Documentos de Académico
Documentos de Profesional
Documentos de Cultura
INTERNACIONAL 27032
Primera edición
2012-07-15
Tecnologías de la información —
Técnicas de seguridad — Directrices
para la ciberseguridad
Technologies de l’information — Techniques de sécurité — Lignes
directrices pour la cybersécurité
Reference number
ISO/IEC 27032:2012(E)
iso I EC
© ISO/IEC 2012
ISO/IEC 27032:2012(E)
vi Licencia de usuario único, se prohíbe la copia y la conexión en red. © ISO/IEC 2012 – Todos los derechos reservados
ISO/IEC 27032:2012(E)
Contenido
Pagina
Prefacio .............................................................................................................................................................v
Introducción .....................................................................................................................................................vi
1 Alcance ....................................................................................................................................................1
2 Aplicabilidad ...........................................................................................................................................1
2.1 Audiencia ................................................................................................................................................1
2.2 Limitaciones ...........................................................................................................................................1
3 Referencias normativas .........................................................................................................................2
4 Terminos y condiciones ........................................................................................................................2
5 Terminos abreviados .............................................................................................................................8
6 Resumen .................................................................................................................................................9
6.1 Introduccion ............................................................................................................................................9
6.2 La naturaleza del Ciberespacio ..........................................................................................................10
6.3 La naturaleza de la Ciberseguridad....................................................................................................10
6.4 Modelo general .....................................................................................................................................11
6.5 Enfoque .................................................................................................................................................13
7 Partes interesadas en el Ciberespacio ..............................................................................................14
7.1 Resumen ...............................................................................................................................................14
7.2 Consumidores ......................................................................................................................................14
7.3 Proveedores..........................................................................................................................................14
8 Activos en el Ciberespacio .................................................................................................................15
8.1 Resumen ...............................................................................................................................................15
8.2 Activos personales ..............................................................................................................................15
8.3 Activos de la Organizacion .................................................................................................................15
9 Amenazas contra la seguridad del Ciberespacio .............................................................................16
9.1 Amenazas ..............................................................................................................................................16
9.2 Agentes de amenazas ..........................................................................................................................17
9.3 Vulnerabilities .......................................................................................................................................17
9.4 Mecanismos de ataque ........................................................................................................................18
10 Funciones de las partes interesadas en la ciberseguridad .............................................................20
10.1 Resumen ...............................................................................................................................................20
10.2 Funciones de los consumidores ........................................................................................................20
10.3 Funciones de los proveedores ...........................................................................................................21
11 Directrices para los interesados .........................................................................................................22
11.1 Resumen ...............................................................................................................................................22
11.2 Evaluacion de riesgos y tratamiento..................................................................................................22
11.3 Directrices para los consumidores ....................................................................................................23
11.4 Directrices para organizaciones y proveedores de servicio .......................................................... 25
12 Controles de seguridad cibernetica .................................................................................................. 28
12.1 Resumen .............................................................................................................................................. 28
12.2 Controles del nivel de aplicación ...................................................................................................... 28
12.3 Proteccion del servidor ...................................................................................................................... 29
12.4 Controles para el usuario final .......................................................................................................... 29
12.5 Controles contra los ataques de ingenieria social .......................................................................... 30
12.6 Preparacion para la seguridad cibernetica ...................................................................................... 33
12.7 Otras medidas ..................................................................................................................................... 33
13 Marco de intercambio de informacion y coordinacion ................................................................... 33
13.1 Generalidades...................................................................................................................................... 33
13.2 Politicas ................................................................................................................................................ 34
13.3 Metodos y procesos ........................................................................................................................... 35
13.4 Personas y organizaciones ...................................................................................................... 36
13.5 Tecnico ....................................................................................................................................... 37
13.6 Orientacion para implementacion ........................................................................................... 38
Annex A (informativo) Preparacion para la ciberseguridad ........................................................... 40
vi Licencia de usuario único, se prohíbe la copia y la conexión en red. © ISO/IEC 2012 – Todos los derechos reservados
ISO/IEC 27032:2012(E)
Prólogo
La ISO (Organización Internacional de Normalización) y la CEI (Comisión Electrotécnica Internacional) forman
el sistema especializado de normalización mundial. Los organismos nacionales que son miembros de la ISO o
la CEI participan en la elaboración de normas internacionales mediante comités técnicos establecidos por la
organización respectiva para ocuparse de determinadas esferas de actividad técnica. Los comités técnicos de
la ISO y la IEC colaboran en esferas de interés mutuo. Otras organizaciones internacionales, gubernamentales
y no gubernamentales, en enlace con la ISO y la IEC, también participan en los trabajos. En la esfera de la
tecnología de la información, la ISO y la CEI han establecido un comité técnico conjunto, ISO/CEI JTC 1.
Las normas internacionales se redactan de conformidad con las reglas que figuran en la parte 2 de las directivas
de la ISO/CEI.
La principal tarea del comité técnico conjunto es preparar las Normas Internacionales. Los proyectos de normas
internacionales aprobados por el comité técnico conjunto se distribuyen a los organismos nacionales para su
votación. La publicación como Norma Internacional requiere la aprobación de al menos el 75 % de los
organismos nacionales que emiten un voto.
Se llama la atención sobre la posibilidad de que algunos de los elementos de este documento sean objeto de
derechos de patente. La ISO y la IEC no se responsabilizan de la identificación de alguno o todos esos derechos
de patente.
ISO/IEC 27032 fue preparado por el Comité Técnico Conjunto ISO/IEC JTC 1, Tecnología de la Información,
Subcomité SC 27, Técnicas de Seguridad IT.
Introducción
El ciberespacio es un entorno complejo resultante de la interacción de personas, programas informáticos y
servicios en la Internet, con el apoyo de dispositivos físicos de tecnología de la información y las
comunicaciones (TIC) distribuidos en todo el mundo y redes conectadas. Sin embargo, hay cuestiones de
seguridad que no están contempladas en las actuales prácticas óptimas de seguridad de la información,
seguridad de la Internet, seguridad de las redes y seguridad de las TIC, ya que existen lagunas entre estos
dominios, así como una falta de comunicación entre las organizaciones y los proveedores en el Ciberespacio.
Ello se debe a que los dispositivos y las redes conectadas que han dado apoyo al Ciberespacio tienen múltiples
propietarios, cada uno de los cuales tiene sus propias preocupaciones comerciales, operacionales y
reglamentarias. La diferente atención que cada organización y proveedor del Ciberespacio presta a los
dominios de seguridad pertinentes, en los que se recibe poca o ninguna aportación de otra organización o
proveedor, ha dado lugar a un estado fragmentado de la seguridad del Ciberespacio.
Como tal, la primera esfera de interés de esta Norma Internacional es abordar las cuestiones de seguridad del
ciberespacio o de ciberseguridad que se concentran en salvar las diferencias entre los diferentes dominios de
seguridad del ciberespacio. En particular, esta Norma Internacional proporciona orientación técnica para
abordar los riesgos comunes de la ciberseguridad, entre otros: - los ataques de ingeniería social;
— hacking;
— la proliferación de software malicioso (“malware”);
— spyware; y
— otros programas informáticos potencialmente no deseados.
En la orientación técnica se establecen controles para hacer frente a esos riesgos, incluidos controles para:
— preparándose para los ataques de, por ejemplo, programas informáticos malignos, delincuentes
individuales u organizaciones delictivas contra la Internet; — detectando y monitoreando los ataques; y
vi Licencia de usuario único, se prohíbe la copia y la conexión en red. © ISO/IEC 2012 – Todos los derechos reservados
Tecnología de la información— Técnicas de seguridad—
Directrices para la ciberseguridad
1 Alcance
— Esta Norma Internacional ofrece orientación para mejorar el estado de la ciberseguridad, señalando los
aspectos singulares de esa actividad y sus dependencias de otros dominios de seguridad, en particular:
— seguridad de la información,
— seguridad de la red,
— seguridad en Internet, y
— protección de la infraestructura de información crítica (PICI).
Abarca las prácticas básicas de seguridad para los interesados en el ciberespacio. Esta Norma Internacional
proporciona:
2.1 Audiencia
Esta Norma Internacional es aplicable a los proveedores de servicios en el ciberespacio. El público, sin
embargo, incluye a los consumidores que utilizan estos servicios. Cuando las organizaciones presten servicios
en el ciberespacio a personas para su uso en el hogar u otras organizaciones, es posible que tengan que
preparar orientaciones basadas en esta Norma Internacional que contengan explicaciones adicionales o
ejemplos suficientes para que el lector pueda comprenderla y actuar en consecuencia.
2.2 Limitaciones
Esta Norma Internacional no aborda:
— Ciberseguridad,
— Ciberdelincuencia,
— PICI,
— Seguridad en Internet, y
Se reconoce que existen relaciones entre los dominios mencionados y la seguridad cibernética. Sin embargo,
está fuera del alcance de esta Norma Internacional abordar estas relaciones, y el intercambio de controles entre
estos dominios.
Es importante señalar que el concepto de delito cibernético, aunque se menciona, no se aborda. Esta Norma
Internacional no proporciona orientación sobre los aspectos jurídicos del ciberespacio, ni sobre la
reglamentación de la ciberseguridad.
La orientación de esta Norma Internacional se limita a la realización del ciberespacio en la Internet, incluidos
los puntos finales. Sin embargo, no se aborda la extensión del Ciberespacio a otras representaciones
espaciales a través de medios y plataformas de comunicación, ni los aspectos de seguridad física de las
mismas.
EJEMPLO 2 No se aborda la seguridad física de los teléfonos móviles que se conectan al Ciberespacio para la
descarga y/o manipulación de contenidos.
EJEMPLO 3 No se abordan las funciones de mensajería de texto y de charla de voz proporcionadas a los
teléfonos móviles.
3 Referencias normativas
Los siguientes documentos a los que se hace referencia son indispensables para la aplicación de este
documento. Para las referencias fechadas, sólo se aplica la edición citada. Para las referencias sin fecha, se
aplica la última edición del documento al que se hace referencia (incluidas las modificaciones).
4.1 adware
aplicación que envía la publicidad a los usuarios y / o recopila el comportamiento en línea del usuario
NOTA La aplicación puede o no instalarse con el conocimiento o consentimiento del usuario o forzarse al
usuario a través de las condiciones de licencia para otro software.
4.2 Aplicación
Solución de TI, incluido el software de aplicaciones, los datos de aplicaciones y los procedimientos, diseñados
para ayudar a los usuarios de una organización a realizar tareas particulares o manejar determinados tipos de
problemas de TI mediante la automatización de un proceso o función empresarial [ISO/IEC 27034-1:2011]
[ISO/IEC 18019]
4.6 activos cualquier cosa que tenga valor para un individuo, una organización o un gobierno
NOTA Adaptado de ISO/IEC 27000 para prever a las personas y la separación de los gobiernos de las organizaciones
(4.37).
NOTA 2 Un avatar también puede ser visto como un "objeto" que representa la realización del usuario.
4.8 Ataque
intentar destruir, exponer, alterar, deshabilitar, robar u obtener acceso no autorizado o hacer que no se
[ISO/IEC 15408-1:2005]
NOTA 1 La palabra se utiliza a menudo para describir programas, que normalmente se ejecutan en un servidor, que
automatizan tareas como el reenvío o la ordenación de correo electrónico.
NOTA 2 Un bot también se describe como un programa que funciona como un agente para un usuario u otro programa o
simula una actividad humana. En Internet, los bots más ubicuos son los programas, también llamados arañas o
rastreadores, que acceden a sitios web y reúnen su contenido para los índices de motores de búsqueda.
4.13 Botnet
software de control remoto, específicamente una colección de bots maliciosos, que se ejecutan de forma
autónoma o automática en equipos comprometidos
4.14 cookie
<control de acceso> capacidad o ticket en un sistema de control de acceso
4.15 cookie
<IPSec> datos intercambiados por ISAKMP para evitar ciertos ataques de denegación de servicio durante el
establecimiento de una asociación de seguridad
4.16 cookie
<HTTP> datos intercambiados entre un servidor HTTP y un explorador para almacenar información de estado
en el lado del cliente y recuperarla más tarde para su uso en el servidor
[ISO/IEC 27000:2009]
NOTA ISO Guía 73:2009 define el control como simplemente una medida que está modificando el riesgo.
4.18 Ciberdelincuencia
actividad delictiva cuando los servicios o aplicaciones en el Ciberespacio se utilizan para o son el blanco de un
delito, o donde el Ciberespacio es la fuente, herramienta, objetivo o lugar de un delito
4.19 Ciberseguridad
condición de estar protegido contra la condición física, social, espiritual, financiera, política, emocional,
ocupacional, psicológica, educativa u otros tipos o consecuencias de fracaso, daño, error, accidentes, daños o
cualquier otro evento en el Ciberespacio que pudiera considerarse no deseable
NOTA 1 Esto puede tomar la forma de estar protegido del evento o de la exposición a algo que causa pérdidas de salud o
NOTA 2 La seguridad en general también se define como el estado de la certeza de que los efectos adversos no serán
causados por algún agente en condiciones definidas.
NOTA 1 Además, también pueden participar otras propiedades, como la autenticidad, la responsabilidad, la no repudio y
la fiabilidad.
4.21 el ciberespacio
entorno complejo resultante de la interacción de personas, software y servicios en Internet a través de
dispositivos tecnológicos y redes conectadas a él, que no existe en forma física
4.23 ciber-squatter
personas u organizaciones que se registran y se aferran a URLs que se asemejan a referencias o nombres
de otras organizaciones en el mundo real o en el Ciberespacio
EJEMPLO 2 Un programa que causa un sinfín de anuncios emergentes que no pueden ser fácilmente detenidos
por el usuario.
4.25 Hacking
acceder intencionalmente a un sistema informático sin la autorización del usuario o del propietario
4.26 hactivismo
hackeo para un propósito política o socialmente motivado
4.27 conocimiento de activos de información o datos que tienen valor para el individuo u
organización
NOTA Adaptado de ISO/IEC 27000:2009.
NOTA 2 En este contexto, se haría referencia a "un Internet". Hay una diferencia entre la definición de "un Internet" e
"Internet".
4.29 Internet
sistema mundial de redes interconectes en el dominio público
[ISO/IEC 27033-1:2009]
4.37 Organización
grupo de personas e instalaciones con un acuerdo de responsabilidades, autoridades y
NOTA 2 En general, un gobierno también es una organización. En el contexto de esta Norma Internacional, los gobiernos
pueden ser considerados por separado de otras organizaciones para mayor claridad.
4.38 Phishing
proceso fraudulento de intentar adquirir información privada o confidencial haciéndose pasar por una entidad
de confianza en una comunicación electrónica
NOTA Los activos físicos suelen referirse al efectivo, el equipo, el inventario y las propiedades propiedad de la persona u
organización. El software se considera un activo intangible o un activo no físico.
4.41 Estafa
fraude o truco de confianza
4.42 Spam
abuso de los sistemas de mensajería electrónica para enviar indiscriminadamente mensajes masivos no
solicitados
NOTA Mientras que la forma más ampliamente reconocida de spam es el spam de correo electrónico, el término se aplica
a abusos similares en otros medios: spam de mensajería instantánea, spam de grupo de noticias Usenet, spam de motor
de búsqueda web, spam en blogs, spam wiki, spam de mensajería de teléfono móvil spam, spam de foro de Internet y
transmisiones de fax basura.
4.43 Spyware
software engañoso que recopila información privada o confidencial de un usuario de computadora
NOTA La información puede incluir asuntos como los sitios web más visitados o información más sensible,
como contraseñas.
[ISO/IEC 12207:2008]
4.46 amenaza de un incidente no deseado, que puede resultar en un daño a un sistema, individuo u
organización
NOTA Adaptado de ISO/IEC 27000:2009.
NOTA 2 El mundo físico en el que viven las personas, y las características relacionadas, se denominarán el "mundo real"
para diferenciarlo de un mundo virtual.
4.52 Vulnerabilidad
debilidad de un activo o control que puede ser explotado por una amenaza
[ISO/IEC 27000:2009]
NOTA Generalmente, una máquina comprometida es sólo una de las muchas en una red de bots y se utilizará para
realizar actividades maliciosas bajo dirección remota.
IP Protocolo de Internet
IT Tecnología de la Información
6 Resumen
6.1 Introducción
La seguridad en la Internet y en el ciberespacio ha sido un tema de creciente preocupación. Los interesados
han estado estableciendo su presencia en el ciberespacio a través de sitios web y ahora intentan aprovechar
más el mundo virtual que ofrece el ciberespacio.
EJEMPLO Un número cada vez mayor de personas pasa cada vez más tiempo con sus avatares virtuales en
los MMORPG.
Aunque algunos individuos son cuidadosos en el manejo de su identidad en línea, la mayoría de las personas
están subiendo detalles de sus perfiles personales para compartirlos con otros. Los perfiles de muchos sitios,
en particular los sitios de redes sociales y salas de chat, pueden ser descargados y almacenados por otras
partes. Esto puede dar lugar a la creación de un expediente digital de datos personales que puede utilizarse
indebidamente, revelarse a otras partes o utilizarse para la reunión secundaria de datos. Si bien la exactitud e
integridad de esos datos son cuestionables, crean vínculos con personas y organizaciones que a menudo no
pueden borrarse por completo. Estos avances en los ámbitos de la comunicación, el entretenimiento, el
transporte, las compras, las finanzas, los seguros y la atención de la salud crean nuevos riesgos para los
interesados en el ciberespacio. Así, los riesgos pueden estar asociados con la pérdida de privacidad.
La convergencia de las tecnologías de la información y las comunicaciones, la facilidad de acceso al
ciberespacio y la reducción del espacio personal entre los individuos están atrayendo la atención de los
malhechores y las organizaciones delictivas individuales. Estas entidades están utilizando los mecanismos
existentes, como el phishing, el correo basura y los programas espía, así como desarrollando nuevas técnicas
de ataque, para explotar cualquier debilidad que puedan descubrir en el ciberespacio. En los últimos años, los
ataques a la seguridad en el ciberespacio han evolucionado desde la piratería para obtener fama personal
hasta la delincuencia organizada o el delito cibernético. Una plétora de herramientas y procesos que antes se
observaban en incidentes aislados de seguridad cibernética se utilizan ahora conjuntamente en ataques
combinados, a menudo con objetivos maliciosos de gran alcance. Esos objetivos van desde los ataques
personales, el robo de identidad, los fraudes o robos financieros, hasta el hactivismo político. Los foros
especializados para poner de relieve los posibles problemas de seguridad también han servido para mostrar
las técnicas de ataque y las oportunidades delictivas.
Las múltiples modalidades de transacciones comerciales que se realizan en el ciberespacio se están
convirtiendo en el blanco de los sindicatos del delito cibernético. Los riesgos que plantean son intrínsecamente
complejos y van desde los servicios de empresa a empresa, de empresa a consumidor y de consumidor a
consumidor. Conceptos tales como lo que constituye una transacción o un acuerdo dependen de la
interpretación de la ley y de la forma en que cada una de las partes en la relación gestiona su responsabilidad.
A menudo, no se aborda adecuadamente la cuestión de la utilización de los datos reunidos durante la
transacción o la relación. Esto puede dar lugar a problemas de seguridad, como la fuga de información.
Los problemas jurídicos y técnicos que plantean estas cuestiones de seguridad cibernética son de gran alcance
y de carácter mundial. Los retos sólo pueden abordarse si la comunidad técnica de seguridad de la información,
la comunidad jurídica, las naciones y la comunidad de naciones se unen mediante una estrategia coherente.
Esa estrategia debe tener en cuenta la función de cada una de las partes interesadas y las iniciativas existentes,
en un marco de cooperación internacional.
EJEMPLO Un ejemplo de desafío surge del hecho de que el ciberespacio permite el anonimato virtual y el sigilo
de los ataques, lo que dificulta la detección. Esto hace cada vez más difícil que las personas y organizaciones
establezcan confianza y realicen transacciones, así como que los organismos encargados de hacer cumplir la
ley apliquen las políticas conexas. Incluso si se puede determinar el origen del ataque, las cuestiones jurídicas
transfronterizas suelen impedir que se siga avanzando en la investigación o la repatriación legal.
Los progresos actuales para hacer frente a esos problemas se han visto obstaculizados por muchas cuestiones,
y los problemas de seguridad cibernética están aumentando y siguen evolucionando.
Si bien no faltan las amenazas a la seguridad cibernética y hay tantas formas, aunque no normalizadas, de
contrarrestarlas, la presente Norma Internacional se centra en las siguientes cuestiones fundamentales:
La seguridad cibernética se refiere a las medidas que las partes interesadas deberían adoptar para establecer
y mantener la seguridad en el ciberespacio.
Sin embargo, la ciberseguridad no es sinónimo de seguridad de Internet, seguridad de la red, seguridad de las
aplicaciones, seguridad de la información ni de la PIBI. Tiene un alcance único que requiere que las partes
interesadas desempeñen un papel activo a fin de mantener, si no mejorar, la utilidad y la fiabilidad del
ciberespacio. Esta Norma Internacional diferencia la Ciberseguridad de los demás dominios de seguridad de la
siguiente manera:
— La seguridad de la Internet se ocupa de proteger los servicios relacionados con la Internet y los sistemas y
redes de TIC conexos como una extensión de la seguridad de la red en las organizaciones y en el hogar,
para lograr el propósito de la seguridad. La seguridad de Internet también garantiza la disponibilidad y
fiabilidad de los servicios de Internet.
— La CIIP se ocupa de proteger los sistemas que son proporcionados u operados por proveedores de
infraestructura crítica, como los departamentos de energía, telecomunicaciones y agua. La PIBI garantiza
que esos sistemas y redes estén protegidos y sean resistentes a los riesgos de seguridad de la información,
los riesgos de seguridad de las redes, los riesgos de seguridad de Internet, así como los riesgos de
seguridad cibernética.
En la figura 1 se resume la relación entre la ciberseguridad y otros dominios de seguridad. La relación entre
estos dominios de seguridad y la Ciberseguridad es compleja. Algunos de los servicios de infraestructura
críticos, por ejemplo, el agua y el transporte, no tienen por qué repercutir en el estado de la ciberseguridad de
forma directa o significativa. Sin embargo, la falta de seguridad cibernética puede tener un efecto negativo en
la disponibilidad de los sistemas de infraestructura de información crítica proporcionados por los proveedores
de la infraestructura crítica.
Ciberseguridad
Seguridad Seguridad
de la red en internet
Protección de la infraestructura de información crítica y
Por otra parte, la disponibilidad y la fiabilidad del ciberespacio dependen en muchos sentidos de la
disponibilidad y la fiabilidad de los servicios de infraestructura críticos conexos, como la infraestructura
de la red de telecomunicaciones. La seguridad del ciberespacio también está estrechamente
relacionada con la seguridad de la Internet, las redes empresariales y domésticas y la seguridad de la
información en general. Cabe señalar que los ámbitos de seguridad identificados en esta sección tienen
sus propios objetivos y alcance. Por consiguiente, para abordar las cuestiones de seguridad cibernética
se requieren importantes comunicaciones y coordinación entre las diferentes entidades privadas y
públicas de los distintos países y organizaciones. Algunos gobiernos consideran que los servicios de
infraestructura críticos son servicios relacionados con la seguridad nacional y, por lo tanto, no pueden
ser objeto de debate o divulgación abierta. Además, el conocimiento de las deficiencias de las
infraestructuras críticas, si no se utiliza adecuadamente, puede tener una repercusión directa en la
seguridad nacional. Por consiguiente, es necesario un marco básico para el intercambio de información
y la coordinación de cuestiones o incidentes a fin de colmar las lagunas y ofrecer garantías adecuadas
a los interesados en el ciberespacio.
6.4.1 Introducción
Esta cláusula presenta un modelo general utilizado a lo largo de esta Norma Internacional. Esta cláusula
supone cierto conocimiento de la seguridad y no se propone actuar como un tutorial en esta área.
La seguridad se ocupa de la protección de los bienes frente a las amenazas, en la que las amenazas
se clasifican como el potencial de abuso de los bienes protegidos. Se deben considerar todas las
categorías de amenazas, pero en el ámbito de la seguridad se presta mayor atención a las amenazas
relacionadas con actividades maliciosas u otras actividades humanas. En la figura 2 se ilustran estos
conceptos y relaciones de alto nivel.
NOTA La figura 2 es una adaptación de la norma ISO/CEI 15408-1:2005, Tecnología de la
información - Técnicas de seguridad - Criterios de evaluación de la seguridad de la TI - Parte 1:
Introducción y modelo general.
La salvaguardia de los activos de interés es responsabilidad de las partes interesadas que asignan
valor a esos activos. Los agentes de la amenaza real o presunta también pueden asignar valor a los
activos y tratar de abusar de ellos de manera contraria a los intereses de los interesados
correspondientes. Los interesados percibirán esas amenazas como un posible deterioro de los activos
de manera que se reduzca el valor de los mismos para los interesados. El deterioro específico de la
seguridad suele incluir, entre otras cosas, la divulgación perjudicial del activo a destinatarios no
autorizados (pérdida de confidencialidad), el daño del activo mediante su modificación no autorizada
(pérdida de integridad) o la privación no autorizada del acceso al activo (pérdida de disponibilidad).
Los interesados evalúan los riesgos teniendo en cuenta las amenazas que se aplican a sus activos.
Este análisis puede ayudar a seleccionar los controles para contrarrestar los riesgos y reducirlos a un
nivel aceptable.
Los controles se imponen para reducir las vulnerabilidades o los impactos y para cumplir los requisitos
de seguridad de las partes interesadas (ya sea directa o indirectamente proporcionando orientación a
otras partes). Pueden quedar vulnerabilidades residuales después de la imposición de los controles.
Esas vulnerabilidades pueden ser explotadas por agentes de amenaza que representan un nivel
residual de riesgo para los activos. Las partes interesadas tratarán de reducir al mínimo ese riesgo
teniendo en cuenta otras limitaciones.
Los interesados deberán tener la seguridad de que los controles son adecuados para contrarrestar las
amenazas a los activos antes de que permitan la exposición de los activos a las amenazas
especificadas. Es posible que los interesados no posean por sí mismos la capacidad de juzgar todos
los aspectos de los controles y que, por consiguiente, soliciten la evaluación de los controles utilizando
organizaciones externas.
6.5 Enfoque
Una forma eficaz de hacer frente a los riesgos de la ciberseguridad supone una combinación de
múltiples estrategias, teniendo en cuenta a las diversas partes interesadas. Estas estrategias incluyen:
— las mejores prácticas de la industria, con la colaboración de todas las partes interesadas para
identificar y abordar la ciberseguridad cuestiones y riesgos;
— amplia educación de consumidores y empleados, proporcionando un recurso de confianza sobre
cómo identificar y abordar los riesgos específicos de la seguridad cibernética dentro de la
organización, así como en el ciberespacio; y
— soluciones tecnológicas innovadoras para ayudar a proteger a los consumidores de los conocidos
ataques de ciberseguridad, para que permanezcan actuales y estar preparados contra nuevas
explotaciones.
Esta directriz se centra en proporcionar las mejores prácticas de la industria y una amplia educación a
los consumidores y empleados para ayudar a los interesados en el ciberespacio a desempeñar un
papel activo para hacer frente a los desafíos de la seguridad cibernética. Incluye orientación para:
— funciones;
— políticas;
— métodos;
— procedimientos; y
— controles técnicos aplicables.
En la figura 3 se presenta una visión general de los puntos más destacados del enfoque adoptado en
esta Norma Internacional. Esta Norma Internacional no está destinada a ser utilizada directamente
para proporcionar una amplia educación al consumidor. En cambio, está destinada a ser utilizada por
los proveedores de servicios en el ciberespacio, así como por las organizaciones que imparten a los
consumidores educación relacionada con el ciberespacio, a fin de preparar materiales para una
amplia educación del consumidor.
7.1 Resumen
El Ciberespacio no pertenece a nadie; todos pueden participar y tienen un interés en él.
A los efectos de esta Norma Internacional, los interesados en el Ciberespacio se clasifican en los
siguientes grupos:
— consumidores, incluyendo
— individuos; y
proveedores; y —
Servicio de solicitud
proveedores.
7.2 Consumidores
Como se describe en la figura 3, los consumidores se refieren a los usuarios individuales, así como a
las organizaciones privadas y públicas. Las organizaciones privadas incluyen las pequeñas y medianas
empresas (PYME), así como las grandes empresas. El gobierno y otros organismos públicos se
denominan colectivamente organizaciones públicas. Un individuo o una organización se convierten en
consumidores cuando acceden al Ciberespacio o a cualquier servicio disponible en el Ciberespacio.
7.3 Proveedores
Los proveedores se refieren a los proveedores de servicios en el ciberespacio, así como a los
proveedores de servicios de Internet que permiten a los consumidores acceder al ciberespacio y a los
diversos servicios disponibles en el ciberespacio.
También puede entenderse por proveedores a los transportistas o mayoristas, frente a los distribuidores
y minoristas de los servicios de acceso. Esta distinción es importante desde el punto de vista de la
Los proveedores de servicios de aplicación ponen los servicios a disposición de los consumidores a
través de sus programas informáticos. Estos servicios adoptan muchas formas e incluyen
combinaciones de la siguiente lista no exhaustiva:
— entornos virtuales en línea para el entretenimiento, las comunicaciones y la interacción con otros
usuarios;
— repositorios de medios digitales en línea con agregación, indexación, búsqueda, tienda, catálogo,
compras
servicios de carros y de pago; y
8 Activos en el Ciberespacio
8.1 Resumen
Un activo es cualquier cosa que tenga valor para un individuo o una organización. Hay muchos tipos de
activos, entre ellos:
a) información;
d) servicios;
NOTA 1 A menudo, los bienes se consideran de manera simplista sólo como información o recursos.
NOTA 2 La norma ISO/CEI 15408-1:2005 define un activo como la información o los recursos que deben protegerse
NOTA 3 La norma ISO/CEI 19770-1 ha sido desarrollada para permitir a una organización demostrar que está
realizando una gestión de activos de software (SAM) con un estándar suficiente para satisfacer los requisitos de
gobernanza corporativa y asegurar un apoyo efectivo a la gestión de los servicios de TI en general. La ISO/CEI
19770 tiene por objeto alinearse estrechamente con la ISO/CEI 20000 y prestarle apoyo.
NOTA 4 La ISO/CEI 20000-1 promueve la adopción de un enfoque de proceso integrado al establecer, aplicar,
operar, supervisar, medir, revisar y mejorar un sistema de gestión de servicios (SMS) para diseñar y prestar
servicios que satisfagan las necesidades empresariales y los requisitos de los clientes.
A los efectos de esta Norma Internacional, los activos en el ciberespacio se clasifican en las siguientes clases: -
— organizacional.
Otros activos virtuales de los consumidores individuales incluyen referencias en mundos virtuales. En
los mundos virtuales, los miembros suelen utilizar avatares virtuales para representarse o identificarse,
o para actuar en su nombre. A menudo se utiliza una moneda virtual para las transacciones virtuales.
Estos avatares y monedas pueden considerarse como activos pertenecientes a un consumidor
individual.
EJEMPLO Algunos bancos operan en mundos virtuales y reconocen el dinero del mundo virtual como
moneda oficial.
Los equipos y programas informáticos, así como los dispositivos digitales personales o puntos finales
que permiten a un consumidor conectarse y comunicarse en el ciberespacio, también se consideran
activos en el contexto de esta Norma Internacional.
Además de los activos físicos, los activos organizativos virtuales son cada vez más valiosos. La marca
en línea y otras representaciones de la organización en el ciberespacio identifican de manera única a
la organización en el ciberespacio y son tan importantes como los ladrillos y el mortero de esa
organización.
EJEMPLO 1 La URL y la información del sitio web de una organización son activos.
EJEMPLO 2 Los países incluso han establecido embajadas en un mundo virtual importante para
proteger la representación del país.
Otros activos de las organizaciones que están expuestos a través de las vulnerabilidades del
9.1 Amenazas
9.1.1 Resumen
Las amenazas que existen en el Ciberespacio se examinan en relación con los bienes del Ciberespacio.
Las amenazas al Ciberespacio pueden dividirse en dos áreas clave:
— amenazas a los bienes personales:
— amenazas a los activos de la organización;
9.1.2 Amenazas a los bienes personales
Las amenazas a los bienes personales giran principalmente en torno a cuestiones de identidad,
planteadas por la filtración o el robo de información personal.
EJEMPLO 1 La información crediticia puede venderse en el mercado negro, lo que puede facilitar el
robo de identidad en línea.
Si la identidad en línea de una persona es robada o enmascarada, esa persona puede verse privada
del acceso a servicios y aplicaciones clave. En escenarios más graves, las consecuencias pueden ir
desde incidentes financieros hasta incidentes a nivel nacional.
El acceso no autorizado a la información financiera de una persona también abre la posibilidad de robo
de su dinero y de fraude.
Otra amenaza es la posibilidad de que el punto final se convierta en un zombi o un bot. Los dispositivos
de computación personal pueden verse comprometidos y así formar parte de una red de bots más
grande.
Además de lo anterior, otros activos virtuales que están siendo atacados son los bienes personales en
los mundos virtuales y los juegos en línea. Los activos en un mundo virtual o en el mundo de los juegos
en línea también son objeto de ataque y explotación.
EJEMPLO 2 Los detalles de los avatares y la moneda virtual que, en algunos casos, pueden ser
rastreados y convertidos al mundo real, serían los objetivos principales.
Robo virtual y asalto virtual son algunos de los términos recién acuñados para este tipo de ataque. La
seguridad, en este caso, dependerá de la cantidad de información del mundo real a la que se tenga
acceso, así como del marco de seguridad del propio mundo virtual definido e implementado por su
administrador.
Dado que todavía se están redactando normas y reglamentos para la protección de los activos físicos
reales, en relación con el ciberespacio, las relativas a los activos virtuales son casi inexistentes. Los
participantes en la prospección deben tener un cuidado y una precaución extraordinarios para
garantizar la protección adecuada de sus activos virtuales.
La presencia y los negocios en línea de las organizaciones suelen ser el blanco de delincuentes cuya
intención es más que una simple travesura.
En caso de que el ataque tenga éxito, la información personal de los empleados, clientes, socios o
proveedores podría divulgarse y dar lugar a sanciones, contra las organizaciones, si se descubre que
ha sido gestionada o protegida de manera insuficiente, lo que contribuiría a la pérdida.
También podrían infringirse las normas de presentación de informes financieros si los resultados de
la organización se divulgan de manera no autorizada.
Los gobiernos poseen información sobre cuestiones de seguridad nacional, estratégicas, militares, de
inteligencia, entre muchos otros elementos relacionados con el gobierno y el Estado, pero también
una amplia gama de información sobre las personas, las organizaciones y la sociedad en su conjunto.
En mayor escala, la infraestructura que soporta la Internet, y por lo tanto el Ciberespacio, también
puede ser objeto de ataques. Si bien esto no afectará permanentemente al funcionamiento del
Ciberespacio, sí afectará a la fiabilidad y disponibilidad de la infraestructura, que contribuye a la
seguridad del Ciberespacio.
Los grupos terroristas pueden comprar legítimamente las aplicaciones, servicios y recursos que
facilitan su causa, o pueden recurrir a medios ilegales para asegurar esos recursos a fin de evitar su
detección y rastreo. Esto puede incluir la adquisición de recursos informáticos masivos a través de
redes de bots.
9.3 Vulnerabilidades
Una vulnerabilidad es una debilidad de un activo o control que puede ser explotada por una
amenaza. En el contexto de un sistema de información, la norma ISO/CEI TR 19791:2006 también
define la vulnerabilidad como un defecto, debilidad o propiedad del diseño o la aplicación de un
sistema de información (incluidos sus controles de seguridad) o de su entorno que puede explotarse
La evaluación de la vulnerabilidad debe ser una tarea continua. A medida que los sistemas reciben
parches, actualizaciones o se añaden nuevos elementos, pueden introducirse nuevas
vulnerabilidades. Los interesados requieren un conocimiento y una comprensión cabales del activo o
control en cuestión, así como de las amenazas, los agentes de amenaza y los riesgos que conlleva,
para poder realizar una evaluación completa.
Se debe mantener un inventario de las vulnerabilidades conocidas con el protocolo de acceso más
estricto y preferiblemente separado, física y lógicamente, del activo o control al que se aplica. En
caso de que se produzca una violación del acceso y el inventario de vulnerabilidades se vea
comprometido, el inventario de vulnerabilidades sería uno de los instrumentos más eficaces del
arsenal de un agente de amenazas para utilizarlo en la perpetración de un ataque.
Hay que buscar y aplicar soluciones a las vulnerabilidades y, cuando una solución no sea posible o
factible, hay que establecer controles. Este enfoque debe aplicarse con carácter prioritario, de modo
que se aborden primero las vulnerabilidades que plantean un mayor riesgo. Los procedimientos de
divulgación de las vulnerabilidades podrían definirse en el marco del intercambio de información y la
coordinación en la cláusula 13 de la presente Norma Internacional.
NOTA Una futura norma internacional, la ISO/CEI 29147, proporcionará orientación sobre la
divulgación de la vulnerabilidad.
9.4.1 Introducción
Muchos de los ataques en el ciberespacio se llevan a cabo utilizando software malicioso, como
programas espía, gusanos y virus. La información se suele recopilar mediante técnicas de phishing.
Un ataque puede ocurrir como un vector de ataque singular o llevado a cabo como un mecanismo de
ataque combinado. Estos ataques pueden propagarse, por ejemplo, a través de sitios web
sospechosos, descargas no verificadas, correos electrónicos spam, explotación remota y medios
extraíbles infectados.
Sin embargo, hay casos en los que los ataques son una combinación de ambos, dentro y fuera de una
red privada. Otros mecanismos cada vez más utilizados y sofisticados, para llevar a cabo los ataques,
son los que se basan en los sitios web de redes sociales y el uso de archivos corruptos en sitios web
legítimos.
Las personas tienden a confiar implícitamente en los mensajes y el contenido recibidos de contactos
previamente aceptados en sus perfiles en sus sitios web de redes sociales. Una vez que un atacante,
mediante el robo de identidad, puede disfrazarse de un contacto legítimo, el atacante puede
comprometer a otros, y se abre una nueva vía para lanzar los diversos tipos de ataques antes
mencionados.
A pesar de la fuente legítima percibida, como en casos como el anterior, las personas deben tomar
las precauciones indicadas en la cláusula 11 para protegerse mejor.
Estos ataques normalmente se lanzan dentro de la red privada de una organización, normalmente la
red de área local, y pueden ser iniciados por empleados o alguien que obtiene acceso a una
computadora o red dentro de los locales de una organización o individuo.
EJEMPLO 1 Un caso posible es que los administradores de sistemas puedan aprovechar los privilegios
de acceso al sistema que tienen, como el acceso a la información de la contraseña de los usuarios, y
utilizarlos para iniciar un ataque. Por otra parte, los propios administradores de sistemas pueden
convertirse en el blanco inicial de un ataque, como medio para que el atacante obtenga información
adicional (nombres de usuario, contraseñas, etc.), antes de proceder a su blanco o blancos
originalmente previstos. El atacante puede utilizar mecanismos como el software de rastreo de
paquetes para obtener contraseñas u otra información de identidad. Alternativamente, el atacante
puede hacerse pasar por una entidad autorizada y actuar como intermediario para robar información
de identidad.
EJEMPLO 2 Un ejemplo es el uso de Puntos de Acceso (AP) deshonestos para robar identidades. En
este caso, el atacante podría estar sentado en un aeropuerto, una cafetería u otros lugares públicos
que ofrecen acceso Wi-Fi gratuito a Internet. En algunos casos, el atacante puede incluso hacerse
pasar por el propietario legítimo del punto de acceso inalámbrico del local utilizando el Service Set
IDentifier (SSID) del local. Si un usuario accede a este punto de acceso deshonesto, el atacante puede
actuar como un hombre en el medio y obtener una contraseña y/o información de identidad valiosa
del usuario, por ejemplo, información y contraseña de la cuenta bancaria, contraseña de la cuenta de
correo electrónico, etc.
EJEMPLO 3 A menudo basta con estar cerca de una red Wi-Fi no protegida, como sentarse en un
coche fuera de una casa, para poder robar información en la red.
Además de los ataques lanzados por los atacantes humanos, los ordenadores infectados por el
malware también lanzan varios ataques a los ordenadores circundantes dentro de la red privada.
EJEMPLO 4 Muchos programas maliciosos suelen enviar paquetes de análisis a la red privada para
encontrar las computadoras cercanas, y luego tratan de explotar las computadoras descubiertas.
EJEMPLO 5 Algunos programas maliciosos utilizan el modo promiscuo de una interfaz de red de su
computadora infectada para espiar el tráfico que fluye a través de la red privada.
EJEMPLO 6 Los registradores de teclas son aplicaciones de hardware o software que capturan todas
las pulsaciones de teclas en el sistema objetivo. Esto puede hacerse en secreto para supervisar las
acciones de un usuario. Los registradores de teclas se utilizan a menudo para capturar información de
autenticación de las páginas de inicio de sesión de la aplicación.
Hay muchos ataques diferentes que pueden lanzarse desde fuera de la red privada, incluida la
Internet.
Si bien el ataque inicial siempre se dirigirá contra un sistema de cara al público (por ejemplo, un
enrutador, un servidor, un cortafuegos, un sitio web, etc.), los atacantes también pueden tratar de
explotar los activos que residen dentro de la red privada.
Los antiguos métodos de ataque se mejoran y los nuevos se desarrollan de manera continua. Los
atacantes son cada vez más sofisticados y normalmente combinan diferentes técnicas y mecanismos
de ataque para maximizar su éxito, lo que dificulta aún más la detección y prevención de los ataques.
Los escáneres de puertos son una de las herramientas más antiguas, y aún muy eficaces, utilizadas
por los atacantes. Escanean todos los puertos disponibles en un servidor para confirmar qué puertos
están "abiertos". Normalmente es uno de los primeros pasos que da un posible atacante al sistema
objetivo.
Estos ataques pueden manifestarse en varios ataques DoS a los servidores de aplicaciones o a otros
equipos de red, explotando las vulnerabilidades de los protocolos o del diseño de las aplicaciones.
EJEMPLO Con la ayuda de una red de bots, se pueden lanzar ataques DoS a gran escala que pueden
hacer caer el acceso de un país al ciberespacio.
Con la proliferación de las aplicaciones peer-to-peer, comúnmente utilizadas para compartir archivos
como música digital, vídeo, fotos, etc., los atacantes son cada vez más sofisticados en la forma de
disfrazarse y disfrazar su código malicioso utilizando los archivos intercambiados como un caballo de
Troya para sus ataques.
Los desbordamientos de búfer (también conocidos como rebasamientos de búfer) son otro método
popular de comprometer los servidores en Internet. Al explotar las vulnerabilidades de la codificación
y enviar cadenas de caracteres mucho más largas de lo previsto, los atacantes hacen que el servidor
funcione fuera de su entorno normal (controlado), facilitando así la inserción/ejecución de código
malicioso.
Otra técnica es el IP Spoofing, que consiste en que el atacante manipula la dirección IP asociada a sus
mensajes en un intento de disfrazarla como una fuente conocida y de confianza, obteniendo así
acceso no autorizado a los sistemas.
10.1 Resumen
10.2.1 Introducción
Los consumidores pueden ver o recopilar información, así como proporcionar cierta información
específica dentro del espacio de una aplicación del ciberespacio, o abierto a miembros o grupos
limitados dentro del espacio de la aplicación, o al público en general. Las medidas adoptadas por los
consumidores en estas funciones pueden ser pasivas o activas, y pueden contribuir directa e
indirectamente al estado de la ciberseguridad.
Los consumidores individuales del ciberespacio pueden asumir diferentes funciones en diferentes
contextos y aplicaciones.
Los papeles de los consumidores pueden incluir, entre otros, los siguientes:
- Usuario de aplicaciones del Ciberespacio en general, o usuario general, como jugador de juegos en
línea, instantáneo
La información en texto y multimedia (por ejemplo, videoclips) se publica para el consumo del
público en general o de una audiencia limitada;
- Miembro de una organización (como un empleado de una empresa, u otra forma de asociación con
una empresa); - Otras funciones. Es posible que a un usuario se le asigne un rol sin querer o sin su
consentimiento.
EJEMPLO Cuando un usuario visita un sitio que requiere autorización y obtiene acceso sin querer, el
usuario
En cada una de estas funciones, las personas pueden ver o recopilar información, así como
proporcionar cierta información específica dentro del espacio de una aplicación del ciberespacio, o
abierto a miembros o grupos limitados dentro del espacio de la aplicación, o al público en general.
Las medidas adoptadas por los individuos en estas funciones pueden ser pasivas o activas, y pueden
contribuir directa e indirectamente al estado de la ciberseguridad.
EJEMPLO 1 Si un IAP proporciona una aplicación que contiene vulnerabilidades de seguridad, estas
vulnerabilidades pueden ser utilizadas por los ciberdelincuentes como un canal para llegar a los
usuarios de la aplicación.
EJEMPLO 2 Los bloggers u otras formas de contribuyentes de contenido pueden recibir una solicitud
en forma de preguntas inocentes sobre sus contenidos. En su respuesta, pueden revelar
involuntariamente al público más información personal o de la empresa de la que desean.
EJEMPLO 3 Un individuo, actuando como comprador o vendedor, puede participar sin saberlo en
transacciones criminales de venta de bienes robados o actividades de lavado de dinero.
En consecuencia, como en el mundo real, los consumidores individuales deben tener cuidado con
todos y cada uno de los papeles que desempeñan en el ciberespacio.
Las organizaciones suelen utilizar el ciberespacio para dar a conocer información sobre las empresas
y la información conexa, así como productos y servicios relacionados con el mercado. Las
organizaciones también utilizan el Ciberespacio como parte de su red para la entrega y recepción de
mensajes electrónicos (por ejemplo, correos electrónicos) y otros documentos (por ejemplo,
transferencia de archivos).
En consonancia con los mismos principios de ser un buen ciudadano corporativo, estas
organizaciones deben ampliar sus responsabilidades empresariales al Ciberespacio asegurándose
proactivamente de que sus prácticas y acciones en el Ciberespacio no introduzcan más riesgos de
seguridad en el Ciberespacio. Entre las medidas proactivas figuran las siguientes:
NOTA 1 La norma ISO/CEI 27001 establece los requisitos para los sistemas de gestión de la seguridad
de la información.
- la incorporación de la seguridad como parte del ciclo de vida del desarrollo de software (SDLC), en
el que el nivel de seguridad incorporado en los sistemas debe determinarse en función de la
criticidad de los datos de la organización;
- comprender y utilizar los canales adecuados para comunicarse con los vendedores y los
proveedores de servicios en relación con los problemas de seguridad descubiertos durante el uso.
NOTA 2 Una futura norma internacional, la ISO/CEI 29147, proporcionará directrices sobre la
vulnerabilidad y la divulgación.
NOTA 3 La norma ISO/CEI 27031 proporciona directrices para la preparación de las TIC para la
continuidad de las actividades.
NOTA 4 La norma ISO/CEI 27035 proporciona directrices para la gestión de incidentes de seguridad
de la información.
NOTA 5 La norma ISO/CEI 27034-1 proporciona directrices para la seguridad de las aplicaciones.
- compartir información con otras partes interesadas sobre las últimas tendencias y novedades de la
tecnología;
- compartir información con otros interesados sobre los riesgos de seguridad predominantes en la
actualidad;
- ser un conducto para recibir cualquier información, ya sea cerrada o abierta, con respecto a los
riesgos de seguridad del Ciberespacio; y
- proveedores de servicios a los consumidores del ciberespacio, ya sea a una comunidad cerrada (por
ejemplo,
EJEMPLO Ejemplos de servicios son los mercados de comercio en línea, los servicios de plataformas
de foros de debate, los servicios de plataformas de blogs y los servicios de redes sociales.
11.1 Resumen
- requisitos de seguridad que los proveedores deben especificar para que los consumidores los
apliquen.
ISO 31000, Gestión de riesgos - Principios y directrices, proporciona principios y directrices genéricas
sobre la gestión de riesgos, mientras que ISO/IEC 27005, Tecnología de la información - Técnicas de
seguridad - Gestión de riesgos para la seguridad de la información, proporciona directrices y procesos
para la gestión de riesgos para la seguridad de la información en una organización, apoyando en
particular los requisitos de un SGSI según ISO/IEC 27001. Estas directrices y procesos se consideran
suficientes para abordar la gestión de riesgos en el contexto del ciberespacio.
La norma ISO/CEI 27005:2011 no proporciona ninguna metodología específica para la gestión de los
riesgos para la seguridad de la información. Corresponde a los consumidores y proveedores definir su
enfoque de la gestión de riesgos. En el marco descrito en la norma ISO/CEI 27005 se pueden utilizar
varias metodologías existentes para aplicar los requisitos de un sistema de gestión de la seguridad de
la información.
Al definir un enfoque de gestión de riesgos hay que tener en cuenta los siguientes aspectos
- Identificación de los activos críticos: La conexión o utilización del ciberespacio amplía el alcance de
definiendo los activos. Como no es rentable proteger todos los activos, es esencial que se
identifiquen los activos críticos para poder tener un cuidado especial en su protección. La designación
debe hacerse desde el contexto empresarial, mediante la consideración del impacto de la pérdida o
degradación de un activo en la empresa en su conjunto.
- Identificación de los riesgos: Los interesados deben considerar y abordar adecuadamente los riesgos
adicionales, las amenazas
- La presentación de informes: Puede ser necesario incluir a los interesados ajenos a la organización
cuando
Los aspectos importantes que hay que recordar al considerar las metas y objetivos de la ciberseguridad
son:
Como se explica en la cláusula 10.2, los consumidores pueden ver o recopilar información, así como
proporcionar cierta información específica dentro del espacio de una aplicación del ciberespacio, o
abierto a miembros o grupos limitados dentro del espacio de la aplicación, o al público en general. Las
medidas adoptadas por los consumidores en estas funciones pueden ser pasivas o activas, y pueden
contribuir directa e indirectamente al estado de la ciberseguridad.
Por ejemplo, como IAP, si la aplicación proporcionada contiene vulnerabilidades de seguridad, podrían
dar lugar a la explotación por parte de ciberdelincuentes aprovechándolas como un canal para llegar a
usuarios inocentes de la aplicación. Como bloggers o colaboradores de contenidos de otro tipo, pueden
recibir una solicitud en forma de preguntas inocentes sobre sus contenidos en las que pueden revelar
involuntariamente al público más información personal o de la empresa de la deseada. Como
comprador o vendedor, un consumidor puede participar sin saberlo en transacciones delictivas de venta
de bienes robados o en actividades de blanqueo de dinero. Por consiguiente, al igual que en el mundo
físico, los consumidores deben actuar con cautela en todas y cada una de las funciones que
desempeñan en el ciberespacio. En general, los consumidores deben tomar nota de la siguiente
orientación:
a) Conozca y comprenda la política de seguridad y privacidad del sitio y la aplicación en cuestión, tal
como la publica el proveedor del sitio.
b) Aprender y comprender los riesgos de seguridad y privacidad involucrados y determinar los controles
apropiados aplicables. Participar en foros de discusión en línea relacionados o preguntar a alguien que
conozca el sitio o la aplicación antes de proporcionar información personal o de la organización, o
participar y contribuir con información a la discusión.
d) Gestionar la identidad en línea. Utilizar diferentes identificadores para diferentes aplicaciones web y
reducir al mínimo el intercambio de información personal a cada sitio web o aplicación que solicite dicha
información. Registrar la identidad en línea en los sitios de redes sociales populares, incluso si la cuenta
se deja inactiva.
b) Como comprador o vendedor, leer y comprender la política de seguridad y privacidad del sitio del
mercado en línea y tomar medidas para verificar la autenticidad de las partes interesadas. No
comparta datos personales, incluida la información bancaria, a menos que se haya establecido un
interés genuino en vender o comprar. Utilice un mecanismo de pago fiable.
c) Como IAP, practique el desarrollo de software seguro y proporcione un valor de hash del código
en línea, de modo que las partes receptoras puedan verificar el valor si es necesario para
garantizar la integridad del código. Proporcionar documentación sobre las políticas y prácticas de
seguridad y privacidad del código y respetar la privacidad de los usuarios del mismo.
f) Otras funciones. Cuando un consumidor visita un sitio que requiere autorización y obtiene acceso
sin querer, el usuario puede ser etiquetado como un intruso. Salga del sitio inmediatamente e
informe a la autoridad pertinente, ya que el hecho de que haya podido obtener acceso puede ser
un indicio de que se ha llegado a un compromiso.
11.4.1 Resumen
Los controles para la gestión de los riesgos de la ciberseguridad dependen en gran medida de la
madurez de los procesos de gestión de la seguridad dentro de las organizaciones (incluidos los
proveedores de servicios). Si bien las directrices sugeridas aquí son principalmente discrecionales para
las organizaciones, se recomienda que los proveedores de servicios traten las directrices como medidas
obligatorias de referencia.
A nivel de las empresas, las organizaciones que se conectan al ciberespacio deben aplicar un sistema
de gestión de la seguridad de la información (SGSI) para identificar y gestionar los riesgos conexos
para la seguridad de la información de la empresa. La serie de Normas Internacionales para los
sistemas de gestión de la seguridad de la información ISO/CEI 27000 proporciona la orientación
necesaria y las mejores prácticas para la aplicación de ese sistema.
NOTA 2 ISO 31000, Gestión de riesgos - Principios y directrices, proporciona principios y directrices genéricas
sobre la gestión de riesgos.
Las organizaciones también pueden considerar una certificación formal de su cumplimiento de los requisitos del
SGSI, como la ISO/CEI 27001.
Como parte de la aplicación de un SGSI, una organización también debe establecer una capacidad de
vigilancia y respuesta a incidentes de seguridad y coordinar sus actividades de respuesta a incidentes
con organizaciones externas de CIRT, CERT o CSIRT en el país. La provisión de respuesta a incidentes
y emergencias debe incluir la supervisión y evaluación del estado de la seguridad en el uso de los
servicios de la organización por parte de los usuarios finales y clientes, y proporcionar orientación para
ayudar a las partes afectadas a responder a los incidentes de seguridad de forma eficaz.
NOTA ISO/CEI 27035, Tecnología de la información - Técnicas de seguridad - Gestión de incidentes de seguridad
de la información, proporciona orientación sobre la gestión de incidentes de seguridad de la información.
Cuando exista un alto grado de confianza en la seguridad de los productos de software, éstos deberían
ser validados de forma independiente según el esquema de Criterios Comunes, tal y como se describe
en la norma ISO/CEI 15408.
Las organizaciones deben documentar el comportamiento del código y hacer una evaluación para
determinar si el comportamiento puede recaer en áreas potenciales que podrían ser consideradas como
spyware o software engañoso. En este último caso, debería contratar a un evaluador debidamente
calificado para que evalúe si el código se ajusta a los criterios objetivos de los proveedores de
programas informáticos contra el espía que se adhieren a las mejores prácticas, de modo que los
instrumentos de software suministrados por la organización a los usuarios finales no sean etiquetados
como programas informáticos contra el espía o el adware por los proveedores de programas
informáticos contra el espía. Muchos vendedores de software anti-espía publican los criterios con los
que califican el software.
Las organizaciones deberían implementar la firma de código digital para sus binarios, de manera que
los vendedores de programas antiespía y antimalware pudieran determinar fácilmente el propietario de
un archivo, y los ISV, que producen sistemáticamente software que sigue las mejores prácticas, serían
clasificados como probablemente seguros incluso antes del análisis.
Si una organización descubre técnicas de software útiles que podrían ayudar a reducir el problema del
spyware o el malware, la organización debería considerar la posibilidad de asociarse y trabajar con el
proveedor para que estén ampliamente disponibles.
Para cumplir estos requisitos, es muy importante la educación en materia de seguridad de los
desarrolladores. Se debe utilizar un ciclo de vida de desarrollo de software seguro en el que se puedan
minimizar las vulnerabilidades del software y, por lo tanto, proporcionar un producto de software más
seguro.
La vigilancia de la red es utilizada comúnmente por las organizaciones para garantizar la fiabilidad y la
calidad de sus servicios de red. Al mismo tiempo, esta capacidad puede aprovecharse para buscar
condiciones excepcionales de tráfico en la red y detectar actividades maliciosas que surjan en la red.
En general, las organizaciones deberían realizar lo siguiente:
— Entender el tráfico en la red - lo que es normal, lo que no es normal.
— Utilizar un instrumento de gestión de redes para identificar picos de tráfico, tráfico/puertos
"inusuales" y asegurarse de que se dispone de instrumentos para identificar y responder a la causa.
— Pruebe la capacidad de respuesta antes de que se necesiten para un evento real. Refinar las
técnicas, procesos y herramientas de respuesta basadas en el resultado de los ejercicios regulares.
Las empresas, incluidos los proveedores de servicios y las organizaciones gubernamentales, suelen
disponer de un servicio de apoyo para responder a las consultas de los clientes y prestar asistencia
técnica y apoyo para abordar los problemas de los usuarios finales. Con la creciente proliferación de
los programas informáticos maliciosos en la Internet, una organización proveedora de servicios puede
recibir informes relativos a las infecciones de programas informáticos maliciosos y espías y otros
problemas de seguridad cibernética. Esa información es importante y útil para que los proveedores
pertinentes evalúen la situación de los riesgos y los programas informáticos malignos y proporcionen
actualizaciones de los instrumentos necesarios para garantizar que todo nuevo programa informático
maligno o espía que se detecte pueda eliminarse o desactivarse eficazmente. A este respecto, una
organización debe establecer contacto con los proveedores de seguridad y presentarles informes
pertinentes y muestras de programas informáticos malignos para su seguimiento, en particular si parece
haber un aumento de la prevalencia. La mayoría de los proveedores mantienen una lista de correo
electrónico para recibir esos informes o muestras para su análisis y seguimiento. Por ejemplo, véase el
cuadro B.1 del anexo B.
Como parte de la aplicación del SGSI para gestionar el riesgo de la seguridad de la información de la
empresa, y también para garantizar que las organizaciones continúen haciendo un seguimiento de las
mejores prácticas de la industria y se mantengan al tanto de las últimas vulnerabilidades y situaciones
de explotación/ataque, las organizaciones deben participar en los foros comunitarios o de la industria
pertinentes para compartir sus mejores prácticas y aprender de otros proveedores colegas.
La mayoría de los proveedores de servicios prestan servicios de hospedaje en su red y centro de datos
como parte de sus servicios comerciales. Esos servicios, que incluyen sitios web y otras aplicaciones
en línea, suelen ser reempaquetados y revendidos por los suscriptores de los servicios de hospedaje a
otros consumidores, como pequeñas empresas y usuarios finales. Si los suscriptores del hospedaje
establecen un servidor inseguro o alojan contenidos malignos en sus sitios o aplicaciones, la seguridad
de los consumidores se verá afectada negativamente. Por ello, es importante que los servicios, como
mínimo, cumplan las normas de las mejores prácticas mediante el cumplimiento de la política o las
condiciones de los acuerdos.
Cuando se utilicen varios proveedores, se debe analizar la interacción entre ellos y los respectivos
acuerdos de servicios deben abordar cualquier interacción crítica. Por ejemplo, las actualizaciones o
parches de los sistemas de un proveedor deben coordinarse con otros proveedores, en caso de que la
actualización dé lugar a una interacción negativa.
Los términos de los acuerdos deberían abarcar al menos lo siguiente:
a) Avisos claros, en los que se describan las prácticas de seguridad y privacidad del sitio o la aplicación en línea, las prácticas
de recopilación de datos y el comportamiento de cualquier código (por ejemplo, Browser Helper Object) que el sitio o la
aplicación en línea pueda distribuir y ejecutar en los escritorios de los usuarios finales o en los entornos de los navegadores
web.
b) Consentimiento del usuario, facilitando el acuerdo o desacuerdo del usuario con las condiciones de los servicios descritos
en los Avisos. Esto permitiría al usuario ejercer su discreción y determinar si puede aceptar las condiciones de los servicios
en consecuencia.
c) Controles de usuario, que facilitan a los usuarios la modificación de sus configuraciones o el cese de su aceptación en
cualquier momento del futuro tras el acuerdo inicial.
Los términos son importantes para garantizar que los usuarios finales tengan claro el comportamiento
y las prácticas del sitio o la aplicación en línea, en relación con la privacidad y la seguridad de los
usuarios finales. Los términos deben elaborarse con la ayuda de un profesional del derecho para
garantizar que también indemnizarán al proveedor de servicios de las posibles acciones legales de los
usuarios finales, como resultado de las pérdidas o los daños específicos sufridos debido a contenidos
malintencionados o a políticas y prácticas poco claras en el sitio web.
Además de las disposiciones sobre protección de datos y privacidad personal en el sitio o la aplicación
en línea, los proveedores de servicios deberían exigir que los sitios o aplicaciones en línea alojados en
sus redes apliquen un conjunto de controles de seguridad de prácticas óptimas a nivel de las
aplicaciones antes de que puedan entrar en funcionamiento. Estos controles deberían incluir, entre
otros, los ejemplos que figuran en la cláusula 12.2.
Para permitir la aplicación de estos controles de seguridad, en particular los relativos a la seguridad de
los sitios y aplicaciones en línea, los proveedores de servicios deben considerar la posibilidad de
incorporar estas disposiciones en las condiciones de los acuerdos de servicios.
Los proveedores de servicios deben orientar a los consumidores sobre cómo mantenerse seguros en
línea. Los proveedores de servicios pueden crear la orientación directamente o remitir a los usuarios a
los sitios de orientación disponibles que podrían proporcionar los contenidos. Es fundamental educar a
los usuarios finales sobre la forma en que pueden contribuir a una Internet segura en relación con las
múltiples funciones que pueden desempeñar en el ciberespacio, como se describe en la cláusula 7.
Además, se debe aconsejar a los usuarios finales que adopten los controles técnicos de seguridad
necesarios en los que los proveedores de servicios también podrían desempeñar un papel activo, como
se describe en la cláusula 11.3. Entre los ejemplos de actividades de orientación pueden figurar:
a) Boletines de seguridad periódicos (por ejemplo, mensuales) para asesorar sobre técnicas de
seguridad específicas (por ejemplo, cómo elegir una buena contraseña); actualizaciones de las
tendencias de seguridad; y para proporcionar avisos de transmisiones web de seguridad, otros
vídeos a petición, transmisiones de audio e información de seguridad que estén disponibles en el
portal web de la organización o en otros proveedores de contenido de seguridad.
b) Emisiones directas de vídeos de educación sobre seguridad a la carta o transmisiones por la web
que cubran una variedad de temas de seguridad para mejorar las prácticas de seguridad y la
concienciación de los usuarios finales.
c) Incorporar una columna de seguridad en el boletín impreso del proveedor de servicios que se envía
a las direcciones de residencia u oficina de los usuarios finales para destacar los principales
acontecimientos o contenidos de seguridad.
d) Seminarios anuales u otros seminarios periódicos sobre seguridad de los usuarios finales o
exposiciones itinerantes, posiblemente en asociación con otros actores de la industria,
proveedores y gobiernos.
Los proveedores de servicios que utilizan el correo electrónico como principal medio de comunicación
con los usuarios finales deben hacerlo de manera que ayude a los usuarios finales a resistir los ataques
de la ingeniería social. En particular, se debe recordar constantemente a los usuarios finales que los
— información personal;
— nombres de usuario;
— Contraseñas; y
— nunca incluirá enlaces relacionados con la seguridad para que el lector haga clic en.
Cuando un proveedor de servicios desea que un usuario vaya a su sitio para obtener información, debe
indicarle cómo conectarse con seguridad al URL requerido. Por ejemplo, pueden pedirle al usuario que
escriba una URL citada en su navegador y se asegure de que la URL citada no contenga un enlace en
el que se pueda hacer clic.
Como parte de la educación en materia de seguridad del usuario y la orientación contra el software
engañoso y el spyware, las organizaciones y los proveedores de servicios deben asesorar a sus
usuarios finales sobre el uso de los controles técnicos de seguridad adecuados para proteger sus
sistemas contra los exploits y ataques conocidos. Como guía general, se debería alentar a los
consumidores a aplicar los controles de la cláusula 12.4.
En el anexo B figura una lista de ejemplos de referencias y recursos en línea que podrían utilizarse para
apoyar la aplicación de las recomendaciones anteriores.
12.1 Resumen
Una vez identificados los riesgos para la ciberseguridad y redactadas las directrices adecuadas, se
pueden seleccionar y aplicar controles de ciberseguridad que respalden los requisitos de seguridad.
Esta cláusula ofrece una visión general de los principales controles de ciberseguridad que pueden
aplicarse para respaldar las directrices establecidas en esta Norma Internacional.
a) Exhibición de avisos breves, que proporcionan resúmenes claros y concisos de una página
(utilizando un lenguaje sencillo) de las políticas esenciales de la empresa en línea. Con ello, los
usuarios pueden tomar decisiones más informadas sobre cómo compartir su información en línea.
Los avisos breves deben ajustarse a todos los requisitos reglamentarios y proporcionar enlaces a
declaraciones jurídicas completas y otra información pertinente, de modo que los clientes que
deseen obtener más detalles puedan hacer clic fácilmente para leer la versión más larga. Con un
solo aviso, los clientes pueden tener una experiencia más coherente en todas las propiedades de
la empresa, con las mismas normas de privacidad y expectativas extendidas a muchos sitios.
b) Manejo seguro de las sesiones para las aplicaciones web; esto puede incluir mecanismos en línea
como las cookies.
Validación y manejo seguro de la entrada para prevenir ataques comunes como la inyección SQL.
Dado que los sitios web, que en general se consideran fiables, se utilizan cada vez más para la
distribución de códigos maliciosos, la validación de entrada y salida debe llevarse a cabo tanto por
contenido activo como por contenido dinámico.
c) Guiones seguros de páginas web para prevenir ataques comunes como el Cross-site Scripting.
d) Examen y ensayo de la seguridad del código por entidades debidamente capacitadas.
e) El servicio de la organización, ya sea prestado por la organización o por una parte que la
represente, debe prestarse de manera que el consumidor pueda autenticar el servicio. Esto puede
incluir que el proveedor utilice un subdominio del nombre de dominio de marca de la organización
y posiblemente el uso de credenciales HTTPS registradas en la organización. El servicio debe
evitar el uso de métodos engañosos en los que el consumidor pueda tener dificultades para
determinar con quién está tratando.
b) Utilización de las últimas aplicaciones de software soportadas, con los parches más actualizados
instalados. Los consumidores de las organizaciones tienen la responsabilidad de conocer y seguir
la política de la organización en relación con el software de las aplicaciones admitidas. Los
consumidores individuales deben conocer y considerar la posibilidad de utilizar el software de
aplicación recomendado por el proveedor. En todos los casos, el software de aplicación debería
mantenerse actualizado en lo que respecta a los parches de seguridad.
d) Implementar protección antivirus y antispyware adecuadas. Los navegadores web y las barras de
herramientas de los navegadores comunes han incorporado ahora capacidades como los bloqueadores
de ventanas emergentes, que impedirán que los sitios web maliciosos muestren ventanas que
contengan programas espía o software engañoso que podrían explotar las debilidades del sistema o
del navegador, o que utilicen la ingeniería social para engañar a los usuarios para que los descarguen
e instalen en sus sistemas. Las organizaciones deberían establecer una política que permita el uso de
esos instrumentos. Las organizaciones proveedoras de servicios deberían recopilar una lista de
instrumentos recomendados y se debería alentar su uso a los usuarios finales, con orientación sobre
su habilitación y concesión de permisos para los sitios web que los usuarios quisieran permitir.
e) Habilitar los bloques de secuencias de comandos. Habilitar los bloques de scripts o una configuración
de seguridad web más alta para garantizar que en una computadora local sólo se ejecuten scripts de
fuentes confiables.
f) Utilizar filtros de phishing. Los navegadores web y las barras de herramientas de los navegadores
comunes suelen incorporar esta capacidad, que podría determinar si un sitio que un usuario está
visitando se encuentra dentro de una base de datos de sitios web de suplantación de identidad
conocidos, o si contiene patrones de secuencias de comandos similares a los que se encuentran en los
sitios web típicos de suplantación de identidad. El navegador proporcionaría alertas, normalmente en
forma de resaltados codificados por colores, para advertir a los usuarios del posible riesgo. Las
organizaciones deberían establecer una política para permitir el uso de ese instrumento.
h) Habilitar un cortafuegos personal y el HIDS. Los cortafuegos personales y el HIDS son instrumentos
importantes para controlar los servicios de red que acceden a los sistemas de los usuarios. Varios de
los sistemas operativos más recientes tienen incorporados cortafuegos personales y HIDS. Aunque
están activados por defecto, los usuarios o las aplicaciones podrían desactivarlos, lo que daría lugar a
exposiciones indeseables a la seguridad de la red. Las organizaciones deberían adoptar una política
sobre el uso de un cortafuegos personal y del HIDS y evaluar los instrumentos o productos adecuados
para su aplicación, de modo que su uso esté habilitado por defecto para todos los empleados. Los
proveedores de servicios deberían alentar el uso de un cortafuegos personal y de las funciones de
HIDS, y/o sugerir otros productos de cortafuegos personales y de HIDS de terceros que hayan sido
evaluados y considerados de confianza, y educar y ayudar a los usuarios a habilitar la seguridad básica
de la red a nivel del sistema del usuario final.
i) Habilitar las actualizaciones automáticas. Si bien los controles técnicos de seguridad mencionados
son capaces de hacer frente a la mayoría de los programas informáticos maliciosos en sus respectivos
niveles de funcionamiento, no son muy eficaces contra la explotación de las vulnerabilidades que
existen en los sistemas operativos y los productos de aplicación. Para evitar esos aprovechamientos,
se debería habilitar la función de actualización disponible en los sistemas operativos, así como las
proporcionadas por las aplicaciones en las que el usuario confía (por ejemplo, los productos
antispyware y antivirus evaluados por terceros de confianza), para que se realicen actualizaciones
automáticas. Así se garantizaría que los sistemas se actualizarán con los últimos parches de seguridad
siempre que estuvieran disponibles, con lo que se acortaría la brecha de tiempo para que se produjeran
los exploits.
EJEMPLO 1 El uso de correos electrónicos que llevan URI dirigiendo a usuarios desprevenidos a sitios
web de phishing.
EJEMPLO 2 Correos electrónicos de estafa que solicitan a los usuarios que proporcionen información
de identificación personal, o información relacionada con la propiedad intelectual de la empresa.
La proliferación de las redes sociales y los sitios comunitarios proporciona nuevos vehículos que
permiten realizar estafas y fraudes más creíbles. Cada vez más, esos ataques también trascienden la
tecnología, más allá de los sistemas de computadoras personales y la conectividad tradicional de las
redes, aprovechando los teléfonos móviles, las redes inalámbricas (incluido el Bluetooth) y la voz sobre
IP (VoIP).
Esta cláusula proporciona un marco de controles aplicables para gestionar y reducir al mínimo el riesgo
de ciberseguridad en relación con los ataques de ingeniería social. La orientación proporcionada en
esta cláusula se basa en la noción de que la única forma eficaz de mitigar la amenaza de la ingeniería
social es mediante la combinación de:
- tecnologías de seguridad;
- políticas de seguridad que establezcan normas básicas para el comportamiento personal, tanto como
individuo como empleado; y
- las políticas;
12.5.2 Políticas
De conformidad con las prácticas comunes de gestión de los riesgos para la seguridad de la
información, deben determinarse y documentarse las políticas básicas que rigen la creación, la reunión,
el almacenamiento, la transmisión, el intercambio, el procesamiento y el uso general de la información
organizativa y personal y de la propiedad intelectual en Internet y en el ciberespacio. En particular, esto
se refiere a aplicaciones como la mensajería instantánea, los blogs, el intercambio de archivos P2P y
las redes sociales, que normalmente están fuera del alcance de la seguridad de las redes empresariales
y de la información.
Como parte de las políticas empresariales, también deberían incorporarse declaraciones y sanciones
relativas a la utilización indebida de las aplicaciones del Ciberespacio para disuadir las prácticas de
utilización indebida por parte de empleados y terceros en la red o los sistemas empresariales que
acceden al Ciberespacio.
Los usuarios de las organizaciones podrían entonces diferenciar entre las diferentes categorías y
clasificación de la información que generan, reúnen y manejan. Los usuarios pueden entonces ejercer
la precaución y los controles de protección necesarios al utilizar el ciberespacio.
Como parte del programa de seguridad cibernética de una organización, se debería exigir a los
empleados y a los terceros contratistas que se sometan a un número mínimo de horas de capacitación
de concienciación a fin de garantizar que sean conscientes de sus funciones y responsabilidades en el
ciberespacio, así como de los controles técnicos que deben aplicar como personas que utilizan el
ciberespacio. Además, como parte del programa para contrarrestar los ataques de ingeniería social,
esa capacitación de concienciación debería incluir contenidos como los siguientes
a) Las últimas amenazas y formas de ataques de ingeniería social, por ejemplo, cómo el phishing ha
evolucionado desde los sitios web falsos únicamente a una combinación de Spam, Cross Site Scripting
y ataques de Inyección SQL.
c) Qué información hay que proteger y cómo protegerla, de conformidad con la política de seguridad de
la información.
d) Cuándo informar o intensificar un evento sospechoso o una aplicación maliciosa para acercarse a
las autoridades o al organismo de respuesta, y la información sobre estos contactos disponible. Por
ejemplo, véase el anexo B.
13.1 Generalidades
Los incidentes de seguridad cibernética suelen traspasar las fronteras geográficas y organizativas
nacionales, y la velocidad del flujo de información y los cambios a partir del incidente en curso suelen
dar un tiempo limitado para que las personas y organizaciones que responden actúen. Es necesario
establecer un sistema de intercambio de información y coordinación para ayudar a preparar y responder
a los acontecimientos e incidentes de seguridad cibernética. Se trata de una medida importante que las
organizaciones deben adoptar como parte de sus controles de ciberseguridad. Ese sistema de
intercambio de información y coordinación debe ser seguro, eficaz, fiable y eficiente.
El sistema debe ser seguro para garantizar que la información que se comparte, incluidos los detalles
sobre la coordinación de las actividades, esté protegida contra el acceso no autorizado, en particular
por parte del autor del incidente en cuestión. La seguridad de la información relativa a los sucesos de
seguridad cibernética también es necesaria para evitar que se interprete erróneamente y cause un
pánico indebido o alarmas al público. Al mismo tiempo, la integridad y la autenticidad de la información
son fundamentales para garantizar su exactitud y fiabilidad, independientemente de que esa
información se comparta en un grupo cerrado o se divulgue públicamente. El sistema debe ser eficaz y
eficiente de modo que cumpla su propósito con un mínimo de recursos y en el tiempo y el espacio
requeridos.
NOTA La Comisión de Estudio 17 del UIT-T está llevando a cabo una amplia labor sobre el intercambio
de información en materia de ciberseguridad. Véase el Cuadro C.17 - Intercambio de información sobre
ciberseguridad para más información.
13.2 Políticas
13.2.1 Organizaciones proveedoras de información y organizaciones receptoras de
información
A los efectos del presente marco, se introducen dos tipos de organizaciones de intercambio de
información:
- IPO e IRO.
En el extremo receptor, la ORI debería convenir en hacer cumplir la protección de seguridad y los
procedimientos pertinentes al recibir información de la OPI, de conformidad con el acuerdo previamente
alcanzado y sobre la base de la clasificación y categorización de la información de que se trate.
Para cada categoría, debería desglosarse más detalladamente en dos o más clasificaciones basadas
en el contenido de la información de que se trate. La clasificación mínima puede ser sensible y no
restringida. Si la información contiene datos personales, también pueden aplicarse las clasificaciones
de privacidad.
NOTA la orientación para esta cláusula puede basarse en el resultado del período de estudio sobre
este tema, haciendo referencia a la norma si la PE procede al desarrollo, o adoptando un resumen del
texto de la PE si termina sin más desarrollo.
la protección adecuados de la información sensible, personal y/o confidencial compartida entre la OPI
y la ORI, y preestablecer la condición de compartir y distribuir y utilizar ulteriormente dicha información.
EJEMPLO Véase la futura norma internacional ISO/CEI 29147, Tecnología de la información - Técnicas
de seguridad - Divulgación de la vulnerabilidad.
Debería utilizarse una metodología estándar como referencia para las pruebas de seguridad, a fin de
que se ajuste a los objetivos y necesidades de la organización.
Las pruebas de seguridad pueden realizarse en activos de alto riesgo. Para ello se puede utilizar la
nomenclatura de clasificación de datos propia de la organización.
- Aplicación
- Sistema operativo
El calendario y los calendarios de intercambio de información deben definirse claramente, con objetivos
específicos de nivel de servicio definidos para las relaciones voluntarias y acuerdos de nivel de servicio
para las relaciones comerciales.
También pueden elaborarse y compartirse listas de contactos más granulares de conformidad con las
políticas de audiencia limitada (cláusula 13.2.4) y de clasificación y categorización de la información
(cláusula 13.2.2).
La lista de contactos no debe contener información personal sensible, de conformidad con la política de
minimización de la información (cláusula 13.2.3). A efectos de privacidad, también puede considerarse
un alias en lugar del nombre completo. La información mínima de la lista de contactos debe incluir el
nombre (o el alias), los números de contacto (teléfono móvil si es posible) y la dirección de correo
electrónico. También puede establecerse un contacto alternativo para cada persona clave de la lista de
contactos.
Como mínimo, la lista de contactos debe protegerse contra la modificación no autorizada para evitar la
corrupción y mantener la integridad. Deberán aplicarse controles técnicos (cláusula 13.5) según
proceda.
13.4.3 Alianzas
Para facilitar el intercambio de información y establecer prácticas comunes y coherentes regidas por un
código de prácticas acordado, y/o NDA, las organizaciones y grupos de personas pueden formar
alianzas basadas en sus esferas de interés, que pueden ser la industria, la tecnología u otras esferas
de interés especial. En el anexo B figura una lista de muestra de las alianzas y organizaciones sin fines
de lucro existentes que cumplen ese propósito.
Las personas de las organizaciones deberían ser conscientes de los nuevos riesgos de seguridad
cibernética y estar capacitadas para que desarrollen las habilidades y la experiencia necesarias para
responder con eficacia y eficiencia cuando se encuentran con un riesgo específico o recibieron
información que requería sus acciones para mitigar o mejorar una situación determinada. Para lograr
estos objetivos,
- Reuniones informativas periódicas sobre la situación de los riesgos para la seguridad cibernética y las
conclusiones relativas a la organización y la industria debe ser proporcionada.
- Pruebas regulares, con recorridos de los escenarios relevantes para asegurar una comprensión
completa y la capacidad de ejecutar procedimientos y herramientas específicas.
Esta concienciación, capacitación y pruebas pueden ser realizadas por expertos internos involucrados,
externos, consultores, u otros expertos de los miembros de las alianzas afines que participan en el
intercambio de información y los esfuerzos de coordinación.
13.5 Técnicas
13.5.1 Panorama general
Los controles técnicos y la normalización pueden utilizarse para mejorar la eficiencia, reducir el error
humano y mejorar la seguridad en los procesos de intercambio y coordinación de la información. Una
serie de técnicas se pueden diseñar, desarrollar y poner en práctica sistemas y soluciones. Esta norma
internacional proporciona algunos de los enfoques y técnicas comúnmente utilizados que han sido
adoptados por algunas organizaciones, y pueden adaptarse más para mejorar el intercambio de
información y la coordinación de necesidades y procesos para hacer frente al cambiante entorno de
riesgo de la ciberseguridad.
Como parte de la red de intercambio, se pueden desarrollar y desplegar sistemas automatizados entre
organizaciones de coordinación para reunir datos sobre la evolución de los acontecimientos en materia
de seguridad cibernética en tiempo real y fuera de línea análisis y evaluación, a fin de determinar el
estado de seguridad más reciente en el ciberespacio dentro del límite de las organizaciones
involucradas. Esos datos pueden incluir datos de tráfico de la red, actualizaciones de seguridad para
sistemas de software y dispositivos de hardware, datos de vulnerabilidades de seguridad y malware,
spam y datos de spyware, incluyendo sus cargas útiles e información interceptada. Los sistemas
automatizados de apoyo a la de primeros auxilios y la escalada de incidentes, como se describe en la
cláusula 13.4.2, también contendría datos relativos a organizaciones y personas. En vista de la
sensibilidad y el volumen del contenido de los datos en cuestión. En estos sistemas, las organizaciones
(en particular, las alianzas de organizaciones) deben evaluar los datos, esquemas y contenidos para
determinar los controles técnicos adecuados para mejorar la eficiencia, la eficacia y la seguridad. Estos
pueden incluir, pero no se limitan a lo siguiente:
a) la normalización del esquema de datos para cada categoría y la clasificación de los datos recopilados
haciendo cumplir la política de minimización de la información y la privacidad, proporcionar una garantía
técnica a todas las entidades participantes y los propietarios de los datos de esa práctica;
b) la normalización del formato de los datos para facilitar el intercambio y mejorar el almacenamiento,
la transmisión, el manejo y la interoperabilidad entre los sistemas. Por ejemplo, véase la
Recomendación UIT-T X.1205; y
Considerar la posibilidad de utilizar técnicas de visualización de datos para presentar información sobre
los acontecimientos, lo que ayuda a mejorar la visibilidad de los cambios y el incidente de seguridad
emergente que se produce sin necesidad de que los operadores lean los detalles de cada evento a
medida que surge. Por ejemplo, véase el Anexo A, que presenta una imagen que es la representación
de las actividades de Darknet, lo que facilita una respuesta más eficiente a los cambios.
Para facilitar el intercambio de información confidencial, un sistema criptográfico, que incluye un sistema
de clave el intercambio que podría implementarse rápidamente debe considerarse para la
implementación. El sistema debe incluir copias de seguridad adecuadas para el software y el hardware,
así como las claves utilizadas en preparación para los propósitos de compartir y las necesidades de
recuperación de emergencia.
Facilitar la interacción en línea y el intercambio rápido y seguro de información, lo que puede incluir el
intercambio de contenidos digitales como archivos de texto y multimedia, y debates tanto en línea como
fuera de línea, el intercambio Las organizaciones (IPO y IRO) deberían considerar la adopción de
herramientas adecuadas para compartir archivos, el mensajero instantáneo, y herramientas de foros de
discusión en línea que podrían cumplir con la seguridad, eficacia, eficiencia y fiabilidad necesidades.
Si se utiliza un portal web de este tipo, debe haber una clara propiedad y responsabilidad administrativa
para garantizar su seguridad y disponibilidad, y deben proporcionarse zonas privadas para la
información de un público limitado en las que necesario.
Si bien cada sistema técnico y los métodos y procesos conexos deben probarse rigurosamente para
garantizar su fiabilidad e integridad, uno o más sistemas técnicos dedicados a mejorar la eficiencia y se
debe considerar la eficacia de las pruebas, en particular, las pruebas de escenarios. Tal sistema puede
ser en la forma de un sistema de simulación para simular los entornos operativos tal y como los percibe
cada uno organización del Ciberespacio, y la evolución de la situación de la Ciberseguridad,
proporcionando la capacidad de introduciendo una serie de eventos de seguridad para facilitar la
realización de las pruebas requeridas.
b) Determinar la función o funciones de cada organización o persona que participe en calidad de OPI,
ORI o ambas (cláusula 13.2.1).
c) Establecer el tipo de información y coordinación necesaria que sea beneficiosa para la comunidad;
e) Establecer políticas y principios que rijan la comunidad y la información en cuestión (cláusula 13.2);
f) Determinar los métodos y procesos necesarios para cada categoría y clasificación de la información
involucrados (cláusula 13.3);
g) Determinar los requisitos y criterios de rendimiento, y establecer un código de prácticas y firmar las
AND según sea necesario (cláusulas 13.3.3 y 13.3.4);
h) Identificar las normas y sistemas técnicos necesarios y adecuados para apoyar la aplicación y
operaciones de la comunidad (cláusula 13.5);
j) Realizar pruebas periódicas, incluidos escenarios de recorrido y simulación, según sea necesario
k) Realizar exámenes periódicos, posteriores a las pruebas y a los incidentes para mejorar el
intercambio y la coordinación sistemas, incluyendo las personas, los procesos y la tecnología
involucrados; ampliar o reducir el tamaño de la comunidad como sea necesario.
A. 1 Resumen
Los controles de seguridad cibernética descritos en la cláusula 12 minimizan la exposición de las
organizaciones y los usuarios finales el riesgo para la mayoría de los ataques de ciberseguridad
conocidos. Al surgir los incidentes de seguridad cibernética, el marco para el intercambio de información
y la coordinación descrito en la cláusula 11 prevé el establecimiento de un sistema de intercambio de
información y coordinación para preparar la respuesta a los sucesos de seguridad cibernética e
incidentes. Esa información está adecuadamente protegida entre la IPO y la IRO. Si bien estos
controles reducen el riesgo y mejoran el manejo y la gestión de los incidentes, los ciberdelincuentes u
otros malhechores continuarán desarrollando nuevos ataques o evolucionando los actuales para
superar las existentes protecciones. Por consiguiente, también es importante que las organizaciones
apliquen sistemas e infraestructuras que permiten un enfoque más dinámico y riguroso de la detección
de ataques a la seguridad, la investigación y respuesta.
La norma ISO/CEI 27031 proporciona orientación sobre los sistemas de gestión y los procesos conexos
para preparar una los sistemas de TIC de la organización para detectar y responder a los nuevos
acontecimientos en materia de seguridad, incluida la ciberseguridad eventos. En esta directriz se
destacan otros enfoques técnicos aplicables para mejorar una de la organización en el área de la
detección de eventos, a través de la vigilancia Darknet, investigación, a través de Traceback, y
respuesta, a través de Sinkhole Operation. Las organizaciones, en particular las PIBI, deberían
considerar la posibilidad de aprovechar estos enfoques para mejorar su preparación para la seguridad
cibernética y, por lo tanto, estado de la misma.
A.2.1 Introducción
A.2.1 Introducción
Hay, en general, tres métodos comúnmente utilizados en Darknet para observar las actividades
maliciosas relacionadas con tráfico en Internet, a saber, la vigilancia de los agujeros negros y la
vigilancia de las interacciones de alta y baja intensidad.
malware. Los comportamientos son normalmente las medidas de seguimiento tomadas por los
atacantes después de identificar al huésped vulnerable sistemas. A menudo se observa que tales
acciones de infección utilizan UDP con carga útil en el agujero negro de la vigilancia. Además, los retro
dispersores DDoS también se observan por medio de la vigilancia de Agujeros Negros en el caso de
falsificación de las direcciones IP de origen (atacantes) y el objetivo de DDoS puede ser reconocido por
esto Dispersa el tráfico. La figura A.1 muestra una captura de pantalla de una visualización de las
actividades del malware detectado por un sistema de monitoreo de Agujeros Negros. Un ejemplo de
enlace de vídeo se puede encontrar aquí: https://www.
youtube.com/watch?v=asemvKgkib4&feature=related.
Figure A.1 — Ejemplo de una visualización de las actividades de malware utilizando una
monitorización de Agujero Negro sistema
Las "flechas" sobre el mapa del mundo (Figura A.1) representan el recorrido de los paquetes IP desde
las fuentes hasta en los lugares de destino. Las diferentes tonalidades (colores en el vídeo) representan
el tipo de paquete (por ejemplo, TCP SYN, TCP SYN-ACK, otros tipos de TCP, UDP, y ICMP). La altitud
de cada flecha es proporcional a su número de puerto.
A.2.3 Monitorización de baja interacción
Un sistema de vigilancia de baja interacción es un sistema de vigilancia Darknet que responde a la
detección de Darknet Paquetes de IP intentando conectar con los sistemas de host sospechosos. El
propósito del intento es obtener más información sobre los sistemas anfitriones atacantes, las rutas de
la red de ataque y otra información de ataque relacionada, si es posible. El sistema de vigilancia suele
estar configurado para se disfraza como un sistema con vulnerabilidades no fijas para atraer ataques.
La supervisión de la interacción baja también se utiliza para observar la reacción posterior de los
comportamientos y actividades maliciosas como la ejecución de Shell Scripts después de los escaneos
iniciales de los puertos de la red.
A.2.4 Monitoreo de alta interacción
Un sistema de vigilancia de alta interacción (también llamado "honeypot de alta interacción") es también
un Darknet que responde a los paquetes IP de Darknet detectados intentando conectarse de nuevo al
sistema de huéspedes sospechosos e interactuar con los sistemas tanto como sea posible. El propósito
de la interacción es para obtener información mucho más profunda, incluyendo la estrategia de explotar
las vulnerabilidades, ejecutables de malware inyectados después de las explotaciones, y el
comportamiento del malware infectante. El alto sistema de vigilancia de la interacción puede
implementarse en sistemas operativos reales o virtuales con vulnerabilidades para que llamen la
atención de los atacantes, sean explotadas, y finalmente capturen las inyecciones muestras de
b) No hay técnicas de rastreo que puedan reconstruir la ruta de ataque a través de varios dominios
de la red, empleado o practicado en el entorno real de la red de operaciones todavía. Las dificultades
para desplegar técnicas de rastreo interdominio (en varios dominios de la red) se derivan de lo siguiente
cuestiones operacionales:
c) A los efectos del rastreo entre dominios, el intercambio de información delicada como la detallada
la topología de la red troncal puede causar graves problemas a los operadores de redes.
d) Dado que el funcionamiento del rastreo puede estar estrechamente vinculado a la seguridad de
las redes troncales de los proveedores de servicios de Internet, los ensayos arbitrarios de los intentos
de rastreo por parte de personas no autorizadas no serían aceptables para la mayoría de los
proveedores de servicios de Internet. Por lo tanto, existe el temor de un mal uso de la técnica de rastreo
en cada dominio de la red por parte de otros.
e) Si se aplica una única y específica técnica de rastreo entre dominios en varias redes de los
dominios, la única técnica única debe ser desplegada por los Sistemas Autónomos participantes (AS)
al mismo tiempo. Además, los atacantes desarrollarán tarde o temprano ataques de evasión. En la
práctica, muchos proveedores de servicios de Internet emplean múltiples herramientas de detección y
rastreo en sus redes.
h) Para mantener los límites de la operación de la red, la arquitectura de rastreo debe dejar que cada
AS deciden heredar una solicitud de rastreo por la política operativa de cada AS;
k) Con el fin de reducir el daño de los abusos, el mensaje no debe transmitir tan sensible información
que podría causar la fuga de secretos o la confianza de un AS; por lo tanto, el rastreo la arquitectura
no debería revelar información sensible de un AS a otros;
l) Incluso cuando se produzca un mal uso o una acción comprometida, la trazabilidad del mensaje
identificará el infractor, por lo tanto, un mensaje intercambiado en la arquitectura debe tener su propia
trazabilidad a probar o confirmar los emisores;
n) Muchos sistemas operativos vienen a soportar la pila dual IPv4 / IPv6, y vienen varios ataques a
través de un túnel 6to4 IPv6. Si la arquitectura de rastreo no puede rastrear ataques en el IPv6 red o
ataques a través de algunos traductores, la mayoría de los ataques cambiarán a un complejo tan
complejo ataque. Por lo tanto, la arquitectura de rastreo debe rastrear un ataque en una pila dual
entorno, incluso cuando el ataque emplea algunas técnicas de traducción de direcciones;
p) La arquitectura debe tener la capacidad de cooperar con los sistemas de detección o protección
sistemas;
q) Un atacante puede cambiar el patrón del tráfico de ataque para evitar el efecto de tales acciones
atenuantes. Combatiendo con los cambios de un ataque complejo, el tiempo dedicado a trazar
una ruta de ataque debe ser lo más corto posible Por lo tanto, la arquitectura debería excluir a los
seres humanos tanto como sea posible.
Recursos adicionales
consenso sobre las definiciones y las mejores prácticas en el debate sobre los programas espía y otras
tecnologías potencialmente no deseadas. Compuesto por empresas de software anti-espía, académicos y
grupos de consumidores, el ASC busca reunir una diversa gama de perspectivas sobre el problema del control
de los programas espía y otras tecnologías potencialmente no deseadas.
Libros blancos actualizados trimestralmente sobre tendencias de ataques, distribución, impactos y noticias.
La seguridad en la Internet tiene por objeto garantizar que los jóvenes canadienses se beneficien de la Internet,
al mismo tiempo que se mantienen seguros y responsables en sus actividades en línea.
asociación con otros en todo el mundo para ayudar a hacer de Internet un lugar grande y seguro para los
niños.
empresas y organizaciones de interés público que desean que los usuarios estén a sólo "un clic" de los
recursos que necesitan para tomar decisiones informadas sobre su uso de la Internet y el de su familia.
msra/default.mspx) - Una alianza de algunos proveedores de servicios, que se han organizado para mejorar
la seguridad y la protección en la Web, gestionar las amenazas de forma coherente en un amplio espectro, e
identificar y mitigar las vulnerabilidades existentes.
- INHOPE (http://inhope.org) - Asociación internacional que presta apoyo a las líneas telefónicas directas de
Internet en su objetivo de
responder a las denuncias de contenido ilegal para hacer más segura la Internet.
- Grupo de Seguridad en Internet (www.netsafe.org.nz) - El sitio web de NetSafe es el hogar en línea del
cooperación policial, y apoya y ayuda a todas las organizaciones, autoridades y servicios cuya misión es
prevenir o combatir la delincuencia internacional.
- iSafe (http://www.isafe.org) - Líder mundial en educación sobre seguridad en Internet; incorpora el aula
con un dinámico programa de divulgación en la comunidad para capacitar a los estudiantes, los maestros, los
padres, las fuerzas del orden y los adultos interesados en hacer de Internet un lugar más seguro.
- COP (http://www.itu.int/cop/) - La Protección de los Niños en Línea (COP) es un proyecto especial llevado a
cabo por
- Net Family News (http://netfamilynews.org) - Servicio público sin fines de lucro que proporciona un foro y
"kid¬".
- NetAlert Limited (http://www.netalert.net.au) - Organización comunitaria sin fines de lucro establecida por
al gobierno australiano para que proporcione asesoramiento independiente y educación sobre la gestión del
acceso a los contenidos en línea.
recurso del Centro Nacional para Menores Desaparecidos y Explotados (NCMEC) y el Club de Niños y Niñas
de América (BGCA) para niños de 5 a 17 años de edad, padres, tutores, educadores y fuerzas de seguridad
que utiliza actividades tridimensionales apropiadas para cada edad para enseñar a los niños cómo estar más
seguros en Internet.
- Saferinternet.be (www.saferinternet.be) - Este sitio web ofrece información útil sobre los principales
riesgos y contenidos nocivos a los que pueden enfrentarse los menores de edad en línea y en el ámbito de
las TIC en general (también a través de las redes de telefonía móvil, etc.), es decir, la pornografía infantil, el
tanto los aspectos positivos de la Internet como la forma de gestionar una variedad de cuestiones de seguridad
que existen en línea.
- UNICEF (http://www.unicef.org) - Defensor mundial de la protección de los derechos de los niños dedicado
a la prestación de asistencia humanitaria y de desarrollo a largo plazo a los niños y padres de los países en
desarrollo.
para ayudar a los adolescentes y ofrecer estrategias para hacer frente a diferentes situaciones en línea,
incluyendo el spam, el phishing y las estafas.
C. 1 Introducción
En el presente anexo figura una lista no exhaustiva de ejemplos de documentos que pueden ser útiles al
examinar la cuestión de la ciberseguridad. No pretende ser una lista completa de las normas internacionales e
informes técnicos sobre ciberseguridad.
C. 2 ISO y IEC
ISO/IEC 27003 Tecnología de la información - Técnicas de seguridad - Guía de aplicación del sistema
de gestión de la seguridad de la información
ISO/IEC 12207 Ingeniería de sistemas y software - Procesos del ciclo de vida del software
ISO/IEC 14764 Ingeniería de Software - Procesos del ciclo de vida del software - Mantenimiento
ISO/IEC 15288 Ingeniería de sistemas y software - Procesos del ciclo de vida del sistema
ISO/IEC 23026 Ingeniería de Software - Práctica recomendada para Internet - Ingeniería de sitios web,
administración de sitios web y ciclo de vida de sitios web
ISO/IEC 27031 Tecnología de la información - Técnicas de seguridad - Directrices para la preparación de las TIC
para la continuidad del negocio
ISO/IEC 24760 Tecnología de la información - Técnicas de seguridad - Un marco para la gestión de la identidad
C.3 ITU-T
ITU-T X.1200 - Serie X: Redes de datos, comunicaciones y seguridad de sistemas abiertos, seguridad
X.1299 Series de las telecomunicaciones - seguridad del ciberespacio
ITU-T X.1205 Serie X: Redes de datos, comunicaciones y seguridad de sistemas abiertos, seguridad
de las telecomunicaciones - Visión general de la ciberseguridad
Table C.14 — Gestión de la continuidad y de los incidentes
Referencia Titulo
ITU-T X.1206 Serie X: Redes de datos, comunicaciones y seguridad de sistemas abiertos, seguridad de las
telecomunicaciones - Un marco neutral para la notificación automática de información relacionada
con la seguridad y la difusión de actualizaciones
Table C.15 — Software no deseado
Referencia Titulo
ITU-T X.1207 Serie X: Redes de datos, comunicaciones y seguridad de los sistemas abiertos, seguridad de las
telecomunicaciones - Directrices para los proveedores de servicios de telecomunicaciones para
hacer frente al riesgo de programas espía y software potencialmente no deseado
Table C.16 — Spam
Referencia Titulo
Serie X: Redes de datos, comunicaciones y seguridad de sistemas abiertos, seguridad de las
ITU-T X.1231
telecomunicaciones - Estrategias técnicas para contrarrestar el spam
ITU-T X.1240 Serie X: Redes de datos, comunicaciones y seguridad de sistemas abiertos, seguridad de las
telecomunicaciones - Tecnologías para contrarrestar el correo electrónico no deseado
ITU-T X.1241 Serie X: Redes de datos, comunicaciones y seguridad de sistemas abiertos, seguridad de las
telecomunicaciones - Marco técnico para contrarrestar el correo electrónico no deseado
ITU-T X.1244 Serie X: Redes de datos, comunicaciones y seguridad de sistemas abiertos, seguridad de las
telecomunicaciones - Aspectos generales de la lucha contra el spam en aplicaciones multimedia
basadas en IP
Table C.17 — Intercambio de información sobre seguridad cibernética
Referencia Titulo
NOTA A partir de septiembre de 2011, dado que el trabajo del CYBEX está actualmente en curso en el UIT-T, sólo están
disponibles como Recomendaciones o proyectos las Recomendaciones X.1500, X.1520, X.1521 y X.1570. En el futuro
habrá varias más, por lo que se recomienda a los usuarios que comprueben el sitio web del UIT-T para obtener la
información más reciente disponible.
Bibliografía
[1] An Autonomous Architecture for Inter-Domain Trace back across the Borders of Network Operation
(iscc06)
[4] ISO/IEC 12207:2008, Systems and software engineering — Software life cycle processes
[5] ISO/IEC 15408-1, Information technology — Security techniques — Evaluation criteria for IT security —
Part 1: Introduction and general model
[6] ISO/IEC 19770-1, Information technology — Software asset management — Part 1: Processes and
tiered assessment of conformance
[8] ISO/IEC 20000-1, Information technology — Service management — Part 1: Service management
system requirements
[9] ISO/IEC 27001, Information technology — Security techniques — Information security management
systems — Requirements
[10] ISO/IEC 27002, Information technology — Security techniques — Code of practice for information
security management
[11] ISO/IEC 27005, Information technology — Security techniques — Information security risk
management
[12] ISO/IEC 27010, Information technology — Security techniques — Information security management for
inter-sector and inter-organizational communications
[13] ISO/IEC 27031, Information technology — Security techniques — Guidelines for information and
communication technology readiness for business continuity
[14] ISO/IEC 27033 (all parts), Information technology — Security techniques — Network security
[15] ISO/IEC 27034 (all parts), Information technology — Security techniques — Application security
[16] ISO/IEC 27035, Information technology — Security techniques — Information security incident
management
[19] ITU-T X.1200 - X.1299, Series X: Data Networks, Open System Communications and Security,
Telecommunication Security - Cyberspace security
[20] ITU-T X.1500 - X.1598, Series X: Data Networks, Open System Communications and Security -
Cybersecurity Information Exchange
1 ) Under preparation.