la norma
ISO 27032:2012
Bogotá
Colombia
1. Introducción general
2. Pilares fundamentales
Agenda 3. Modelo ISO 27032
4. El ciberespacio
Por: Rodrigo Ferrer CISSP, CISA, QSA, ISO 27001 e
ISO 22301, AMBCI, ABCP.
5. Controles de ciberseguridad ISO 27032
6. Conclusiones
Introducción
El Ciberespacio
El ciberespacio es
un ambiente en
donde interactúan
los seres humanos,
el software y los
servicios que en
Internet se ofrecen
(ISO 27032).
La seguridad en Internet y en el ciberespacio
nos preocupa a todos (partes interesadas). Cada
vez hay más presencia en el ciberespacio, sitios
El Ciberespacio web y otras aplicaciones tienden a aprovechar
este nuevo mundo virtual
(ISO 27032).
El ciberespacio es un ambiente complejo
Por otra resultante de la interacción de las personas,
parte… el software y los servicios de Internet
soportados estos por el hardware y las redes
de comunicaciones (ISO 27032).
Hay aspectos relacionados con la seguridad de la
información que no están cubiertos por las mejores
prácticas existentes y una falta de comunicación
entre las organizaciones y los proveedores en el
Además ciberespacio. Esto ha creado una especie de
fragmentación y convergencia de múltiples niveles
de seguridad en donde el menor de estos es el que
prevale.
ISO 27001:2013
Relaciones de ISO 27005:2018
ISO 27032 con ISO 27002:2013
otras prácticas ISO 31000:2018
o normas ISO 22301:2012
ISO 27031:2009
Contexto de
ISO 27032
La seguridad en
Internet y en el
ciberespacio nos
convoca a todos. La
presencia actual de
las organizaciones
en este espacio crea
unos beneficios
pero también unos
riesgos.
Riesgos
Personas
Mundo virtual
Hardware y
software Internet
Riesgos
La exposición de
información en las
redes sociales
conlleva riesgos.
(Pérdida de
privacidad)
• Ataques de ingeniería social
Amenazas • Malware
posibles en el • Spyware
ciberespacio. • Troyanos
• APT (advanced persistant threat)
Riesgos
La convergencia de las
tecnologías de
información y de las
comunicaciones han
propiciado diferentes
tipos de ataques cada
vez más sofisticados:
Empresa a
empresa
Riesgos en las
transacciones
comerciales
de:
Consumidor Riesgos
Empresa a
a consumidor consumidor
ISO 27032
propone tres
estrategias para
mitigar estos
riesgos que son:
Además la
norma ISO
27032
proporciona
un marco
para:
Objeto y campo de
aplicación
1. Información
2.Aplicaciones
La
Ciberseguridad 3.Red
ISO 27032
comprende a la(s): 4.Internet
5.Infraestructura
Confidencialidad Integridad
Confidencialidad
1.Objetivos de
la Seguridad Integridad
en la
información
Disponibilidad
Procesos
Componentes
2.Seguridad
en las
Software
Aplicaciones a
nivel de: Resultados
Datos
Diseño
3.Seguridad
en la red en Implementación
su:
Operación
Servicios en Internet seguros
4.Seguridad Redes
en Internet a
nivel de: Disponibilidad de servicios
Fiabilidad de servicios
Datacenter
Sitios alternos
Modelo ISO 27032
El ciberespacio no pertenece a nadie, todos
podemos participar.
Partes Las partes interesadas se dividen en:
interesadas Los consumidores, como personas y
organizaciones
Los proveedores de servicios
Proveedores Consumidores
en el
ciberespacio
Involucrados
en el
ciberespacio
Entorno virtual
ISO 27032
Acciones de Establecer y
las partes mantener la
interesadas seguridad
Ciberseguridad
Actividades
requeridas
Entorno virtual
ISO 27032
Organizaciones
Seguridad
Personas
Agentes en el
ciberespacio. Red
Internet
Dispositivos
Activos
Riesgos
Vulnerabilidades
Modelo
general de Controles
Organizaciones
ciberseguridad
Personas
ISO 27032 Partes
interesadas
Red
Internet
Dispositivos
Confiabilidad Seguridad
Tecnología Mejores
Controlando innovadora prácticas
los riesgos a
través de:
Educación
Consumidores Proveedores
Visión general
de la norma Personas Organización
ISO 27032
Mejores
prácticas: Comunicación
Prevenir, y
Detectar y coordinación
Reaccionar.
El ciberespacio
La información
El software
Seguridad
El Hardware
Los servicios
Activos en el
Las personas
ciberespacio
Y los activos intangibles
Proteger el ciberespacio
Gestión de crisis
Metas de la
ciberseguridad Educación
ISO 27032
Alertar sobre amenazas
aplicación políticas
empresariales
sesiones web de scripting código autenticados
y seguros
Usar estándares Actualizaciones
de configuración periódicas
Revisiones
Análisis de
periódicas de
vulnerabilidades
malware
Instalar
Filtros de Uso de firewall
actualizaciones phishing personal
(OS)
Controles de Aplicaciones
actualizadas
Bloquear
ventanas
usuario final
emergentes
Uso de
antivirus y Bloqueadores
de scripts
antispyware
Controles
para la Políticas de Clasificación de la
Sensibilizaciones
Controles
técnicos
seguridad información
ingeniería aplicables
social
Conclusiones
Finalmente…
El ciberespacio en un ambiente muy complejo que debe ser
asegurado.
Existen diferentes niveles de seguridad en el ciberespacio lo que
dificulta la estrategia de seguridad en él.
Existe una proliferación de malware y ataques persistentes
avanzados.
Se debe mejorar la gestión de incidentes entre entidades.
Optimizar la seguridad en los proveedores de servicio es parte
fundamental de la estrategia.
Se debe proteger:
La información
Las aplicaciones
Las redes
La Internet
Y la infraestructura crítica de información (CIIP)
1. ISO 27032:2012
2. ISO 27001:2013
3. ISO 27002:2013
4. ISO 27005:2018
5. ISO 31000:2018
6. PCI DSS
7. Business Continuity Institute (2013) Good Practice Guidelines: A guide to global good
8. Guia para la preparación de las TIC para la continuidad del negocio de Mintic (2010)