En ciberseguridad, «inteligencia de amenazas» (en inglés, threat intelligence) se refiere al proceso de recolección, análisis y uso de información sobre amenazas potenciales o reales que afectan a los sistemas, redes y datos de una organización. Su objetivo es anticiparse a los ataques, mitigar riesgos y mejorar la defensa proactiva.

Es la información procesable sobre los adversarios, sus herramientas, tácticas, motivaciones y objetivos. Esta información puede ayudar a prevenir ataques, responder de manera más eficiente ante incidentes y mejorar la postura general de seguridad.

Se basa tanto en datos técnicos (como direcciones IP maliciosas, hashes de malware, URLs sospechosas) como en contexto estratégico (quién está detrás, por qué ataca, qué busca).

Implementación del control 5.7 de la ISO 27001:2022

El control 5.7 exige que la organización recopile y analice información relevante sobre amenazas para apoyar decisiones informadas en ciberseguridad. Aquí te mostramos cómo implementarlo eficazmente:

1. Establece objetivos claros de inteligencia

Define qué objetivos debería la inteligencia de amenazas cumplir que sea beneficioso para tu negocio en términos de seguridad de la información. Por ejemplo:

1. Protección de activos críticos
2. Identificar tendencias y amenezas relevantes en tu sector
3. Soporte para decisiones estratégicas. Ejemplo, ejecutar actualizaciones o la compra de software o hardware.

2. Define un equipo de inteligencia de amenazas

La empresa debiera definir un equipo interno o externo que se haga responsable de la inteligencia de amenazas.

3. Identifica fuentes confiables de inteligencia

Utiliza fuentes internas (logs, SIEM, IDS/IPS) y externas:

• CERTs nacionales (como INCIBE-CERT)

• Proveedores comerciales de CTI (Cyber Threat Intelligence)

• Informes de amenazas de fabricantes como Cisco, Mandiant o Kaspersky

• Foros OSINT y bases de datos de vulnerabilidades (CVE, NVD)

3. Automatiza la recolección y el análisis

Apóyate en herramientas SIEM, plataformas TIP (Threat Intelligence Platform) y scripts personalizados para recolectar indicadores de compromiso (IoCs), TTPs (tácticas, técnicas y procedimientos) y datos relevantes.

4. Proceso de gestión de inteligencia

Define un proceso de gestión de la inteligencia de amenazas. Por ejemplo:

• Recolección: Identificación de fuentes y extracción de datos.
• Procesamiento: Filtrado y clasificación según criticidad.
• Análisis: Contextualización con el entorno del negocio.
• Difusión: Comunicación a responsables de seguridad, CSIRT, gestión de riesgos, etc.

5. Define la periodicidad de las revisiones

Como muchos controles de la norma ISO 27001, y dado lo cambiante del entorno, se debería realizar esta actividad periódicamente. Ejemplo, semanal, mensual, etc.

6. Registra las revisiones

Se debe dejar evidencia de estas revisiones periódicas. Esto es, a través de notas de la reunión, minutas, un sistema de inteligencia de amenazas, etc.

Conclusión

El control 5.7 no es solo un requerimiento normativo, sino una necesidad estratégica para proteger a tu organización. Implementar una capacidad madura de inteligencia de amenazas te brinda ventaja frente a los atacantes y fortalece todo tu sistema de gestión de seguridad de la información (SGSI).

Adoptar este enfoque proactivo no solo mejora la ciberresiliencia, sino que también te posiciona como una empresa consciente y responsable en la protección de datos y activos digitales.