vulnerabilidades
encontradas como parte regular de su poliacutetica y proceso para revisar que sus controles de seguridad son efectivos contra las uacuteltimas amenazas
bull El motor de explotacioacuten AIML incorporado de RidgeBot utiliza la base de conocimientos de teacutecnicas de ataque de RidgeSecurity liacuteder en la industria y asegura que sus activos esteacuten siempre reforzados con la inteligencia de vulnerabilidades maacutes actualizada
bull Los informes de exploracioacutenmdashque contienen las vulnerabilidades detectadas los exploits exitosos y los pasos correctivosmdashproporcionan documentacioacuten para una revisioacuten independiente o de gestioacuten de sus controles de seguridad y su eficacia Tambieacuten esbozan los pasos para la accioacuten correctiva
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 22
Perfil de la compantildeiacuteaRidge Security ofrece soluciones eacuteticas eficientes y accesibles para la prueba de penetracioacuten a empresas pequentildeas y grandes Nos aseguramos de que nuestros clientes se mantengan conformes alerta y seguros en todo momento en el mundo ciberneacutetico El equipo de administracioacuten tiene muchos antildeos de experiencia en redes y seguridad Ridge Security estaacute ubicada en el corazoacuten de Silicon Valley y se estaacute expandiendo a otras regiones como Ameacuterica Latina Asia y Europa
RidgeBot un sistema de pruebas de penetracioacuten roboacutetica automatizado por completo el proceso se prueba acoplando teacutecnicas de hacking eacutetico a los algoritmos de toma de decisiones Los RidgeBots localizan explotan y documentan los riesgos y vulnerabilidades empresariales descubiertos durante el proceso de prueba destacando el impacto o dantildeo potencial
Ridge Security Technology Incwwwridgesecurityai
copy 2020 Todos los derechos reservados Ridge Security Technology Inc RidgeBot es una marca registrada de Ridge Security Technology Inc
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 10
Validacioacuten de la posicioacuten de seguridad
bull Atacar continuamente de forma iterativa el entorno de produccioacuten para mantener la postura de seguridad Descubra las malas configuraciones de los aparatos o servicios de seguridad inalaacutembricos o defensivos como las reglas de los cortafuegos o los aparatos UTM
bull Supervisar continuamente y endurecer las credenciales de acceso a los activos sensibles
Auditoriacutea de conformidad
bull El continuo escaneo de descubrimiento de activos y los intentos de ataque y explotacioacuten (y los informes emitidos) significan que su entorno siempre estaacute listo para la auditoriacutea
bull Los informes de RidgeBot presentan pruebas de vulnerabilidades probadas remediadas y resueltas
Respuesta a incidentes de seguridad
bull Escanee los informes que contienen las soluciones recomendadas para cada vulnerabilidad encontrada y proporcione informacioacuten criacutetica a su equipo de respuestaescalada de incidentes de seguridad
bull La clasificacioacuten de riesgos de las vulnerabilidades alimenta las prioridades y procedimientos de respuesta a los incidentes
bull Los ataques de explotacioacuten AIML de RidgeBot proporcionan capacidades forenses para investigar el origen y el camino tomado por una brecha y una guiacutea paso a paso sobre coacutemo resolver la vulnerabilidad del punto de entrada
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 11
RidgeBot incluye varias plantillas de escaneado y la flexibilidad de personalizar completamente sus escaneos Las plantillas del sistema incluyen
bull Escaneo completo Esta prueba lanza numerosas teacutecnicas de ataques utilizadas por los hackers del mundo real Basaacutendose en la inteligencia de amenazas y en una base de conocimientos de explotacioacuten RidgeBot perfila los activos extrae las vulnerabilidades y lanza ataques contra los activos objetivo que pueden ser internos o externos a su entorno en un entorno privado o puacuteblico
bull Escaneo de contrasentildeas deacutebiles Esta prueba lanza ataques directos o iterativos basados en informacioacuten sensible recogida a traveacutes de credenciales deacutebiles o vulnerabilidades de acceso no autorizadas Los objetivos del ataque incluyen Redis Elasticsearch ActiveMQ base de datos acceso a la web y otras aplicaciones
bull Escaneo de Struts 2 Esta prueba lanza ataques directos o iterativos basados en vulnerabilidades conocidas de 1 diacutea o N diacuteas detectadas en los objetivos usando el marco de Struts 2
bull Escaneo Weblogic Esta prueba lanza ataques directos o iterativos basados en vulnerabilidades conocidas de 1 o N diacuteas detectadas en objetivos que utilizan el middleware de Weblogic
bull Escaneo web Esta prueba lanza ciberataques contra sitios web aplicaciones web y todas las superficies de ataque relacionadas para obtener el control del sitio web objetivo tanto para sitios web de desarrollo propio como para sitios web basados en sistemas de gestioacuten de contactos
bull Escaneo del host Esta prueba lanza ataques directos o iterativos desde el interior de una red corporativa para validar la respuesta del sistema de seguridad a una amenaza interna Los sistemas objetivo incluyen todos los hosts y servidores internos accesibles a la red
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 12
Implementacioacuten y certificacioacuten de la ISO 27001RidgeBot puede ayudar de muchas maneras con las siguientes etapas especiacuteficas de implementacioacuten desafiacuteos de implementacioacuten y mantenimiento continuo de la certificacioacuten auditoriacutea y revisioacuten de la norma ISO 27001
bull Identificacioacuten de activos La ISO 27001 requiere que se inventariacuteen varias clases de activos incluyendo registros digitales activos de TI aplicaciones de negocios y dispositivos moacuteviles
El descubrimiento automatizado de activos de RidgeBot puede ayudar a inventariar todos los activos mientras se prepara para una [re]certificacioacuten ISO 27001 Ademaacutes puede verificar que no haya nuevos dispositivos no planificados conectados a la infraestructura que introduce vulnerabilidades de manera continua Por ejemplo un atacante podriacutea establecer un punto de acceso inalaacutembrico no autorizado o instalar un dispositivo de IoT que permita el acceso remoto a la red interna
bull Evaluacioacuten de riesgos La norma ISO 27001 requiere que se realicen evaluaciones de riesgos con regularidad La norma establece que su proceso de evaluacioacuten de riesgos debe producir ldquoresultados consistentes vaacutelidos y comparablesrdquo las etapas de la evaluacioacuten de riesgos implican la identificacioacuten el anaacutelisis y la evaluacioacuten de los riesgos Ademaacutes la norma ISO 27001 establece que una vez identificados todos los riesgos cada uno de ellos debe ser evaluado individualmente en cuanto a la probabilidad de explotacioacuten el dantildeo que podriacutea ocurrir Se debe asignar un rango o puntuacioacuten a cada vulnerabilidad seguacuten los criterios de riesgo
La capacidad de prueba de penetracioacuten que tiene RidgeBot identifica analiza y evaluacutea todos los riesgos encontrados Ademaacutes explota los riesgos encontrados y proporciona medidas correctivas Los informes de escaneo proporcionan una clasificacioacuten lista de vulnerabilidades encontradas en base a la probabilidad de cada una de ellas de ser explotada incluidas las que fueron explotadas con eacutexito durante el ensayo Los informes tambieacuten proporcionan una evaluacioacuten con pasos granulares para remediar cada vulnerabilidad Los informes de exploracioacuten de RidgeBot proporcionan un vehiacuteculo para cumplir con el requisito de ldquoresultados consistentes vaacutelidos y comparablesrdquo de la norma ISO 27001
bull Plan de gestioacuten de riesgos La ISO 27001 establece que su Plan de Gestioacuten de Riesgos debe determinar los ldquomeacutetodos de control medicioacuten anaacutelisis y evaluacioacuten [] para asegurar resultados vaacutelidosrdquo La eficacia de aproximadamente la mitad de los controles enumerados en el Anexo A de la ISO 27001 soacutelo puede evaluarse suficientemente mediante pruebas de penetracioacuten
Las capacidades de la prueba de penetracioacuten totalmente automatizada de RidgeBot pueden ser ejecutadas de manera rentable tan frecuentemente como sea necesario en lugar de contratar a una empresa consultora para hacer una prueba de una uacutenica vez La paz y la tranquilidad estaacute asegurada de que sus activos estaacuten continuamente bloqueados Las nuevas vulnerabilidades se detectan inmediatamente despueacutesmdasho a menudo antesmdashde ser introducidas en su entorno de produccioacuten Su entorno empresarial siempre cumple con la norma ISO 27001 no soacutelo cuando se prepara para una auditoriacutea una revisioacuten o una recertificacioacuten
iquestCoacutemo puede RidgeBot ayudar
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 13
bull Documentacioacuten Un aspecto arduo de la implementacioacuten de un SGSI ISO 27001 es el desarrollo de la documentacioacuten de la Norma requerida expliacutecitamente
Los informes de exploracioacuten de RidgeBot (resultados de la misma repeticioacuten de exploracioacuten en un horario fijo) pueden ayudar a recopilar documentacioacuten ldquoconsistente vaacutelida y comparablerdquo de las vulnerabilidades encontradas la clasificacioacuten de la vulnerabilidad las explotaciones exitosas y las medidas de mitigacioacuten y correccioacuten que se tomen
bull Mejora continua a traveacutes de la medicioacuten el control y la revisioacuten Este aspecto de la ISO 27001 requiere que su SGSI sea continuamente analizado y revisado en cuanto a su desempentildeo efectividad cumplimiento e identificacioacuten de mejoras en los procesos
Los informes de exploracioacuten de RidgeBot que se realizan de forma continua o perioacutedica pueden ayudar a proporcionar informes y medidas correctivas recomendadas aportando las pruebas que la Norma requiere para demostrar que los riesgos se encuentran miden revisan y tratan adecuadamente
Un servicio de pruebas de penetracioacuten que compruebe regularmente los controles de la ISO 27001 y cuando sea necesario pruebe los cambios en la infraestructura de TI y de seguridad es una parte fundamental de cualquier proceso de mejora continua
RidgeBot ofrece este servicio a un precio muy econoacutemico Estaacute totalmente automatizado Los escaneos pueden ser programados tan a menudo como sea necesario (cumpliendo con el requisito de ldquoauditoriacutea internardquo ISO 27001) La salida de los escaneos de RidgeBot proporciona informes consistentes y comparables incluyendo mediciones cuantitativas (categoriacuteas y clasificaciones de vulnerabilidad) que demuestran la eficacia de su SGSI
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 14
ISO 27001 Anexo A Controles
El Anexo A de la norma ISO 27001 ofrece un breve resumen de los controles y dominios La norma ISO 27002 proporciona informacioacuten maacutes detallada para ayudar a la aplicacioacuten
A continuacioacuten se resume cada uno de los 14 dominios de la norma ISO 270012013 (y los controles dentro de ellos) Muchos controles se refieren a praacutecticas y procedimientos de gestioacuten humana Varios otros se refieren a los activos y la infraestructura de la tecnologiacutea de la informacioacuten En ellos se anotan las pruebas de penetracioacuten la clasificacioacuten de la vulnerabilidad la explotacioacuten de la vulnerabilidad asistida por IAML de RidgeBot y los pasos de reparacioacuten comunicados para ayudar a implementar y cumplir el control de la norma ISO 27001
Anexo A5 Poliacuteticas de seguridad de la informacioacutenAsegurarse de que las poliacuteticas se redacten y revisen de acuerdo con las praacutecticas de seguridad de la informacioacuten de la organizacioacuten
51 Direccioacuten de la gestioacuten de la seguridad de la informacioacuten Definir un conjunto de poliacuteticas para aclarar la direccioacuten de la gestioacuten y el apoyo a la seguridad de la informacioacuten
Anexo A6 Organizacioacuten de la seguridad de la informacioacutenAsignacioacuten de responsabilidades para tareas especiacuteficas
61 Organizacioacuten interna Establecer las funciones y responsabilidades en materia de seguridad de la informacioacuten y asignarlas a las personas
62 Dispositivos moacuteviles y teletrabajo Establecer poliacuteticas y controles de seguridad para los dispositivos moacuteviles y el teletrabajo Asegurarse de que toda persona que trabaje desde su casa o en movimiento siga las praacutecticas adecuadas
Anexo A7 Seguridad de los recursos humanosAsegurarse de que los empleados y contratistas potenciales actuales y pasados entiendan sus responsabilidades en materia de seguridad de la informacioacuten
71 Antes del empleo Las responsabilidades en materia de seguridad de la informacioacuten deben tenerse en cuenta al contratar a empleados permanentes contratistas y personal temporal e incluirse en los contratos
72 Durante el empleo Asegurarse de que los empleados y contratistas conozcan las obligaciones en materia de seguridad de la informacioacuten y esteacuten motivados para cumplirlas incluido un proceso disciplinario
73 Terminacioacuten y cambio de empleo Deben gestionarse los aspectos de seguridad de la salida o el cambio de funcioacuten de una persona como la devolucioacuten de la informacioacuten y el equipo de la empresa y actualizando los derechos de acceso
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 15
Anexo A8 Gestioacuten de activosIdentificar los activos de informacioacuten y definir las responsabilidades de proteccioacuten adecuadas
81 Responsabilidad por los activos Hacer un inventario de todos los activos de informacioacuten e identificar a los propietarios responsables de su seguridad
82 Clasificacioacuten de la informacioacuten Clasificar y etiquetar la informacioacuten de acuerdo con la proteccioacuten de seguridad necesaria y manejarla adecuadamente
83 Manejo de los medios de comunicacioacuten Los medios de almacenamiento de informacioacuten deben ser administrados controlados trasladados y eliminados sin comprometer el contenido de la informacioacuten
USO DE RIDGEBOT QUE SE DEBE CUMPLIRbull Ejecute una exploracioacuten de descubrimiento de activos para identificar y documentar todos los
activos y superficies de ataque Al ejecutar este escaneo se descubre y documenta cualquier cambio en la presencia de los activos que deben ser incluidos en el inventario
Anexo A9 Control de accesoAsegurarse de que los empleados soacutelo puedan ver la informacioacuten relevante para su trabajo
91 Requisitos empresariales de control de acceso Controlar el acceso a los activos de informacioacuten documentados en la poliacutetica y los procedimientos de control Restringir el acceso y las conexiones a la red
92 Gestioacuten del acceso de los usuarios Controlar los derechos de acceso de los usuarios desde el registro inicial del usuario hasta la eliminacioacuten de los derechos cuando ya no sean necesarios Revisar y actualizar perioacutedicamente los derechos de acceso
93 Responsabilidades de los usuarios Los usuarios deben ser conscientes de sus responsabilidades en lo que respecta al mantenimiento de controles de acceso eficaces como contrasentildeas soacutelidas y confidencialidad
94 Control de acceso al sistema y a las aplicaciones Restringir el acceso a la informacioacuten de acuerdo con la poliacutetica de control de acceso como la gestioacuten segura de los nombres de usuario y las contrasentildeas
USO DE RIDGEBOT QUE SE DEBE CUMPLIRbull Ejecutar un escaneo de contrasentildeas deacutebiles contra todos los activos para documentar y
resolver las vulnerabilidades de las credenciales de acceso
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 16
Anexo A10 CriptografiacuteaCifrado de datos y manejo de informacioacuten sensible
101 Controles criptograacuteficos Establecer y mantener una poliacutetica sobre el uso del cifrado la autenticacioacuten criptograacutefica y los controles de integridad como las firmas digitales los coacutedigos de autenticacioacuten de los mensajes y la gestioacuten de las claves criptograacuteficas
USO DE RIDGEBOT QUE SE DEBE CUMPLIR bull Asegurarse de que una exploracioacuten dirigida especiacuteficamente a las vulnerabilidades
relacionadas con el cifrado forma parte de la poliacutetica de controles criptograacuteficos
Anexo A11 Seguridad fiacutesica y ambientalEvitar el acceso fiacutesico no autorizado el dantildeo o la interferencia en las instalaciones el equipo o la informacioacuten sensible de la organizacioacuten
111 Aacutereas seguras Definir periacutemetros fiacutesicos y barreras con controles de entrada fiacutesica proteger los locales oficinas salas aacutereas de entregacarga etc contra el acceso no autorizado
112 Equipo Asegurar y mantener el equipo informaacutetico y de informacioacuten asiacute como los servicios de apoyo (como la electricidad y el aire acondicionado) y el cableado
USO DE RIDGEBOT QUE SE DEBE CUMPLIR bull Ejecute un escaneo de acceso para asegurarse de que todos los sistemas o dispositivos
utilizados para controlar registrar o vigilar la entrada fiacutesica a los locales esteacuten seguros contra credenciales deacutebiles u otras vulnerabilidades de softwaremalware Los hackers pueden permitir el acceso fiacutesico (en lugar de denegarlo) o borrar o alterar los registros la videovigilancia o la informacioacuten de la pista de auditoriacutea
bull Las pruebas de penetracioacuten pueden revelar los puntos deacutebiles de los procesos de seguridad fiacutesica que podriacutean conceder a un atacante el acceso a sistemas o aacutereas seguras
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 17
Anexo A12 Seguridad de las operacionesAsegurarse de que las instalaciones de procesamiento de informacioacuten sean seguras
121 Procedimientos y responsabilidades operacionales Documentar las responsabilidades y procedimientos operativos de la TI controlar los cambios en las instalaciones y sistemas de TI gestionar la capacidad y el rendimiento separar el desarrollo las pruebas y los sistemas operativos
122 Proteccioacuten contra el malware Se requieren controles de malware incluyendo la concienciacioacuten de los usuarios
123 Copias de seguridad Realizar y conservar copias de seguridad adecuadas de conformidad con la poliacutetica de copias de seguridad
124 Registro y supervisioacuten Proteger y registrar las actividades de los usuarios y los administradoresoperadores del sistema las excepciones los fallos y los eventos de seguridad de la informacioacuten Sincronizar los relojes
125 Control del software operativo Controlar la instalacioacuten de programas informaacuteticos en los sistemas operacionales
126 Gestioacuten de la vulnerabilidad teacutecnica Parchear las vulnerabilidades y garantizar que se establezcan normas que rijan la instalacioacuten del software de usuario
127 Consideraciones sobre la auditoriacutea de los sistemas de informacioacuten Planificar y controlar las auditoriacuteas de los sistemas de informacioacuten para reducir al miacutenimo los efectos adversos en los sistemas de produccioacuten o el acceso inapropiado a los datos
USO DE RIDGEBOT QUE SE DEBE CUMPLIRbull Ejecute un anaacutelisis de la prueba de penetracioacuten para asegurarse de que todos los activos
estaacuten seguros contra credenciales deacutebiles u otras vulnerabilidades de softwaremalware donde los hackers pueden obtener acceso no autorizado
bull Ejecute un escaneo para asegurarse de que todos los sistemas o dispositivos utilizados para registrar eventos y actividades estaacuten seguros de credenciales deacutebiles u otras vulnerabilidades de softwaremalware Aacutereas en las que los hackers pueden obtener acceso para borrar o alterar los registros la vigilancia por viacutedeo o la informacioacuten de seguimiento de auditoriacutea
bull Ejecute escaneos completos con la explotacioacuten activada para las vulnerabilidades encontradas como parte regular de su poliacuteticaproceso para endurecer los parches de software actualizaciones de software nuevos dispositivos y cualquier cambio de configuracioacuten antes de empujarlos en vivo al entorno de produccioacuten
bull Los informes de exploracioacuten (que contienen las vulnerabilidades detectadas enumeradas los exploits exitosos y las medidas correctivas) abordan el requisito de la Norma de detectar las vulnerabilidades teacutecnicas emergentes de manera estructurada y sistemaacutetica
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 18
Anexo A13 Seguridad de las comunicacionesProteger la informacioacuten en las redes
131 Gestioacuten de la seguridad de las redes Garantizar la seguridad de las redes y los servicios de red por ejemplo mediante la segregacioacuten
132 Transferencia de informacioacuten Garantizar que se apliquen poliacuteticas procedimientos y acuerdos (como los acuerdos de no divulgacioacuten) relativos a la transferencia de informacioacuten ade terceros incluida la mensajeriacutea electroacutenica
USO DE RIDGEBOT QUE SE DEBE CUMPLIR bull Realice una prueba de penetracioacuten para asegurarse de que todos los activos que participan
en la transferencia de informacioacuten y los sistemas de mensajeriacutea electroacutenica estaacuten a salvo de credenciales deacutebiles u otras vulnerabilidades de softwaremalware en las que los piratas informaacuteticos pueden obtener acceso no autorizado
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 19
Anexo A14 Adquisicioacuten desarrollo y mantenimiento de sistemasGarantizar la seguridad de la informacioacuten sigue siendo una parte central de los procesos a lo largo de todo el ciclo de vida de los sistemas internos asiacute como de los servicios prestados a traveacutes de redes puacuteblicas
141 Requisitos de seguridad de los sistemas de informacioacuten Los requisitos de control de seguridad deben ser analizados y especificados incluyendo las aplicaciones web y las transacciones
142 Seguridad en los procesos de desarrollo y apoyo Definir como poliacutetica las normas que rigen el desarrollo de softwaresistemas seguros Se pueden controlar los cambios en ambas aplicaciones y sistemas operativos Asegurar el entorno de desarrollo asiacute como la seguridad de los sistemas de pruebas de desarrollo subcontratados en funcioacuten de criterios de aceptacioacuten definidos por la seguridad
143 Datos de prueba Los datos de las pruebas deben seleccionarse generarse y controlarse cuidadosamente
USO DE RIDGEBOT QUE SE DEBE CUMPLIR bull Realice una prueba de penetracioacuten contra los sistemas internos asiacute como contra cualquier
proveedor o nube de activos y servicios
bull Ejecutar un escaneo completo con la explotacioacuten activada para las vulnerabilidades encontradas como parte regular del desarrollo de software validacioacuten de software y procesos y procedimientos de control de cambios
bull Ejecute un escaneo de acceso para asegurar que existen controles de acceso apropiados para separar sus entornos de desarrolloprueba de software de los entornos de produccioacuten
bull Ejecute escaneos completos con la explotacioacuten activada para las vulnerabilidades encontradas como una parte regular de su poliacutetica y proceso para endurecer el nuevo software durante el proceso de desarrollo de software
bull Ejecute escaneos continuos con la explotacioacuten activada para las vulnerabilidades encontradas Escanee continuamente partes de su software o del proceso de desarrollo de su sitio web asiacute como el proceso de pruebas para reforzar los parches de software las actualizaciones de software los nuevos dispositivos y cualquier cambio de configuracioacuten antes de introducirlos en su entorno de produccioacuten
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 20
Anexo A15 Relaciones con los proveedoresAcuerdos contractuales entre organizaciones y terceros
151 Seguridad de la informacioacuten en las relaciones con los proveedores Definir poliacuteticas procedimientos concienciacioacuten etc para proteger la informacioacuten accesible a los subcontratistas y proveedores externos a lo largo de la cadena de suministro acordada en los contratos o acuerdos
152 Gestioacuten de la prestacioacuten de servicios de los proveedores Supervisar la prestacioacuten de servicios por parte de los proveedores externos y revisarauditar los contratosacuerdos Controlar los cambios en el servicio
Anexo A16 Gestioacuten de incidentes de seguridad de la informacioacutenGestionar e informar de los incidentes de seguridad
161 Gestioacuten de los incidentes y mejoras de la seguridad de la informacioacuten Definir las responsabilidades y los procedimientos para gestionar (informar evaluar responder y aprender de) los eventos incidentes y debilidades de la seguridad de la informacioacuten de forma coherente y eficaz y recopilar pruebas forenses
USO DE RIDGEBOT QUE SE DEBE CUMPLIRbull Los informes del escaacutener de la prueba de penetracioacutenmdashque incluyen soluciones
recomendadas para cada vulnerabilidadmdashproporcionan informacioacuten criacutetica para su equipo de respuestaescalada de incidentes de seguridad o forense para asegurar el manejo oportuno y efectivo de todas las situaciones
bull Un escaneo forense (despueacutes de que haya ocurrido un incidente de seguridad) tambieacuten puede ayudar a determinar doacutende y coacutemo se perpetra una brecha
Anexo A17 Aspectos de la seguridad de la informacioacuten en la gestioacuten de la continuidad de las operacionesCrear un sistema eficaz para gestionar las interrupciones de los negocios
171 Continuidad de la seguridad de la informacioacuten Planificar implementar y revisar la continuidad de la seguridad de la informacioacuten como parte integral del sistema de gestioacuten de la continuidad del negocio
172 Redundancias Asegurar que las instalaciones de TI tengan suficiente redundancia para satisfacer los requisitos de disponibilidad
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 21
Anexo A18 CumplimientoIdentificar las leyes y reglamentos pertinentes Comprender los requisitos legales y contractuales para mitigar el riesgo de incumplimiento y las sanciones
181 Cumplimiento de los requisitos legales y contractuales Identificar y documentar las obligaciones para con las autoridades externas y otros terceros en relacioacuten con la seguridad de la informacioacuten incluida la propiedad intelectual los registros [comerciales] la informacioacuten de privacidadidentificacioacuten personal y la criptografiacutea
182 Exaacutemenes de la seguridad de la informacioacuten Revisar independientemente las disposiciones de seguridad de la informacioacuten (auditoriacutea) e informar a la administracioacuten Los directivos deben examinar el cumplimiento de las poliacuteticas y procedimientos de seguridad por parte de los empleados y los sistemas e iniciar medidas correctivas
USO DE RIDGEBOT QUE SE DEBE CUMPLIRbull Realice escaneos completos con la explotacioacuten activada para las vulnerabilidades
encontradas como parte regular de su poliacutetica y proceso para revisar que sus controles de seguridad son efectivos contra las uacuteltimas amenazas
bull El motor de explotacioacuten AIML incorporado de RidgeBot utiliza la base de conocimientos de teacutecnicas de ataque de RidgeSecurity liacuteder en la industria y asegura que sus activos esteacuten siempre reforzados con la inteligencia de vulnerabilidades maacutes actualizada
bull Los informes de exploracioacutenmdashque contienen las vulnerabilidades detectadas los exploits exitosos y los pasos correctivosmdashproporcionan documentacioacuten para una revisioacuten independiente o de gestioacuten de sus controles de seguridad y su eficacia Tambieacuten esbozan los pasos para la accioacuten correctiva
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 22
Perfil de la compantildeiacuteaRidge Security ofrece soluciones eacuteticas eficientes y accesibles para la prueba de penetracioacuten a empresas pequentildeas y grandes Nos aseguramos de que nuestros clientes se mantengan conformes alerta y seguros en todo momento en el mundo ciberneacutetico El equipo de administracioacuten tiene muchos antildeos de experiencia en redes y seguridad Ridge Security estaacute ubicada en el corazoacuten de Silicon Valley y se estaacute expandiendo a otras regiones como Ameacuterica Latina Asia y Europa
RidgeBot un sistema de pruebas de penetracioacuten roboacutetica automatizado por completo el proceso se prueba acoplando teacutecnicas de hacking eacutetico a los algoritmos de toma de decisiones Los RidgeBots localizan explotan y documentan los riesgos y vulnerabilidades empresariales descubiertos durante el proceso de prueba destacando el impacto o dantildeo potencial
Ridge Security Technology Incwwwridgesecurityai
copy 2020 Todos los derechos reservados Ridge Security Technology Inc RidgeBot es una marca registrada de Ridge Security Technology Inc
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 11
RidgeBot incluye varias plantillas de escaneado y la flexibilidad de personalizar completamente sus escaneos Las plantillas del sistema incluyen
bull Escaneo completo Esta prueba lanza numerosas teacutecnicas de ataques utilizadas por los hackers del mundo real Basaacutendose en la inteligencia de amenazas y en una base de conocimientos de explotacioacuten RidgeBot perfila los activos extrae las vulnerabilidades y lanza ataques contra los activos objetivo que pueden ser internos o externos a su entorno en un entorno privado o puacuteblico
bull Escaneo de contrasentildeas deacutebiles Esta prueba lanza ataques directos o iterativos basados en informacioacuten sensible recogida a traveacutes de credenciales deacutebiles o vulnerabilidades de acceso no autorizadas Los objetivos del ataque incluyen Redis Elasticsearch ActiveMQ base de datos acceso a la web y otras aplicaciones
bull Escaneo de Struts 2 Esta prueba lanza ataques directos o iterativos basados en vulnerabilidades conocidas de 1 diacutea o N diacuteas detectadas en los objetivos usando el marco de Struts 2
bull Escaneo Weblogic Esta prueba lanza ataques directos o iterativos basados en vulnerabilidades conocidas de 1 o N diacuteas detectadas en objetivos que utilizan el middleware de Weblogic
bull Escaneo web Esta prueba lanza ciberataques contra sitios web aplicaciones web y todas las superficies de ataque relacionadas para obtener el control del sitio web objetivo tanto para sitios web de desarrollo propio como para sitios web basados en sistemas de gestioacuten de contactos
bull Escaneo del host Esta prueba lanza ataques directos o iterativos desde el interior de una red corporativa para validar la respuesta del sistema de seguridad a una amenaza interna Los sistemas objetivo incluyen todos los hosts y servidores internos accesibles a la red
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 12
Implementacioacuten y certificacioacuten de la ISO 27001RidgeBot puede ayudar de muchas maneras con las siguientes etapas especiacuteficas de implementacioacuten desafiacuteos de implementacioacuten y mantenimiento continuo de la certificacioacuten auditoriacutea y revisioacuten de la norma ISO 27001
bull Identificacioacuten de activos La ISO 27001 requiere que se inventariacuteen varias clases de activos incluyendo registros digitales activos de TI aplicaciones de negocios y dispositivos moacuteviles
El descubrimiento automatizado de activos de RidgeBot puede ayudar a inventariar todos los activos mientras se prepara para una [re]certificacioacuten ISO 27001 Ademaacutes puede verificar que no haya nuevos dispositivos no planificados conectados a la infraestructura que introduce vulnerabilidades de manera continua Por ejemplo un atacante podriacutea establecer un punto de acceso inalaacutembrico no autorizado o instalar un dispositivo de IoT que permita el acceso remoto a la red interna
bull Evaluacioacuten de riesgos La norma ISO 27001 requiere que se realicen evaluaciones de riesgos con regularidad La norma establece que su proceso de evaluacioacuten de riesgos debe producir ldquoresultados consistentes vaacutelidos y comparablesrdquo las etapas de la evaluacioacuten de riesgos implican la identificacioacuten el anaacutelisis y la evaluacioacuten de los riesgos Ademaacutes la norma ISO 27001 establece que una vez identificados todos los riesgos cada uno de ellos debe ser evaluado individualmente en cuanto a la probabilidad de explotacioacuten el dantildeo que podriacutea ocurrir Se debe asignar un rango o puntuacioacuten a cada vulnerabilidad seguacuten los criterios de riesgo
La capacidad de prueba de penetracioacuten que tiene RidgeBot identifica analiza y evaluacutea todos los riesgos encontrados Ademaacutes explota los riesgos encontrados y proporciona medidas correctivas Los informes de escaneo proporcionan una clasificacioacuten lista de vulnerabilidades encontradas en base a la probabilidad de cada una de ellas de ser explotada incluidas las que fueron explotadas con eacutexito durante el ensayo Los informes tambieacuten proporcionan una evaluacioacuten con pasos granulares para remediar cada vulnerabilidad Los informes de exploracioacuten de RidgeBot proporcionan un vehiacuteculo para cumplir con el requisito de ldquoresultados consistentes vaacutelidos y comparablesrdquo de la norma ISO 27001
bull Plan de gestioacuten de riesgos La ISO 27001 establece que su Plan de Gestioacuten de Riesgos debe determinar los ldquomeacutetodos de control medicioacuten anaacutelisis y evaluacioacuten [] para asegurar resultados vaacutelidosrdquo La eficacia de aproximadamente la mitad de los controles enumerados en el Anexo A de la ISO 27001 soacutelo puede evaluarse suficientemente mediante pruebas de penetracioacuten
Las capacidades de la prueba de penetracioacuten totalmente automatizada de RidgeBot pueden ser ejecutadas de manera rentable tan frecuentemente como sea necesario en lugar de contratar a una empresa consultora para hacer una prueba de una uacutenica vez La paz y la tranquilidad estaacute asegurada de que sus activos estaacuten continuamente bloqueados Las nuevas vulnerabilidades se detectan inmediatamente despueacutesmdasho a menudo antesmdashde ser introducidas en su entorno de produccioacuten Su entorno empresarial siempre cumple con la norma ISO 27001 no soacutelo cuando se prepara para una auditoriacutea una revisioacuten o una recertificacioacuten
iquestCoacutemo puede RidgeBot ayudar
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 13
bull Documentacioacuten Un aspecto arduo de la implementacioacuten de un SGSI ISO 27001 es el desarrollo de la documentacioacuten de la Norma requerida expliacutecitamente
Los informes de exploracioacuten de RidgeBot (resultados de la misma repeticioacuten de exploracioacuten en un horario fijo) pueden ayudar a recopilar documentacioacuten ldquoconsistente vaacutelida y comparablerdquo de las vulnerabilidades encontradas la clasificacioacuten de la vulnerabilidad las explotaciones exitosas y las medidas de mitigacioacuten y correccioacuten que se tomen
bull Mejora continua a traveacutes de la medicioacuten el control y la revisioacuten Este aspecto de la ISO 27001 requiere que su SGSI sea continuamente analizado y revisado en cuanto a su desempentildeo efectividad cumplimiento e identificacioacuten de mejoras en los procesos
Los informes de exploracioacuten de RidgeBot que se realizan de forma continua o perioacutedica pueden ayudar a proporcionar informes y medidas correctivas recomendadas aportando las pruebas que la Norma requiere para demostrar que los riesgos se encuentran miden revisan y tratan adecuadamente
Un servicio de pruebas de penetracioacuten que compruebe regularmente los controles de la ISO 27001 y cuando sea necesario pruebe los cambios en la infraestructura de TI y de seguridad es una parte fundamental de cualquier proceso de mejora continua
RidgeBot ofrece este servicio a un precio muy econoacutemico Estaacute totalmente automatizado Los escaneos pueden ser programados tan a menudo como sea necesario (cumpliendo con el requisito de ldquoauditoriacutea internardquo ISO 27001) La salida de los escaneos de RidgeBot proporciona informes consistentes y comparables incluyendo mediciones cuantitativas (categoriacuteas y clasificaciones de vulnerabilidad) que demuestran la eficacia de su SGSI
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 14
ISO 27001 Anexo A Controles
El Anexo A de la norma ISO 27001 ofrece un breve resumen de los controles y dominios La norma ISO 27002 proporciona informacioacuten maacutes detallada para ayudar a la aplicacioacuten
A continuacioacuten se resume cada uno de los 14 dominios de la norma ISO 270012013 (y los controles dentro de ellos) Muchos controles se refieren a praacutecticas y procedimientos de gestioacuten humana Varios otros se refieren a los activos y la infraestructura de la tecnologiacutea de la informacioacuten En ellos se anotan las pruebas de penetracioacuten la clasificacioacuten de la vulnerabilidad la explotacioacuten de la vulnerabilidad asistida por IAML de RidgeBot y los pasos de reparacioacuten comunicados para ayudar a implementar y cumplir el control de la norma ISO 27001
Anexo A5 Poliacuteticas de seguridad de la informacioacutenAsegurarse de que las poliacuteticas se redacten y revisen de acuerdo con las praacutecticas de seguridad de la informacioacuten de la organizacioacuten
51 Direccioacuten de la gestioacuten de la seguridad de la informacioacuten Definir un conjunto de poliacuteticas para aclarar la direccioacuten de la gestioacuten y el apoyo a la seguridad de la informacioacuten
Anexo A6 Organizacioacuten de la seguridad de la informacioacutenAsignacioacuten de responsabilidades para tareas especiacuteficas
61 Organizacioacuten interna Establecer las funciones y responsabilidades en materia de seguridad de la informacioacuten y asignarlas a las personas
62 Dispositivos moacuteviles y teletrabajo Establecer poliacuteticas y controles de seguridad para los dispositivos moacuteviles y el teletrabajo Asegurarse de que toda persona que trabaje desde su casa o en movimiento siga las praacutecticas adecuadas
Anexo A7 Seguridad de los recursos humanosAsegurarse de que los empleados y contratistas potenciales actuales y pasados entiendan sus responsabilidades en materia de seguridad de la informacioacuten
71 Antes del empleo Las responsabilidades en materia de seguridad de la informacioacuten deben tenerse en cuenta al contratar a empleados permanentes contratistas y personal temporal e incluirse en los contratos
72 Durante el empleo Asegurarse de que los empleados y contratistas conozcan las obligaciones en materia de seguridad de la informacioacuten y esteacuten motivados para cumplirlas incluido un proceso disciplinario
73 Terminacioacuten y cambio de empleo Deben gestionarse los aspectos de seguridad de la salida o el cambio de funcioacuten de una persona como la devolucioacuten de la informacioacuten y el equipo de la empresa y actualizando los derechos de acceso
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 15
Anexo A8 Gestioacuten de activosIdentificar los activos de informacioacuten y definir las responsabilidades de proteccioacuten adecuadas
81 Responsabilidad por los activos Hacer un inventario de todos los activos de informacioacuten e identificar a los propietarios responsables de su seguridad
82 Clasificacioacuten de la informacioacuten Clasificar y etiquetar la informacioacuten de acuerdo con la proteccioacuten de seguridad necesaria y manejarla adecuadamente
83 Manejo de los medios de comunicacioacuten Los medios de almacenamiento de informacioacuten deben ser administrados controlados trasladados y eliminados sin comprometer el contenido de la informacioacuten
USO DE RIDGEBOT QUE SE DEBE CUMPLIRbull Ejecute una exploracioacuten de descubrimiento de activos para identificar y documentar todos los
activos y superficies de ataque Al ejecutar este escaneo se descubre y documenta cualquier cambio en la presencia de los activos que deben ser incluidos en el inventario
Anexo A9 Control de accesoAsegurarse de que los empleados soacutelo puedan ver la informacioacuten relevante para su trabajo
91 Requisitos empresariales de control de acceso Controlar el acceso a los activos de informacioacuten documentados en la poliacutetica y los procedimientos de control Restringir el acceso y las conexiones a la red
92 Gestioacuten del acceso de los usuarios Controlar los derechos de acceso de los usuarios desde el registro inicial del usuario hasta la eliminacioacuten de los derechos cuando ya no sean necesarios Revisar y actualizar perioacutedicamente los derechos de acceso
93 Responsabilidades de los usuarios Los usuarios deben ser conscientes de sus responsabilidades en lo que respecta al mantenimiento de controles de acceso eficaces como contrasentildeas soacutelidas y confidencialidad
94 Control de acceso al sistema y a las aplicaciones Restringir el acceso a la informacioacuten de acuerdo con la poliacutetica de control de acceso como la gestioacuten segura de los nombres de usuario y las contrasentildeas
USO DE RIDGEBOT QUE SE DEBE CUMPLIRbull Ejecutar un escaneo de contrasentildeas deacutebiles contra todos los activos para documentar y
resolver las vulnerabilidades de las credenciales de acceso
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 16
Anexo A10 CriptografiacuteaCifrado de datos y manejo de informacioacuten sensible
101 Controles criptograacuteficos Establecer y mantener una poliacutetica sobre el uso del cifrado la autenticacioacuten criptograacutefica y los controles de integridad como las firmas digitales los coacutedigos de autenticacioacuten de los mensajes y la gestioacuten de las claves criptograacuteficas
USO DE RIDGEBOT QUE SE DEBE CUMPLIR bull Asegurarse de que una exploracioacuten dirigida especiacuteficamente a las vulnerabilidades
relacionadas con el cifrado forma parte de la poliacutetica de controles criptograacuteficos
Anexo A11 Seguridad fiacutesica y ambientalEvitar el acceso fiacutesico no autorizado el dantildeo o la interferencia en las instalaciones el equipo o la informacioacuten sensible de la organizacioacuten
111 Aacutereas seguras Definir periacutemetros fiacutesicos y barreras con controles de entrada fiacutesica proteger los locales oficinas salas aacutereas de entregacarga etc contra el acceso no autorizado
112 Equipo Asegurar y mantener el equipo informaacutetico y de informacioacuten asiacute como los servicios de apoyo (como la electricidad y el aire acondicionado) y el cableado
USO DE RIDGEBOT QUE SE DEBE CUMPLIR bull Ejecute un escaneo de acceso para asegurarse de que todos los sistemas o dispositivos
utilizados para controlar registrar o vigilar la entrada fiacutesica a los locales esteacuten seguros contra credenciales deacutebiles u otras vulnerabilidades de softwaremalware Los hackers pueden permitir el acceso fiacutesico (en lugar de denegarlo) o borrar o alterar los registros la videovigilancia o la informacioacuten de la pista de auditoriacutea
bull Las pruebas de penetracioacuten pueden revelar los puntos deacutebiles de los procesos de seguridad fiacutesica que podriacutean conceder a un atacante el acceso a sistemas o aacutereas seguras
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 17
Anexo A12 Seguridad de las operacionesAsegurarse de que las instalaciones de procesamiento de informacioacuten sean seguras
121 Procedimientos y responsabilidades operacionales Documentar las responsabilidades y procedimientos operativos de la TI controlar los cambios en las instalaciones y sistemas de TI gestionar la capacidad y el rendimiento separar el desarrollo las pruebas y los sistemas operativos
122 Proteccioacuten contra el malware Se requieren controles de malware incluyendo la concienciacioacuten de los usuarios
123 Copias de seguridad Realizar y conservar copias de seguridad adecuadas de conformidad con la poliacutetica de copias de seguridad
124 Registro y supervisioacuten Proteger y registrar las actividades de los usuarios y los administradoresoperadores del sistema las excepciones los fallos y los eventos de seguridad de la informacioacuten Sincronizar los relojes
125 Control del software operativo Controlar la instalacioacuten de programas informaacuteticos en los sistemas operacionales
126 Gestioacuten de la vulnerabilidad teacutecnica Parchear las vulnerabilidades y garantizar que se establezcan normas que rijan la instalacioacuten del software de usuario
127 Consideraciones sobre la auditoriacutea de los sistemas de informacioacuten Planificar y controlar las auditoriacuteas de los sistemas de informacioacuten para reducir al miacutenimo los efectos adversos en los sistemas de produccioacuten o el acceso inapropiado a los datos
USO DE RIDGEBOT QUE SE DEBE CUMPLIRbull Ejecute un anaacutelisis de la prueba de penetracioacuten para asegurarse de que todos los activos
estaacuten seguros contra credenciales deacutebiles u otras vulnerabilidades de softwaremalware donde los hackers pueden obtener acceso no autorizado
bull Ejecute un escaneo para asegurarse de que todos los sistemas o dispositivos utilizados para registrar eventos y actividades estaacuten seguros de credenciales deacutebiles u otras vulnerabilidades de softwaremalware Aacutereas en las que los hackers pueden obtener acceso para borrar o alterar los registros la vigilancia por viacutedeo o la informacioacuten de seguimiento de auditoriacutea
bull Ejecute escaneos completos con la explotacioacuten activada para las vulnerabilidades encontradas como parte regular de su poliacuteticaproceso para endurecer los parches de software actualizaciones de software nuevos dispositivos y cualquier cambio de configuracioacuten antes de empujarlos en vivo al entorno de produccioacuten
bull Los informes de exploracioacuten (que contienen las vulnerabilidades detectadas enumeradas los exploits exitosos y las medidas correctivas) abordan el requisito de la Norma de detectar las vulnerabilidades teacutecnicas emergentes de manera estructurada y sistemaacutetica
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 18
Anexo A13 Seguridad de las comunicacionesProteger la informacioacuten en las redes
131 Gestioacuten de la seguridad de las redes Garantizar la seguridad de las redes y los servicios de red por ejemplo mediante la segregacioacuten
132 Transferencia de informacioacuten Garantizar que se apliquen poliacuteticas procedimientos y acuerdos (como los acuerdos de no divulgacioacuten) relativos a la transferencia de informacioacuten ade terceros incluida la mensajeriacutea electroacutenica
USO DE RIDGEBOT QUE SE DEBE CUMPLIR bull Realice una prueba de penetracioacuten para asegurarse de que todos los activos que participan
en la transferencia de informacioacuten y los sistemas de mensajeriacutea electroacutenica estaacuten a salvo de credenciales deacutebiles u otras vulnerabilidades de softwaremalware en las que los piratas informaacuteticos pueden obtener acceso no autorizado
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 19
Anexo A14 Adquisicioacuten desarrollo y mantenimiento de sistemasGarantizar la seguridad de la informacioacuten sigue siendo una parte central de los procesos a lo largo de todo el ciclo de vida de los sistemas internos asiacute como de los servicios prestados a traveacutes de redes puacuteblicas
141 Requisitos de seguridad de los sistemas de informacioacuten Los requisitos de control de seguridad deben ser analizados y especificados incluyendo las aplicaciones web y las transacciones
142 Seguridad en los procesos de desarrollo y apoyo Definir como poliacutetica las normas que rigen el desarrollo de softwaresistemas seguros Se pueden controlar los cambios en ambas aplicaciones y sistemas operativos Asegurar el entorno de desarrollo asiacute como la seguridad de los sistemas de pruebas de desarrollo subcontratados en funcioacuten de criterios de aceptacioacuten definidos por la seguridad
143 Datos de prueba Los datos de las pruebas deben seleccionarse generarse y controlarse cuidadosamente
USO DE RIDGEBOT QUE SE DEBE CUMPLIR bull Realice una prueba de penetracioacuten contra los sistemas internos asiacute como contra cualquier
proveedor o nube de activos y servicios
bull Ejecutar un escaneo completo con la explotacioacuten activada para las vulnerabilidades encontradas como parte regular del desarrollo de software validacioacuten de software y procesos y procedimientos de control de cambios
bull Ejecute un escaneo de acceso para asegurar que existen controles de acceso apropiados para separar sus entornos de desarrolloprueba de software de los entornos de produccioacuten
bull Ejecute escaneos completos con la explotacioacuten activada para las vulnerabilidades encontradas como una parte regular de su poliacutetica y proceso para endurecer el nuevo software durante el proceso de desarrollo de software
bull Ejecute escaneos continuos con la explotacioacuten activada para las vulnerabilidades encontradas Escanee continuamente partes de su software o del proceso de desarrollo de su sitio web asiacute como el proceso de pruebas para reforzar los parches de software las actualizaciones de software los nuevos dispositivos y cualquier cambio de configuracioacuten antes de introducirlos en su entorno de produccioacuten
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 20
Anexo A15 Relaciones con los proveedoresAcuerdos contractuales entre organizaciones y terceros
151 Seguridad de la informacioacuten en las relaciones con los proveedores Definir poliacuteticas procedimientos concienciacioacuten etc para proteger la informacioacuten accesible a los subcontratistas y proveedores externos a lo largo de la cadena de suministro acordada en los contratos o acuerdos
152 Gestioacuten de la prestacioacuten de servicios de los proveedores Supervisar la prestacioacuten de servicios por parte de los proveedores externos y revisarauditar los contratosacuerdos Controlar los cambios en el servicio
Anexo A16 Gestioacuten de incidentes de seguridad de la informacioacutenGestionar e informar de los incidentes de seguridad
161 Gestioacuten de los incidentes y mejoras de la seguridad de la informacioacuten Definir las responsabilidades y los procedimientos para gestionar (informar evaluar responder y aprender de) los eventos incidentes y debilidades de la seguridad de la informacioacuten de forma coherente y eficaz y recopilar pruebas forenses
USO DE RIDGEBOT QUE SE DEBE CUMPLIRbull Los informes del escaacutener de la prueba de penetracioacutenmdashque incluyen soluciones
recomendadas para cada vulnerabilidadmdashproporcionan informacioacuten criacutetica para su equipo de respuestaescalada de incidentes de seguridad o forense para asegurar el manejo oportuno y efectivo de todas las situaciones
bull Un escaneo forense (despueacutes de que haya ocurrido un incidente de seguridad) tambieacuten puede ayudar a determinar doacutende y coacutemo se perpetra una brecha
Anexo A17 Aspectos de la seguridad de la informacioacuten en la gestioacuten de la continuidad de las operacionesCrear un sistema eficaz para gestionar las interrupciones de los negocios
171 Continuidad de la seguridad de la informacioacuten Planificar implementar y revisar la continuidad de la seguridad de la informacioacuten como parte integral del sistema de gestioacuten de la continuidad del negocio
172 Redundancias Asegurar que las instalaciones de TI tengan suficiente redundancia para satisfacer los requisitos de disponibilidad
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 21
Anexo A18 CumplimientoIdentificar las leyes y reglamentos pertinentes Comprender los requisitos legales y contractuales para mitigar el riesgo de incumplimiento y las sanciones
181 Cumplimiento de los requisitos legales y contractuales Identificar y documentar las obligaciones para con las autoridades externas y otros terceros en relacioacuten con la seguridad de la informacioacuten incluida la propiedad intelectual los registros [comerciales] la informacioacuten de privacidadidentificacioacuten personal y la criptografiacutea
182 Exaacutemenes de la seguridad de la informacioacuten Revisar independientemente las disposiciones de seguridad de la informacioacuten (auditoriacutea) e informar a la administracioacuten Los directivos deben examinar el cumplimiento de las poliacuteticas y procedimientos de seguridad por parte de los empleados y los sistemas e iniciar medidas correctivas
USO DE RIDGEBOT QUE SE DEBE CUMPLIRbull Realice escaneos completos con la explotacioacuten activada para las vulnerabilidades
encontradas como parte regular de su poliacutetica y proceso para revisar que sus controles de seguridad son efectivos contra las uacuteltimas amenazas
bull El motor de explotacioacuten AIML incorporado de RidgeBot utiliza la base de conocimientos de teacutecnicas de ataque de RidgeSecurity liacuteder en la industria y asegura que sus activos esteacuten siempre reforzados con la inteligencia de vulnerabilidades maacutes actualizada
bull Los informes de exploracioacutenmdashque contienen las vulnerabilidades detectadas los exploits exitosos y los pasos correctivosmdashproporcionan documentacioacuten para una revisioacuten independiente o de gestioacuten de sus controles de seguridad y su eficacia Tambieacuten esbozan los pasos para la accioacuten correctiva
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 22
Perfil de la compantildeiacuteaRidge Security ofrece soluciones eacuteticas eficientes y accesibles para la prueba de penetracioacuten a empresas pequentildeas y grandes Nos aseguramos de que nuestros clientes se mantengan conformes alerta y seguros en todo momento en el mundo ciberneacutetico El equipo de administracioacuten tiene muchos antildeos de experiencia en redes y seguridad Ridge Security estaacute ubicada en el corazoacuten de Silicon Valley y se estaacute expandiendo a otras regiones como Ameacuterica Latina Asia y Europa
RidgeBot un sistema de pruebas de penetracioacuten roboacutetica automatizado por completo el proceso se prueba acoplando teacutecnicas de hacking eacutetico a los algoritmos de toma de decisiones Los RidgeBots localizan explotan y documentan los riesgos y vulnerabilidades empresariales descubiertos durante el proceso de prueba destacando el impacto o dantildeo potencial
Ridge Security Technology Incwwwridgesecurityai
copy 2020 Todos los derechos reservados Ridge Security Technology Inc RidgeBot es una marca registrada de Ridge Security Technology Inc
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 12
Implementacioacuten y certificacioacuten de la ISO 27001RidgeBot puede ayudar de muchas maneras con las siguientes etapas especiacuteficas de implementacioacuten desafiacuteos de implementacioacuten y mantenimiento continuo de la certificacioacuten auditoriacutea y revisioacuten de la norma ISO 27001
bull Identificacioacuten de activos La ISO 27001 requiere que se inventariacuteen varias clases de activos incluyendo registros digitales activos de TI aplicaciones de negocios y dispositivos moacuteviles
El descubrimiento automatizado de activos de RidgeBot puede ayudar a inventariar todos los activos mientras se prepara para una [re]certificacioacuten ISO 27001 Ademaacutes puede verificar que no haya nuevos dispositivos no planificados conectados a la infraestructura que introduce vulnerabilidades de manera continua Por ejemplo un atacante podriacutea establecer un punto de acceso inalaacutembrico no autorizado o instalar un dispositivo de IoT que permita el acceso remoto a la red interna
bull Evaluacioacuten de riesgos La norma ISO 27001 requiere que se realicen evaluaciones de riesgos con regularidad La norma establece que su proceso de evaluacioacuten de riesgos debe producir ldquoresultados consistentes vaacutelidos y comparablesrdquo las etapas de la evaluacioacuten de riesgos implican la identificacioacuten el anaacutelisis y la evaluacioacuten de los riesgos Ademaacutes la norma ISO 27001 establece que una vez identificados todos los riesgos cada uno de ellos debe ser evaluado individualmente en cuanto a la probabilidad de explotacioacuten el dantildeo que podriacutea ocurrir Se debe asignar un rango o puntuacioacuten a cada vulnerabilidad seguacuten los criterios de riesgo
La capacidad de prueba de penetracioacuten que tiene RidgeBot identifica analiza y evaluacutea todos los riesgos encontrados Ademaacutes explota los riesgos encontrados y proporciona medidas correctivas Los informes de escaneo proporcionan una clasificacioacuten lista de vulnerabilidades encontradas en base a la probabilidad de cada una de ellas de ser explotada incluidas las que fueron explotadas con eacutexito durante el ensayo Los informes tambieacuten proporcionan una evaluacioacuten con pasos granulares para remediar cada vulnerabilidad Los informes de exploracioacuten de RidgeBot proporcionan un vehiacuteculo para cumplir con el requisito de ldquoresultados consistentes vaacutelidos y comparablesrdquo de la norma ISO 27001
bull Plan de gestioacuten de riesgos La ISO 27001 establece que su Plan de Gestioacuten de Riesgos debe determinar los ldquomeacutetodos de control medicioacuten anaacutelisis y evaluacioacuten [] para asegurar resultados vaacutelidosrdquo La eficacia de aproximadamente la mitad de los controles enumerados en el Anexo A de la ISO 27001 soacutelo puede evaluarse suficientemente mediante pruebas de penetracioacuten
Las capacidades de la prueba de penetracioacuten totalmente automatizada de RidgeBot pueden ser ejecutadas de manera rentable tan frecuentemente como sea necesario en lugar de contratar a una empresa consultora para hacer una prueba de una uacutenica vez La paz y la tranquilidad estaacute asegurada de que sus activos estaacuten continuamente bloqueados Las nuevas vulnerabilidades se detectan inmediatamente despueacutesmdasho a menudo antesmdashde ser introducidas en su entorno de produccioacuten Su entorno empresarial siempre cumple con la norma ISO 27001 no soacutelo cuando se prepara para una auditoriacutea una revisioacuten o una recertificacioacuten
iquestCoacutemo puede RidgeBot ayudar
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 13
bull Documentacioacuten Un aspecto arduo de la implementacioacuten de un SGSI ISO 27001 es el desarrollo de la documentacioacuten de la Norma requerida expliacutecitamente
Los informes de exploracioacuten de RidgeBot (resultados de la misma repeticioacuten de exploracioacuten en un horario fijo) pueden ayudar a recopilar documentacioacuten ldquoconsistente vaacutelida y comparablerdquo de las vulnerabilidades encontradas la clasificacioacuten de la vulnerabilidad las explotaciones exitosas y las medidas de mitigacioacuten y correccioacuten que se tomen
bull Mejora continua a traveacutes de la medicioacuten el control y la revisioacuten Este aspecto de la ISO 27001 requiere que su SGSI sea continuamente analizado y revisado en cuanto a su desempentildeo efectividad cumplimiento e identificacioacuten de mejoras en los procesos
Los informes de exploracioacuten de RidgeBot que se realizan de forma continua o perioacutedica pueden ayudar a proporcionar informes y medidas correctivas recomendadas aportando las pruebas que la Norma requiere para demostrar que los riesgos se encuentran miden revisan y tratan adecuadamente
Un servicio de pruebas de penetracioacuten que compruebe regularmente los controles de la ISO 27001 y cuando sea necesario pruebe los cambios en la infraestructura de TI y de seguridad es una parte fundamental de cualquier proceso de mejora continua
RidgeBot ofrece este servicio a un precio muy econoacutemico Estaacute totalmente automatizado Los escaneos pueden ser programados tan a menudo como sea necesario (cumpliendo con el requisito de ldquoauditoriacutea internardquo ISO 27001) La salida de los escaneos de RidgeBot proporciona informes consistentes y comparables incluyendo mediciones cuantitativas (categoriacuteas y clasificaciones de vulnerabilidad) que demuestran la eficacia de su SGSI
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 14
ISO 27001 Anexo A Controles
El Anexo A de la norma ISO 27001 ofrece un breve resumen de los controles y dominios La norma ISO 27002 proporciona informacioacuten maacutes detallada para ayudar a la aplicacioacuten
A continuacioacuten se resume cada uno de los 14 dominios de la norma ISO 270012013 (y los controles dentro de ellos) Muchos controles se refieren a praacutecticas y procedimientos de gestioacuten humana Varios otros se refieren a los activos y la infraestructura de la tecnologiacutea de la informacioacuten En ellos se anotan las pruebas de penetracioacuten la clasificacioacuten de la vulnerabilidad la explotacioacuten de la vulnerabilidad asistida por IAML de RidgeBot y los pasos de reparacioacuten comunicados para ayudar a implementar y cumplir el control de la norma ISO 27001
Anexo A5 Poliacuteticas de seguridad de la informacioacutenAsegurarse de que las poliacuteticas se redacten y revisen de acuerdo con las praacutecticas de seguridad de la informacioacuten de la organizacioacuten
51 Direccioacuten de la gestioacuten de la seguridad de la informacioacuten Definir un conjunto de poliacuteticas para aclarar la direccioacuten de la gestioacuten y el apoyo a la seguridad de la informacioacuten
Anexo A6 Organizacioacuten de la seguridad de la informacioacutenAsignacioacuten de responsabilidades para tareas especiacuteficas
61 Organizacioacuten interna Establecer las funciones y responsabilidades en materia de seguridad de la informacioacuten y asignarlas a las personas
62 Dispositivos moacuteviles y teletrabajo Establecer poliacuteticas y controles de seguridad para los dispositivos moacuteviles y el teletrabajo Asegurarse de que toda persona que trabaje desde su casa o en movimiento siga las praacutecticas adecuadas
Anexo A7 Seguridad de los recursos humanosAsegurarse de que los empleados y contratistas potenciales actuales y pasados entiendan sus responsabilidades en materia de seguridad de la informacioacuten
71 Antes del empleo Las responsabilidades en materia de seguridad de la informacioacuten deben tenerse en cuenta al contratar a empleados permanentes contratistas y personal temporal e incluirse en los contratos
72 Durante el empleo Asegurarse de que los empleados y contratistas conozcan las obligaciones en materia de seguridad de la informacioacuten y esteacuten motivados para cumplirlas incluido un proceso disciplinario
73 Terminacioacuten y cambio de empleo Deben gestionarse los aspectos de seguridad de la salida o el cambio de funcioacuten de una persona como la devolucioacuten de la informacioacuten y el equipo de la empresa y actualizando los derechos de acceso
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 15
Anexo A8 Gestioacuten de activosIdentificar los activos de informacioacuten y definir las responsabilidades de proteccioacuten adecuadas
81 Responsabilidad por los activos Hacer un inventario de todos los activos de informacioacuten e identificar a los propietarios responsables de su seguridad
82 Clasificacioacuten de la informacioacuten Clasificar y etiquetar la informacioacuten de acuerdo con la proteccioacuten de seguridad necesaria y manejarla adecuadamente
83 Manejo de los medios de comunicacioacuten Los medios de almacenamiento de informacioacuten deben ser administrados controlados trasladados y eliminados sin comprometer el contenido de la informacioacuten
USO DE RIDGEBOT QUE SE DEBE CUMPLIRbull Ejecute una exploracioacuten de descubrimiento de activos para identificar y documentar todos los
activos y superficies de ataque Al ejecutar este escaneo se descubre y documenta cualquier cambio en la presencia de los activos que deben ser incluidos en el inventario
Anexo A9 Control de accesoAsegurarse de que los empleados soacutelo puedan ver la informacioacuten relevante para su trabajo
91 Requisitos empresariales de control de acceso Controlar el acceso a los activos de informacioacuten documentados en la poliacutetica y los procedimientos de control Restringir el acceso y las conexiones a la red
92 Gestioacuten del acceso de los usuarios Controlar los derechos de acceso de los usuarios desde el registro inicial del usuario hasta la eliminacioacuten de los derechos cuando ya no sean necesarios Revisar y actualizar perioacutedicamente los derechos de acceso
93 Responsabilidades de los usuarios Los usuarios deben ser conscientes de sus responsabilidades en lo que respecta al mantenimiento de controles de acceso eficaces como contrasentildeas soacutelidas y confidencialidad
94 Control de acceso al sistema y a las aplicaciones Restringir el acceso a la informacioacuten de acuerdo con la poliacutetica de control de acceso como la gestioacuten segura de los nombres de usuario y las contrasentildeas
USO DE RIDGEBOT QUE SE DEBE CUMPLIRbull Ejecutar un escaneo de contrasentildeas deacutebiles contra todos los activos para documentar y
resolver las vulnerabilidades de las credenciales de acceso
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 16
Anexo A10 CriptografiacuteaCifrado de datos y manejo de informacioacuten sensible
101 Controles criptograacuteficos Establecer y mantener una poliacutetica sobre el uso del cifrado la autenticacioacuten criptograacutefica y los controles de integridad como las firmas digitales los coacutedigos de autenticacioacuten de los mensajes y la gestioacuten de las claves criptograacuteficas
USO DE RIDGEBOT QUE SE DEBE CUMPLIR bull Asegurarse de que una exploracioacuten dirigida especiacuteficamente a las vulnerabilidades
relacionadas con el cifrado forma parte de la poliacutetica de controles criptograacuteficos
Anexo A11 Seguridad fiacutesica y ambientalEvitar el acceso fiacutesico no autorizado el dantildeo o la interferencia en las instalaciones el equipo o la informacioacuten sensible de la organizacioacuten
111 Aacutereas seguras Definir periacutemetros fiacutesicos y barreras con controles de entrada fiacutesica proteger los locales oficinas salas aacutereas de entregacarga etc contra el acceso no autorizado
112 Equipo Asegurar y mantener el equipo informaacutetico y de informacioacuten asiacute como los servicios de apoyo (como la electricidad y el aire acondicionado) y el cableado
USO DE RIDGEBOT QUE SE DEBE CUMPLIR bull Ejecute un escaneo de acceso para asegurarse de que todos los sistemas o dispositivos
utilizados para controlar registrar o vigilar la entrada fiacutesica a los locales esteacuten seguros contra credenciales deacutebiles u otras vulnerabilidades de softwaremalware Los hackers pueden permitir el acceso fiacutesico (en lugar de denegarlo) o borrar o alterar los registros la videovigilancia o la informacioacuten de la pista de auditoriacutea
bull Las pruebas de penetracioacuten pueden revelar los puntos deacutebiles de los procesos de seguridad fiacutesica que podriacutean conceder a un atacante el acceso a sistemas o aacutereas seguras
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 17
Anexo A12 Seguridad de las operacionesAsegurarse de que las instalaciones de procesamiento de informacioacuten sean seguras
121 Procedimientos y responsabilidades operacionales Documentar las responsabilidades y procedimientos operativos de la TI controlar los cambios en las instalaciones y sistemas de TI gestionar la capacidad y el rendimiento separar el desarrollo las pruebas y los sistemas operativos
122 Proteccioacuten contra el malware Se requieren controles de malware incluyendo la concienciacioacuten de los usuarios
123 Copias de seguridad Realizar y conservar copias de seguridad adecuadas de conformidad con la poliacutetica de copias de seguridad
124 Registro y supervisioacuten Proteger y registrar las actividades de los usuarios y los administradoresoperadores del sistema las excepciones los fallos y los eventos de seguridad de la informacioacuten Sincronizar los relojes
125 Control del software operativo Controlar la instalacioacuten de programas informaacuteticos en los sistemas operacionales
126 Gestioacuten de la vulnerabilidad teacutecnica Parchear las vulnerabilidades y garantizar que se establezcan normas que rijan la instalacioacuten del software de usuario
127 Consideraciones sobre la auditoriacutea de los sistemas de informacioacuten Planificar y controlar las auditoriacuteas de los sistemas de informacioacuten para reducir al miacutenimo los efectos adversos en los sistemas de produccioacuten o el acceso inapropiado a los datos
USO DE RIDGEBOT QUE SE DEBE CUMPLIRbull Ejecute un anaacutelisis de la prueba de penetracioacuten para asegurarse de que todos los activos
estaacuten seguros contra credenciales deacutebiles u otras vulnerabilidades de softwaremalware donde los hackers pueden obtener acceso no autorizado
bull Ejecute un escaneo para asegurarse de que todos los sistemas o dispositivos utilizados para registrar eventos y actividades estaacuten seguros de credenciales deacutebiles u otras vulnerabilidades de softwaremalware Aacutereas en las que los hackers pueden obtener acceso para borrar o alterar los registros la vigilancia por viacutedeo o la informacioacuten de seguimiento de auditoriacutea
bull Ejecute escaneos completos con la explotacioacuten activada para las vulnerabilidades encontradas como parte regular de su poliacuteticaproceso para endurecer los parches de software actualizaciones de software nuevos dispositivos y cualquier cambio de configuracioacuten antes de empujarlos en vivo al entorno de produccioacuten
bull Los informes de exploracioacuten (que contienen las vulnerabilidades detectadas enumeradas los exploits exitosos y las medidas correctivas) abordan el requisito de la Norma de detectar las vulnerabilidades teacutecnicas emergentes de manera estructurada y sistemaacutetica
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 18
Anexo A13 Seguridad de las comunicacionesProteger la informacioacuten en las redes
131 Gestioacuten de la seguridad de las redes Garantizar la seguridad de las redes y los servicios de red por ejemplo mediante la segregacioacuten
132 Transferencia de informacioacuten Garantizar que se apliquen poliacuteticas procedimientos y acuerdos (como los acuerdos de no divulgacioacuten) relativos a la transferencia de informacioacuten ade terceros incluida la mensajeriacutea electroacutenica
USO DE RIDGEBOT QUE SE DEBE CUMPLIR bull Realice una prueba de penetracioacuten para asegurarse de que todos los activos que participan
en la transferencia de informacioacuten y los sistemas de mensajeriacutea electroacutenica estaacuten a salvo de credenciales deacutebiles u otras vulnerabilidades de softwaremalware en las que los piratas informaacuteticos pueden obtener acceso no autorizado
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 19
Anexo A14 Adquisicioacuten desarrollo y mantenimiento de sistemasGarantizar la seguridad de la informacioacuten sigue siendo una parte central de los procesos a lo largo de todo el ciclo de vida de los sistemas internos asiacute como de los servicios prestados a traveacutes de redes puacuteblicas
141 Requisitos de seguridad de los sistemas de informacioacuten Los requisitos de control de seguridad deben ser analizados y especificados incluyendo las aplicaciones web y las transacciones
142 Seguridad en los procesos de desarrollo y apoyo Definir como poliacutetica las normas que rigen el desarrollo de softwaresistemas seguros Se pueden controlar los cambios en ambas aplicaciones y sistemas operativos Asegurar el entorno de desarrollo asiacute como la seguridad de los sistemas de pruebas de desarrollo subcontratados en funcioacuten de criterios de aceptacioacuten definidos por la seguridad
143 Datos de prueba Los datos de las pruebas deben seleccionarse generarse y controlarse cuidadosamente
USO DE RIDGEBOT QUE SE DEBE CUMPLIR bull Realice una prueba de penetracioacuten contra los sistemas internos asiacute como contra cualquier
proveedor o nube de activos y servicios
bull Ejecutar un escaneo completo con la explotacioacuten activada para las vulnerabilidades encontradas como parte regular del desarrollo de software validacioacuten de software y procesos y procedimientos de control de cambios
bull Ejecute un escaneo de acceso para asegurar que existen controles de acceso apropiados para separar sus entornos de desarrolloprueba de software de los entornos de produccioacuten
bull Ejecute escaneos completos con la explotacioacuten activada para las vulnerabilidades encontradas como una parte regular de su poliacutetica y proceso para endurecer el nuevo software durante el proceso de desarrollo de software
bull Ejecute escaneos continuos con la explotacioacuten activada para las vulnerabilidades encontradas Escanee continuamente partes de su software o del proceso de desarrollo de su sitio web asiacute como el proceso de pruebas para reforzar los parches de software las actualizaciones de software los nuevos dispositivos y cualquier cambio de configuracioacuten antes de introducirlos en su entorno de produccioacuten
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 20
Anexo A15 Relaciones con los proveedoresAcuerdos contractuales entre organizaciones y terceros
151 Seguridad de la informacioacuten en las relaciones con los proveedores Definir poliacuteticas procedimientos concienciacioacuten etc para proteger la informacioacuten accesible a los subcontratistas y proveedores externos a lo largo de la cadena de suministro acordada en los contratos o acuerdos
152 Gestioacuten de la prestacioacuten de servicios de los proveedores Supervisar la prestacioacuten de servicios por parte de los proveedores externos y revisarauditar los contratosacuerdos Controlar los cambios en el servicio
Anexo A16 Gestioacuten de incidentes de seguridad de la informacioacutenGestionar e informar de los incidentes de seguridad
161 Gestioacuten de los incidentes y mejoras de la seguridad de la informacioacuten Definir las responsabilidades y los procedimientos para gestionar (informar evaluar responder y aprender de) los eventos incidentes y debilidades de la seguridad de la informacioacuten de forma coherente y eficaz y recopilar pruebas forenses
USO DE RIDGEBOT QUE SE DEBE CUMPLIRbull Los informes del escaacutener de la prueba de penetracioacutenmdashque incluyen soluciones
recomendadas para cada vulnerabilidadmdashproporcionan informacioacuten criacutetica para su equipo de respuestaescalada de incidentes de seguridad o forense para asegurar el manejo oportuno y efectivo de todas las situaciones
bull Un escaneo forense (despueacutes de que haya ocurrido un incidente de seguridad) tambieacuten puede ayudar a determinar doacutende y coacutemo se perpetra una brecha
Anexo A17 Aspectos de la seguridad de la informacioacuten en la gestioacuten de la continuidad de las operacionesCrear un sistema eficaz para gestionar las interrupciones de los negocios
171 Continuidad de la seguridad de la informacioacuten Planificar implementar y revisar la continuidad de la seguridad de la informacioacuten como parte integral del sistema de gestioacuten de la continuidad del negocio
172 Redundancias Asegurar que las instalaciones de TI tengan suficiente redundancia para satisfacer los requisitos de disponibilidad
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 21
Anexo A18 CumplimientoIdentificar las leyes y reglamentos pertinentes Comprender los requisitos legales y contractuales para mitigar el riesgo de incumplimiento y las sanciones
181 Cumplimiento de los requisitos legales y contractuales Identificar y documentar las obligaciones para con las autoridades externas y otros terceros en relacioacuten con la seguridad de la informacioacuten incluida la propiedad intelectual los registros [comerciales] la informacioacuten de privacidadidentificacioacuten personal y la criptografiacutea
182 Exaacutemenes de la seguridad de la informacioacuten Revisar independientemente las disposiciones de seguridad de la informacioacuten (auditoriacutea) e informar a la administracioacuten Los directivos deben examinar el cumplimiento de las poliacuteticas y procedimientos de seguridad por parte de los empleados y los sistemas e iniciar medidas correctivas
USO DE RIDGEBOT QUE SE DEBE CUMPLIRbull Realice escaneos completos con la explotacioacuten activada para las vulnerabilidades
encontradas como parte regular de su poliacutetica y proceso para revisar que sus controles de seguridad son efectivos contra las uacuteltimas amenazas
bull El motor de explotacioacuten AIML incorporado de RidgeBot utiliza la base de conocimientos de teacutecnicas de ataque de RidgeSecurity liacuteder en la industria y asegura que sus activos esteacuten siempre reforzados con la inteligencia de vulnerabilidades maacutes actualizada
bull Los informes de exploracioacutenmdashque contienen las vulnerabilidades detectadas los exploits exitosos y los pasos correctivosmdashproporcionan documentacioacuten para una revisioacuten independiente o de gestioacuten de sus controles de seguridad y su eficacia Tambieacuten esbozan los pasos para la accioacuten correctiva
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 22
Perfil de la compantildeiacuteaRidge Security ofrece soluciones eacuteticas eficientes y accesibles para la prueba de penetracioacuten a empresas pequentildeas y grandes Nos aseguramos de que nuestros clientes se mantengan conformes alerta y seguros en todo momento en el mundo ciberneacutetico El equipo de administracioacuten tiene muchos antildeos de experiencia en redes y seguridad Ridge Security estaacute ubicada en el corazoacuten de Silicon Valley y se estaacute expandiendo a otras regiones como Ameacuterica Latina Asia y Europa
RidgeBot un sistema de pruebas de penetracioacuten roboacutetica automatizado por completo el proceso se prueba acoplando teacutecnicas de hacking eacutetico a los algoritmos de toma de decisiones Los RidgeBots localizan explotan y documentan los riesgos y vulnerabilidades empresariales descubiertos durante el proceso de prueba destacando el impacto o dantildeo potencial
Ridge Security Technology Incwwwridgesecurityai
copy 2020 Todos los derechos reservados Ridge Security Technology Inc RidgeBot es una marca registrada de Ridge Security Technology Inc
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 13
bull Documentacioacuten Un aspecto arduo de la implementacioacuten de un SGSI ISO 27001 es el desarrollo de la documentacioacuten de la Norma requerida expliacutecitamente
Los informes de exploracioacuten de RidgeBot (resultados de la misma repeticioacuten de exploracioacuten en un horario fijo) pueden ayudar a recopilar documentacioacuten ldquoconsistente vaacutelida y comparablerdquo de las vulnerabilidades encontradas la clasificacioacuten de la vulnerabilidad las explotaciones exitosas y las medidas de mitigacioacuten y correccioacuten que se tomen
bull Mejora continua a traveacutes de la medicioacuten el control y la revisioacuten Este aspecto de la ISO 27001 requiere que su SGSI sea continuamente analizado y revisado en cuanto a su desempentildeo efectividad cumplimiento e identificacioacuten de mejoras en los procesos
Los informes de exploracioacuten de RidgeBot que se realizan de forma continua o perioacutedica pueden ayudar a proporcionar informes y medidas correctivas recomendadas aportando las pruebas que la Norma requiere para demostrar que los riesgos se encuentran miden revisan y tratan adecuadamente
Un servicio de pruebas de penetracioacuten que compruebe regularmente los controles de la ISO 27001 y cuando sea necesario pruebe los cambios en la infraestructura de TI y de seguridad es una parte fundamental de cualquier proceso de mejora continua
RidgeBot ofrece este servicio a un precio muy econoacutemico Estaacute totalmente automatizado Los escaneos pueden ser programados tan a menudo como sea necesario (cumpliendo con el requisito de ldquoauditoriacutea internardquo ISO 27001) La salida de los escaneos de RidgeBot proporciona informes consistentes y comparables incluyendo mediciones cuantitativas (categoriacuteas y clasificaciones de vulnerabilidad) que demuestran la eficacia de su SGSI
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 14
ISO 27001 Anexo A Controles
El Anexo A de la norma ISO 27001 ofrece un breve resumen de los controles y dominios La norma ISO 27002 proporciona informacioacuten maacutes detallada para ayudar a la aplicacioacuten
A continuacioacuten se resume cada uno de los 14 dominios de la norma ISO 270012013 (y los controles dentro de ellos) Muchos controles se refieren a praacutecticas y procedimientos de gestioacuten humana Varios otros se refieren a los activos y la infraestructura de la tecnologiacutea de la informacioacuten En ellos se anotan las pruebas de penetracioacuten la clasificacioacuten de la vulnerabilidad la explotacioacuten de la vulnerabilidad asistida por IAML de RidgeBot y los pasos de reparacioacuten comunicados para ayudar a implementar y cumplir el control de la norma ISO 27001
Anexo A5 Poliacuteticas de seguridad de la informacioacutenAsegurarse de que las poliacuteticas se redacten y revisen de acuerdo con las praacutecticas de seguridad de la informacioacuten de la organizacioacuten
51 Direccioacuten de la gestioacuten de la seguridad de la informacioacuten Definir un conjunto de poliacuteticas para aclarar la direccioacuten de la gestioacuten y el apoyo a la seguridad de la informacioacuten
Anexo A6 Organizacioacuten de la seguridad de la informacioacutenAsignacioacuten de responsabilidades para tareas especiacuteficas
61 Organizacioacuten interna Establecer las funciones y responsabilidades en materia de seguridad de la informacioacuten y asignarlas a las personas
62 Dispositivos moacuteviles y teletrabajo Establecer poliacuteticas y controles de seguridad para los dispositivos moacuteviles y el teletrabajo Asegurarse de que toda persona que trabaje desde su casa o en movimiento siga las praacutecticas adecuadas
Anexo A7 Seguridad de los recursos humanosAsegurarse de que los empleados y contratistas potenciales actuales y pasados entiendan sus responsabilidades en materia de seguridad de la informacioacuten
71 Antes del empleo Las responsabilidades en materia de seguridad de la informacioacuten deben tenerse en cuenta al contratar a empleados permanentes contratistas y personal temporal e incluirse en los contratos
72 Durante el empleo Asegurarse de que los empleados y contratistas conozcan las obligaciones en materia de seguridad de la informacioacuten y esteacuten motivados para cumplirlas incluido un proceso disciplinario
73 Terminacioacuten y cambio de empleo Deben gestionarse los aspectos de seguridad de la salida o el cambio de funcioacuten de una persona como la devolucioacuten de la informacioacuten y el equipo de la empresa y actualizando los derechos de acceso
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 15
Anexo A8 Gestioacuten de activosIdentificar los activos de informacioacuten y definir las responsabilidades de proteccioacuten adecuadas
81 Responsabilidad por los activos Hacer un inventario de todos los activos de informacioacuten e identificar a los propietarios responsables de su seguridad
82 Clasificacioacuten de la informacioacuten Clasificar y etiquetar la informacioacuten de acuerdo con la proteccioacuten de seguridad necesaria y manejarla adecuadamente
83 Manejo de los medios de comunicacioacuten Los medios de almacenamiento de informacioacuten deben ser administrados controlados trasladados y eliminados sin comprometer el contenido de la informacioacuten
USO DE RIDGEBOT QUE SE DEBE CUMPLIRbull Ejecute una exploracioacuten de descubrimiento de activos para identificar y documentar todos los
activos y superficies de ataque Al ejecutar este escaneo se descubre y documenta cualquier cambio en la presencia de los activos que deben ser incluidos en el inventario
Anexo A9 Control de accesoAsegurarse de que los empleados soacutelo puedan ver la informacioacuten relevante para su trabajo
91 Requisitos empresariales de control de acceso Controlar el acceso a los activos de informacioacuten documentados en la poliacutetica y los procedimientos de control Restringir el acceso y las conexiones a la red
92 Gestioacuten del acceso de los usuarios Controlar los derechos de acceso de los usuarios desde el registro inicial del usuario hasta la eliminacioacuten de los derechos cuando ya no sean necesarios Revisar y actualizar perioacutedicamente los derechos de acceso
93 Responsabilidades de los usuarios Los usuarios deben ser conscientes de sus responsabilidades en lo que respecta al mantenimiento de controles de acceso eficaces como contrasentildeas soacutelidas y confidencialidad
94 Control de acceso al sistema y a las aplicaciones Restringir el acceso a la informacioacuten de acuerdo con la poliacutetica de control de acceso como la gestioacuten segura de los nombres de usuario y las contrasentildeas
USO DE RIDGEBOT QUE SE DEBE CUMPLIRbull Ejecutar un escaneo de contrasentildeas deacutebiles contra todos los activos para documentar y
resolver las vulnerabilidades de las credenciales de acceso
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 16
Anexo A10 CriptografiacuteaCifrado de datos y manejo de informacioacuten sensible
101 Controles criptograacuteficos Establecer y mantener una poliacutetica sobre el uso del cifrado la autenticacioacuten criptograacutefica y los controles de integridad como las firmas digitales los coacutedigos de autenticacioacuten de los mensajes y la gestioacuten de las claves criptograacuteficas
USO DE RIDGEBOT QUE SE DEBE CUMPLIR bull Asegurarse de que una exploracioacuten dirigida especiacuteficamente a las vulnerabilidades
relacionadas con el cifrado forma parte de la poliacutetica de controles criptograacuteficos
Anexo A11 Seguridad fiacutesica y ambientalEvitar el acceso fiacutesico no autorizado el dantildeo o la interferencia en las instalaciones el equipo o la informacioacuten sensible de la organizacioacuten
111 Aacutereas seguras Definir periacutemetros fiacutesicos y barreras con controles de entrada fiacutesica proteger los locales oficinas salas aacutereas de entregacarga etc contra el acceso no autorizado
112 Equipo Asegurar y mantener el equipo informaacutetico y de informacioacuten asiacute como los servicios de apoyo (como la electricidad y el aire acondicionado) y el cableado
USO DE RIDGEBOT QUE SE DEBE CUMPLIR bull Ejecute un escaneo de acceso para asegurarse de que todos los sistemas o dispositivos
utilizados para controlar registrar o vigilar la entrada fiacutesica a los locales esteacuten seguros contra credenciales deacutebiles u otras vulnerabilidades de softwaremalware Los hackers pueden permitir el acceso fiacutesico (en lugar de denegarlo) o borrar o alterar los registros la videovigilancia o la informacioacuten de la pista de auditoriacutea
bull Las pruebas de penetracioacuten pueden revelar los puntos deacutebiles de los procesos de seguridad fiacutesica que podriacutean conceder a un atacante el acceso a sistemas o aacutereas seguras
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 17
Anexo A12 Seguridad de las operacionesAsegurarse de que las instalaciones de procesamiento de informacioacuten sean seguras
121 Procedimientos y responsabilidades operacionales Documentar las responsabilidades y procedimientos operativos de la TI controlar los cambios en las instalaciones y sistemas de TI gestionar la capacidad y el rendimiento separar el desarrollo las pruebas y los sistemas operativos
122 Proteccioacuten contra el malware Se requieren controles de malware incluyendo la concienciacioacuten de los usuarios
123 Copias de seguridad Realizar y conservar copias de seguridad adecuadas de conformidad con la poliacutetica de copias de seguridad
124 Registro y supervisioacuten Proteger y registrar las actividades de los usuarios y los administradoresoperadores del sistema las excepciones los fallos y los eventos de seguridad de la informacioacuten Sincronizar los relojes
125 Control del software operativo Controlar la instalacioacuten de programas informaacuteticos en los sistemas operacionales
126 Gestioacuten de la vulnerabilidad teacutecnica Parchear las vulnerabilidades y garantizar que se establezcan normas que rijan la instalacioacuten del software de usuario
127 Consideraciones sobre la auditoriacutea de los sistemas de informacioacuten Planificar y controlar las auditoriacuteas de los sistemas de informacioacuten para reducir al miacutenimo los efectos adversos en los sistemas de produccioacuten o el acceso inapropiado a los datos
USO DE RIDGEBOT QUE SE DEBE CUMPLIRbull Ejecute un anaacutelisis de la prueba de penetracioacuten para asegurarse de que todos los activos
estaacuten seguros contra credenciales deacutebiles u otras vulnerabilidades de softwaremalware donde los hackers pueden obtener acceso no autorizado
bull Ejecute un escaneo para asegurarse de que todos los sistemas o dispositivos utilizados para registrar eventos y actividades estaacuten seguros de credenciales deacutebiles u otras vulnerabilidades de softwaremalware Aacutereas en las que los hackers pueden obtener acceso para borrar o alterar los registros la vigilancia por viacutedeo o la informacioacuten de seguimiento de auditoriacutea
bull Ejecute escaneos completos con la explotacioacuten activada para las vulnerabilidades encontradas como parte regular de su poliacuteticaproceso para endurecer los parches de software actualizaciones de software nuevos dispositivos y cualquier cambio de configuracioacuten antes de empujarlos en vivo al entorno de produccioacuten
bull Los informes de exploracioacuten (que contienen las vulnerabilidades detectadas enumeradas los exploits exitosos y las medidas correctivas) abordan el requisito de la Norma de detectar las vulnerabilidades teacutecnicas emergentes de manera estructurada y sistemaacutetica
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 18
Anexo A13 Seguridad de las comunicacionesProteger la informacioacuten en las redes
131 Gestioacuten de la seguridad de las redes Garantizar la seguridad de las redes y los servicios de red por ejemplo mediante la segregacioacuten
132 Transferencia de informacioacuten Garantizar que se apliquen poliacuteticas procedimientos y acuerdos (como los acuerdos de no divulgacioacuten) relativos a la transferencia de informacioacuten ade terceros incluida la mensajeriacutea electroacutenica
USO DE RIDGEBOT QUE SE DEBE CUMPLIR bull Realice una prueba de penetracioacuten para asegurarse de que todos los activos que participan
en la transferencia de informacioacuten y los sistemas de mensajeriacutea electroacutenica estaacuten a salvo de credenciales deacutebiles u otras vulnerabilidades de softwaremalware en las que los piratas informaacuteticos pueden obtener acceso no autorizado
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 19
Anexo A14 Adquisicioacuten desarrollo y mantenimiento de sistemasGarantizar la seguridad de la informacioacuten sigue siendo una parte central de los procesos a lo largo de todo el ciclo de vida de los sistemas internos asiacute como de los servicios prestados a traveacutes de redes puacuteblicas
141 Requisitos de seguridad de los sistemas de informacioacuten Los requisitos de control de seguridad deben ser analizados y especificados incluyendo las aplicaciones web y las transacciones
142 Seguridad en los procesos de desarrollo y apoyo Definir como poliacutetica las normas que rigen el desarrollo de softwaresistemas seguros Se pueden controlar los cambios en ambas aplicaciones y sistemas operativos Asegurar el entorno de desarrollo asiacute como la seguridad de los sistemas de pruebas de desarrollo subcontratados en funcioacuten de criterios de aceptacioacuten definidos por la seguridad
143 Datos de prueba Los datos de las pruebas deben seleccionarse generarse y controlarse cuidadosamente
USO DE RIDGEBOT QUE SE DEBE CUMPLIR bull Realice una prueba de penetracioacuten contra los sistemas internos asiacute como contra cualquier
proveedor o nube de activos y servicios
bull Ejecutar un escaneo completo con la explotacioacuten activada para las vulnerabilidades encontradas como parte regular del desarrollo de software validacioacuten de software y procesos y procedimientos de control de cambios
bull Ejecute un escaneo de acceso para asegurar que existen controles de acceso apropiados para separar sus entornos de desarrolloprueba de software de los entornos de produccioacuten
bull Ejecute escaneos completos con la explotacioacuten activada para las vulnerabilidades encontradas como una parte regular de su poliacutetica y proceso para endurecer el nuevo software durante el proceso de desarrollo de software
bull Ejecute escaneos continuos con la explotacioacuten activada para las vulnerabilidades encontradas Escanee continuamente partes de su software o del proceso de desarrollo de su sitio web asiacute como el proceso de pruebas para reforzar los parches de software las actualizaciones de software los nuevos dispositivos y cualquier cambio de configuracioacuten antes de introducirlos en su entorno de produccioacuten
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 20
Anexo A15 Relaciones con los proveedoresAcuerdos contractuales entre organizaciones y terceros
151 Seguridad de la informacioacuten en las relaciones con los proveedores Definir poliacuteticas procedimientos concienciacioacuten etc para proteger la informacioacuten accesible a los subcontratistas y proveedores externos a lo largo de la cadena de suministro acordada en los contratos o acuerdos
152 Gestioacuten de la prestacioacuten de servicios de los proveedores Supervisar la prestacioacuten de servicios por parte de los proveedores externos y revisarauditar los contratosacuerdos Controlar los cambios en el servicio
Anexo A16 Gestioacuten de incidentes de seguridad de la informacioacutenGestionar e informar de los incidentes de seguridad
161 Gestioacuten de los incidentes y mejoras de la seguridad de la informacioacuten Definir las responsabilidades y los procedimientos para gestionar (informar evaluar responder y aprender de) los eventos incidentes y debilidades de la seguridad de la informacioacuten de forma coherente y eficaz y recopilar pruebas forenses
USO DE RIDGEBOT QUE SE DEBE CUMPLIRbull Los informes del escaacutener de la prueba de penetracioacutenmdashque incluyen soluciones
recomendadas para cada vulnerabilidadmdashproporcionan informacioacuten criacutetica para su equipo de respuestaescalada de incidentes de seguridad o forense para asegurar el manejo oportuno y efectivo de todas las situaciones
bull Un escaneo forense (despueacutes de que haya ocurrido un incidente de seguridad) tambieacuten puede ayudar a determinar doacutende y coacutemo se perpetra una brecha
Anexo A17 Aspectos de la seguridad de la informacioacuten en la gestioacuten de la continuidad de las operacionesCrear un sistema eficaz para gestionar las interrupciones de los negocios
171 Continuidad de la seguridad de la informacioacuten Planificar implementar y revisar la continuidad de la seguridad de la informacioacuten como parte integral del sistema de gestioacuten de la continuidad del negocio
172 Redundancias Asegurar que las instalaciones de TI tengan suficiente redundancia para satisfacer los requisitos de disponibilidad
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 21
Anexo A18 CumplimientoIdentificar las leyes y reglamentos pertinentes Comprender los requisitos legales y contractuales para mitigar el riesgo de incumplimiento y las sanciones
181 Cumplimiento de los requisitos legales y contractuales Identificar y documentar las obligaciones para con las autoridades externas y otros terceros en relacioacuten con la seguridad de la informacioacuten incluida la propiedad intelectual los registros [comerciales] la informacioacuten de privacidadidentificacioacuten personal y la criptografiacutea
182 Exaacutemenes de la seguridad de la informacioacuten Revisar independientemente las disposiciones de seguridad de la informacioacuten (auditoriacutea) e informar a la administracioacuten Los directivos deben examinar el cumplimiento de las poliacuteticas y procedimientos de seguridad por parte de los empleados y los sistemas e iniciar medidas correctivas
USO DE RIDGEBOT QUE SE DEBE CUMPLIRbull Realice escaneos completos con la explotacioacuten activada para las vulnerabilidades
encontradas como parte regular de su poliacutetica y proceso para revisar que sus controles de seguridad son efectivos contra las uacuteltimas amenazas
bull El motor de explotacioacuten AIML incorporado de RidgeBot utiliza la base de conocimientos de teacutecnicas de ataque de RidgeSecurity liacuteder en la industria y asegura que sus activos esteacuten siempre reforzados con la inteligencia de vulnerabilidades maacutes actualizada
bull Los informes de exploracioacutenmdashque contienen las vulnerabilidades detectadas los exploits exitosos y los pasos correctivosmdashproporcionan documentacioacuten para una revisioacuten independiente o de gestioacuten de sus controles de seguridad y su eficacia Tambieacuten esbozan los pasos para la accioacuten correctiva
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 22
Perfil de la compantildeiacuteaRidge Security ofrece soluciones eacuteticas eficientes y accesibles para la prueba de penetracioacuten a empresas pequentildeas y grandes Nos aseguramos de que nuestros clientes se mantengan conformes alerta y seguros en todo momento en el mundo ciberneacutetico El equipo de administracioacuten tiene muchos antildeos de experiencia en redes y seguridad Ridge Security estaacute ubicada en el corazoacuten de Silicon Valley y se estaacute expandiendo a otras regiones como Ameacuterica Latina Asia y Europa
RidgeBot un sistema de pruebas de penetracioacuten roboacutetica automatizado por completo el proceso se prueba acoplando teacutecnicas de hacking eacutetico a los algoritmos de toma de decisiones Los RidgeBots localizan explotan y documentan los riesgos y vulnerabilidades empresariales descubiertos durante el proceso de prueba destacando el impacto o dantildeo potencial
Ridge Security Technology Incwwwridgesecurityai
copy 2020 Todos los derechos reservados Ridge Security Technology Inc RidgeBot es una marca registrada de Ridge Security Technology Inc
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 14
ISO 27001 Anexo A Controles
El Anexo A de la norma ISO 27001 ofrece un breve resumen de los controles y dominios La norma ISO 27002 proporciona informacioacuten maacutes detallada para ayudar a la aplicacioacuten
A continuacioacuten se resume cada uno de los 14 dominios de la norma ISO 270012013 (y los controles dentro de ellos) Muchos controles se refieren a praacutecticas y procedimientos de gestioacuten humana Varios otros se refieren a los activos y la infraestructura de la tecnologiacutea de la informacioacuten En ellos se anotan las pruebas de penetracioacuten la clasificacioacuten de la vulnerabilidad la explotacioacuten de la vulnerabilidad asistida por IAML de RidgeBot y los pasos de reparacioacuten comunicados para ayudar a implementar y cumplir el control de la norma ISO 27001
Anexo A5 Poliacuteticas de seguridad de la informacioacutenAsegurarse de que las poliacuteticas se redacten y revisen de acuerdo con las praacutecticas de seguridad de la informacioacuten de la organizacioacuten
51 Direccioacuten de la gestioacuten de la seguridad de la informacioacuten Definir un conjunto de poliacuteticas para aclarar la direccioacuten de la gestioacuten y el apoyo a la seguridad de la informacioacuten
Anexo A6 Organizacioacuten de la seguridad de la informacioacutenAsignacioacuten de responsabilidades para tareas especiacuteficas
61 Organizacioacuten interna Establecer las funciones y responsabilidades en materia de seguridad de la informacioacuten y asignarlas a las personas
62 Dispositivos moacuteviles y teletrabajo Establecer poliacuteticas y controles de seguridad para los dispositivos moacuteviles y el teletrabajo Asegurarse de que toda persona que trabaje desde su casa o en movimiento siga las praacutecticas adecuadas
Anexo A7 Seguridad de los recursos humanosAsegurarse de que los empleados y contratistas potenciales actuales y pasados entiendan sus responsabilidades en materia de seguridad de la informacioacuten
71 Antes del empleo Las responsabilidades en materia de seguridad de la informacioacuten deben tenerse en cuenta al contratar a empleados permanentes contratistas y personal temporal e incluirse en los contratos
72 Durante el empleo Asegurarse de que los empleados y contratistas conozcan las obligaciones en materia de seguridad de la informacioacuten y esteacuten motivados para cumplirlas incluido un proceso disciplinario
73 Terminacioacuten y cambio de empleo Deben gestionarse los aspectos de seguridad de la salida o el cambio de funcioacuten de una persona como la devolucioacuten de la informacioacuten y el equipo de la empresa y actualizando los derechos de acceso
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 15
Anexo A8 Gestioacuten de activosIdentificar los activos de informacioacuten y definir las responsabilidades de proteccioacuten adecuadas
81 Responsabilidad por los activos Hacer un inventario de todos los activos de informacioacuten e identificar a los propietarios responsables de su seguridad
82 Clasificacioacuten de la informacioacuten Clasificar y etiquetar la informacioacuten de acuerdo con la proteccioacuten de seguridad necesaria y manejarla adecuadamente
83 Manejo de los medios de comunicacioacuten Los medios de almacenamiento de informacioacuten deben ser administrados controlados trasladados y eliminados sin comprometer el contenido de la informacioacuten
USO DE RIDGEBOT QUE SE DEBE CUMPLIRbull Ejecute una exploracioacuten de descubrimiento de activos para identificar y documentar todos los
activos y superficies de ataque Al ejecutar este escaneo se descubre y documenta cualquier cambio en la presencia de los activos que deben ser incluidos en el inventario
Anexo A9 Control de accesoAsegurarse de que los empleados soacutelo puedan ver la informacioacuten relevante para su trabajo
91 Requisitos empresariales de control de acceso Controlar el acceso a los activos de informacioacuten documentados en la poliacutetica y los procedimientos de control Restringir el acceso y las conexiones a la red
92 Gestioacuten del acceso de los usuarios Controlar los derechos de acceso de los usuarios desde el registro inicial del usuario hasta la eliminacioacuten de los derechos cuando ya no sean necesarios Revisar y actualizar perioacutedicamente los derechos de acceso
93 Responsabilidades de los usuarios Los usuarios deben ser conscientes de sus responsabilidades en lo que respecta al mantenimiento de controles de acceso eficaces como contrasentildeas soacutelidas y confidencialidad
94 Control de acceso al sistema y a las aplicaciones Restringir el acceso a la informacioacuten de acuerdo con la poliacutetica de control de acceso como la gestioacuten segura de los nombres de usuario y las contrasentildeas
USO DE RIDGEBOT QUE SE DEBE CUMPLIRbull Ejecutar un escaneo de contrasentildeas deacutebiles contra todos los activos para documentar y
resolver las vulnerabilidades de las credenciales de acceso
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 16
Anexo A10 CriptografiacuteaCifrado de datos y manejo de informacioacuten sensible
101 Controles criptograacuteficos Establecer y mantener una poliacutetica sobre el uso del cifrado la autenticacioacuten criptograacutefica y los controles de integridad como las firmas digitales los coacutedigos de autenticacioacuten de los mensajes y la gestioacuten de las claves criptograacuteficas
USO DE RIDGEBOT QUE SE DEBE CUMPLIR bull Asegurarse de que una exploracioacuten dirigida especiacuteficamente a las vulnerabilidades
relacionadas con el cifrado forma parte de la poliacutetica de controles criptograacuteficos
Anexo A11 Seguridad fiacutesica y ambientalEvitar el acceso fiacutesico no autorizado el dantildeo o la interferencia en las instalaciones el equipo o la informacioacuten sensible de la organizacioacuten
111 Aacutereas seguras Definir periacutemetros fiacutesicos y barreras con controles de entrada fiacutesica proteger los locales oficinas salas aacutereas de entregacarga etc contra el acceso no autorizado
112 Equipo Asegurar y mantener el equipo informaacutetico y de informacioacuten asiacute como los servicios de apoyo (como la electricidad y el aire acondicionado) y el cableado
USO DE RIDGEBOT QUE SE DEBE CUMPLIR bull Ejecute un escaneo de acceso para asegurarse de que todos los sistemas o dispositivos
utilizados para controlar registrar o vigilar la entrada fiacutesica a los locales esteacuten seguros contra credenciales deacutebiles u otras vulnerabilidades de softwaremalware Los hackers pueden permitir el acceso fiacutesico (en lugar de denegarlo) o borrar o alterar los registros la videovigilancia o la informacioacuten de la pista de auditoriacutea
bull Las pruebas de penetracioacuten pueden revelar los puntos deacutebiles de los procesos de seguridad fiacutesica que podriacutean conceder a un atacante el acceso a sistemas o aacutereas seguras
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 17
Anexo A12 Seguridad de las operacionesAsegurarse de que las instalaciones de procesamiento de informacioacuten sean seguras
121 Procedimientos y responsabilidades operacionales Documentar las responsabilidades y procedimientos operativos de la TI controlar los cambios en las instalaciones y sistemas de TI gestionar la capacidad y el rendimiento separar el desarrollo las pruebas y los sistemas operativos
122 Proteccioacuten contra el malware Se requieren controles de malware incluyendo la concienciacioacuten de los usuarios
123 Copias de seguridad Realizar y conservar copias de seguridad adecuadas de conformidad con la poliacutetica de copias de seguridad
124 Registro y supervisioacuten Proteger y registrar las actividades de los usuarios y los administradoresoperadores del sistema las excepciones los fallos y los eventos de seguridad de la informacioacuten Sincronizar los relojes
125 Control del software operativo Controlar la instalacioacuten de programas informaacuteticos en los sistemas operacionales
126 Gestioacuten de la vulnerabilidad teacutecnica Parchear las vulnerabilidades y garantizar que se establezcan normas que rijan la instalacioacuten del software de usuario
127 Consideraciones sobre la auditoriacutea de los sistemas de informacioacuten Planificar y controlar las auditoriacuteas de los sistemas de informacioacuten para reducir al miacutenimo los efectos adversos en los sistemas de produccioacuten o el acceso inapropiado a los datos
USO DE RIDGEBOT QUE SE DEBE CUMPLIRbull Ejecute un anaacutelisis de la prueba de penetracioacuten para asegurarse de que todos los activos
estaacuten seguros contra credenciales deacutebiles u otras vulnerabilidades de softwaremalware donde los hackers pueden obtener acceso no autorizado
bull Ejecute un escaneo para asegurarse de que todos los sistemas o dispositivos utilizados para registrar eventos y actividades estaacuten seguros de credenciales deacutebiles u otras vulnerabilidades de softwaremalware Aacutereas en las que los hackers pueden obtener acceso para borrar o alterar los registros la vigilancia por viacutedeo o la informacioacuten de seguimiento de auditoriacutea
bull Ejecute escaneos completos con la explotacioacuten activada para las vulnerabilidades encontradas como parte regular de su poliacuteticaproceso para endurecer los parches de software actualizaciones de software nuevos dispositivos y cualquier cambio de configuracioacuten antes de empujarlos en vivo al entorno de produccioacuten
bull Los informes de exploracioacuten (que contienen las vulnerabilidades detectadas enumeradas los exploits exitosos y las medidas correctivas) abordan el requisito de la Norma de detectar las vulnerabilidades teacutecnicas emergentes de manera estructurada y sistemaacutetica
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 18
Anexo A13 Seguridad de las comunicacionesProteger la informacioacuten en las redes
131 Gestioacuten de la seguridad de las redes Garantizar la seguridad de las redes y los servicios de red por ejemplo mediante la segregacioacuten
132 Transferencia de informacioacuten Garantizar que se apliquen poliacuteticas procedimientos y acuerdos (como los acuerdos de no divulgacioacuten) relativos a la transferencia de informacioacuten ade terceros incluida la mensajeriacutea electroacutenica
USO DE RIDGEBOT QUE SE DEBE CUMPLIR bull Realice una prueba de penetracioacuten para asegurarse de que todos los activos que participan
en la transferencia de informacioacuten y los sistemas de mensajeriacutea electroacutenica estaacuten a salvo de credenciales deacutebiles u otras vulnerabilidades de softwaremalware en las que los piratas informaacuteticos pueden obtener acceso no autorizado
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 19
Anexo A14 Adquisicioacuten desarrollo y mantenimiento de sistemasGarantizar la seguridad de la informacioacuten sigue siendo una parte central de los procesos a lo largo de todo el ciclo de vida de los sistemas internos asiacute como de los servicios prestados a traveacutes de redes puacuteblicas
141 Requisitos de seguridad de los sistemas de informacioacuten Los requisitos de control de seguridad deben ser analizados y especificados incluyendo las aplicaciones web y las transacciones
142 Seguridad en los procesos de desarrollo y apoyo Definir como poliacutetica las normas que rigen el desarrollo de softwaresistemas seguros Se pueden controlar los cambios en ambas aplicaciones y sistemas operativos Asegurar el entorno de desarrollo asiacute como la seguridad de los sistemas de pruebas de desarrollo subcontratados en funcioacuten de criterios de aceptacioacuten definidos por la seguridad
143 Datos de prueba Los datos de las pruebas deben seleccionarse generarse y controlarse cuidadosamente
USO DE RIDGEBOT QUE SE DEBE CUMPLIR bull Realice una prueba de penetracioacuten contra los sistemas internos asiacute como contra cualquier
proveedor o nube de activos y servicios
bull Ejecutar un escaneo completo con la explotacioacuten activada para las vulnerabilidades encontradas como parte regular del desarrollo de software validacioacuten de software y procesos y procedimientos de control de cambios
bull Ejecute un escaneo de acceso para asegurar que existen controles de acceso apropiados para separar sus entornos de desarrolloprueba de software de los entornos de produccioacuten
bull Ejecute escaneos completos con la explotacioacuten activada para las vulnerabilidades encontradas como una parte regular de su poliacutetica y proceso para endurecer el nuevo software durante el proceso de desarrollo de software
bull Ejecute escaneos continuos con la explotacioacuten activada para las vulnerabilidades encontradas Escanee continuamente partes de su software o del proceso de desarrollo de su sitio web asiacute como el proceso de pruebas para reforzar los parches de software las actualizaciones de software los nuevos dispositivos y cualquier cambio de configuracioacuten antes de introducirlos en su entorno de produccioacuten
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 20
Anexo A15 Relaciones con los proveedoresAcuerdos contractuales entre organizaciones y terceros
151 Seguridad de la informacioacuten en las relaciones con los proveedores Definir poliacuteticas procedimientos concienciacioacuten etc para proteger la informacioacuten accesible a los subcontratistas y proveedores externos a lo largo de la cadena de suministro acordada en los contratos o acuerdos
152 Gestioacuten de la prestacioacuten de servicios de los proveedores Supervisar la prestacioacuten de servicios por parte de los proveedores externos y revisarauditar los contratosacuerdos Controlar los cambios en el servicio
Anexo A16 Gestioacuten de incidentes de seguridad de la informacioacutenGestionar e informar de los incidentes de seguridad
161 Gestioacuten de los incidentes y mejoras de la seguridad de la informacioacuten Definir las responsabilidades y los procedimientos para gestionar (informar evaluar responder y aprender de) los eventos incidentes y debilidades de la seguridad de la informacioacuten de forma coherente y eficaz y recopilar pruebas forenses
USO DE RIDGEBOT QUE SE DEBE CUMPLIRbull Los informes del escaacutener de la prueba de penetracioacutenmdashque incluyen soluciones
recomendadas para cada vulnerabilidadmdashproporcionan informacioacuten criacutetica para su equipo de respuestaescalada de incidentes de seguridad o forense para asegurar el manejo oportuno y efectivo de todas las situaciones
bull Un escaneo forense (despueacutes de que haya ocurrido un incidente de seguridad) tambieacuten puede ayudar a determinar doacutende y coacutemo se perpetra una brecha
Anexo A17 Aspectos de la seguridad de la informacioacuten en la gestioacuten de la continuidad de las operacionesCrear un sistema eficaz para gestionar las interrupciones de los negocios
171 Continuidad de la seguridad de la informacioacuten Planificar implementar y revisar la continuidad de la seguridad de la informacioacuten como parte integral del sistema de gestioacuten de la continuidad del negocio
172 Redundancias Asegurar que las instalaciones de TI tengan suficiente redundancia para satisfacer los requisitos de disponibilidad
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 21
Anexo A18 CumplimientoIdentificar las leyes y reglamentos pertinentes Comprender los requisitos legales y contractuales para mitigar el riesgo de incumplimiento y las sanciones
181 Cumplimiento de los requisitos legales y contractuales Identificar y documentar las obligaciones para con las autoridades externas y otros terceros en relacioacuten con la seguridad de la informacioacuten incluida la propiedad intelectual los registros [comerciales] la informacioacuten de privacidadidentificacioacuten personal y la criptografiacutea
182 Exaacutemenes de la seguridad de la informacioacuten Revisar independientemente las disposiciones de seguridad de la informacioacuten (auditoriacutea) e informar a la administracioacuten Los directivos deben examinar el cumplimiento de las poliacuteticas y procedimientos de seguridad por parte de los empleados y los sistemas e iniciar medidas correctivas
USO DE RIDGEBOT QUE SE DEBE CUMPLIRbull Realice escaneos completos con la explotacioacuten activada para las vulnerabilidades
encontradas como parte regular de su poliacutetica y proceso para revisar que sus controles de seguridad son efectivos contra las uacuteltimas amenazas
bull El motor de explotacioacuten AIML incorporado de RidgeBot utiliza la base de conocimientos de teacutecnicas de ataque de RidgeSecurity liacuteder en la industria y asegura que sus activos esteacuten siempre reforzados con la inteligencia de vulnerabilidades maacutes actualizada
bull Los informes de exploracioacutenmdashque contienen las vulnerabilidades detectadas los exploits exitosos y los pasos correctivosmdashproporcionan documentacioacuten para una revisioacuten independiente o de gestioacuten de sus controles de seguridad y su eficacia Tambieacuten esbozan los pasos para la accioacuten correctiva
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 22
Perfil de la compantildeiacuteaRidge Security ofrece soluciones eacuteticas eficientes y accesibles para la prueba de penetracioacuten a empresas pequentildeas y grandes Nos aseguramos de que nuestros clientes se mantengan conformes alerta y seguros en todo momento en el mundo ciberneacutetico El equipo de administracioacuten tiene muchos antildeos de experiencia en redes y seguridad Ridge Security estaacute ubicada en el corazoacuten de Silicon Valley y se estaacute expandiendo a otras regiones como Ameacuterica Latina Asia y Europa
RidgeBot un sistema de pruebas de penetracioacuten roboacutetica automatizado por completo el proceso se prueba acoplando teacutecnicas de hacking eacutetico a los algoritmos de toma de decisiones Los RidgeBots localizan explotan y documentan los riesgos y vulnerabilidades empresariales descubiertos durante el proceso de prueba destacando el impacto o dantildeo potencial
Ridge Security Technology Incwwwridgesecurityai
copy 2020 Todos los derechos reservados Ridge Security Technology Inc RidgeBot es una marca registrada de Ridge Security Technology Inc
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 15
Anexo A8 Gestioacuten de activosIdentificar los activos de informacioacuten y definir las responsabilidades de proteccioacuten adecuadas
81 Responsabilidad por los activos Hacer un inventario de todos los activos de informacioacuten e identificar a los propietarios responsables de su seguridad
82 Clasificacioacuten de la informacioacuten Clasificar y etiquetar la informacioacuten de acuerdo con la proteccioacuten de seguridad necesaria y manejarla adecuadamente
83 Manejo de los medios de comunicacioacuten Los medios de almacenamiento de informacioacuten deben ser administrados controlados trasladados y eliminados sin comprometer el contenido de la informacioacuten
USO DE RIDGEBOT QUE SE DEBE CUMPLIRbull Ejecute una exploracioacuten de descubrimiento de activos para identificar y documentar todos los
activos y superficies de ataque Al ejecutar este escaneo se descubre y documenta cualquier cambio en la presencia de los activos que deben ser incluidos en el inventario
Anexo A9 Control de accesoAsegurarse de que los empleados soacutelo puedan ver la informacioacuten relevante para su trabajo
91 Requisitos empresariales de control de acceso Controlar el acceso a los activos de informacioacuten documentados en la poliacutetica y los procedimientos de control Restringir el acceso y las conexiones a la red
92 Gestioacuten del acceso de los usuarios Controlar los derechos de acceso de los usuarios desde el registro inicial del usuario hasta la eliminacioacuten de los derechos cuando ya no sean necesarios Revisar y actualizar perioacutedicamente los derechos de acceso
93 Responsabilidades de los usuarios Los usuarios deben ser conscientes de sus responsabilidades en lo que respecta al mantenimiento de controles de acceso eficaces como contrasentildeas soacutelidas y confidencialidad
94 Control de acceso al sistema y a las aplicaciones Restringir el acceso a la informacioacuten de acuerdo con la poliacutetica de control de acceso como la gestioacuten segura de los nombres de usuario y las contrasentildeas
USO DE RIDGEBOT QUE SE DEBE CUMPLIRbull Ejecutar un escaneo de contrasentildeas deacutebiles contra todos los activos para documentar y
resolver las vulnerabilidades de las credenciales de acceso
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 16
Anexo A10 CriptografiacuteaCifrado de datos y manejo de informacioacuten sensible
101 Controles criptograacuteficos Establecer y mantener una poliacutetica sobre el uso del cifrado la autenticacioacuten criptograacutefica y los controles de integridad como las firmas digitales los coacutedigos de autenticacioacuten de los mensajes y la gestioacuten de las claves criptograacuteficas
USO DE RIDGEBOT QUE SE DEBE CUMPLIR bull Asegurarse de que una exploracioacuten dirigida especiacuteficamente a las vulnerabilidades
relacionadas con el cifrado forma parte de la poliacutetica de controles criptograacuteficos
Anexo A11 Seguridad fiacutesica y ambientalEvitar el acceso fiacutesico no autorizado el dantildeo o la interferencia en las instalaciones el equipo o la informacioacuten sensible de la organizacioacuten
111 Aacutereas seguras Definir periacutemetros fiacutesicos y barreras con controles de entrada fiacutesica proteger los locales oficinas salas aacutereas de entregacarga etc contra el acceso no autorizado
112 Equipo Asegurar y mantener el equipo informaacutetico y de informacioacuten asiacute como los servicios de apoyo (como la electricidad y el aire acondicionado) y el cableado
USO DE RIDGEBOT QUE SE DEBE CUMPLIR bull Ejecute un escaneo de acceso para asegurarse de que todos los sistemas o dispositivos
utilizados para controlar registrar o vigilar la entrada fiacutesica a los locales esteacuten seguros contra credenciales deacutebiles u otras vulnerabilidades de softwaremalware Los hackers pueden permitir el acceso fiacutesico (en lugar de denegarlo) o borrar o alterar los registros la videovigilancia o la informacioacuten de la pista de auditoriacutea
bull Las pruebas de penetracioacuten pueden revelar los puntos deacutebiles de los procesos de seguridad fiacutesica que podriacutean conceder a un atacante el acceso a sistemas o aacutereas seguras
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 17
Anexo A12 Seguridad de las operacionesAsegurarse de que las instalaciones de procesamiento de informacioacuten sean seguras
121 Procedimientos y responsabilidades operacionales Documentar las responsabilidades y procedimientos operativos de la TI controlar los cambios en las instalaciones y sistemas de TI gestionar la capacidad y el rendimiento separar el desarrollo las pruebas y los sistemas operativos
122 Proteccioacuten contra el malware Se requieren controles de malware incluyendo la concienciacioacuten de los usuarios
123 Copias de seguridad Realizar y conservar copias de seguridad adecuadas de conformidad con la poliacutetica de copias de seguridad
124 Registro y supervisioacuten Proteger y registrar las actividades de los usuarios y los administradoresoperadores del sistema las excepciones los fallos y los eventos de seguridad de la informacioacuten Sincronizar los relojes
125 Control del software operativo Controlar la instalacioacuten de programas informaacuteticos en los sistemas operacionales
126 Gestioacuten de la vulnerabilidad teacutecnica Parchear las vulnerabilidades y garantizar que se establezcan normas que rijan la instalacioacuten del software de usuario
127 Consideraciones sobre la auditoriacutea de los sistemas de informacioacuten Planificar y controlar las auditoriacuteas de los sistemas de informacioacuten para reducir al miacutenimo los efectos adversos en los sistemas de produccioacuten o el acceso inapropiado a los datos
USO DE RIDGEBOT QUE SE DEBE CUMPLIRbull Ejecute un anaacutelisis de la prueba de penetracioacuten para asegurarse de que todos los activos
estaacuten seguros contra credenciales deacutebiles u otras vulnerabilidades de softwaremalware donde los hackers pueden obtener acceso no autorizado
bull Ejecute un escaneo para asegurarse de que todos los sistemas o dispositivos utilizados para registrar eventos y actividades estaacuten seguros de credenciales deacutebiles u otras vulnerabilidades de softwaremalware Aacutereas en las que los hackers pueden obtener acceso para borrar o alterar los registros la vigilancia por viacutedeo o la informacioacuten de seguimiento de auditoriacutea
bull Ejecute escaneos completos con la explotacioacuten activada para las vulnerabilidades encontradas como parte regular de su poliacuteticaproceso para endurecer los parches de software actualizaciones de software nuevos dispositivos y cualquier cambio de configuracioacuten antes de empujarlos en vivo al entorno de produccioacuten
bull Los informes de exploracioacuten (que contienen las vulnerabilidades detectadas enumeradas los exploits exitosos y las medidas correctivas) abordan el requisito de la Norma de detectar las vulnerabilidades teacutecnicas emergentes de manera estructurada y sistemaacutetica
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 18
Anexo A13 Seguridad de las comunicacionesProteger la informacioacuten en las redes
131 Gestioacuten de la seguridad de las redes Garantizar la seguridad de las redes y los servicios de red por ejemplo mediante la segregacioacuten
132 Transferencia de informacioacuten Garantizar que se apliquen poliacuteticas procedimientos y acuerdos (como los acuerdos de no divulgacioacuten) relativos a la transferencia de informacioacuten ade terceros incluida la mensajeriacutea electroacutenica
USO DE RIDGEBOT QUE SE DEBE CUMPLIR bull Realice una prueba de penetracioacuten para asegurarse de que todos los activos que participan
en la transferencia de informacioacuten y los sistemas de mensajeriacutea electroacutenica estaacuten a salvo de credenciales deacutebiles u otras vulnerabilidades de softwaremalware en las que los piratas informaacuteticos pueden obtener acceso no autorizado
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 19
Anexo A14 Adquisicioacuten desarrollo y mantenimiento de sistemasGarantizar la seguridad de la informacioacuten sigue siendo una parte central de los procesos a lo largo de todo el ciclo de vida de los sistemas internos asiacute como de los servicios prestados a traveacutes de redes puacuteblicas
141 Requisitos de seguridad de los sistemas de informacioacuten Los requisitos de control de seguridad deben ser analizados y especificados incluyendo las aplicaciones web y las transacciones
142 Seguridad en los procesos de desarrollo y apoyo Definir como poliacutetica las normas que rigen el desarrollo de softwaresistemas seguros Se pueden controlar los cambios en ambas aplicaciones y sistemas operativos Asegurar el entorno de desarrollo asiacute como la seguridad de los sistemas de pruebas de desarrollo subcontratados en funcioacuten de criterios de aceptacioacuten definidos por la seguridad
143 Datos de prueba Los datos de las pruebas deben seleccionarse generarse y controlarse cuidadosamente
USO DE RIDGEBOT QUE SE DEBE CUMPLIR bull Realice una prueba de penetracioacuten contra los sistemas internos asiacute como contra cualquier
proveedor o nube de activos y servicios
bull Ejecutar un escaneo completo con la explotacioacuten activada para las vulnerabilidades encontradas como parte regular del desarrollo de software validacioacuten de software y procesos y procedimientos de control de cambios
bull Ejecute un escaneo de acceso para asegurar que existen controles de acceso apropiados para separar sus entornos de desarrolloprueba de software de los entornos de produccioacuten
bull Ejecute escaneos completos con la explotacioacuten activada para las vulnerabilidades encontradas como una parte regular de su poliacutetica y proceso para endurecer el nuevo software durante el proceso de desarrollo de software
bull Ejecute escaneos continuos con la explotacioacuten activada para las vulnerabilidades encontradas Escanee continuamente partes de su software o del proceso de desarrollo de su sitio web asiacute como el proceso de pruebas para reforzar los parches de software las actualizaciones de software los nuevos dispositivos y cualquier cambio de configuracioacuten antes de introducirlos en su entorno de produccioacuten
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 20
Anexo A15 Relaciones con los proveedoresAcuerdos contractuales entre organizaciones y terceros
151 Seguridad de la informacioacuten en las relaciones con los proveedores Definir poliacuteticas procedimientos concienciacioacuten etc para proteger la informacioacuten accesible a los subcontratistas y proveedores externos a lo largo de la cadena de suministro acordada en los contratos o acuerdos
152 Gestioacuten de la prestacioacuten de servicios de los proveedores Supervisar la prestacioacuten de servicios por parte de los proveedores externos y revisarauditar los contratosacuerdos Controlar los cambios en el servicio
Anexo A16 Gestioacuten de incidentes de seguridad de la informacioacutenGestionar e informar de los incidentes de seguridad
161 Gestioacuten de los incidentes y mejoras de la seguridad de la informacioacuten Definir las responsabilidades y los procedimientos para gestionar (informar evaluar responder y aprender de) los eventos incidentes y debilidades de la seguridad de la informacioacuten de forma coherente y eficaz y recopilar pruebas forenses
USO DE RIDGEBOT QUE SE DEBE CUMPLIRbull Los informes del escaacutener de la prueba de penetracioacutenmdashque incluyen soluciones
recomendadas para cada vulnerabilidadmdashproporcionan informacioacuten criacutetica para su equipo de respuestaescalada de incidentes de seguridad o forense para asegurar el manejo oportuno y efectivo de todas las situaciones
bull Un escaneo forense (despueacutes de que haya ocurrido un incidente de seguridad) tambieacuten puede ayudar a determinar doacutende y coacutemo se perpetra una brecha
Anexo A17 Aspectos de la seguridad de la informacioacuten en la gestioacuten de la continuidad de las operacionesCrear un sistema eficaz para gestionar las interrupciones de los negocios
171 Continuidad de la seguridad de la informacioacuten Planificar implementar y revisar la continuidad de la seguridad de la informacioacuten como parte integral del sistema de gestioacuten de la continuidad del negocio
172 Redundancias Asegurar que las instalaciones de TI tengan suficiente redundancia para satisfacer los requisitos de disponibilidad
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 21
Anexo A18 CumplimientoIdentificar las leyes y reglamentos pertinentes Comprender los requisitos legales y contractuales para mitigar el riesgo de incumplimiento y las sanciones
181 Cumplimiento de los requisitos legales y contractuales Identificar y documentar las obligaciones para con las autoridades externas y otros terceros en relacioacuten con la seguridad de la informacioacuten incluida la propiedad intelectual los registros [comerciales] la informacioacuten de privacidadidentificacioacuten personal y la criptografiacutea
182 Exaacutemenes de la seguridad de la informacioacuten Revisar independientemente las disposiciones de seguridad de la informacioacuten (auditoriacutea) e informar a la administracioacuten Los directivos deben examinar el cumplimiento de las poliacuteticas y procedimientos de seguridad por parte de los empleados y los sistemas e iniciar medidas correctivas
USO DE RIDGEBOT QUE SE DEBE CUMPLIRbull Realice escaneos completos con la explotacioacuten activada para las vulnerabilidades
encontradas como parte regular de su poliacutetica y proceso para revisar que sus controles de seguridad son efectivos contra las uacuteltimas amenazas
bull El motor de explotacioacuten AIML incorporado de RidgeBot utiliza la base de conocimientos de teacutecnicas de ataque de RidgeSecurity liacuteder en la industria y asegura que sus activos esteacuten siempre reforzados con la inteligencia de vulnerabilidades maacutes actualizada
bull Los informes de exploracioacutenmdashque contienen las vulnerabilidades detectadas los exploits exitosos y los pasos correctivosmdashproporcionan documentacioacuten para una revisioacuten independiente o de gestioacuten de sus controles de seguridad y su eficacia Tambieacuten esbozan los pasos para la accioacuten correctiva
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 22
Perfil de la compantildeiacuteaRidge Security ofrece soluciones eacuteticas eficientes y accesibles para la prueba de penetracioacuten a empresas pequentildeas y grandes Nos aseguramos de que nuestros clientes se mantengan conformes alerta y seguros en todo momento en el mundo ciberneacutetico El equipo de administracioacuten tiene muchos antildeos de experiencia en redes y seguridad Ridge Security estaacute ubicada en el corazoacuten de Silicon Valley y se estaacute expandiendo a otras regiones como Ameacuterica Latina Asia y Europa
RidgeBot un sistema de pruebas de penetracioacuten roboacutetica automatizado por completo el proceso se prueba acoplando teacutecnicas de hacking eacutetico a los algoritmos de toma de decisiones Los RidgeBots localizan explotan y documentan los riesgos y vulnerabilidades empresariales descubiertos durante el proceso de prueba destacando el impacto o dantildeo potencial
Ridge Security Technology Incwwwridgesecurityai
copy 2020 Todos los derechos reservados Ridge Security Technology Inc RidgeBot es una marca registrada de Ridge Security Technology Inc
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 16
Anexo A10 CriptografiacuteaCifrado de datos y manejo de informacioacuten sensible
101 Controles criptograacuteficos Establecer y mantener una poliacutetica sobre el uso del cifrado la autenticacioacuten criptograacutefica y los controles de integridad como las firmas digitales los coacutedigos de autenticacioacuten de los mensajes y la gestioacuten de las claves criptograacuteficas
USO DE RIDGEBOT QUE SE DEBE CUMPLIR bull Asegurarse de que una exploracioacuten dirigida especiacuteficamente a las vulnerabilidades
relacionadas con el cifrado forma parte de la poliacutetica de controles criptograacuteficos
Anexo A11 Seguridad fiacutesica y ambientalEvitar el acceso fiacutesico no autorizado el dantildeo o la interferencia en las instalaciones el equipo o la informacioacuten sensible de la organizacioacuten
111 Aacutereas seguras Definir periacutemetros fiacutesicos y barreras con controles de entrada fiacutesica proteger los locales oficinas salas aacutereas de entregacarga etc contra el acceso no autorizado
112 Equipo Asegurar y mantener el equipo informaacutetico y de informacioacuten asiacute como los servicios de apoyo (como la electricidad y el aire acondicionado) y el cableado
USO DE RIDGEBOT QUE SE DEBE CUMPLIR bull Ejecute un escaneo de acceso para asegurarse de que todos los sistemas o dispositivos
utilizados para controlar registrar o vigilar la entrada fiacutesica a los locales esteacuten seguros contra credenciales deacutebiles u otras vulnerabilidades de softwaremalware Los hackers pueden permitir el acceso fiacutesico (en lugar de denegarlo) o borrar o alterar los registros la videovigilancia o la informacioacuten de la pista de auditoriacutea
bull Las pruebas de penetracioacuten pueden revelar los puntos deacutebiles de los procesos de seguridad fiacutesica que podriacutean conceder a un atacante el acceso a sistemas o aacutereas seguras
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 17
Anexo A12 Seguridad de las operacionesAsegurarse de que las instalaciones de procesamiento de informacioacuten sean seguras
121 Procedimientos y responsabilidades operacionales Documentar las responsabilidades y procedimientos operativos de la TI controlar los cambios en las instalaciones y sistemas de TI gestionar la capacidad y el rendimiento separar el desarrollo las pruebas y los sistemas operativos
122 Proteccioacuten contra el malware Se requieren controles de malware incluyendo la concienciacioacuten de los usuarios
123 Copias de seguridad Realizar y conservar copias de seguridad adecuadas de conformidad con la poliacutetica de copias de seguridad
124 Registro y supervisioacuten Proteger y registrar las actividades de los usuarios y los administradoresoperadores del sistema las excepciones los fallos y los eventos de seguridad de la informacioacuten Sincronizar los relojes
125 Control del software operativo Controlar la instalacioacuten de programas informaacuteticos en los sistemas operacionales
126 Gestioacuten de la vulnerabilidad teacutecnica Parchear las vulnerabilidades y garantizar que se establezcan normas que rijan la instalacioacuten del software de usuario
127 Consideraciones sobre la auditoriacutea de los sistemas de informacioacuten Planificar y controlar las auditoriacuteas de los sistemas de informacioacuten para reducir al miacutenimo los efectos adversos en los sistemas de produccioacuten o el acceso inapropiado a los datos
USO DE RIDGEBOT QUE SE DEBE CUMPLIRbull Ejecute un anaacutelisis de la prueba de penetracioacuten para asegurarse de que todos los activos
estaacuten seguros contra credenciales deacutebiles u otras vulnerabilidades de softwaremalware donde los hackers pueden obtener acceso no autorizado
bull Ejecute un escaneo para asegurarse de que todos los sistemas o dispositivos utilizados para registrar eventos y actividades estaacuten seguros de credenciales deacutebiles u otras vulnerabilidades de softwaremalware Aacutereas en las que los hackers pueden obtener acceso para borrar o alterar los registros la vigilancia por viacutedeo o la informacioacuten de seguimiento de auditoriacutea
bull Ejecute escaneos completos con la explotacioacuten activada para las vulnerabilidades encontradas como parte regular de su poliacuteticaproceso para endurecer los parches de software actualizaciones de software nuevos dispositivos y cualquier cambio de configuracioacuten antes de empujarlos en vivo al entorno de produccioacuten
bull Los informes de exploracioacuten (que contienen las vulnerabilidades detectadas enumeradas los exploits exitosos y las medidas correctivas) abordan el requisito de la Norma de detectar las vulnerabilidades teacutecnicas emergentes de manera estructurada y sistemaacutetica
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 18
Anexo A13 Seguridad de las comunicacionesProteger la informacioacuten en las redes
131 Gestioacuten de la seguridad de las redes Garantizar la seguridad de las redes y los servicios de red por ejemplo mediante la segregacioacuten
132 Transferencia de informacioacuten Garantizar que se apliquen poliacuteticas procedimientos y acuerdos (como los acuerdos de no divulgacioacuten) relativos a la transferencia de informacioacuten ade terceros incluida la mensajeriacutea electroacutenica
USO DE RIDGEBOT QUE SE DEBE CUMPLIR bull Realice una prueba de penetracioacuten para asegurarse de que todos los activos que participan
en la transferencia de informacioacuten y los sistemas de mensajeriacutea electroacutenica estaacuten a salvo de credenciales deacutebiles u otras vulnerabilidades de softwaremalware en las que los piratas informaacuteticos pueden obtener acceso no autorizado
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 19
Anexo A14 Adquisicioacuten desarrollo y mantenimiento de sistemasGarantizar la seguridad de la informacioacuten sigue siendo una parte central de los procesos a lo largo de todo el ciclo de vida de los sistemas internos asiacute como de los servicios prestados a traveacutes de redes puacuteblicas
141 Requisitos de seguridad de los sistemas de informacioacuten Los requisitos de control de seguridad deben ser analizados y especificados incluyendo las aplicaciones web y las transacciones
142 Seguridad en los procesos de desarrollo y apoyo Definir como poliacutetica las normas que rigen el desarrollo de softwaresistemas seguros Se pueden controlar los cambios en ambas aplicaciones y sistemas operativos Asegurar el entorno de desarrollo asiacute como la seguridad de los sistemas de pruebas de desarrollo subcontratados en funcioacuten de criterios de aceptacioacuten definidos por la seguridad
143 Datos de prueba Los datos de las pruebas deben seleccionarse generarse y controlarse cuidadosamente
USO DE RIDGEBOT QUE SE DEBE CUMPLIR bull Realice una prueba de penetracioacuten contra los sistemas internos asiacute como contra cualquier
proveedor o nube de activos y servicios
bull Ejecutar un escaneo completo con la explotacioacuten activada para las vulnerabilidades encontradas como parte regular del desarrollo de software validacioacuten de software y procesos y procedimientos de control de cambios
bull Ejecute un escaneo de acceso para asegurar que existen controles de acceso apropiados para separar sus entornos de desarrolloprueba de software de los entornos de produccioacuten
bull Ejecute escaneos completos con la explotacioacuten activada para las vulnerabilidades encontradas como una parte regular de su poliacutetica y proceso para endurecer el nuevo software durante el proceso de desarrollo de software
bull Ejecute escaneos continuos con la explotacioacuten activada para las vulnerabilidades encontradas Escanee continuamente partes de su software o del proceso de desarrollo de su sitio web asiacute como el proceso de pruebas para reforzar los parches de software las actualizaciones de software los nuevos dispositivos y cualquier cambio de configuracioacuten antes de introducirlos en su entorno de produccioacuten
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 20
Anexo A15 Relaciones con los proveedoresAcuerdos contractuales entre organizaciones y terceros
151 Seguridad de la informacioacuten en las relaciones con los proveedores Definir poliacuteticas procedimientos concienciacioacuten etc para proteger la informacioacuten accesible a los subcontratistas y proveedores externos a lo largo de la cadena de suministro acordada en los contratos o acuerdos
152 Gestioacuten de la prestacioacuten de servicios de los proveedores Supervisar la prestacioacuten de servicios por parte de los proveedores externos y revisarauditar los contratosacuerdos Controlar los cambios en el servicio
Anexo A16 Gestioacuten de incidentes de seguridad de la informacioacutenGestionar e informar de los incidentes de seguridad
161 Gestioacuten de los incidentes y mejoras de la seguridad de la informacioacuten Definir las responsabilidades y los procedimientos para gestionar (informar evaluar responder y aprender de) los eventos incidentes y debilidades de la seguridad de la informacioacuten de forma coherente y eficaz y recopilar pruebas forenses
USO DE RIDGEBOT QUE SE DEBE CUMPLIRbull Los informes del escaacutener de la prueba de penetracioacutenmdashque incluyen soluciones
recomendadas para cada vulnerabilidadmdashproporcionan informacioacuten criacutetica para su equipo de respuestaescalada de incidentes de seguridad o forense para asegurar el manejo oportuno y efectivo de todas las situaciones
bull Un escaneo forense (despueacutes de que haya ocurrido un incidente de seguridad) tambieacuten puede ayudar a determinar doacutende y coacutemo se perpetra una brecha
Anexo A17 Aspectos de la seguridad de la informacioacuten en la gestioacuten de la continuidad de las operacionesCrear un sistema eficaz para gestionar las interrupciones de los negocios
171 Continuidad de la seguridad de la informacioacuten Planificar implementar y revisar la continuidad de la seguridad de la informacioacuten como parte integral del sistema de gestioacuten de la continuidad del negocio
172 Redundancias Asegurar que las instalaciones de TI tengan suficiente redundancia para satisfacer los requisitos de disponibilidad
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 21
Anexo A18 CumplimientoIdentificar las leyes y reglamentos pertinentes Comprender los requisitos legales y contractuales para mitigar el riesgo de incumplimiento y las sanciones
181 Cumplimiento de los requisitos legales y contractuales Identificar y documentar las obligaciones para con las autoridades externas y otros terceros en relacioacuten con la seguridad de la informacioacuten incluida la propiedad intelectual los registros [comerciales] la informacioacuten de privacidadidentificacioacuten personal y la criptografiacutea
182 Exaacutemenes de la seguridad de la informacioacuten Revisar independientemente las disposiciones de seguridad de la informacioacuten (auditoriacutea) e informar a la administracioacuten Los directivos deben examinar el cumplimiento de las poliacuteticas y procedimientos de seguridad por parte de los empleados y los sistemas e iniciar medidas correctivas
USO DE RIDGEBOT QUE SE DEBE CUMPLIRbull Realice escaneos completos con la explotacioacuten activada para las vulnerabilidades
encontradas como parte regular de su poliacutetica y proceso para revisar que sus controles de seguridad son efectivos contra las uacuteltimas amenazas
bull El motor de explotacioacuten AIML incorporado de RidgeBot utiliza la base de conocimientos de teacutecnicas de ataque de RidgeSecurity liacuteder en la industria y asegura que sus activos esteacuten siempre reforzados con la inteligencia de vulnerabilidades maacutes actualizada
bull Los informes de exploracioacutenmdashque contienen las vulnerabilidades detectadas los exploits exitosos y los pasos correctivosmdashproporcionan documentacioacuten para una revisioacuten independiente o de gestioacuten de sus controles de seguridad y su eficacia Tambieacuten esbozan los pasos para la accioacuten correctiva
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 22
Perfil de la compantildeiacuteaRidge Security ofrece soluciones eacuteticas eficientes y accesibles para la prueba de penetracioacuten a empresas pequentildeas y grandes Nos aseguramos de que nuestros clientes se mantengan conformes alerta y seguros en todo momento en el mundo ciberneacutetico El equipo de administracioacuten tiene muchos antildeos de experiencia en redes y seguridad Ridge Security estaacute ubicada en el corazoacuten de Silicon Valley y se estaacute expandiendo a otras regiones como Ameacuterica Latina Asia y Europa
RidgeBot un sistema de pruebas de penetracioacuten roboacutetica automatizado por completo el proceso se prueba acoplando teacutecnicas de hacking eacutetico a los algoritmos de toma de decisiones Los RidgeBots localizan explotan y documentan los riesgos y vulnerabilidades empresariales descubiertos durante el proceso de prueba destacando el impacto o dantildeo potencial
Ridge Security Technology Incwwwridgesecurityai
copy 2020 Todos los derechos reservados Ridge Security Technology Inc RidgeBot es una marca registrada de Ridge Security Technology Inc
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 17
Anexo A12 Seguridad de las operacionesAsegurarse de que las instalaciones de procesamiento de informacioacuten sean seguras
121 Procedimientos y responsabilidades operacionales Documentar las responsabilidades y procedimientos operativos de la TI controlar los cambios en las instalaciones y sistemas de TI gestionar la capacidad y el rendimiento separar el desarrollo las pruebas y los sistemas operativos
122 Proteccioacuten contra el malware Se requieren controles de malware incluyendo la concienciacioacuten de los usuarios
123 Copias de seguridad Realizar y conservar copias de seguridad adecuadas de conformidad con la poliacutetica de copias de seguridad
124 Registro y supervisioacuten Proteger y registrar las actividades de los usuarios y los administradoresoperadores del sistema las excepciones los fallos y los eventos de seguridad de la informacioacuten Sincronizar los relojes
125 Control del software operativo Controlar la instalacioacuten de programas informaacuteticos en los sistemas operacionales
126 Gestioacuten de la vulnerabilidad teacutecnica Parchear las vulnerabilidades y garantizar que se establezcan normas que rijan la instalacioacuten del software de usuario
127 Consideraciones sobre la auditoriacutea de los sistemas de informacioacuten Planificar y controlar las auditoriacuteas de los sistemas de informacioacuten para reducir al miacutenimo los efectos adversos en los sistemas de produccioacuten o el acceso inapropiado a los datos
USO DE RIDGEBOT QUE SE DEBE CUMPLIRbull Ejecute un anaacutelisis de la prueba de penetracioacuten para asegurarse de que todos los activos
estaacuten seguros contra credenciales deacutebiles u otras vulnerabilidades de softwaremalware donde los hackers pueden obtener acceso no autorizado
bull Ejecute un escaneo para asegurarse de que todos los sistemas o dispositivos utilizados para registrar eventos y actividades estaacuten seguros de credenciales deacutebiles u otras vulnerabilidades de softwaremalware Aacutereas en las que los hackers pueden obtener acceso para borrar o alterar los registros la vigilancia por viacutedeo o la informacioacuten de seguimiento de auditoriacutea
bull Ejecute escaneos completos con la explotacioacuten activada para las vulnerabilidades encontradas como parte regular de su poliacuteticaproceso para endurecer los parches de software actualizaciones de software nuevos dispositivos y cualquier cambio de configuracioacuten antes de empujarlos en vivo al entorno de produccioacuten
bull Los informes de exploracioacuten (que contienen las vulnerabilidades detectadas enumeradas los exploits exitosos y las medidas correctivas) abordan el requisito de la Norma de detectar las vulnerabilidades teacutecnicas emergentes de manera estructurada y sistemaacutetica
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 18
Anexo A13 Seguridad de las comunicacionesProteger la informacioacuten en las redes
131 Gestioacuten de la seguridad de las redes Garantizar la seguridad de las redes y los servicios de red por ejemplo mediante la segregacioacuten
132 Transferencia de informacioacuten Garantizar que se apliquen poliacuteticas procedimientos y acuerdos (como los acuerdos de no divulgacioacuten) relativos a la transferencia de informacioacuten ade terceros incluida la mensajeriacutea electroacutenica
USO DE RIDGEBOT QUE SE DEBE CUMPLIR bull Realice una prueba de penetracioacuten para asegurarse de que todos los activos que participan
en la transferencia de informacioacuten y los sistemas de mensajeriacutea electroacutenica estaacuten a salvo de credenciales deacutebiles u otras vulnerabilidades de softwaremalware en las que los piratas informaacuteticos pueden obtener acceso no autorizado
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 19
Anexo A14 Adquisicioacuten desarrollo y mantenimiento de sistemasGarantizar la seguridad de la informacioacuten sigue siendo una parte central de los procesos a lo largo de todo el ciclo de vida de los sistemas internos asiacute como de los servicios prestados a traveacutes de redes puacuteblicas
141 Requisitos de seguridad de los sistemas de informacioacuten Los requisitos de control de seguridad deben ser analizados y especificados incluyendo las aplicaciones web y las transacciones
142 Seguridad en los procesos de desarrollo y apoyo Definir como poliacutetica las normas que rigen el desarrollo de softwaresistemas seguros Se pueden controlar los cambios en ambas aplicaciones y sistemas operativos Asegurar el entorno de desarrollo asiacute como la seguridad de los sistemas de pruebas de desarrollo subcontratados en funcioacuten de criterios de aceptacioacuten definidos por la seguridad
143 Datos de prueba Los datos de las pruebas deben seleccionarse generarse y controlarse cuidadosamente
USO DE RIDGEBOT QUE SE DEBE CUMPLIR bull Realice una prueba de penetracioacuten contra los sistemas internos asiacute como contra cualquier
proveedor o nube de activos y servicios
bull Ejecutar un escaneo completo con la explotacioacuten activada para las vulnerabilidades encontradas como parte regular del desarrollo de software validacioacuten de software y procesos y procedimientos de control de cambios
bull Ejecute un escaneo de acceso para asegurar que existen controles de acceso apropiados para separar sus entornos de desarrolloprueba de software de los entornos de produccioacuten
bull Ejecute escaneos completos con la explotacioacuten activada para las vulnerabilidades encontradas como una parte regular de su poliacutetica y proceso para endurecer el nuevo software durante el proceso de desarrollo de software
bull Ejecute escaneos continuos con la explotacioacuten activada para las vulnerabilidades encontradas Escanee continuamente partes de su software o del proceso de desarrollo de su sitio web asiacute como el proceso de pruebas para reforzar los parches de software las actualizaciones de software los nuevos dispositivos y cualquier cambio de configuracioacuten antes de introducirlos en su entorno de produccioacuten
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 20
Anexo A15 Relaciones con los proveedoresAcuerdos contractuales entre organizaciones y terceros
151 Seguridad de la informacioacuten en las relaciones con los proveedores Definir poliacuteticas procedimientos concienciacioacuten etc para proteger la informacioacuten accesible a los subcontratistas y proveedores externos a lo largo de la cadena de suministro acordada en los contratos o acuerdos
152 Gestioacuten de la prestacioacuten de servicios de los proveedores Supervisar la prestacioacuten de servicios por parte de los proveedores externos y revisarauditar los contratosacuerdos Controlar los cambios en el servicio
Anexo A16 Gestioacuten de incidentes de seguridad de la informacioacutenGestionar e informar de los incidentes de seguridad
161 Gestioacuten de los incidentes y mejoras de la seguridad de la informacioacuten Definir las responsabilidades y los procedimientos para gestionar (informar evaluar responder y aprender de) los eventos incidentes y debilidades de la seguridad de la informacioacuten de forma coherente y eficaz y recopilar pruebas forenses
USO DE RIDGEBOT QUE SE DEBE CUMPLIRbull Los informes del escaacutener de la prueba de penetracioacutenmdashque incluyen soluciones
recomendadas para cada vulnerabilidadmdashproporcionan informacioacuten criacutetica para su equipo de respuestaescalada de incidentes de seguridad o forense para asegurar el manejo oportuno y efectivo de todas las situaciones
bull Un escaneo forense (despueacutes de que haya ocurrido un incidente de seguridad) tambieacuten puede ayudar a determinar doacutende y coacutemo se perpetra una brecha
Anexo A17 Aspectos de la seguridad de la informacioacuten en la gestioacuten de la continuidad de las operacionesCrear un sistema eficaz para gestionar las interrupciones de los negocios
171 Continuidad de la seguridad de la informacioacuten Planificar implementar y revisar la continuidad de la seguridad de la informacioacuten como parte integral del sistema de gestioacuten de la continuidad del negocio
172 Redundancias Asegurar que las instalaciones de TI tengan suficiente redundancia para satisfacer los requisitos de disponibilidad
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 21
Anexo A18 CumplimientoIdentificar las leyes y reglamentos pertinentes Comprender los requisitos legales y contractuales para mitigar el riesgo de incumplimiento y las sanciones
181 Cumplimiento de los requisitos legales y contractuales Identificar y documentar las obligaciones para con las autoridades externas y otros terceros en relacioacuten con la seguridad de la informacioacuten incluida la propiedad intelectual los registros [comerciales] la informacioacuten de privacidadidentificacioacuten personal y la criptografiacutea
182 Exaacutemenes de la seguridad de la informacioacuten Revisar independientemente las disposiciones de seguridad de la informacioacuten (auditoriacutea) e informar a la administracioacuten Los directivos deben examinar el cumplimiento de las poliacuteticas y procedimientos de seguridad por parte de los empleados y los sistemas e iniciar medidas correctivas
USO DE RIDGEBOT QUE SE DEBE CUMPLIRbull Realice escaneos completos con la explotacioacuten activada para las vulnerabilidades
encontradas como parte regular de su poliacutetica y proceso para revisar que sus controles de seguridad son efectivos contra las uacuteltimas amenazas
bull El motor de explotacioacuten AIML incorporado de RidgeBot utiliza la base de conocimientos de teacutecnicas de ataque de RidgeSecurity liacuteder en la industria y asegura que sus activos esteacuten siempre reforzados con la inteligencia de vulnerabilidades maacutes actualizada
bull Los informes de exploracioacutenmdashque contienen las vulnerabilidades detectadas los exploits exitosos y los pasos correctivosmdashproporcionan documentacioacuten para una revisioacuten independiente o de gestioacuten de sus controles de seguridad y su eficacia Tambieacuten esbozan los pasos para la accioacuten correctiva
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 22
Perfil de la compantildeiacuteaRidge Security ofrece soluciones eacuteticas eficientes y accesibles para la prueba de penetracioacuten a empresas pequentildeas y grandes Nos aseguramos de que nuestros clientes se mantengan conformes alerta y seguros en todo momento en el mundo ciberneacutetico El equipo de administracioacuten tiene muchos antildeos de experiencia en redes y seguridad Ridge Security estaacute ubicada en el corazoacuten de Silicon Valley y se estaacute expandiendo a otras regiones como Ameacuterica Latina Asia y Europa
RidgeBot un sistema de pruebas de penetracioacuten roboacutetica automatizado por completo el proceso se prueba acoplando teacutecnicas de hacking eacutetico a los algoritmos de toma de decisiones Los RidgeBots localizan explotan y documentan los riesgos y vulnerabilidades empresariales descubiertos durante el proceso de prueba destacando el impacto o dantildeo potencial
Ridge Security Technology Incwwwridgesecurityai
copy 2020 Todos los derechos reservados Ridge Security Technology Inc RidgeBot es una marca registrada de Ridge Security Technology Inc
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 18
Anexo A13 Seguridad de las comunicacionesProteger la informacioacuten en las redes
131 Gestioacuten de la seguridad de las redes Garantizar la seguridad de las redes y los servicios de red por ejemplo mediante la segregacioacuten
132 Transferencia de informacioacuten Garantizar que se apliquen poliacuteticas procedimientos y acuerdos (como los acuerdos de no divulgacioacuten) relativos a la transferencia de informacioacuten ade terceros incluida la mensajeriacutea electroacutenica
USO DE RIDGEBOT QUE SE DEBE CUMPLIR bull Realice una prueba de penetracioacuten para asegurarse de que todos los activos que participan
en la transferencia de informacioacuten y los sistemas de mensajeriacutea electroacutenica estaacuten a salvo de credenciales deacutebiles u otras vulnerabilidades de softwaremalware en las que los piratas informaacuteticos pueden obtener acceso no autorizado
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 19
Anexo A14 Adquisicioacuten desarrollo y mantenimiento de sistemasGarantizar la seguridad de la informacioacuten sigue siendo una parte central de los procesos a lo largo de todo el ciclo de vida de los sistemas internos asiacute como de los servicios prestados a traveacutes de redes puacuteblicas
141 Requisitos de seguridad de los sistemas de informacioacuten Los requisitos de control de seguridad deben ser analizados y especificados incluyendo las aplicaciones web y las transacciones
142 Seguridad en los procesos de desarrollo y apoyo Definir como poliacutetica las normas que rigen el desarrollo de softwaresistemas seguros Se pueden controlar los cambios en ambas aplicaciones y sistemas operativos Asegurar el entorno de desarrollo asiacute como la seguridad de los sistemas de pruebas de desarrollo subcontratados en funcioacuten de criterios de aceptacioacuten definidos por la seguridad
143 Datos de prueba Los datos de las pruebas deben seleccionarse generarse y controlarse cuidadosamente
USO DE RIDGEBOT QUE SE DEBE CUMPLIR bull Realice una prueba de penetracioacuten contra los sistemas internos asiacute como contra cualquier
proveedor o nube de activos y servicios
bull Ejecutar un escaneo completo con la explotacioacuten activada para las vulnerabilidades encontradas como parte regular del desarrollo de software validacioacuten de software y procesos y procedimientos de control de cambios
bull Ejecute un escaneo de acceso para asegurar que existen controles de acceso apropiados para separar sus entornos de desarrolloprueba de software de los entornos de produccioacuten
bull Ejecute escaneos completos con la explotacioacuten activada para las vulnerabilidades encontradas como una parte regular de su poliacutetica y proceso para endurecer el nuevo software durante el proceso de desarrollo de software
bull Ejecute escaneos continuos con la explotacioacuten activada para las vulnerabilidades encontradas Escanee continuamente partes de su software o del proceso de desarrollo de su sitio web asiacute como el proceso de pruebas para reforzar los parches de software las actualizaciones de software los nuevos dispositivos y cualquier cambio de configuracioacuten antes de introducirlos en su entorno de produccioacuten
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 20
Anexo A15 Relaciones con los proveedoresAcuerdos contractuales entre organizaciones y terceros
151 Seguridad de la informacioacuten en las relaciones con los proveedores Definir poliacuteticas procedimientos concienciacioacuten etc para proteger la informacioacuten accesible a los subcontratistas y proveedores externos a lo largo de la cadena de suministro acordada en los contratos o acuerdos
152 Gestioacuten de la prestacioacuten de servicios de los proveedores Supervisar la prestacioacuten de servicios por parte de los proveedores externos y revisarauditar los contratosacuerdos Controlar los cambios en el servicio
Anexo A16 Gestioacuten de incidentes de seguridad de la informacioacutenGestionar e informar de los incidentes de seguridad
161 Gestioacuten de los incidentes y mejoras de la seguridad de la informacioacuten Definir las responsabilidades y los procedimientos para gestionar (informar evaluar responder y aprender de) los eventos incidentes y debilidades de la seguridad de la informacioacuten de forma coherente y eficaz y recopilar pruebas forenses
USO DE RIDGEBOT QUE SE DEBE CUMPLIRbull Los informes del escaacutener de la prueba de penetracioacutenmdashque incluyen soluciones
recomendadas para cada vulnerabilidadmdashproporcionan informacioacuten criacutetica para su equipo de respuestaescalada de incidentes de seguridad o forense para asegurar el manejo oportuno y efectivo de todas las situaciones
bull Un escaneo forense (despueacutes de que haya ocurrido un incidente de seguridad) tambieacuten puede ayudar a determinar doacutende y coacutemo se perpetra una brecha
Anexo A17 Aspectos de la seguridad de la informacioacuten en la gestioacuten de la continuidad de las operacionesCrear un sistema eficaz para gestionar las interrupciones de los negocios
171 Continuidad de la seguridad de la informacioacuten Planificar implementar y revisar la continuidad de la seguridad de la informacioacuten como parte integral del sistema de gestioacuten de la continuidad del negocio
172 Redundancias Asegurar que las instalaciones de TI tengan suficiente redundancia para satisfacer los requisitos de disponibilidad
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 21
Anexo A18 CumplimientoIdentificar las leyes y reglamentos pertinentes Comprender los requisitos legales y contractuales para mitigar el riesgo de incumplimiento y las sanciones
181 Cumplimiento de los requisitos legales y contractuales Identificar y documentar las obligaciones para con las autoridades externas y otros terceros en relacioacuten con la seguridad de la informacioacuten incluida la propiedad intelectual los registros [comerciales] la informacioacuten de privacidadidentificacioacuten personal y la criptografiacutea
182 Exaacutemenes de la seguridad de la informacioacuten Revisar independientemente las disposiciones de seguridad de la informacioacuten (auditoriacutea) e informar a la administracioacuten Los directivos deben examinar el cumplimiento de las poliacuteticas y procedimientos de seguridad por parte de los empleados y los sistemas e iniciar medidas correctivas
USO DE RIDGEBOT QUE SE DEBE CUMPLIRbull Realice escaneos completos con la explotacioacuten activada para las vulnerabilidades
encontradas como parte regular de su poliacutetica y proceso para revisar que sus controles de seguridad son efectivos contra las uacuteltimas amenazas
bull El motor de explotacioacuten AIML incorporado de RidgeBot utiliza la base de conocimientos de teacutecnicas de ataque de RidgeSecurity liacuteder en la industria y asegura que sus activos esteacuten siempre reforzados con la inteligencia de vulnerabilidades maacutes actualizada
bull Los informes de exploracioacutenmdashque contienen las vulnerabilidades detectadas los exploits exitosos y los pasos correctivosmdashproporcionan documentacioacuten para una revisioacuten independiente o de gestioacuten de sus controles de seguridad y su eficacia Tambieacuten esbozan los pasos para la accioacuten correctiva
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 22
Perfil de la compantildeiacuteaRidge Security ofrece soluciones eacuteticas eficientes y accesibles para la prueba de penetracioacuten a empresas pequentildeas y grandes Nos aseguramos de que nuestros clientes se mantengan conformes alerta y seguros en todo momento en el mundo ciberneacutetico El equipo de administracioacuten tiene muchos antildeos de experiencia en redes y seguridad Ridge Security estaacute ubicada en el corazoacuten de Silicon Valley y se estaacute expandiendo a otras regiones como Ameacuterica Latina Asia y Europa
RidgeBot un sistema de pruebas de penetracioacuten roboacutetica automatizado por completo el proceso se prueba acoplando teacutecnicas de hacking eacutetico a los algoritmos de toma de decisiones Los RidgeBots localizan explotan y documentan los riesgos y vulnerabilidades empresariales descubiertos durante el proceso de prueba destacando el impacto o dantildeo potencial
Ridge Security Technology Incwwwridgesecurityai
copy 2020 Todos los derechos reservados Ridge Security Technology Inc RidgeBot es una marca registrada de Ridge Security Technology Inc
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 19
Anexo A14 Adquisicioacuten desarrollo y mantenimiento de sistemasGarantizar la seguridad de la informacioacuten sigue siendo una parte central de los procesos a lo largo de todo el ciclo de vida de los sistemas internos asiacute como de los servicios prestados a traveacutes de redes puacuteblicas
141 Requisitos de seguridad de los sistemas de informacioacuten Los requisitos de control de seguridad deben ser analizados y especificados incluyendo las aplicaciones web y las transacciones
142 Seguridad en los procesos de desarrollo y apoyo Definir como poliacutetica las normas que rigen el desarrollo de softwaresistemas seguros Se pueden controlar los cambios en ambas aplicaciones y sistemas operativos Asegurar el entorno de desarrollo asiacute como la seguridad de los sistemas de pruebas de desarrollo subcontratados en funcioacuten de criterios de aceptacioacuten definidos por la seguridad
143 Datos de prueba Los datos de las pruebas deben seleccionarse generarse y controlarse cuidadosamente
USO DE RIDGEBOT QUE SE DEBE CUMPLIR bull Realice una prueba de penetracioacuten contra los sistemas internos asiacute como contra cualquier
proveedor o nube de activos y servicios
bull Ejecutar un escaneo completo con la explotacioacuten activada para las vulnerabilidades encontradas como parte regular del desarrollo de software validacioacuten de software y procesos y procedimientos de control de cambios
bull Ejecute un escaneo de acceso para asegurar que existen controles de acceso apropiados para separar sus entornos de desarrolloprueba de software de los entornos de produccioacuten
bull Ejecute escaneos completos con la explotacioacuten activada para las vulnerabilidades encontradas como una parte regular de su poliacutetica y proceso para endurecer el nuevo software durante el proceso de desarrollo de software
bull Ejecute escaneos continuos con la explotacioacuten activada para las vulnerabilidades encontradas Escanee continuamente partes de su software o del proceso de desarrollo de su sitio web asiacute como el proceso de pruebas para reforzar los parches de software las actualizaciones de software los nuevos dispositivos y cualquier cambio de configuracioacuten antes de introducirlos en su entorno de produccioacuten
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 20
Anexo A15 Relaciones con los proveedoresAcuerdos contractuales entre organizaciones y terceros
151 Seguridad de la informacioacuten en las relaciones con los proveedores Definir poliacuteticas procedimientos concienciacioacuten etc para proteger la informacioacuten accesible a los subcontratistas y proveedores externos a lo largo de la cadena de suministro acordada en los contratos o acuerdos
152 Gestioacuten de la prestacioacuten de servicios de los proveedores Supervisar la prestacioacuten de servicios por parte de los proveedores externos y revisarauditar los contratosacuerdos Controlar los cambios en el servicio
Anexo A16 Gestioacuten de incidentes de seguridad de la informacioacutenGestionar e informar de los incidentes de seguridad
161 Gestioacuten de los incidentes y mejoras de la seguridad de la informacioacuten Definir las responsabilidades y los procedimientos para gestionar (informar evaluar responder y aprender de) los eventos incidentes y debilidades de la seguridad de la informacioacuten de forma coherente y eficaz y recopilar pruebas forenses
USO DE RIDGEBOT QUE SE DEBE CUMPLIRbull Los informes del escaacutener de la prueba de penetracioacutenmdashque incluyen soluciones
recomendadas para cada vulnerabilidadmdashproporcionan informacioacuten criacutetica para su equipo de respuestaescalada de incidentes de seguridad o forense para asegurar el manejo oportuno y efectivo de todas las situaciones
bull Un escaneo forense (despueacutes de que haya ocurrido un incidente de seguridad) tambieacuten puede ayudar a determinar doacutende y coacutemo se perpetra una brecha
Anexo A17 Aspectos de la seguridad de la informacioacuten en la gestioacuten de la continuidad de las operacionesCrear un sistema eficaz para gestionar las interrupciones de los negocios
171 Continuidad de la seguridad de la informacioacuten Planificar implementar y revisar la continuidad de la seguridad de la informacioacuten como parte integral del sistema de gestioacuten de la continuidad del negocio
172 Redundancias Asegurar que las instalaciones de TI tengan suficiente redundancia para satisfacer los requisitos de disponibilidad
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 21
Anexo A18 CumplimientoIdentificar las leyes y reglamentos pertinentes Comprender los requisitos legales y contractuales para mitigar el riesgo de incumplimiento y las sanciones
181 Cumplimiento de los requisitos legales y contractuales Identificar y documentar las obligaciones para con las autoridades externas y otros terceros en relacioacuten con la seguridad de la informacioacuten incluida la propiedad intelectual los registros [comerciales] la informacioacuten de privacidadidentificacioacuten personal y la criptografiacutea
182 Exaacutemenes de la seguridad de la informacioacuten Revisar independientemente las disposiciones de seguridad de la informacioacuten (auditoriacutea) e informar a la administracioacuten Los directivos deben examinar el cumplimiento de las poliacuteticas y procedimientos de seguridad por parte de los empleados y los sistemas e iniciar medidas correctivas
USO DE RIDGEBOT QUE SE DEBE CUMPLIRbull Realice escaneos completos con la explotacioacuten activada para las vulnerabilidades
encontradas como parte regular de su poliacutetica y proceso para revisar que sus controles de seguridad son efectivos contra las uacuteltimas amenazas
bull El motor de explotacioacuten AIML incorporado de RidgeBot utiliza la base de conocimientos de teacutecnicas de ataque de RidgeSecurity liacuteder en la industria y asegura que sus activos esteacuten siempre reforzados con la inteligencia de vulnerabilidades maacutes actualizada
bull Los informes de exploracioacutenmdashque contienen las vulnerabilidades detectadas los exploits exitosos y los pasos correctivosmdashproporcionan documentacioacuten para una revisioacuten independiente o de gestioacuten de sus controles de seguridad y su eficacia Tambieacuten esbozan los pasos para la accioacuten correctiva
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 22
Perfil de la compantildeiacuteaRidge Security ofrece soluciones eacuteticas eficientes y accesibles para la prueba de penetracioacuten a empresas pequentildeas y grandes Nos aseguramos de que nuestros clientes se mantengan conformes alerta y seguros en todo momento en el mundo ciberneacutetico El equipo de administracioacuten tiene muchos antildeos de experiencia en redes y seguridad Ridge Security estaacute ubicada en el corazoacuten de Silicon Valley y se estaacute expandiendo a otras regiones como Ameacuterica Latina Asia y Europa
RidgeBot un sistema de pruebas de penetracioacuten roboacutetica automatizado por completo el proceso se prueba acoplando teacutecnicas de hacking eacutetico a los algoritmos de toma de decisiones Los RidgeBots localizan explotan y documentan los riesgos y vulnerabilidades empresariales descubiertos durante el proceso de prueba destacando el impacto o dantildeo potencial
Ridge Security Technology Incwwwridgesecurityai
copy 2020 Todos los derechos reservados Ridge Security Technology Inc RidgeBot es una marca registrada de Ridge Security Technology Inc
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 20
Anexo A15 Relaciones con los proveedoresAcuerdos contractuales entre organizaciones y terceros
151 Seguridad de la informacioacuten en las relaciones con los proveedores Definir poliacuteticas procedimientos concienciacioacuten etc para proteger la informacioacuten accesible a los subcontratistas y proveedores externos a lo largo de la cadena de suministro acordada en los contratos o acuerdos
152 Gestioacuten de la prestacioacuten de servicios de los proveedores Supervisar la prestacioacuten de servicios por parte de los proveedores externos y revisarauditar los contratosacuerdos Controlar los cambios en el servicio
Anexo A16 Gestioacuten de incidentes de seguridad de la informacioacutenGestionar e informar de los incidentes de seguridad
161 Gestioacuten de los incidentes y mejoras de la seguridad de la informacioacuten Definir las responsabilidades y los procedimientos para gestionar (informar evaluar responder y aprender de) los eventos incidentes y debilidades de la seguridad de la informacioacuten de forma coherente y eficaz y recopilar pruebas forenses
USO DE RIDGEBOT QUE SE DEBE CUMPLIRbull Los informes del escaacutener de la prueba de penetracioacutenmdashque incluyen soluciones
recomendadas para cada vulnerabilidadmdashproporcionan informacioacuten criacutetica para su equipo de respuestaescalada de incidentes de seguridad o forense para asegurar el manejo oportuno y efectivo de todas las situaciones
bull Un escaneo forense (despueacutes de que haya ocurrido un incidente de seguridad) tambieacuten puede ayudar a determinar doacutende y coacutemo se perpetra una brecha
Anexo A17 Aspectos de la seguridad de la informacioacuten en la gestioacuten de la continuidad de las operacionesCrear un sistema eficaz para gestionar las interrupciones de los negocios
171 Continuidad de la seguridad de la informacioacuten Planificar implementar y revisar la continuidad de la seguridad de la informacioacuten como parte integral del sistema de gestioacuten de la continuidad del negocio
172 Redundancias Asegurar que las instalaciones de TI tengan suficiente redundancia para satisfacer los requisitos de disponibilidad
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 21
Anexo A18 CumplimientoIdentificar las leyes y reglamentos pertinentes Comprender los requisitos legales y contractuales para mitigar el riesgo de incumplimiento y las sanciones
181 Cumplimiento de los requisitos legales y contractuales Identificar y documentar las obligaciones para con las autoridades externas y otros terceros en relacioacuten con la seguridad de la informacioacuten incluida la propiedad intelectual los registros [comerciales] la informacioacuten de privacidadidentificacioacuten personal y la criptografiacutea
182 Exaacutemenes de la seguridad de la informacioacuten Revisar independientemente las disposiciones de seguridad de la informacioacuten (auditoriacutea) e informar a la administracioacuten Los directivos deben examinar el cumplimiento de las poliacuteticas y procedimientos de seguridad por parte de los empleados y los sistemas e iniciar medidas correctivas
USO DE RIDGEBOT QUE SE DEBE CUMPLIRbull Realice escaneos completos con la explotacioacuten activada para las vulnerabilidades
encontradas como parte regular de su poliacutetica y proceso para revisar que sus controles de seguridad son efectivos contra las uacuteltimas amenazas
bull El motor de explotacioacuten AIML incorporado de RidgeBot utiliza la base de conocimientos de teacutecnicas de ataque de RidgeSecurity liacuteder en la industria y asegura que sus activos esteacuten siempre reforzados con la inteligencia de vulnerabilidades maacutes actualizada
bull Los informes de exploracioacutenmdashque contienen las vulnerabilidades detectadas los exploits exitosos y los pasos correctivosmdashproporcionan documentacioacuten para una revisioacuten independiente o de gestioacuten de sus controles de seguridad y su eficacia Tambieacuten esbozan los pasos para la accioacuten correctiva
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 22
Perfil de la compantildeiacuteaRidge Security ofrece soluciones eacuteticas eficientes y accesibles para la prueba de penetracioacuten a empresas pequentildeas y grandes Nos aseguramos de que nuestros clientes se mantengan conformes alerta y seguros en todo momento en el mundo ciberneacutetico El equipo de administracioacuten tiene muchos antildeos de experiencia en redes y seguridad Ridge Security estaacute ubicada en el corazoacuten de Silicon Valley y se estaacute expandiendo a otras regiones como Ameacuterica Latina Asia y Europa
RidgeBot un sistema de pruebas de penetracioacuten roboacutetica automatizado por completo el proceso se prueba acoplando teacutecnicas de hacking eacutetico a los algoritmos de toma de decisiones Los RidgeBots localizan explotan y documentan los riesgos y vulnerabilidades empresariales descubiertos durante el proceso de prueba destacando el impacto o dantildeo potencial
Ridge Security Technology Incwwwridgesecurityai
copy 2020 Todos los derechos reservados Ridge Security Technology Inc RidgeBot es una marca registrada de Ridge Security Technology Inc
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 21
Anexo A18 CumplimientoIdentificar las leyes y reglamentos pertinentes Comprender los requisitos legales y contractuales para mitigar el riesgo de incumplimiento y las sanciones
181 Cumplimiento de los requisitos legales y contractuales Identificar y documentar las obligaciones para con las autoridades externas y otros terceros en relacioacuten con la seguridad de la informacioacuten incluida la propiedad intelectual los registros [comerciales] la informacioacuten de privacidadidentificacioacuten personal y la criptografiacutea
182 Exaacutemenes de la seguridad de la informacioacuten Revisar independientemente las disposiciones de seguridad de la informacioacuten (auditoriacutea) e informar a la administracioacuten Los directivos deben examinar el cumplimiento de las poliacuteticas y procedimientos de seguridad por parte de los empleados y los sistemas e iniciar medidas correctivas
USO DE RIDGEBOT QUE SE DEBE CUMPLIRbull Realice escaneos completos con la explotacioacuten activada para las vulnerabilidades
encontradas como parte regular de su poliacutetica y proceso para revisar que sus controles de seguridad son efectivos contra las uacuteltimas amenazas
bull El motor de explotacioacuten AIML incorporado de RidgeBot utiliza la base de conocimientos de teacutecnicas de ataque de RidgeSecurity liacuteder en la industria y asegura que sus activos esteacuten siempre reforzados con la inteligencia de vulnerabilidades maacutes actualizada
bull Los informes de exploracioacutenmdashque contienen las vulnerabilidades detectadas los exploits exitosos y los pasos correctivosmdashproporcionan documentacioacuten para una revisioacuten independiente o de gestioacuten de sus controles de seguridad y su eficacia Tambieacuten esbozan los pasos para la accioacuten correctiva
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 22
Perfil de la compantildeiacuteaRidge Security ofrece soluciones eacuteticas eficientes y accesibles para la prueba de penetracioacuten a empresas pequentildeas y grandes Nos aseguramos de que nuestros clientes se mantengan conformes alerta y seguros en todo momento en el mundo ciberneacutetico El equipo de administracioacuten tiene muchos antildeos de experiencia en redes y seguridad Ridge Security estaacute ubicada en el corazoacuten de Silicon Valley y se estaacute expandiendo a otras regiones como Ameacuterica Latina Asia y Europa
RidgeBot un sistema de pruebas de penetracioacuten roboacutetica automatizado por completo el proceso se prueba acoplando teacutecnicas de hacking eacutetico a los algoritmos de toma de decisiones Los RidgeBots localizan explotan y documentan los riesgos y vulnerabilidades empresariales descubiertos durante el proceso de prueba destacando el impacto o dantildeo potencial
Ridge Security Technology Incwwwridgesecurityai
copy 2020 Todos los derechos reservados Ridge Security Technology Inc RidgeBot es una marca registrada de Ridge Security Technology Inc
copy 2020 Ridge Security Technology Inc www Ridgesecurityai Documento Teacutechnico de Conformidad con la norma ISO27001 22
Perfil de la compantildeiacuteaRidge Security ofrece soluciones eacuteticas eficientes y accesibles para la prueba de penetracioacuten a empresas pequentildeas y grandes Nos aseguramos de que nuestros clientes se mantengan conformes alerta y seguros en todo momento en el mundo ciberneacutetico El equipo de administracioacuten tiene muchos antildeos de experiencia en redes y seguridad Ridge Security estaacute ubicada en el corazoacuten de Silicon Valley y se estaacute expandiendo a otras regiones como Ameacuterica Latina Asia y Europa
RidgeBot un sistema de pruebas de penetracioacuten roboacutetica automatizado por completo el proceso se prueba acoplando teacutecnicas de hacking eacutetico a los algoritmos de toma de decisiones Los RidgeBots localizan explotan y documentan los riesgos y vulnerabilidades empresariales descubiertos durante el proceso de prueba destacando el impacto o dantildeo potencial
Ridge Security Technology Incwwwridgesecurityai
copy 2020 Todos los derechos reservados Ridge Security Technology Inc RidgeBot es una marca registrada de Ridge Security Technology Inc
![Auditor Interno en ISO 27001:2013 - ccti.com.co · PDF fileAuditor Interno Norma ISO 27001:2013 . ] v W Auditor Interno ISO 27001:2013 µ ] v W 32 horas ... / ] } u W Español](https://static.fdocuments.ec/doc/165x107/5a8fd9467f8b9af27f8da924/auditor-interno-en-iso-270012013-ccticomco-interno-norma-iso-270012013-.jpg)
