Ciberseguridad utilizando

la norma
ISO 27032:2012

Sisteseg Consulting Services

Bogotá

Colombia
 1. Introducción general
2. Pilares fundamentales
Agenda 3. Modelo ISO 27032
4. El ciberespacio
Por: Rodrigo Ferrer CISSP, CISA, QSA, ISO 27001 e
ISO 22301, AMBCI, ABCP.
5. Controles de ciberseguridad ISO 27032
6. Conclusiones
Introducción
 El Ciberespacio

– El ciberespacio es
un ambiente en
donde interactúan
los seres humanos,
el software y los
servicios que en
Internet se ofrecen
(ISO 27032).
 La seguridad en Internet y en el ciberespacio
nos preocupa a todos (partes interesadas). Cada
vez hay más presencia en el ciberespacio, sitios
El Ciberespacio web y otras aplicaciones tienden a aprovechar
este nuevo mundo virtual
(ISO 27032).
 –El ciberespacio es un ambiente complejo
Por otra resultante de la interacción de las personas,
parte… el software y los servicios de Internet
soportados estos por el hardware y las redes
de comunicaciones (ISO 27032).
 – Hay aspectos relacionados con la seguridad de la
información que no están cubiertos por las mejores
prácticas existentes y una falta de comunicación
entre las organizaciones y los proveedores en el
Además ciberespacio. Esto ha creado una especie de
fragmentación y convergencia de múltiples niveles
de seguridad en donde el menor de estos es el que
prevale.
 –ISO 27001:2013
Relaciones de –ISO 27005:2018
ISO 27032 con –ISO 27002:2013
otras prácticas –ISO 31000:2018
o normas –ISO 22301:2012
–ISO 27031:2009
 Contexto de
ISO 27032
– La seguridad en
Internet y en el
ciberespacio nos
convoca a todos. La
presencia actual de
las organizaciones
en este espacio crea
unos beneficios
pero también unos
riesgos.
 Riesgos
Personas

Involucrados Redes Organizaciones

en el
ciberespacio
Entorno virtual
ISO 27032

Mundo virtual

Hardware y
software Internet
 Riesgos
– La exposición de
información en las
redes sociales
conlleva riesgos.
– (Pérdida de
privacidad)
 • Ataques de ingeniería social
Amenazas • Malware
posibles en el • Spyware
ciberespacio. • Troyanos
• APT (advanced persistant threat)
 Riesgos
La convergencia de las
tecnologías de
información y de las
comunicaciones han
propiciado diferentes
tipos de ataques cada
vez más sofisticados:
 Empresa a
empresa

Riesgos en las
transacciones
comerciales
de:

Consumidor Riesgos
Empresa a
a consumidor consumidor
 ISO 27032
propone tres
estrategias para
mitigar estos
riesgos que son:
 Además la
norma ISO
27032
proporciona
un marco
para:
Objeto y campo de
aplicación
 1. Información

2.Aplicaciones
La
Ciberseguridad 3.Red
ISO 27032
comprende a la(s): 4.Internet

5.Infraestructura
Confidencialidad Integridad
 Confidencialidad
1.Objetivos de
la Seguridad Integridad
en la
información
Disponibilidad
 Procesos

Componentes
2.Seguridad
en las
Software
Aplicaciones a
nivel de: Resultados

Datos
 Diseño

3.Seguridad
en la red en Implementación
su:
Operación
 Servicios en Internet seguros

4.Seguridad Redes
en Internet a
nivel de: Disponibilidad de servicios

Fiabilidad de servicios
 Datacenter

4.Seguridad en Condiciones ambientales

la
infraestructura: Acceso físico

Sitios alternos
Modelo ISO 27032
 – El ciberespacio no pertenece a nadie, todos
podemos participar.
Partes – Las partes interesadas se dividen en:
interesadas – Los consumidores, como personas y
organizaciones
– Los proveedores de servicios
 Proveedores Consumidores
en el
ciberespacio
Involucrados
en el
ciberespacio
Entorno virtual
ISO 27032
 Acciones de Establecer y
las partes mantener la
interesadas seguridad
Ciberseguridad
Actividades
requeridas
Entorno virtual
ISO 27032
 Organizaciones

Seguridad
Personas
Agentes en el
ciberespacio. Red

Internet

Dispositivos
 Activos

Riesgos

Vulnerabilidades
Modelo
general de Controles
Organizaciones
ciberseguridad
Personas
ISO 27032 Partes
interesadas
Red

Internet

Dispositivos

Confiabilidad Seguridad
 Tecnología Mejores
Controlando innovadora prácticas
los riesgos a
través de:
Educación
 Consumidores Proveedores

Visión general
de la norma Personas Organización

ISO 27032
Mejores
prácticas: Comunicación
Prevenir, y
Detectar y coordinación
Reaccionar.
El ciberespacio
 La información

El software

Seguridad
El Hardware

Los servicios
Activos en el
Las personas
ciberespacio
Y los activos intangibles
 Proteger el ciberespacio

Gestión de crisis
Metas de la
ciberseguridad Educación

ISO 27032
Alertar sobre amenazas

Coordinación entre entidades

Controles de ciberseguridad
ISO 27032
Controles de:
 01 02 03 04 05
Controles de Presentar Manejo de Evitar ataques Revisar Servicios

aplicación políticas
empresariales
sesiones web de scripting código autenticados
y seguros
 Usar estándares Actualizaciones
de configuración periódicas

Protección de Uso de antivirus Generar

y antispyware registros (logs)
servidores

Revisiones
Análisis de
periódicas de
vulnerabilidades
malware
 Instalar
Filtros de Uso de firewall
actualizaciones phishing personal
(OS)

Controles de Aplicaciones
actualizadas
Bloquear
ventanas

usuario final
emergentes

Uso de
antivirus y Bloqueadores
de scripts
antispyware
Controles
para la Políticas de Clasificación de la
Sensibilizaciones
Controles
técnicos
seguridad información
ingeniería aplicables

social
Conclusiones
 Finalmente…
– El ciberespacio en un ambiente muy complejo que debe ser
asegurado.
– Existen diferentes niveles de seguridad en el ciberespacio lo que
dificulta la estrategia de seguridad en él.
– Existe una proliferación de malware y ataques persistentes
avanzados.
– Se debe mejorar la gestión de incidentes entre entidades.
– Optimizar la seguridad en los proveedores de servicio es parte
fundamental de la estrategia.
– Se debe proteger:
– La información
– Las aplicaciones
– Las redes
– La Internet
– Y la infraestructura crítica de información (CIIP)
 1. ISO 27032:2012

2. ISO 27001:2013

3. ISO 27002:2013

4. ISO 27005:2018

5. ISO 31000:2018

6. PCI DSS

7. Business Continuity Institute (2013) Good Practice Guidelines: A guide to global good

Bibliografía practice in business continuity, Business Continuity Institute, Caversham.

8. Guia para la preparación de las TIC para la continuidad del negocio de Mintic (2010)

9. ISO 27031 (2011) – Guidelines for information and communication technology

readiness for business continuity
Ciberseguridad basada
en ISO 27032:2012
FIN