“Gracias a la alianza con Delta Protect, Atrato ha logrado avances significativos hacia la certificación ISO 27001, fortaleciendo notablemente su seguridad y cumplimiento. El soporte continuo y las asesorías expertas de Delta, combinadas con la innovadora plataforma Apolo, han sido fundamentales para acelerar y optimizar nuestro roadmap, permitiéndonos enfrentar y superar eficazmente cualquier desafío en seguridad de la información.”
“Tras 3 meses de colaboración efectiva con Delta Protect, estamos impresionados con los resultados y la cobertura del programa de Pentesting de CISO As a Service. Hemos detectado y abordado vulnerabilidades clave, mejorando significativamente nuestra seguridad de la información. Los entrenamientos de Ciberseguridad y ejercicios de Phishing han sido cruciales para aumentar la conciencia de nuestros colaboradores. Agradecemos el seguimiento y apoyo continuo de Delta Protect y esperamos alcanzar más objetivos juntos.”
“Nuestra colaboración con Delta Protect marcó un hito en nuestra seguridad digital. Su enfoque meticuloso y detallado en el Pentest reveló vulnerabilidades ocultas que habían pasado inadvertidas, demostrando una eficacia y rapidez impresionante en su resolución. Además, su servicio de CISOaaS transformó nuestra estrategia de ciberseguridad, donde su equipo experto nos guió en el desarrollo de políticas robustas y procesos efectivos.”
“Me complace enormemente relatar la experiencia positiva y enriquecedora que hemos tenido con Delta Protect y su sobresaliente servicio de Chief Information Security Officer as a Service (CISOaaS). Representando al departamento de TI de Sperientia, quiero expresar mi profunda gratitud y aprecio por el alto nivel de calidad y profesionalismo evidenciado en nuestra colaboración con el equipo de Delta Protect. Desde el inicio de nuestra asociación con Delta Protect, hemos observado un compromiso y una excelencia excepcionales, superando ampliamente nuestras expectativas.”
“Mi experiencia con el equipo de especialistas de Delta Protect ha sido tremendamente positiva. En todo momento, han mostrado un alto grado de profesionalismo, experiencia y conocimiento, manejándose con una ética impecable. Su atención al detalle y su disposición para resolver problemas y brindar apoyo han sido imprescindibles. Como CISO, valoro enormemente contar con aliados tan confiables y competentes, que contribuyen significativamente a fortalecer la postura de ciberseguridad de mi compañía.”
Nuestra reciente experiencia con Delta Protect en el pentesting fue excepcional. Nos brindaron asistencia crucial para identificar y fortalecer aspectos de seguridad en variados sistemas e interfaces, abarcando front-end, back-end y aplicaciones móviles. Su enfoque ágil y sumamente profesional fue notable. Sin duda, confiaríamos nuevamente en Delta Protect para asegurar la integridad de nuestros sistemas.
Estoy absolutamente impresionado con la experiencia brindada por Delta Protect. Son, sin duda, el proveedor más responsable y cumplidor que hemos tenido el placer de colaborar.
Mi trayectoria con DeltaProtect se remonta a mi empleo anterior, donde ya tenía contacto con ellos desde el equipo de Ciberseguridad. Solicitamos pruebas de penetración (PT) para aplicaciones web y móviles. Mi experiencia con varios proveedores, grandes y pequeños, me ha demostrado que DeltaProtect se destaca significativamente. Sus informes y hallazgos son superiores, identificando vulnerabilidades que otros proveedores no detectaron. Lo que más valoro es la profundidad de sus pruebas y el enfoque en vulnerabilidades que requieren un análisis más detallado, más allá de los resultados automáticos.
"Delta Protect fue una solución óptima para nosotros. Buscábamos un proveedor bien actualizado técnicamente, que entendiera nuestro modelo de negocio y que nos diera la certeza de poder transmitir solidez a nuestros clientes. El trato del equipo Delta y sus procesos han superado nuestras expectativas, sin duda seguiremos trabajando juntos.”
"¡La experiencia general de trabajar con Delta Protect ha sido simplemente excelente! El equipo responde con velocidad, aclaran todas las preguntas a medida que surgen y el apoyo brindado durante todo el proceso es excelente. Lo Recomendaría sin dudarlo.”
"El servicio de Delta Protect es altamente profesional. Quedamos muy satisfechos con el resultado. Ofrecieron acompañamiento en todo momento para encontrar y solucionar las vulnerabilidades que encontraron en nuestro sistema.”
Controles de la Norma ISO 27001: cuáles son y por qué implementarlos
Ciberseguridad y Cumplimiento Simplificado para Startups y PYMEs en México y LATAM 🔐
Controles de la Norma ISO 27001: cuáles son y por qué implementarlos
Conclusiones
Egresado de Ingeniería en Tecnologías Computacionales por el Tecnológico de Monterrey. Hácker Ético Certificado, especializado en Red Teaming, Auditorías de Seguridad en Aplicaciones Web e Infraestructura. Integrador de soluciones en el área de Ciberseguridad para empresas Fintech en México y LATAM.
Ciberseguridad y Cumplimiento Simplificado para Startups y PYMEs en México y LATAM 🔐
Con la creciente dependencia de las organizaciones en sistemas informáticos, la necesidad de proteger la información se ha vuelto crítica. La norma ISO 27001 emerge como un estándar internacional clave en la implementación de un sistema de gestión de seguridad de la información (SGSI), proporcionando un marco detallado para la identificación, gestión y mitigación de riesgos de seguridad.
¿Qué son los controles de la norma ISO 27001?
Son un conjunto de medidas y prácticas que las organizaciones implementan para proteger la confidencialidad, integridad y disponibilidad de la información. Estas referencias normativas abarcan una amplia gama de áreas como: la seguridad física y ambiental, los recursos humanos, la gestión de activos, evaluación de riesgos, el control de acceso a la información y la gestión de incidentes.
La norma ISO/IEC 27001 es un estándar internacionalmente reconocido que establece los requisitos para un Sistema de Gestión de Seguridad de la Información (SGSI). Desarrollada por la Organización Internacional de Normalización (ISO), esta norma proporciona un marco completo y sistemático para gestionar la seguridad de la información en una organización.
El objetivo principal de esta norma es ayudar a las organizaciones a proteger la confidencialidad, integridad y disponibilidad de la información mediante la implementación de controles de seguridad adecuados.
Al trabajar hacia la certificación ISO, las organizaciones pueden reducir los riesgos de incidentes de seguridad y mejorar la confianza de sus clientes y socios comerciales.
¿Cuáles son los controles de la norma ISO 27001?
Los controles de la norma ISO 27001 se clasifican en diferentes categorías según su función y propósito. Estos son conocidos como los Controles del Anexo A, organizados en 4 categorías o dominios principales. Cada sección aborda un área específica de la seguridad de la información y contiene una lista de controles relacionados con esa área.
El Anexo A facilita la selección de los controles adecuados para cada organización, ya que proporciona información detallada sobre cada uno de ellos. Además, permite a las organizaciones adaptar los controles a sus necesidades y contexto específicos.
En versiones anteriores, los controles estaban clasificados en 14 dominios en vez de 4 (númer actual) y el número de controles específicos eran 114, lo cuales ahora son 93.
Controles Organizacionales
La sección de Controles Organizacionales cuenta con 37 controles que se centran en establecer los procesos de seguridad más importantes y la documentación necesaria para una organización.
Estos controles están diseñados para asegurar que las políticas de información de la organización sean adecuadas y efectivas. Esto implica la creación y mantenimiento de políticas que respalden la gestión de la seguridad de la información y la protección de los activos de información, creando así una adecuada organización de la seguridad de la información.
Algunos de los controles son:
- Políticas de seguridad de la información
- Funciones y responsabilidades de seguridad de la información
- Clasificación de la información
- Gestión de la seguridad de la información en la cadena de suministro de TIC
- Gestión de acceso
- Gestión de identidad
- Planificación y preparación de la gestión de incidentes de seguridad de la información
- Derechos de acceso
Controles de Personas
Los Controles de Personas se centran en asegurar que los empleados, contratistas y otras partes interesadas entiendan sus responsabilidades y estén adecuadamente capacitados para realizar sus tareas de manera salvaguardar adecuadamente los activos de información y establecer una política adecuada en cuanto a la seguridad de los recursos humanos.
Esto incluye la concienciación sobre las políticas de seguridad de la información de la organización, la formación en buenas prácticas y procedimientos, y la comprensión de las consecuencias de no cumplir con las políticas establecidas.
Además, estos controles abordan el ciclo de vida del empleo, desde la selección y contratación hasta la terminación o cambio de empleo. Esta sección cuenta con 8 controles específicos.
Algunos de estos controles que aparecen en este dominio son:
- Términos y condiciones de empleo
- Concientización
- Educación y capacitación sobre seguridad de la información
- Proceso disciplinario
- Responsabilidades después de la terminación o cambio de empleo
- Acuerdos de confidencialidad o no divulgación
- Trabajo remoto
Controles Físicos
Los controles físicos son medidas que buscan asegurar la protección de los activos tangibles de una organización, la cual es esencial para la preservación y protección de la confidencialidad de la información.
Esta sección cuenta con 14 controles relacionados con todos los aspectos físicos relevantes dentro de una organización, tales como sistemas de entrada, almacenamiento físico, entre otros.
Algunos de los controles particulares de este dominio son:
- Perímetros de seguridad física
- Protección de oficinas
- Habitaciones e instalaciones
- Ubicación y protección del equipo
- Medios de almacenamiento
- Seguridad de los equipos
Controles Tecnológicos
El objetivo central de los controles tecnológicos es asegurar que las políticas y procedimientos digitales de la organización estén alineados con estándares de configuración, gestión y control de acceso rigurosos. Esto es esencial para prevenir vulnerabilidades de seguridad que puedan surgir debido a accesos no autorizados, deficiencias operativas o una gestión inadecuada de los sistemas tecnológicos.
Esto se logra mediante la implementación de medidas de seguridad apropiadas que abarcan desde el cifrado de datos hasta la seguridad en redes y la gestión de vulnerabilidades. Los controles tecnológicos buscan asegurar que los sistemas de información sean capaces de resistir ataques cibernéticos y que la información crítica esté protegida contra accesos no autorizados o pérdidas.
Este dominio cuenta con 34 controles, algunos de ellos son:
- Restricción de acceso a la información
- Autenticación segura
- Protección contra malware
- Copias de seguridad de la información
- Seguridad de los servicios de red
- Gestión de cambios
- Uso de criptografía
- Codificación segura
- Protección de los sistemas de información durante las pruebas de auditoría interna
¿Por qué es importante cumplir con los controles de la norma ISO 27001?
Estos controles de acceso proporcionan un marco sólido para gestionar quién tiene acceso a qué información y recursos dentro de la organización, lo que ayuda a prevenir accesos no autorizados, ataques cibernéticos y fugas de datos, y minimizar las posibles consecuencias negativas de incidentes de seguridad.
Asimismo, el cumplimiento de los controles de acceso ayuda a las organizaciones a cumplir con los requisitos legales y regulatorios relacionados con la protección de la información. Cumplir con estos requisitos no solo evita sanciones legales y multas, sino que también contribuye a construir y mantener la confianza del cliente y la reputación de la organización.
Si buscas certificar tu organización para cumplir con las últimas actualizaciones de las normas ISO, en Delta Protect trabajamos con organismos certificadores y apoyamos a nuestros clientes en el cumplimiento de la norma para lograr la certificación. Agenda una demo de Apolo con nuestros expertos y logra la mejora continua de tu organización en materia de seguridad de información.
Egresado de Ingeniería en Tecnologías Computacionales por el Tecnológico de Monterrey. Hácker Ético Certificado, especializado en Red Teaming, Auditorías de Seguridad en Aplicaciones Web e Infraestructura. Integrador de soluciones en el área de Ciberseguridad para empresas Fintech en México y LATAM.
