Tablas de Equivalencia de Controles 27002 (2013+2005) - 27032

La siguiente tabla presenta la correspondencia entre los controles de la ISO

27002:2013 con los de la versin del 2005 y con las recomendaciones propuestas
en la 27032:
Control
27002:2013
A.5
A.5.1

Controles

En
Norma
anterio
r

Control
27002:200
5

Polticas de seguridad de la informacin

Orientacin de la direccin para la gestin de la seguridad de la
informacin
A.5.1.1,
6.1.1
A.5.1.2

A.5.1.1

Polticas para la seguridad de la informacin

A.5.1.2
A.6
A.6.1

Revisin de las polticas para la seguridad de la informacin

Organizacin de la seguridad de la informacin
Organizacin interna

A.6.1.1

Roles y responsabilidades para la seguridad de la informacin

A.6.1.2
A.6.1.3
A.6.1.4
A.6.1.5
A.6.2
A.6.2.1
A.6.2.2
A.7
A.7.1
A.7.1.1
A.7.1.2
A.7.2
A.7.2.1
A.7.2.3
A.7.3
A.7.3.1
A.8
A.8.1
A.8.1.1
A.8.1.2
A.8.1.3
A.8.1.4
A.8.2

Separacin de deberes
Contacto con las autoridades
Contactos con grupos de inters especial
Seguridad de la informacin en la gestin de proyectos
Dispositivos mviles y teletrabajo
Poltica para dispositivos mviles
Teletrabajo
Seguridad de los recursos humanos
Antes del empleo
Investigacin de antecedentes (Seleccin)
Trminos y condiciones del empleo
Durante la ejecucin del empleo
Responsabilidades de la direccin
Toma de conciencia, educacin y formacin en la seguridad de la
informacin
Proceso disciplinario
Terminacin y cambio de empleo
Terminacin o cambio de responsabilidades de empleo
Gestin de activos
Responsabilidad por los activos
Inventario de activos
Propiedad de los activos
Uso aceptable de los activos
Devolucin de activos
Clasificacin de la informacin

A.8.2.1

Clasificacin de la informacin

A.7.2.1

A.8.2.2

Etiquetado de la informacin

A.8.2.3

Manejo de activos

A.7.2.2
A.7.2.2
A.10.7.3

A.8.3
A.8.3.1
A.8.3.2
A.8.3.3
A.9
A.9.1
A.9.1.1
A.9.1.2
A.9.2

Manejo de medios
Gestin de medios removibles
Disposicin de los medios
Transferencia de medios fsicos
Control de acceso
Requisitos del negocio para control de acceso
Poltica de control de acceso
Acceso a redes y a servicios en red
Gestin de acceso de usuarios

A.9.2.1

Registro y cancelacin del registro de usuarios

A.7.2.2

Recomendacin
27032

A.6.1.3,
A.8.1.1
A.10.1.3
A.6.1.6
A.6.1.7

Implcito,
12.5.2
Implcito

Implcito
12.5.3.2, 13.4.2
13.4.2-3

NO
A.11.7.1
A.11.7.2
8
A.8.1.2
A.8.1.3
A.8.2.1
A.8.2.2
A.8.2.3

12.2.a
12.5.3.2, 12.5.4
12.5.2

A.8.3.1
7
A.7.1.1
A.7.1.2
A.7.1.3
A.8.3.2

10
A.10.7.1
A.10.7.2
A.10.8.3
11
A.11.1.1
A.11.4.1
A.11.2.1,
A.8.3.3

13.2.1-2-3-4

12.5.3.1, 13.2.1-23
12.5.3.1
12.5.3.1

Control
27002:2013

Controles

En
Norma
anterio
r

Control
27002:200
5

A.9.2.2
A.9.2.3
A.9.2.4
A.9.2.5
A.9.2.6
A.9.3
A.9.3.1
A.9.4
A.9.4.1

Suministro de acceso de usuarios

Gestin de derechos de acceso privilegiado
Gestin de informacin de autenticacin secreta de usuarios
Revisin de los derechos de acceso de los usuarios
Retiro o ajuste de los derechos de acceso
Responsabilidades de los usuarios
Uso de informacin de autenticacin secreta
Control de acceso a sistemas y aplicaciones
Restriccin de acceso a la informacin

A.9.4.2

Procedimiento de ingreso seguro

A.9.4.3
A.9.4.4
A.9.4.5
A.10
A.10.1

Sistema de gestin de contraseas

Uso de programas utilitarios privilegiados
Control de acceso a cdigos fuente de programas
Criptografa
Controles criptogrficos

A.10.1.1

Poltica sobre el uso de controles criptogrficos

A.12.3.1

Gestin de claves

A.12.3.2

A.10.1.2,
10.2.1,
10.4.2,
10.7.4,
10.8.5,
10.10.2-5
A.11
A.11.1
A.11.1.1
A.11.1.2
A.11.1.3
A.11.1.4
A.11.1.5
A.11.1.6
A.11.2
A.11.2.1
A.11.2.2
A.11.2.3
A.11.2.4
A.11.2.5
A.11.2.6
A.11.2.7
A.11.2.8
A.11.2.9
A.12
A.12.1
A.12.1.1
A.12.1.2
A.12.1.3
A.12.1.4
A.12.2

Seguridad fsica y del entorno

reas seguras
Permetro de seguridad fsica
Controles de acceso fsico
Seguridad de oficinas, recintos e instalaciones
Proteccin contra amenazas externas y ambientales
Trabajo en reas seguras
reas de despacho y carga
Equipos
Ubicacin y proteccin de los equipos
Servicios de suministro
Seguridad del cableado
Mantenimiento de equipos
Retiro de activos
Seguridad de equipos y activos fuera de las instalaciones
Disposicin segura o reutilizacin de equipos
Equipos de usuarios desatendidos
Poltica de escritorio limpio y pantalla limpia
Seguridad de las operaciones
Procedimientos operacionales y responsabilidades
Procedimientos de operacin documentados
Gestin de cambios
Gestin de capacidad
Separacin de los ambientes de desarrollo, pruebas y operacin
Proteccin contra cdigos maliciosos

A.12.2.1

Controles contra cdigos maliciosos

A.12.3
A.12.3.1
A.12.4
A.12.4.1
A.12.4.2

Copias de respaldo
Respaldo de la informacin
Registro y seguimiento
Registro de eventos
Proteccin de la informacin de registro

A.12.4.3

Registros del administrador y del operador

A.12.4.4
A.12.5

Sincronizacin de relojes
Control de software operacional (en explotacin)

A.11.2.2
A.11.2.2
A.11.2.3
A.11.2.4
A.8.3.3

Recomendacin
27032
12.5.5.a

A.11.3.1
A.11.6.1
A.11.5.1,
A.11.5.5,
A.11.5.6
A.11.5.3
A.11.5.4
A.12.4.3

13.2.1

NO
12.3
12.5.5.a-b, 13.2.5,
13.5.4
13.5.4

9
A.9.1.1
A.9.1.2
A.9.1.3
A.9.1.4
A.9.1.5
A.9.1.6
A.9.2.1
A.9.2.2
A.9.2.3
A.9.2.4
A.9.2.7
A.9.2.5
A.9.2.6
A.11.3.2
A.11.3.3
10
A.10.1.1
A.10.1.2
A.10.3.1
A.10.1.4
A.10.4.1

9.4.2, 12.3.e,
12.4.a-c-d-g-h

A.10.5.1
A.10.10.1
A.10.10.3
A.10.10.3,
A.10.10.4
A.10.10.6

12.3.c, 12.6

Control
27002:2013

Controles

En
Norma
anterio
r

Control
27002:200
5

A.12.6
A.12.6.1
A.12.6.2
A.12.7
A.12.7.1
A.13
A.13.1
A.13.1.1
A.13.1.2
A.13.1.3
A.13.2
A.13.2.1

Instalacin de software en sistemas operativos (sistemas en

explotacin)
Gestin de la vulnerabilidad tcnica
Gestin de las vulnerabilidades tcnicas
Restricciones sobre la instalacin de software
Consideraciones sobre auditorias de sistemas de informacin
Controles de auditoria de sistemas de informacin
Seguridad de las comunicaciones
Gestin de la seguridad de las redes
Controles de redes
Seguridad de los servicios de red
Separacin en las redes
Transferencia de informacin
Polticas y procedimientos de transferencia de informacin

A.13.2.2

Acuerdos sobre transferencia de informacin

A.10.8.2

A.13.2.3
A.13.2.4
A.14
A.14.1
A.14.1.1
A.14.1.2
A.14.1.3
A.14.2
A.14.2.1
A.14.2.2

Mensajera electrnica
Acuerdos de confidencialidad o de no divulgacin
Adquisicin, desarrollo y mantenimiento de sistemas
Requisitos de seguridad de los sistemas de informacin
Anlisis y especificacin de requisitos de seguridad de la informacin
Seguridad de servicios de las aplicaciones en redes pblicas
Proteccin de transacciones de los servicios de las aplicaciones
Seguridad en los procesos de desarrollo y soporte
Poltica de desarrollo seguro
Procedimientos de control de cambios en sistemas
Revisin tcnica de las aplicaciones despus de cambios en la
plataforma de operacin
Restricciones en los cambios a los paquetes de software
Principios de construccin de los sistemas seguros
Ambiente de desarrollo seguro
Desarrollo contratado externamente
Pruebas de seguridad de sistemas
Prueba de aceptacin de sistemas
Datos de prueba
Proteccin de datos de prueba
Relaciones con los proveedores
Seguridad de la informacin en las relaciones con los proveedores
Poltica de seguridad de la informacin para las relaciones con los
Proveedores
Tratamiento de seguridad dentro de los acuerdos con proveedores

A.12.5.1

A.14.2.3
A.14.2.4
A.14.2.5
A.14.2.6
A.14.2.7
A.14.2.8
A.14.2.9
A.14.3
A.14.3.1
A.15
A.15.1
A.15.1.1
A.15.1.2
A.15.1.3,
15.1.5
A.15.2
A.15.2.1
A.15.2.2
A.16
A.16.1
A.16.1.1
A.16.1.2
A.16.1.3
A.16.1.4
A.16.1.5
A.16.1.6
A.16.1.7
A.17
A.17.1
A.17.1.1
A.17.1.2

Cadena de suministro de tecnologa de informacin y comunicacin

Gestin de la prestacin de servicios de proveedores
Seguimiento y revisin de los servicios de los proveedores
Gestin de cambios en los servicios de los proveedores
Gestin de incidentes de seguridad de la informacin
Gestin de incidentes y mejoras en la seguridad de la informacin
Responsabilidades y procedimientos
Reporte de eventos de seguridad de la informacin
Reporte de debilidades de seguridad de la informacin
Evaluacin de eventos de seguridad de la informacin y decisiones
sobre ellos
Respuesta a incidentes de seguridad de la informacin
Aprendizaje obtenido de los incidentes de seguridad de la informacin
Recoleccin de evidencia
Aspectos de seguridad de la informacin de la gestin de continuidad
del negocio
Continuidad de seguridad de la informacin
Planificacin de la continuidad de la seguridad de la informacin
Implementacin de la continuidad de la seguridad de la informacin

Recomendacin
27032

A.12.4.1

12.5.5.c

A.12.6.1

12.3.b, 12.5.5.c

NO
A.15.3.1
10
A.10.6.1
A.10.6.2
A.11.4.5

12.6
12.5.5.b

A.10.8.1
A.10.8.4
A.6.1.5

12.2.a, 13.3.4
13.2.1-2, 13.2.5,
13.3.3
13.3.3, 12.5.5
12.5.3.1, 13.3.3

A.12.1.1
A.10.9.3
A.10.9.2

12.3.a, 12.5.5.a
12.2.f, 12.5.5.b
12.5.5.b

A.12.5.1

12.3.b, 12.4.b

NO
A.12.5.2
A.12.5.3

12.3.b

NO
NO
A.12.5.5
NO

12.2.e
A.10.3.2
A.12.4.2

A.6.2.3

13.3.3, 13.4.2-4

A.6.2.3
NO
A.10.2.2
A.10.2.3

13.3.6

A.13.2.1
A.13.1.1
A.13.1.2

13.3.5, 13.4.2

A.13.2.2
A.13.2.3

13.4.4

13

NO
NO

14
A.14.1.2

Control
27002:2013

Controles

A.18.1.2
A.18.1.3
A.18.1.4
A.18.1.5
A.18.2
A.18.2.1
A.18.2.2

Verificacin, revisin y evaluacin de la continuidad de la seguridad

de la informacin
Redundancias
Disponibilidad de instalaciones de procesamiento de informacin
Cumplimiento
Cumplimiento de requisitos legales y contractuales
Identificacin de la legislacin aplicable y de los requisitos
contractuales
Derechos de propiedad intelectual
Proteccin de registros
Privacidad y proteccin de informacin de datos personales
Reglamentacin de controles criptogrficos
Revisiones de seguridad de la informacin
Revisin independiente de seguridad de la informacin
Cumplimiento con las polticas y normas de seguridad

A.18.2.3

Revisin del cumplimiento tcnico

A.17.1.3
A.17.2
A.17.2.1
A.18
A.18.1
A.18.1.1

En
Norma
anterio
r

Control
27002:200
5

Recomendacin
27032

A.14.1.5
NO
15
A.15.1.1
A.15.1.2
A.15.1.3
A.15.1.4
A.15.1.6

12.5.3.1
12.5.3.1

A.6.1.8
A.15.2.1
A.15.2.2

12.2.e- d, 12.3.f-gh

Tabla 1: Correlacin ISO 27002:2013, 2005 e ISO 27032

Tabla correlacin ISO 270032-27002

Tabla de correspondencia de Recomendaciones 27032 y controles ISO
27002:2013
Existe
ncia

Recomen
dacin

Recomendacin

27032

en

Control ISO

ISO

27002

2700
2

12
12.2
12.2.a
12.2.b
12.2.c

Cybersecurity controls
Application level controls
Difusin online de polticas, concienciacin usuarios, Comparticin de Info.
Manejo seguro de sesiones en aplicaciones web (cookies)
Controles de validacin de entrada. Cdigo Malicioso. Prevencin SQL-

12.2.d
12.2.e

Injection
Scripts seguros en Web. Prevencin Cross-site Scripting
Revisin y prueba de la seguridad del cdigo de apps por entidades expertas

7.2.1
NO
12.2.1? c y g
NO
18.2.3 y
14.2.8?,

12.2.f

Mecanismos de verificacin de servicio autntico en provisin Web (HTTPS,

12.5.1
14.1.2.a

12.3
12.3.a

subdominios de la marca de la organizacin)

Server protection
Configuracin de Servidores y SO con lo mnimo imprescindible usando guas

14.1.1

12.3.b

de referencia, controles de acceso, controles de auditora

Implantacin de sistema de actualizaciones para servidores y SO

12.6.1,
14.2.2,

12.3.c
12.3.d

Monitorizacin mediante Revisiones peridicas de los registros de seguridad

Revisiones de configuracin de seguridad

14.2.4
12.4.1
18.2.3

Existe
ncia

Recomen
dacin

Recomendacin

27032

en

Control ISO

ISO

27002

2700
2

12.3.e

Implementacin de controles del software malicioso en el servidor (antivirus,

12.2.1.g

12.3.f

antispyware)
Escaneo de contenidos (ficheros) alojados y subidos con (otros controles) de

18.2.3

12.3.g

software malicioso
Realizar test de seguridad de anlisis de vulnerabilidades de los sitios en lnea

18.2.3

12.3.h
12.4
12.4.a

y aplicaciones
Escanear regularmente en busca de compromisos
End-user controls
Uso de SO soportados y actualizados conformes a la poltica o

12.4.b

recomendaciones de los proveedores

Uso de ltimas versiones de APPs soportadas y actualizados conformes a la

14.2.2

12.4.c

poltica o recomendaciones de los proveedores

Uso de herramientas antivirus y antispyware actualizadas (proveedores y

12.2.1

12.4.d

consumidores) e inclusin de stas en el paquete de servicios de proveedores

Implementacin de salvaguardas y herramientas contra virus y programas

12.2.1

12.4.e

espas en navegadores Web (bloqueadores emergentes).

Activacin de bloqueadores de scripts (solo ejecutar los de fuentes de

NO

12.4.f

confianza en mquina local) en navegadores

Uso de filtros de Phising (en navegadores) con consultas a BBDD de sitios de

NO

12.4.g
12.4.h

phising y localizacin de cadenas de scripts sospechosas.

Mantenimiento al da sobre nuevas herramientas web para nuevas amenazas
Uso de IDS de equipo y FW personales contrastados, para usuarios finales en

12.2.1
12.2.1

12.4.i
12.5
12.5.2

las empresas y recomendar el uso de stos por parte de los proveedores

Habilitar actualizaciones automticas
Controls against social engineering attacks
Policies

5.1.1,

Polticas de uso de la informacin, sanciones, concienciacin y formacin en

7.2.3,

ciberseguridad
Methods and processes
Categorization and classification of information

8.2.1-2-3,

Categorizacin y clasificacin e implantacin de controles especficos de

13.2.4

accesos y confidencialidad, procedimientos de manejo de Informacin

18.1.2

confidencial y de la propiedad intelectual de la compaa

Awareness and training

6.1.3,

Mnimo de horas de formacin en concienciacin que toque los temas sobre:

7.2.2

12.5.3
12.5.3.1

12.5.3.2

18.2.3
Implic

12.2.1

ltimas amenazas de Ing. Soc, la forma de realizar los ataques, qu

informacin proteger y cmo, cundo informar sobre eventos sospechosos a
12.5.3.3

las autoridades.
Testing

7.1.2,

Medidas con los empleados: Firma de de acuerdo con la poltica, pruebas

7.2.1-2

controladas y simulacros de ataque para nivel de concienciacin y madurez en

12.5.4

seguridad
People and organization
Fomento, por parte de las organizaciones, del aprendizaje y comprensin de
los riesgos de Ing. Soc en el Ciberespacio y los pasos para protegerse contra

7.2.2

Existe
ncia

Recomen
dacin

Recomendacin

27032

en

Control ISO

ISO

27002

2700
2

12.5.5

estos ataques
Technical

13.2.3

Implementacin de los controles tcnicos para personas, organizaciones y

proveedores descritos en 11.3 y 11.4 y adems, para ataques de ingeniera
12.5.5.a

12.5.5.b

Social, los siguientes:

Autenticacin fuerte, de dos o ms factores adicionales adems del ID de

9.1.2,

usuario y la contrasea, para aplicaciones online que manejan DP y

10.1.1,

transacciones crticas
Uso de certificados de confianza en servicios basados en Web

14.1.1
10.1.1,
13.1.2,

12.5.5.c

Instalacin de ltimas actualizaciones de seguridad

14.1.2-3
12.5.1,

12.6

Cybersecurity readiness (Preparacin a la Ciberseguridad)

12.6.1.d-f-g
12.4.1,
13.1.1

12.6-A.2

A.2 Darknet monitoring (Rango IP de direcciones pblicas que no tienen

NO

servidores reales. El trfico entrante ser para actividades maliciosas o

configuraciones errneas). Hay 3 mtodos para observar actividades
12.6-

maliciosas de trfico procedente de Internet:

A.2.2 Black hole monitoring

A.2.2

Sistema de monitorizacin que no responde a los paquetes enviados al dominio

NO

de Darknet IP. Se utiliza para observar silenciosamente los escaneos de

puertos malware, comportamientos por infeccin de malware (UDP con una
12.6-

Shell en el payload) y DDOS Backscatters

A.2.3 Low interaction monitoring

A.2.3

Es una Darknet monitoring que responde a los paquetes de la Darknet IP

NO

intentando conectase a los sistemas host sospechosos para obtener ms info

de los host atacantes, la trayectoria de los paquetes, estudiar ms a fondo la
reacin de comportamientos tras la ejecucin de Shell Spripts.. Suele
configurarse para parecer una red con vulnerabilidades y atraer a los
12.6-

atacantes
A.2.4 High interaction monitoring (tambin High interaction honeypot)

A.2.4

Igual que la A.2.3 pero intentando interactuar con el sistema atacante todo lo

NO

possible para obtener una informacin ms profunda que incluya la estrategia

de la explotacin de vulnerabilidades, los ejecutables malware inyectados tras
12.6-A.3

la explotacin, el comportamiento del malware

A.3 Sinkhole operation

NO

Un mtodo para redirigir trfico IP especfico a un dispositivo sumidero para

anlisis de trfico, desvo de los ataques, y deteccin de comportamientos
anmalos en red. Se usa para proteccin de ataques DDOS as como de los de
botnet cortando la comunicacin entre los bots por redireccin del servidor
C&C a un sumidero12.6-A.4

A.4 Traceback (rastreo, traza)

NO

Existe
ncia

Recomen
dacin

Recomendacin

27032

en

Control ISO

ISO

27002

2700
2

Tecnica de rastreo automtico de ataques de origen falsificado que

reconstruye el camino del ataque y localiza los nodos atacantes mediante la
correccin del trfico de ataque, informacin de enrutamiento, marcado de
paquete y registro de logs de auditora del trafico de ataque. No las hay para
12.7

hacer el rastreo inter-dominios

Other controls
Vigilancia y cuarentena de dispositivos sospechosos observados en los
correladores de eventos, DNS, router, filtrado de mensajes salientes y

13
13.2
13.2.1

13.2.2

13.2.3

comunicaciones p2p
Framework of information sharing and coordination
Policies
Information providing organizations and Information receiving organizations

8.2.1,

Determinar polticas bsicas con respecto a la clasificacin y tipo de

9.1.1,

informacin, severidad de eventos e incidentes y formas posibles de compartir

9.4.1,

informacin
Classification and categorization of information

13.2.2
8.2.1,

Se categoriza segn los temas de que trate la informacin y para cada

9.1.1,

categora se debe adems clasificar en al menos dos tipos segn se deba

9.4.1,

restringir su acceso (sensible, sin restricciones, privada)

Information minimization

13.2.2
8.2.1,

Minimizar la cantidad de informacin a distribuir para prevenir sobrecarga,

9.1.1

eficiencia del sistema de comparticin as como la omisin de info sensible o

privada. Se debe determinar el nivel de detalles a identificar, para cada
13.2.4

categora y clasificacin, antes de compartirla.

Limited audience

9.1.1

Limitar la audiencia cuando la info a compartir es privada o confidencial y si no

lo es tambin debe limitarse para evitar sobrecarga del sistema a no ser que
13.2.5

se trate de info de gran difusin como alertas o alarmas.

Coordination protocol

10.1.1,

Establecer Poltica a alto nivel para coordinar las solicitudes y distribuciones.

13.2.2

Crear procedimientos de autenticacin y verificacin mutuos para garantizar

13.3

la autenticidad del origen y la prueba de entrega

Methods and processes
Para la conseguir las polticas y objetivos relevantes de la coordinacin y

13.3.2

comparticin de la informacin en el contexto de la Cyberseguridad

Classification and categorization of information

13.3.3

Clasificar la info a compartir tanto si se enva como si se recibe

Non-disclosure agreement (NDA)

13.2.2-4,

Usar un acuerdo de no revelacin, divulgacin para el manejo y proteccin de la

15.1.1

info sensible, compartida entre emisor y receptor, con establecimiento de las

13.3.4

bases de la posterior distribucin y uso

Code of practice
Establecimiento de cdigo de buenas prcticas que cubra las acciones a
acometer, los procedimientos, responsabilidades y compromisos de las parteas

13.2.1

Existe
ncia

Recomen
dacin

Recomendacin

27032

en

Control ISO

ISO

27002

2700
2

13.3.5

interesadas para cada categora y clasificacin de la informacin

Testing and drills (pruebas y simulacros)

16.1.1.a.6

Desarrollar mtodos y procesos para realizar pruebas y simulacros,

13.3.6

regularmente, basados en metodologas de referencia de pruebas de seguridad

Timing and scheduling of information sharing

15.2.1

Definir claramente los horarios y ritmos de la comparticin de informacin con

objetivos de nivel de servicio especfico definido para las relaciones
13.4
13.4.2

voluntarias y acuerdos de nivel de servicio para las relaciones comerciales.

People and organizations
Contacts

6.1.3-4,

Debe elaborarse y protegerse una lista de contactos de emisores y receptores

15.1.1,

e intercambarla para que cada entidad pueda identificar a la persona que enva

16.1.1.b

o recibe info en la comunidad de comparticin y a la alternativa en caso de

fallo de la principal. Aportando la mnima cantidad de datos personales posible.
Otra lista para escalar en caso de incidentes que incluir contactos que no
13.4.3

estn en la lista de comparticin

Alliances

6.1.4

Para facilitar el intercambio de informacin, y establecer prcticas comunes y

consistentes que se rigen por un cdigo de prcticas acordado, y / o NDA, los
13.4.4

Grupos e individuos pueden formar alianzas basadas en sus reas de inters

Awareness and training

7.2.2

Concienciacin y formacin en nuevos riesgos de Cyber emergentes para

15.1.1,

desarrollar habilidad y experiencia para responder ante esas situaciones;

mediante:
Charlas informativas, sesiones de formacin con escenarios simulados de ciber
ataques, talleres de reas de accin especficas, pruebas regulares con
13.5
13.5.2

tutoriales sobre escenarios pertinentes similares a los reales.

Technical
Data standardization for automated system

NO

Los datos de monitorizacin y eventos de seguridad recolectados por los

sistemas automatizados que dan soporte al primer nivel de escalado de
incidentes son altanamente sensibles por lo que deben ser protegidos
estandarizando:

13.5.3

el esquema de datos para cada categora y clasificacin y minimizando

los datos privados,

el formato de datos para facilitar la comparticin y mejorar el

almacenamiento, transmisin, manejo e interoperabilidad ,

la funcionalidad de procesamiento de datos bsicos y algoritmos

utilizados
Data visualization

NO

Usar tcnicas de visualizacin para la presentacin de eventos que faciliten la

13.5.4

visibilidad de cambios y aparicin de incidentes de seguridad

Cryptographic key exchange and software/hardware backups
Implementacin de sistemas criptogrfico (para la comparticin de info

10.1.1-2

Existe
ncia

Recomen
dacin

Recomendacin

27032

en

Control ISO

ISO

27002

2700
2

confidencial), de intercambio de claves con herramientas de backup de hard y

13.5.5

soft de dicho sistema.

Secure file sharing, instant messaging, web portal, and discussion forum

NO

Implementar herramientas de comparticin, mensajera instantnea y foro de

discusiones para facilitar la interaccin online y una comparticin rpida y
segura de informacin. Tambin, un portal web con eventos y estatus de
13.5.6

ciberseguridad
Testing systems

NO

Implementar sistemas dedicados para la realizacin de pruebas en general y

para mejorar los escenarios de pruebas en particular

Tabla 2: Correlacin ISO 27032 e ISO 27002:2013

Gua de Implementacin ISO 27032

Existe

Recomen
dacin

Recomendacin

27032

13.6

ncia

Control

anteri

ISO 27032

or

Implementation guidance
La gua de implementacin para un marco de Ciberseguridad requiere los

13.6-a

siguientes pasos (que ya han sido citados en puntos anteriores)

Identificar y reunir las organizaciones e individuos pertinentes para la

13.6-b

creacin de la comunidad de comparticin y coordinacin

Determinar el rol de emisor/receptor de cada organizacin/individuo

13.6-c

involucrado
Establecer la clase de informacin y coordinacin requerida por la comunidad

NO
13.2.1
NO

13.6-d
13.6-e
13.6-f

Llevar a cabo la categorizacin y clasificacin de la info a compartir

Establecer las polticas y principios que rigen a la comunidad y la informacin
Determinar mtodos y procesos requeridos para cada categora y clasificacin

13.2.2
13.2
13.3

13.6-g

de la informacin
Determinar requisitos y criterios de rendimiento, establecer Cdigo de

13.3.3-4

13.6-h

Buenas prcticas y NDA

Identificar los estndares y sistemas que apoyen la implementacin y

13.5

13.6-i

operaciones de la comunidad
Preparativos para la operacin; cotejar la lista de contactos; llevar a cabo

NO

13.6-j
13.6-k

sensibilizacin y talleres de capacitacin para preparar partes interesadas

Realizar pruebas regulares, incluyendo tutorial de escenarios y la simulacin
Llevar a cabo revisiones peridicas tras las pruebas e incidentes para mejorar

NO

13.3.5-6

la coordinacin y comparticin de sistemas

Tabla 3: Gua de Implementacin ISO 27032

Gua de Ciberseguridad para consumidores

11.3 Guidelines for consumers

Leer y comprender la poltica de privacidad del site y aplicacin publicada

por el proveedor
Aprender y comprender los riesgos de seguridad y privacidad involucrados
determinar los controles apropiados a aplicar. Participar en foros y
preguntar a alguien que sepa sobre el site o la aplicacin antes de darles

informacin (personal u organizacional)

Tener una poltica personal de DP para proteccin de la identidad

determinar la categora, principios disponibles y comparticin)

Gestin de la identidad online (usar ids distintos, minimizar la comparticin

de DP
Reportar hallazgos y eventos sospechosos a las autoridades
Como comprador o vendedor leer y comprender la poltica de seguridad y
privacidad del sitio del mercado y su autenticidad. No compartir DP ni
informacin bancaria a menos que se establezca un inters genuino. Use un

mecanismo de pago confiable.

Proveer el hash de las aplicaciones online desarrolladas para que pueda ser

comprobada su integridad
Asegurar que la informacin sensible de los blogs no se divulga y comprobar
que los comentarios y post que se reciben en el site no tiene contenido

malicioso
Un individuo consumidor debe leer y comprender la pltica de SI de la
organizacin y asegurarse que la info sensible no se emite a menos que se le
autorice

Avisar a las autoridades cuando veamos que sin querer se puede entrar en
un site que requiere autorizacin ya que eso puede ser un indicio de que el
site est comprometido.

Gua de Ciberseguridad para Organizaciones y Proveedores de Servicios

11.4 Guidelines for organizations and service providers
11.4.2 Manage information security risk in the business
11.4.2.1 Information security management system

Las empresas deben implementar un SGSI para identificar y

gestionar los riesgos de seguridad y un sistema de monitorizacin de
incidentes
11.4.2.2 Provide secure products

Las organizaciones que desarrollan plug-ins deben incorporar

acuerdos de usuario final adecuados y claros en los que el usuario
pueda aplazar su aceptacin y escalar los asuntos que pueda tener

con respecto a la poltica y prcticas

Las organizaciones deben documentar un cdigo de comportamiento

tico
Las organizaciones deben firmar digitalmente sus binarios de

software
Se debe colaborar en posibilitar la disponibilidad de las tcnicas de
utilidad de software que ayuden a reducir los problemas de Spyware

o malware
Se debe usar un ciclo de vida de desarrollo seguro de aplicaciones
para obtener productos ms seguros

11.4.2.3 Network monitoring and response

Las organizaciones deben:

Saber lo que es normal o no en el trfico de la red
Usar herramientas de gestin de la red para identificar picos de

trfico o puertos inusuales

Probar y mejorar la capacidad de respuesta previamente a que

sucedan los incidentes mediante simulacros

Entender los elementos que constituyen la lnea base de los

individuos de la red para detectar usos sospechosos

Considerar la monitorizacin de la actividad de la red en algunos
puntos inteligentes (de informacin) como los DNS y los filtos de
mensajes que pueden servir para alertar sobre dispositivos que

puendan haber sido comprometidos pero no han sido detectados por

los IDS o antivirus
11.4.2.4 Support and escalation

Se debe contactar con los departamentos de soporte de los

proveedores para reportarles informacin sobre problemas de
seguridad para que puedan hacer un anlisis y seguimiento

11.4.2.5 Keeping up-to-date with latest developments

Las organizaciones deberan participar en la comunidad pertinente o

foros de la industria para compartir sus mejores prcticas y
aprender de otros compaeros proveedores.

11.4.3 Security requirements for hosting web and other cyberapplication services

Los trminos de los acuerdos deberan al menos cubrir lo siguiente:

Anuncios claros que describan, de la aplicacin o el site, las prcticas

de privacidad y seguridad, recoleccin de datos y el comportamiento
de cualquier cdigo que el aquellos puedan distribuir y ejecutar en

los pcs de los usuarios finales o en los entornos de navegadores web.

Consentimiento del usuario que facilite el acuerdo o desacuerdo con

los trminos del servicio descrito en los anuncios

Control de los usuarios, facilitando a los usuarios el cambiar su
configuracin o rescindir su aceptacin en cualquier momento en el
futuro tras el acuerdo inicial.

Los proveedores de servicios deberan exigir de los sites en lnea o las

aplicaciones alojadas en red que implementen una seria de controles de
mejores prcticas en seguridad a nivel de aplicacin antes de su puesta en
marcha.
Como parte del servicio de la infraestructura de los proveedores de
hosting, los servidores deberan estar protegidos contra accesos no
autorizados y el almacenamiento de contenidos con cdigo malicioso

11.4.4 Security guidance for consumers

Los proveedores de servicio deben orientar a los consumidores sobre

cmo estar seguros online.

Ejemplos de actividades de orientacin:

Con publicaciones peridicas de seguridad que anuncien tcnicas

especficas de seguridad, actualizaciones en tendencias de seguridad;

Portales, videos y audios con informacin de prcticas de seguridad
Incorporando una columna que destaque claves de seguridad en las

revistas que los proveedores envan a los usuarios finales

Mediante seminarios o espectculos ambulantes peridicos en

colaboracin con otros actores de la industria, proveedores y gobiernos.

Recordando a los usuarios nunca les van a enviar un correo no solicitado
preguntando por informacin personal, nombres de usuario, contraseas

o incluyendo un link para que hagan click en l

Notificar a los usuarios como conectarse a una URL citada, de modo que

la escriban ellos mismos en lugar de usar el hiperlink de la misma

Aconsejar a sus usuarios finales en el uso de los controles de seguridad
y tcnicas adecuadas para proteger sus sistemas contra exploits y
ataques conocidos