Más de 100 países y todos los sectores industriales han sido afectados por malwares, ransomwares y extorsiones. El informe Cybersecurity Forecast 2025, elaborado por los expertos de ciberseguridad de Google Cloud, apunta a que este será un año complejo en cuanto a seguridad de la información: se prevé ciberespionaje a cargo de China, Rusia, Corea del Norte e Irán; la inteligencia artificial (IA) será empleada para atacar de formas cada vez más frecuentes y efectivas y el tiempo de explotación de vulnerabilidades, que fue de 32 días en 2023 y 5 días en 2024 será menor este año. Escribimos un artículo detallado sobre esto y lo puedes leer aquí: https://gaconsultingsolutions.com/ciberseguridad-en-2025-ciberespionaje-ia-ransomware-y-aprender-a-ser-resilientes/ 

Un sistema de gestión de seguridad de la información (SGSI) basado en ISO/IEC 27001 ayuda a enfrentar los retos y aprovechar las oportunidades que establece este contexto. La norma es un conjunto de requisitos que buscan preservar la confidencialidad, integridad y disponibilidad de la información de un negocio que quiere inspirar confianza a sus partes interesadas. Una organización que haya implementado un SGSI tenderá a la sostenibilidad y crecimiento en las relaciones con los clientes, y esto la hace cada vez más capaz y confiable en sus relaciones de negocio. 

Cada apartado de ISO/IEC 27001: 2022 ofrece soluciones

El uso de la IA por parte de los ciberatacantes es un punto crucial del informe, pues esta herramienta poderosa se empleará para desarrollar phishing, vishing, smishing y ataques de ingeniería que deriven en el robo de identidad, fraude y la evasión de los requisitos de seguridad. 

Desde el punto de vista de la norma ISO/IEC 27001: 2022, lo primero que debemos hacer para protegernos de los ataques hechos desde la IA es analizar el contexto. El apartado 4.1 nos invita a que estudiemos cuáles son los factores externos, internos, positivos y negativos de la IA dentro de nuestro sistema de gestión de seguridad de la información. En cuanto a esos aspectos internos tendríamos que revisar con qué competencias cuentan los equipos de trabajos, qué herramientas emplean y qué tan susceptibles al uso de la IA pueden ser y/o qué tan adecuados son nuestros procesos para usar IA (herramientas de prevención, detección y reacción ante las amenazas de seguridad de la información, ciberseguridad y protección de la privacidad). Desde los aspectos externos es necesario atender los requisitos legales y las amenazas relacionadas con el posible incumplimiento del manejo de datos personales al hacer uso de la IA.  

También hay que considerar si existen actores que utilizan la IA para explotar amenazas dentro de la organización, es decir, es pertinente revisar las amenazas técnicas relacionadas con los productos y servicios de la organización que utilizan la IA. ¿Sabemos qué necesidades y expectativas tienen nuestros clientes con respecto a la IA? Una vez establecidos los requisitos de las partes interesadas y del contexto se evaluarían los riesgos y oportunidades. Los riesgos relacionados con la IA tienen que ver con la pérdida de datos y la confidencialidad, sesgos respecto a determinados controles, entre otros. Las oportunidades, por su parte, se asocian a la optimización de respuestas, aumento de los niveles de servicios relacionados con las partes interesadas internas y externas, entre otras. Por el tipo y forma de la IA, en GACS consideramos que puede haber más oportunidades que amenazas, pero esto va a depender de las características de cada organización. Por ejemplo, si nos referimos a organizaciones que son altamente reguladas, este tipo de decisiones se tomarán de forma consensuada, con el gobierno corporativo, evitando omitir los riesgos reglamentarios y legales propios de esos sectores.

Un control para cada amenaza

Preocuparse por la proliferación desenfrenada del phishing, smishing y ataques de ingeniería social es más que legítimo. El control 5.7 Inteligencia de amenazas es crucial para las organizaciones porque es concreto y específico.  Si en la empresa no están muy seguros de que este tema debe tomarse en serio, es pertinente aplicar el control 6.3 para trabajar en la toma de consciencia. 

Al momento de elaborar el plan de gestión de incidentes es importante preparar al equipo para que sepa detectar si existe probabilidad de ataques como los antes mencionados. El control 5.24 que establece que debemos planificarnos y prepararnos para la gestión de incidentes de manera que tengamos ejercicios de respuestas. Sabemos que no todos los controles son aplicables a cada organización, sin embargo, vale la pena mantener los controles relacionados con la protección antimalware. Puedes encontrarlo en la norma como el control 8.7 Código malicioso.

Para prevenir accesos indeseados es necesario contar con políticas de controles de acceso y autenticación: esto se halla en 5.15 Control de acceso, 5.16 Gestión de la identidad y 5.17 Información de autenticación. Hemos abordado 2 propiedades de la información: confidencialidad e integridad. Ahora nos centraremos en la disponibilidad, para lo que resulta crucial disponer de controles relacionados con el respaldo, como el 8.13 Copias de seguridad, muy útil al ser punto de recuperación de los softwares y establecer periodos de pruebas para verificar si la política de copias se hace de forma adecuada y si existe la capacidad de recuperación. 

La evolución de los ciberataques es un hecho indiscutible. Pero no se vale rendirse, y menos si se cuenta con herramientas potentes como los marcos normativos. En esta ocasión exploramos ISO/IEC 27001: 2022, en las próximas entregas abordaremos otros marcos y comprobaremos que, si los cibercriminales se especializan cada vez más, nosotros también. Y mientras aprendemos a combatirlos nos hacemos más fuertes.