Acceso usuarios
William-Rogelio Marchand Niño, Einstein Arnold Ortiz Morales, Edwin Jesus Vega Ventocilla, Gardyn Olivera Ruiz
La adopción de la ISO/IEC 27001:2022 no siempre es efectiva porque puede concebirse como cumplimiento documental, dejando en segundo plano la operativización técnica de los controles de seguridad. Por otro lado, en la fase de reconocimiento de la seguridad ofensiva, se utilizan técnicas de OSINT para obtener información expuesta en Internet que puede afectar al negocio. Entonces, ¿cómo se pueden integrar las técnicas y herramientas de OSINT con los controles de seguridad de la ISO/IEC 27001:2022? Es el problema que cubre esta investigación de tipo aplicada de nivel descriptivo, además se detallan las fases de recopilación, análisis y diseño del Modelo de Integración donde se aplican 28 controles y 43 herramientas de código abierto. El modelo es flexible y adaptable a cualquier organización, y constituye una forma de complementar el enfoque defensivo con técnicas ofensivas para consolidar una postura adecuada de seguridad de la información.
The adoption of ISO/IEC 27001:2022 is not always effective because it can be conceived as documentary compliance, leaving aside the technical operationalization of security controls. On the other hand, in the reconnaissance phase of offensive security, OSINT techniques are used to obtain information exposed on the Internet that can affect the business. So, how can OSINT tools and techniques be integrated with ISO/IEC 27001:2022 security controls? This descriptive-level applied research covers the problem posed, detailing the collection, analysis and design phases of an Integration Model where 28 controls and 43 opensource tools were selected. The model is flexible and adaptable to any organization and is a way to complement the defensive approach with offensive techniques to consolidate an adequate information security posture.
