Guía Norma ISO/IEC 27032 Ciberseguridad

Gestión de la Ciberseguridad según el ISO/IEC 27032:2012 En la actualidad es muy común oír el término "Ciberseguridad" en el mundo laboral y académico, término que ayuda a entender la importancia de la Seguridad y el debido resguardo de la información e infraestructuras en el ciberespacio. Pero este aspecto de la seguridad no es un tema nuevo, esta arista se encuentra inmersa en el campo de la seguridad informática y, en un ámbito más amplio, en la Seguridad de la Información. Uso del término Ciberseguridad La siguiente tabla proporciona una visión general de algunas normas que usan la definición de ciberseguridad: ISO/IEC 27032:2012 La norma ISO/IEC 27032:2012 "Tecnología de la información - Técnicas de seguridad Directrices para la Ciberseguridad" (publicada en julio del 2012) proporciona un marco de orientación para mejorar el estado de la Ciberseguridad, usando para ello los aspectos estratégicos y técnicos relevantes para esa actividad, y sus dependencias con otros dominios de seguridad, en particular:  Seguridad de la información (considerando que la información es el activo mas relevante de cualquier organización),  Seguridad en redes,  Seguridad en el Internet, y  La protección de infraestructuras críticas de información. Estructura de la Norma La naturaleza de la Ciberseguridad La siguiente figura explica la relación entre la Ciberseguridad con otros ámbitos de seguridad, como la Seguridad de la Información, Seguridad de Red, Seguridad en aplicaciones, etc. Dominios de la Ciberseguridad En la siguiente figura se muestran algunos dominios de la Ciberseguridad Los dominios mencionados son los siguientes: Partes interesadas en el Ciberespacio El Ciberespacio no pertenece a ninguna persona o empresa, todo el mundo participa y tiene participación en él, para los fines del ISO 27032, las partes interesadas en el Ciberespacio se clasifican en los siguientes grupos:  los consumidores, incluyendo personas; y organizaciones privadas y públicas;  los proveedores, incluyendo, pero sin limitarse a los proveedores de servicios de Internet, y los proveedores de servicio de aplicaciones Activos en el Ciberespacio Un activo se define como algo que tiene valor para la organización. Hay muchos tipos de activos, incluyendo los siguientes: 1. la información; 2. software, como un programa o software; 3. hardware, tal como un computador; 4. servicios, como la electricidad; 5. las personas, sus habilidades y experiencia, y 6. los activos intangibles, como la reputación y la imagen ante los clientes. Protección de los activos en el Ciberespacio En sus marcos de ciberseguridad, tanto el Instituto Nacional de Estándares y Tecnología (NIST), la Agencia Europea de Red y Seguridad de la Información (ENISA) e ISO han identificado cinco funciones clave necesarias para la protección de los activos digitales. Estas funciones coinciden con las metodologías de gestión de incidentes e incluyen las siguientes actividades: 1. Identificar: Utilice la comprensión de la organización para minimizar el riesgo de los sistemas, activos, datos y capacidades. 2. Proteger: Diseño salvaguardias para limitar el impacto de los eventos potenciales sobre los servicios y las infraestructuras críticas. 3. Detectar: Ejecutar actividades para identificar la ocurrencia de un evento de ciberseguridad. 4. Responder: Tomar las medidas apropiadas después de enterarse de un evento de seguridad. 5. Recuperar: Planificar la capacidad de recuperación y la reparación oportuna de capacidades y servicios comprometidos. Gestión de riesgos, amenazas y vulnerabilidades Como en cualquier tipo de norma que ayuda a implementar un Sistema de Gestión, el Análisis y Gestión de riesgos es un pilar fundamental, ya que nos permite tener un panorama claro de las amenazas, vulnerabilidades, zonas de riesgos y criterios de aceptación, todo ello con la finalidad de poder optimizar la inversión en seguridad y priorizar la implementación de controles o salvaguardas. Para ello podemos utilizar el ISO 31000 como norma de apoyo en la implementación del Análisis y Gestión de Riesgos. Roles de las partes interesadas en la Ciberseguridad Para mejorar el estado de la Ciberseguridad, las partes interesadas en el Ciberespacio tienen que desempeñar un rol activo en su respectivo uso y desarrollo de la Ciberseguridad. Nuevo enfoque en Controles de Ciberseguridad Los controles técnicos definidos en esta Norma se basan en que las organizaciones cuentan con un marco de buena práctica de Seguridad Cibernética basados, en parte, en el ISO/IEC 27001. El ISO 27032 introduce como complemento a los controles ya definidos en el ISO 27001, los siguientes controles técnicos de Ciberseguridad:  Ataques de ingeniería social;  Hacking;  Software malicioso (malware);  Spyware; y  Otros programas no deseados Una vez que los riesgos de Ciberseguridad se identifican y se proponen lineamientos apropiados (Para ello se puede utilizar el enfoque de Gestión de riesgos propuesto en el ISO 31000), los controles de Ciberseguridad que soportan a los requisitos de seguridad pueden seleccionarse e implementarse. En este punto se proporciona una visión general de los controles clave de Ciberseguridad que pueden ser implementados para apoyar a los lineamientos establecidos en el ISO 27032. Marco de intercambio y coordinación de la información Los incidentes de Ciberseguridad a menudo cruzan las fronteras geográficas (entre países) y organizacionales. Es necesario establecer un sistema para el intercambio y coordinación de la información que ayude a preparar una respuesta a los eventos e incidentes de Ciberseguridad, un sistema tal para el intercambio y la coordinación de la información debería ser seguro, eficaz, fiable y eficiente. Esta sección, el ISO 27032 proporciona directrices para la implementación de un marco seguro, confiable, eficaz y eficiente de intercambio de información y respuesta a incidentes cibernéticos. El marco incluye los siguientes puntos:  Políticas;  Métodos y procesos;  Personas y controles de gestión; y  Controles técnicos. Organizaciones proveedoras de información y Organizaciones receptoras de información Para efectos de entender el ISO 27032, se presentan dos tipos de organizaciones de intercambio de información: Minimización de la información Para cada categoría y clasificación, una IPO debería tener la precaución de minimizar (reducir) la información a distribuirse. La minimización es necesaria para evitar la sobrecarga de información en el extremo receptor para asegurar el uso eficiente del sistema de intercambio de información, sin comprometer la eficacia. Otro objetivo de la minimización es omitir información confidencial para preservar la privacidad de las personas en IPO e IRO. Al respecto, tanto la IPO como la IRO deben determinar el nivel deseado de detalle, siempre que sea posible, para cada categoría y clasifica Convenio de confidencialidad (CDC) Un CDC se puede utilizar con dos propósitos en el contexto del intercambio y coordinación de información para la mejora de la Ciberseguridad. Un uso típico de un CDC es asegurar el manejo y protección adecuada de la información sensible, personal, y confidencial compartida entre IPO e IRO, y preestablecer las condiciones para el intercambio y posterior distribución y uso de dicha información. Concientización y capacitación Uno de los puntos critico en el tema de la Ciberseguridad es el capital humano en la empresa, la gente en las organizaciones debería ser consciente de los riesgos emergentes y los nuevos riesgos de Ciberseguridad y capacitarse de modo que puedan desarrollar las destrezas y pericias requeridas para responder efectiva y eficientemente cuando se encuentren con un riesgo específico, o información recibida que requiera de sus acciones para mitigar o mejorar una situación dada. Para ello se debe efectuar capacitaciones, campañas de difusión, activaciones, envío de correos electrónicos y demás para el personal este debidamente informado sobre todas la amenazas a las que esta expuesta la información en el ciberespacio. Amenazas Tenemos los siguientes tipos de amenazas que estamos expuestos en el Ciberespacio, entre otros: ISO 27001 y el ISO 27032 Particularmente pienso que estas dos normas no se sobreponen en su campo de acción, al contrario, creo que se complementan muy bien, ya que el ISO 27032 permite enfocarse en la seguridad del Ciberespacio adicionando este factor al sistema de Gestión de Seguridad de la Información. Se puede aplicar la norma ISO 27001, con los controles de seguridad del Anexo A (ISO 27002) que ayudan a proteger la información e implantar el SGSI, este SGSI se puede complementar con los controles de la norma ISO 27032, que le ayudan a proteger la información en el ciberespacio. Conclusiones  Como se observa, el ISO 27032 aporta un marco metodológico y de buenas prácticas en la implementación de la Ciberseguridad en las empresas, complementando al ISO 27001 en el aporte de nuevos controles relacionados al Ciberespacio.  Como opinión propia, no existe una receta mágica que permita asegurar al 100% los activos críticos de una organización, ni componentes tecnológicos ni normas que nos garanticen que todo ira bien y que no tendremos problemas en el corto o largo plazo, se debe considerar una serie de factores como la importancia que le damos a la seguridad en la organización, el apoyo y compromiso de la alta dirección, los recursos asignados, la propia experiencia y el lugar que tiene en nuestra agenda los temas relacionados a la Seguridad (en su totalidad).

Guía Norma ISO/IEC 27032 Ciberseguridad

Related documents

Products

Support

Guía Norma ISO/IEC 27032 Ciberseguridad

Related documents

Add this document to collection(s)

Add this document to saved

Suggest us how to improve StudyLib