Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Cláusula 11
Cláusula 12
12.3 Controlar las actualizaciones de seguridad, supervisar la seguridad, Revisar la configuración
del servidor de manera periódica, ejecutar controles antimalware, analizar periódicamente el
contenido del server, realizar periódicamente revisiones de vulnerabilidad, escanear
periódicamente el server
CLÁUSULA 13.
https://www.youtube.com/watch?v=4Qoqcz9ojrw
1 Scope
2 Applicability
2.1 Audience
2.2 Limitations
3 Normative references
4 Terms and definitions
5 Abbreviated terms
6 Overview
6.1 Introduction
6.2 The nature of the Cyberspace
6.3 The nature of Cybersecurity
6.4 General model
6.5 Approach
7 Stakeholders in the Cyberspace
7.1 Overview
7.2 Consumers
7.3 Providers
10.1 Overview
10.2 Roles of consumers
10.2.1 Introduction
10.2.2 Roles of individuals
10.2.3 Roles of organizations
10.3 Roles of providers
11 Guidelines for stakeholders
11.1 Overview
11.2 Risk assessment and treatment
11.3 Guidelines for consumers
11.4 Guidelines for organizations and service providers
11.4.1 Overview
11.4.2 Manage information security risk in the business
11.4.3 Security requirements for hosting web and other cyber-application services
11.4.4 Security guidance for consumers
12 Cybersecurity controls
12.1 Overview
12.2 Application level controls
1 Alcance
2 Aplicabilidad
2.1 audiencia
2.2 Limitaciones
3 referencias normativas
4 Términos y definiciones
5 términos abreviados
6 Descripción general
6.1 Introducción
6.5 Enfoque
7.2 Consumidores
7.3 Proveedores
8 activos en el ciberespacio
9.1 Amenazas
9.4.1 Introducción
10.2.1 Introducción
11.4.3 Requisitos de seguridad para alojar web y otros servicios de aplicaciones cibernéticas
12 controles de ciberseguridad
12.5.2 Políticas
12.5.3.3 Pruebas
12.5.5 Técnico
13.1 General
13.1 General
13.2 Políticas
13.5 Técnico
A.2.1 Introducción
A.4 Traceback
1. Configure los servidores, incluidos los sistemas operativos subyacentes de acuerdo con una guía
de configuración de seguridad básica. 2. Implemente un sistema para probar e 3. Implemente un
sistema para probar e implementar actualizaciones de seguridad, y asegúrese de que el sistema
operativo y la aplicación del servidor se mantengan actualizados rápidamente cuando haya nuevas
actualizaciones de seguridad disponibles. 4. Supervise el rendimiento de seguridad del servidor a
través de revisiones periódicas de las pistas de auditoría. 5. Revise la configuración de seguridad.
6. Ejecute controles de software antimalware con licencia (como antispyware y antivirus) en el
servidor. 7. Tenga un buen sistema de administración de vulnerabilidades para todas las
aplicaciones en línea. r-r
12.2
1. Visualización de avisos breves, que proporcionan resúmenes claros y concisos de una página
(usando un lenguaje simple de las políticas esenciales de la compañía. 2. Manejo seguro de la
sesión para aplicaciones web. 3. Validación y manejo seguro de entradas para prevenir ataques
comunes como SOL -Inyección 4. Asegure la creación de secuencias de comandos de páginas web
para evitar ataques comunes, como la creación de secuencias de comandos entre sitios .. 5. Revise
la seguridad del código y las pruebas por parte de entidades debidamente capacitadas 6.
Autenticación del servicio: mediante el uso de subdominios por parte de los proveedores y
posiblemente el uso de credenciales HTTPS registradas en la 1 organización
• Mostrar aviso breve de los servicios en línea esenciales de la compañía • Seguro • Manejo de
sesiones para aplicaciones web (Cookies, Fijación de sesión,.) • Validación y manejo de entradas
para prevenir ataques (inyección SQL) • Scripting de página web para prevenir XSS • (Ver Owasp ,
150 27034, CWE, SANS) • Revisión de seguridad de código • HTTPS- SSL
1. Uso de sistemas operativos compatibles, con los parches de seguridad más actualizados
instalados. 2. Uso de las últimas aplicaciones de software compatibles, con la mayoría de los
parches instalados.
• Uso del sistema operativo compatible • Uso de las últimas aplicaciones de software compatibles
• Uso de antivirus y antispyware • Habilitar bloqueadores de scripts • Usar filtros de phishing •
Usar otras funciones de seguridad del navegador web disponibles • Habilitar FW y HIDS personales
• Habilitar actualizaciones automáticas
12.5
13.2 POLÍTICAS
• Deben definirse políticas para abordar el ciclo de vida de la información sobre incidentes de
seguridad cibernética desde la creación hasta la transferencia y destrucción para garantizar que se
mantenga C.I.A
49/5000
13.5 TÉCNICO
• Visualización de datos
foro de discusion
• Sistemas de prueba
CONCLUSIÓN
3 La seguridad cibernética es asunto de todos, los impactos podrían ser catastróficos Los riesgos
de ciberseguridad implican una combinación de estrategias múltiples, teniendo en cuenta las
diversas partes interesadas (consumidor, empleado, socio, tercero, ...) 90 Es necesario identificar y
abordar los riesgos 90 Necesidad de conciencia y Comunicación sobre cómo informar: detectar
posibles riesgos e incidentes de seguridad Vigile las nuevas tecnologías emergentes (por ejemplo:
loT)
Norma 27032:
Estado y Aplicabilidad de controles de Seguridad de la Información
Sección Controles de Seguridad de la Información Estado
1 Programa de gestión de InfoSec Column1
[ISMP.01] Security strategy and planning Administrado
[ISMP.02] Responsibilities assignment Administrado
[ISMP.03] Risk management Administrado
[ISMP.04] Resource allocation Administrado
[ISMP.05] Infosec policies and standards Administrado
[ISMP.06] Testing security, processes, and Administrado
performance
2 Operación de sistemas
[SO.01] Change management Administrado
[SO.02] Asset identification and management Administrado
[SO.03] Information / knowledge management and Administrado
handling procedures
[SO.04] Security of system documentation Administrado
[SO.05] Security requirements of information systems Administrado
[SO.06] Control of operational software Administrado
[SO.07] Teleworking Definido
[SO.08] Legacy technologies Administrado
[SO.09] Correct processing in applications Administrado
3 Personal de seguridad
[PS.01] User responsibilities Administrado
[PS.02] Training and awareness Definido
[PS.03] People security Administrado
4 Seguridad de las instalaciones
[FS.01] Physical security perimeter Administrado
[FS.02] Physical entry controls Administrado
[FS.03] Equipment location and protection Administrado
[FS.04] Off-premises equipment security Administrado
[FS.05] Physical media in transit protection Definido
[FS.06] Secure disposal of equipment Administrado
[FS.07] Management of removable media No aplicable
[FS.08] Disposal of media No aplicable
[FS.09] Clear desk and clear screen policy No aplicable
5 Procesamiento de terceros
[TPP.01] Shared processing Administrado
[TPP.02] Supply-chain assurance Administrado
[TPP.03] Data & Service portability No aplicable
[TPP.04] Termination guarantees Administrado
6 Resiliencia
[RE.01] Back-up media encryption Administrado
[RE.02] Protecting against external and Administrado
environmental threats
[RE.03] Capacity management Administrado
[RE.04] Information back-up Administrado
[RE.05] Availability of information stored on media Administrado
[RE.06] Information security aspects of BCM Administrado
[RE.07] Systems maintenance Administrado
[RE.08] Operational resilience Definido
7 Conformidad
[CO.01] With legal requirements Administrado
[CO.02] With security policies and standards, and Administrado
technical compliance
[CO.03] Compliance audit Definido
[CO.04] Legal non-disclosure agreements Administrado
8 Protección de código malicioso
[MCP.01] Malware protection Administrado
9 Controles de red
[NC.01] Network management Administrado
[NC.02] Network routing controls Administrado
[NC.03] Segregation in networks Administrado
[NC.04] User authentication for external connections Administrado
[NC.05] Safeguard confidentiality over public Administrado
networks
[NC.06] Controls to safeguard integrity over public Administrado
networks
[NC.07] Availability of network services Administrado
10 Monitoreo
[MO.01] Audit logging Administrado
[MO.02] Monitoring system use Administrado
[MO.03] Protection of log information Administrado
[MO.04] Information leakage Administrado
[MO.05] Threat Intelligence and Information Sharing Definido
11 Control de Acceso
[AC.01] Business requirements for access control Administrado
[AC.02] Secure log-on procedures Administrado
[AC.03] User identification and authentication Administrado
[AC.04] Password management system (if applicable) Administrado
[AC.05] Use of system utilities Administrado
[AC.06] Session time-out Administrado
[AC.07] Limitation of connection time Administrado
[AC.08] User access management Administrado
[AC.09] Information access restriction Administrado
[AC.10] Privilege management Administrado
12 Desarrollo Seguro
[SD.01] Access control to program source code Administrado
[SD.02] Change control procedures ? Desconocido
[SD.03] Security by Default (Develop secure systems ? Desconocido
and applications )
[SD.04] Outsourced software development Administrado
[SD.05] Control of technical vulnerabilities Administrado
[SD.06] Environment segregation Administrado
[SD.07] Protection of systems test data ? Desconocido
13 Manejo de incidentes
[IH.01] Reporting infosec events and weaknesses Administrado
[IH.02] Management of infosec incidents and Administrado
improvements
14 Criptografía
[CR.01] Key management Administrado
Graficas 27032:
Maneja
documentación y
Definido se evalúa los
procesos
No Aplicable No aplica
Desconocido
Administrado
Definido
No Aplicable
100%
Maneja
Definido documentación y se 1
evalúa los procesos
No Aplicable No aplica
Operación de sistemas
11%
Desconocido
Administrado
Definido
No Aplicable
89%
Manejan
Administrado documentación
2
Maneja
Definido documentación y se 1
evalúa los procesos
No Aplicable No aplica
Personal de seguridad
33%
Desconocido
Administrado
Definido
No Aplicable
67%
Maneja
Definido documentación y se 1
evalúa los procesos
No Aplicable No aplica 3
33%
Desconocido
Administrado
Definido
56%
No Aplicable
11%
Maneja
Definido documentación y se
evalúa los procesos
No Aplicable No aplica 1
Procesamiento de terceros
11%
Desconocido
Administrado
Definido
No Aplicable
89%
Maneja
Definido documentación y se 1
evalúa los procesos
No Aplicable No aplica
Resiliencia
13%
Desconocido
Administrado
Definido
No Aplicable
87%
No Aplicable No aplica
Conformidad
25%
Desconocido
Administrado
Definido
No Aplicable
75%
No Aplicable No aplica
Desconocido
Administrado
Definido
No Aplicable
100%
Maneja
Definido documentación y se
evalúa los procesos
No Aplicable No aplica
Controles de red
Desconocido
Administrado
Definido
No Aplicable
100%
No Aplicable No aplica
Monitoreo
20%
Desconocido
Administrado
Definido
No Aplicable
80%
Maneja
Definido documentación y se 1
evalúa los procesos
No Aplicable No aplica
Control de Acceso
20%
Desconocido
Administrado
Definido
No Aplicable
80%
Manejan
Administrado documentación 4
Maneja
Definido documentación y se
evalúa los procesos
No Aplicable No aplica
Desarrollo Seguro
Desconocido
43%
Administrado
Definido
57%
No Aplicable
Manejan
Administrado documentación 2
Maneja
Definido documentación y se
evalúa los procesos
No Aplicable No aplica
Manejo de incidentes
Desconocido
Administrado
Definido
No Aplicable
100%
Estado Significado Proporción
No se tiene
Desconocido conocimiento
Manejan
Administrado documentación,
1
Maneja
Definido documentación y se
evalúa los procesos
No Aplicable No aplica
Criptografía
Desconocido
Administrado
Definido
No Aplicable
100%
Grafica General de Norma 27032
Manejan
Administrado documentación,
57
Maneja
Definido documentación y se 7
evalúa los procesos
No Aplicable No aplica 4
6% 4%
10%
Desconocido
Administrado
Definido
No Aplicable
80%