ISMS Copilot
Glosario de ISO 27001

¿Qué es una Amenaza en ISO 27001?

Resumen

Una Amenaza es cualquier causa potencial de un incidente no deseado que puede dar lugar a daños en sus sistemas de información u organización. En ISO 27001:2022, la identificación de amenazas es una parte fundamental de la evaluación de riesgos (Cláusula 6.1.2) y determina qué controles de seguridad necesita implementar.

Comprender las amenazas le ayuda a evaluar la probabilidad y el impacto de los riesgos para sus activos de información.

Las Amenazas en la Práctica

Durante la evaluación de riesgos, usted identifica las amenazas que podrían explotar vulnerabilidades en sus activos y causar incidentes de seguridad. Las amenazas pueden ser:

  • Intencionadas: Acciones deliberadas por parte de actores de amenazas (hackers, personal interno malicioso, competidores)

  • Accidentales: Acciones no intencionadas que causan daño (errores de empleados, configuraciones incorrectas)

  • Ambientales: Eventos naturales o condiciones físicas (incendios, inundaciones, cortes de energía)

Las amenazas explotan las vulnerabilidades para crear riesgos. Una vulnerabilidad sin una amenaza creíble puede suponer un riesgo mínimo, mientras que una amenaza sin una vulnerabilidad que explotar no puede causar daño.

Categorías de Amenazas

Ciberamenazas

Amenazas dirigidas a sistemas digitales y datos:

  • Malware: Virus, ransomware, troyanos, spyware

  • Phishing: Ingeniería social para robar credenciales o información sensible

  • Denegación de servicio distribuido (DDoS): Saturación de sistemas para interrumpir la disponibilidad

  • Amenazas persistentes avanzadas (APT): Ataques sofisticados y dirigidos

  • Inyección SQL y ataques web: Explotación de vulnerabilidades de aplicaciones

  • Exploits de día cero: Ataques que utilizan vulnerabilidades previamente desconocidas

Ejemplo: Una amenaza de ransomware podría explotar una vulnerabilidad de servidor sin parches (A.8.8) para cifrar datos críticos para el negocio, causando pérdidas financieras e interrupciones operativas.

Amenazas Humanas

Amenazas que involucran a personas:

  • Insiders maliciosos: Empleados o contratistas que roban datos intencionadamente o sabotean sistemas

  • Ingeniería social: Manipulación de usuarios para eludir los controles de seguridad

  • Abuso de privilegios: Usuarios autorizados que exceden sus derechos de acceso

  • Errores involuntarios: Eliminación accidental de datos, configuración incorrecta o envío de información sensible a destinatarios equivocados

Ejemplo: Un empleado que hace clic en un correo electrónico de phishing podría proporcionar credenciales que permitan el acceso no autorizado a los datos de los clientes (contrarrestado por la capacitación en concienciación sobre seguridad A.6.3 y MFA A.5.17).

Amenazas Físicas

Amenazas a activos físicos e instalaciones:

  • Robo: Sustracción de computadoras portátiles, servidores, soportes de respaldo

  • Acceso no autorizado: Intrusos que ingresan a áreas seguras

  • Vandalismo: Daño intencional a los equipos

  • Desastres naturales: Terremotos, inundaciones, incendios

  • Fallas de infraestructura: Cortes de energía, fallas de HVAC, daños por agua

Ejemplo: Un incendio en un centro de datos amenaza la disponibilidad del servidor (abordado por los controles de seguridad física A.7.1-A.7.14 y los procedimientos de respaldo A.8.13).

Amenazas de Terceros

Amenazas de proveedores, socios y prestadores de servicios:

  • Ataques a la cadena de suministro: Software o hardware comprometido de proveedores

  • Fallas del servicio en la nube: Interrupciones del proveedor o brechas de seguridad

  • Negligencia del contratista: Terceros que no mantienen los controles de seguridad

Ejemplo: Una brecha de un proveedor de la nube que expone datos de clientes (mitigada por las evaluaciones de seguridad de proveedores A.5.19-A.5.23 y los requisitos de seguridad contractuales).

Las amenazas evolucionan constantemente. Su evaluación de riesgos debe revisarse periódicamente (en intervalos planificados y cuando ocurran cambios significativos) para identificar nuevas amenazas, como variantes de malware emergentes o riesgos geopolíticos.

Evaluación de Amenazas en la Gestión de Riesgos

Al realizar la evaluación de riesgos (Cláusula 6.1.2), usted evalúa las amenazas considerando:

  • Fuente de la amenaza: Quién o qué podría causar la amenaza (cibercriminales, competidores, eventos naturales)

  • Motivación: Por qué atacarían a su organización (beneficio económico, espionaje, interrupción)

  • Capacidad: Su nivel de habilidad y recursos

  • Probabilidad: Posibilidad de que la amenaza se materialice y explote una vulnerabilidad

Ejemplo de escenario de amenaza:

  • Activo: Base de datos de pagos de clientes

  • Vulnerabilidad: Política de contraseñas débil (sin MFA)

  • Amenaza: Hacker externo que busca beneficio económico

  • Riesgo: Acceso no autorizado a los datos de pago, lo que resulta en una violación de datos y multas regulatorias

  • Tratamiento: Implementar MFA (A.5.17), política de contraseñas sólidas (A.5.17) y cifrado (A.8.24)

Inteligencia de Amenazas

El Anexo A de ISO 27001:2022 incluye el control A.5.7 (Inteligencia de amenazas) como un nuevo control que requiere que las organizaciones recopilen y analicen inteligencia de amenazas para comprender las amenazas relevantes.

Fuentes de inteligencia de amenazas:

  • Agencias nacionales de ciberseguridad (CISA, NCSC, CERT)

  • Grupos de intercambio de información de la industria (ISACs)

  • Feeds de amenazas comerciales y proveedores de seguridad

  • Servicios de monitoreo de la dark web

  • Informes de incidentes de organizaciones similares

Utilice ISMS Copilot para identificar amenazas relevantes para su industria y activos, generar escenarios de amenazas para evaluaciones de riesgos o mapear amenazas a los controles apropiados del Anexo A.

Amenaza frente a Vulnerabilidad frente a Riesgo

Estos términos están relacionados pero son distintos:

  • Amenaza: La causa potencial de un incidente (por ejemplo, un ataque de ransomware)

  • Vulnerabilidad: Una debilidad que puede ser explotada (por ejemplo, software sin parches)

  • Riesgo: La combinación de amenaza, vulnerabilidad, probabilidad e impacto (por ejemplo, alto riesgo de que el ransomware cifre servidores sin parches, causando una interrupción del negocio)

Los controles abordan los riesgos mediante:

  • Reducción de vulnerabilidades (por ejemplo, gestión de parches A.8.8)

  • Detección o bloqueo de amenazas (por ejemplo, protección contra malware A.8.7)

  • Limitación del impacto si una amenaza tiene éxito (por ejemplo, copias de seguridad A.8.13)

Amenazas Comunes por Industria

Servicios Financieros

Amenazas persistentes avanzadas, phishing dirigido a credenciales de clientes, ataques DDoS, uso de información privilegiada, escrutinio regulatorio.

Atención Médica

Ransomware dirigido a sistemas de pacientes, robo de registros médicos, abuso de acceso interno, vulnerabilidades en dispositivos médicos.

Comercio Minorista / Comercio Electrónico

Robo de datos de tarjetas de pago, robo de credenciales (credential stuffing), ataques a la cadena de suministro, DDoS durante picos de ventas, transacciones fraudulentas.

SaaS / Tecnología

Abuso de APIs, toma de control de cuentas, brechas de datos, amenazas internas, configuraciones incorrectas en la nube, exploits de día cero.

Documente las amenazas identificadas en su registro de evaluación de riesgos, vinculando cada amenaza a los activos, vulnerabilidades y controles seleccionados. Actualice el registro cuando surjan nuevas amenazas.

Términos Relacionados

¿Te fue útil?