InfoSecMan Blog

Somos unos ladrones que queremos robar un banco. Entre las investigaciones que llevamos a cabo, descubrimos algo que nos indica los procedimientos que existen en el banco, las normativas que están cumpliendo y la existencia de los distintos procedimientos que desarrollan esas normativas, además de descubrir la existencia de un rol de seguimiento de todos esos procesos y conocer claramente los procesos existentes en la organización para el cumplimiento de todos esos requisitos.

Junto a todo esto, conocemos cuál debe ser la respuesta de su centro de atención de usuarios ante una incidencia, sabemos que las registran y por tanto debe existir un registro. Y por si fuera poco, sabemos que la organización, sus responsables y empleados están especialmente concienciados con el cumplimiento de todos esos requisitos.

Todo esto lo sabemos gracias a que en la mayoria de sus folletos comerciales aparece un sello: Certificados en BlaBlaBla, una norma que nos dice claramente cuál es la estructura organizacional de esta compañía, la existencia de revisiones periódicas por profesionales independientes y todo lo que ya hemos dicho, además de otras muchas cosas.

¿Supone para la organización una vulnerabilidad el publicar ese sello? ¿No proporciona muchísima informacion no necesaria a un eventual atacante? ¿Es por tanto esa certificación (o su publicación) más una vulnerabilidad que una contramedida?
Y si lo consideramos asi, ¿no lo es más aún la difusion de que una empresa esté certificada en ISO 27001?

Aparte de los beneficios comerciales o de marketing, ¿en qué medida debería recomendarse a una compañía la no difusión de su certificación si lo que realmente desea es mejorar sus niveles de seguridad y disminuir el riesgo asumido? ¿Qué haríais vosotros?

Conociendo ese dato (su certificacion), ¿qué método de “ataque” o de captación de información intentaríais primero? ¿cuál creeis que es la mayor vulnerabilidad asumida por una organización que hace pública su certificación ISO 27001?