01 - Iso - Iec - 27032 - 2012 - Español

ESTÁNDAR ISO/IEC
INTERNACIONAL 27032
Primera edición
2012-07-15
Tecnologías de la información —
Técnicas de seguridad — Directrices
para la ciberseguridad
Technologies de l’information — Techniques de sécurité — Lignes
directrices pour la cybersécurité
Reference number
ISO/IEC 27032:2012(E)
iso I EC
© ISO/IEC 2012
ISO/IEC 27032:2012(E)
DOCUMENTO PROTEGIDO POR DERECHOS DE AUTOR

© ISO/IEC 2012
Todos los derechos reservados. A menos que se especifique lo contrario, ninguna parte de esta publicación puede
reproducirse ni utilizarse de ninguna forma ni por ningún medio, electrónico o mecánico, incluidas fotocopias y microfilmes, sin el permiso
por escrito de ISO en la dirección a continuación o del organismo miembro de ISO en el país del solicitante
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Publicado en Suiza
vi Licencia de usuario único, se prohíbe la copia y la conexión en red. © ISO/IEC 2012 – Todos los derechos reservados
ISO/IEC 27032:2012(E)
Contenido
Pagina
Prefacio .............................................................................................................................................................v
Introducción .....................................................................................................................................................vi
1 Alcance ....................................................................................................................................................1
2 Aplicabilidad ...........................................................................................................................................1
2.1 Audiencia ................................................................................................................................................1
2.2 Limitaciones ...........................................................................................................................................1
3 Referencias normativas .........................................................................................................................2
4 Terminos y condiciones ........................................................................................................................2
5 Terminos abreviados .............................................................................................................................8
6 Resumen .................................................................................................................................................9
6.1 Introduccion ............................................................................................................................................9
6.2 La naturaleza del Ciberespacio ..........................................................................................................10
6.3 La naturaleza de la Ciberseguridad....................................................................................................10
6.4 Modelo general .....................................................................................................................................11
6.5 Enfoque .................................................................................................................................................13
7 Partes interesadas en el Ciberespacio ..............................................................................................14
7.1 Resumen ...............................................................................................................................................14
7.2 Consumidores ......................................................................................................................................14
7.3 Proveedores..........................................................................................................................................14
8 Activos en el Ciberespacio .................................................................................................................15
8.1 Resumen ...............................................................................................................................................15
8.2 Activos personales ..............................................................................................................................15
8.3 Activos de la Organizacion .................................................................................................................15
9 Amenazas contra la seguridad del Ciberespacio .............................................................................16
9.1 Amenazas ..............................................................................................................................................16
9.2 Agentes de amenazas ..........................................................................................................................17
9.3 Vulnerabilities .......................................................................................................................................17
9.4 Mecanismos de ataque ........................................................................................................................18
10 Funciones de las partes interesadas en la ciberseguridad .............................................................20
10.1 Resumen ...............................................................................................................................................20
10.2 Funciones de los consumidores ........................................................................................................20
10.3 Funciones de los proveedores ...........................................................................................................21
11 Directrices para los interesados .........................................................................................................22
11.1 Resumen ...............................................................................................................................................22
11.2 Evaluacion de riesgos y tratamiento..................................................................................................22
11.3 Directrices para los consumidores ....................................................................................................23
11.4 Directrices para organizaciones y proveedores de servicio .......................................................... 25
12 Controles de seguridad cibernetica .................................................................................................. 28
12.1 Resumen .............................................................................................................................................. 28
12.2 Controles del nivel de aplicación ...................................................................................................... 28
12.3 Proteccion del servidor ...................................................................................................................... 29
12.4 Controles para el usuario final .......................................................................................................... 29
12.5 Controles contra los ataques de ingenieria social .......................................................................... 30
12.6 Preparacion para la seguridad cibernetica ...................................................................................... 33
12.7 Otras medidas ..................................................................................................................................... 33
13 Marco de intercambio de informacion y coordinacion ................................................................... 33
13.1 Generalidades...................................................................................................................................... 33
13.2 Politicas ................................................................................................................................................ 34
13.3 Metodos y procesos ........................................................................................................................... 35
13.4 Personas y organizaciones ...................................................................................................... 36
13.5 Tecnico ....................................................................................................................................... 37
13.6 Orientacion para implementacion ........................................................................................... 38
Annex A (informativo) Preparacion para la ciberseguridad ........................................................... 40
© ISO/IEC 2012 – Todos los derechos reservados iii

ISO/IEC 27032:2012(E)
Annex B (informativo) Recursos adicionales................................................................................... 44
Annex C (informativo) Ejemplos de documentos conexos ............................................................ 47
Bibliografia ........................................................................................................................................... 50
ISO/IEC 27032:2012(E)
Prólogo
La ISO (Organización Internacional de Normalización) y la CEI (Comisión Electrotécnica Internacional) forman
el sistema especializado de normalización mundial. Los organismos nacionales que son miembros de la ISO o
la CEI participan en la elaboración de normas internacionales mediante comités técnicos establecidos por la
organización respectiva para ocuparse de determinadas esferas de actividad técnica. Los comités técnicos de
la ISO y la IEC colaboran en esferas de interés mutuo. Otras organizaciones internacionales, gubernamentales
y no gubernamentales, en enlace con la ISO y la IEC, también participan en los trabajos. En la esfera de la
tecnología de la información, la ISO y la CEI han establecido un comité técnico conjunto, ISO/CEI JTC 1.
Las normas internacionales se redactan de conformidad con las reglas que figuran en la parte 2 de las directivas
de la ISO/CEI.
La principal tarea del comité técnico conjunto es preparar las Normas Internacionales. Los proyectos de normas
internacionales aprobados por el comité técnico conjunto se distribuyen a los organismos nacionales para su
votación. La publicación como Norma Internacional requiere la aprobación de al menos el 75 % de los
organismos nacionales que emiten un voto.
Se llama la atención sobre la posibilidad de que algunos de los elementos de este documento sean objeto de
derechos de patente. La ISO y la IEC no se responsabilizan de la identificación de alguno o todos esos derechos
de patente.
ISO/IEC 27032 fue preparado por el Comité Técnico Conjunto ISO/IEC JTC 1, Tecnología de la Información,
Subcomité SC 27, Técnicas de Seguridad IT.
© ISO/IEC 2012 – Todos los derechos reservados iii

ISO/IEC 27032:2012(E)
Introducción
El ciberespacio es un entorno complejo resultante de la interacción de personas, programas informáticos y
servicios en la Internet, con el apoyo de dispositivos físicos de tecnología de la información y las
comunicaciones (TIC) distribuidos en todo el mundo y redes conectadas. Sin embargo, hay cuestiones de
seguridad que no están contempladas en las actuales prácticas óptimas de seguridad de la información,
seguridad de la Internet, seguridad de las redes y seguridad de las TIC, ya que existen lagunas entre estos
dominios, así como una falta de comunicación entre las organizaciones y los proveedores en el Ciberespacio.
Ello se debe a que los dispositivos y las redes conectadas que han dado apoyo al Ciberespacio tienen múltiples
propietarios, cada uno de los cuales tiene sus propias preocupaciones comerciales, operacionales y
reglamentarias. La diferente atención que cada organización y proveedor del Ciberespacio presta a los
dominios de seguridad pertinentes, en los que se recibe poca o ninguna aportación de otra organización o
proveedor, ha dado lugar a un estado fragmentado de la seguridad del Ciberespacio.
Como tal, la primera esfera de interés de esta Norma Internacional es abordar las cuestiones de seguridad del
ciberespacio o de ciberseguridad que se concentran en salvar las diferencias entre los diferentes dominios de
seguridad del ciberespacio. En particular, esta Norma Internacional proporciona orientación técnica para
abordar los riesgos comunes de la ciberseguridad, entre otros: - los ataques de ingeniería social;
— hacking;
— la proliferación de software malicioso (“malware”);
— spyware; y
— otros programas informáticos potencialmente no deseados.
En la orientación técnica se establecen controles para hacer frente a esos riesgos, incluidos controles para:
— preparándose para los ataques de, por ejemplo, programas informáticos malignos, delincuentes
individuales u organizaciones delictivas contra la Internet; — detectando y monitoreando los ataques; y
— respondiendo a los ataques.

— La segunda área de atención de esta Norma Internacional es la colaboración, ya que existe la necesidad
de un intercambio de información, coordinación y manejo de incidentes eficiente y eficaz entre los interesados
en el ciberespacio. Esta colaboración debe ser de una manera segura y confiable que también proteja la
privacidad de los individuos involucrados. Muchos de estos interesados pueden residir en diferentes lugares
geográficos y husos horarios, y es probable que se rijan por diferentes requisitos reglamentarios. Entre los
interesados figuran:
— los consumidores, que pueden ser diversos tipos de organizaciones o individuos; y
— que incluyen a los proveedores de servicios.
Así pues, esta Norma Internacional también proporciona un marco para
— compartir información,
— coordinación, y
— manejo de incidentes.
El marco incluye
— elementos clave de las consideraciones para establecer la confianza,

— procesos necesarios para la colaboración y el intercambio de información, así como
— requisitos técnicos para la integración de los sistemas y la interoperabilidad entre los diferentes
interesados. Dado el alcance de esta Norma Internacional, los controles previstos son necesariamente de alto
nivel. En la presente Norma Internacional se hace referencia a normas y directrices detalladas de
especificaciones técnicas aplicables a cada ámbito para obtener más orientación.
Tecnología de la información— Técnicas de seguridad—
Directrices para la ciberseguridad
1 Alcance
— Esta Norma Internacional ofrece orientación para mejorar el estado de la ciberseguridad, señalando los
aspectos singulares de esa actividad y sus dependencias de otros dominios de seguridad, en particular:
— seguridad de la información,
— seguridad de la red,
— seguridad en Internet, y
— protección de la infraestructura de información crítica (PICI).
Abarca las prácticas básicas de seguridad para los interesados en el ciberespacio. Esta Norma Internacional
proporciona:
— una visión general de la seguridad cibernética,

— una explicación de la relación entre la seguridad cibernética y otros tipos de seguridad,
— una definición de las partes interesadas y una descripción de sus funciones en materia de ciberseguridad,
— orientación para abordar los problemas comunes de seguridad cibernética, y
— un marco que permita a las partes interesadas colaborar en la resolución de los problemas de seguridad
cibernética.
2 Aplicabilidad
2.1 Audiencia
Esta Norma Internacional es aplicable a los proveedores de servicios en el ciberespacio. El público, sin
embargo, incluye a los consumidores que utilizan estos servicios. Cuando las organizaciones presten servicios
en el ciberespacio a personas para su uso en el hogar u otras organizaciones, es posible que tengan que
preparar orientaciones basadas en esta Norma Internacional que contengan explicaciones adicionales o
ejemplos suficientes para que el lector pueda comprenderla y actuar en consecuencia.
2.2 Limitaciones
Esta Norma Internacional no aborda:
— Ciberseguridad,
— Ciberdelincuencia,
— PICI,
— Seguridad en Internet, y
— Delito relacionado con Internet.
Se reconoce que existen relaciones entre los dominios mencionados y la seguridad cibernética. Sin embargo,
está fuera del alcance de esta Norma Internacional abordar estas relaciones, y el intercambio de controles entre
estos dominios.
Es importante señalar que el concepto de delito cibernético, aunque se menciona, no se aborda. Esta Norma
Internacional no proporciona orientación sobre los aspectos jurídicos del ciberespacio, ni sobre la
reglamentación de la ciberseguridad.
La orientación de esta Norma Internacional se limita a la realización del ciberespacio en la Internet, incluidos
los puntos finales. Sin embargo, no se aborda la extensión del Ciberespacio a otras representaciones
espaciales a través de medios y plataformas de comunicación, ni los aspectos de seguridad física de las
mismas.
EJEMPLO 1 No se aborda la protección de los elementos de la infraestructura, como los portadores de
© ISO/IEC 2012 – Todos los derechos reservados 7

ISO/IEC 27032:2012(E)
comunicaciones, que sustentan el ciberespacio.
EJEMPLO 2 No se aborda la seguridad física de los teléfonos móviles que se conectan al Ciberespacio para la
descarga y/o manipulación de contenidos.
EJEMPLO 3 No se abordan las funciones de mensajería de texto y de charla de voz proporcionadas a los
teléfonos móviles.
3 Referencias normativas
Los siguientes documentos a los que se hace referencia son indispensables para la aplicación de este
documento. Para las referencias fechadas, sólo se aplica la edición citada. Para las referencias sin fecha, se
aplica la última edición del documento al que se hace referencia (incluidas las modificaciones).
ISO/IEC 27000, Tecnología de la información — Técnicas de seguridad — Sistemas de gestión de la seguridad

de la información —Visión general y vocabulario
4 Términos y definiciones
los efectos de este documento, se aplican los términos y definiciones indicados en ISO/IEC 27000, y los
siguientes.
4.1 adware
aplicación que envía la publicidad a los usuarios y / o recopila el comportamiento en línea del usuario
NOTA La aplicación puede o no instalarse con el conocimiento o consentimiento del usuario o forzarse al
usuario a través de las condiciones de licencia para otro software.
4.2 Aplicación
Solución de TI, incluido el software de aplicaciones, los datos de aplicaciones y los procedimientos, diseñados
para ayudar a los usuarios de una organización a realizar tareas particulares o manejar determinados tipos de
problemas de TI mediante la automatización de un proceso o función empresarial [ISO/IEC 27034-1:2011]
4.3 proveedor de servicios de aplicaciones

operador que proporciona una solución de software hospedada que proporciona servicios de aplicaciones que
incluye modelos de entrega basados en web o cliente-servidor
EJEMPLO Operadores de juegos en línea, proveedores de aplicaciones de oficina y proveedores de
almacenamiento en línea.
4.4 servicios de aplicación

software con funcionalidad entregada bajo demanda a los suscriptores a través de un modelo en línea que
incluye aplicaciones web o cliente-servidor
4.5 software de aplicación

software diseñado para ayudar a los usuarios a realizar tareas particulares o manejar determinados tipos de
problemas, distintos del software que controla el propio equipo
[ISO/IEC 18019]
4.6 activos cualquier cosa que tenga valor para un individuo, una organización o un gobierno
NOTA Adaptado de ISO/IEC 27000 para prever a las personas y la separación de los gobiernos de las organizaciones
(4.37).
4.7 representación avatar de una persona que participa en el Ciberespacio

NOTA 1 Un avatar también puede denominarse alter ego de la persona.
NOTA 2 Un avatar también puede ser visto como un "objeto" que representa la realización del usuario.
4.8 Ataque
intentar destruir, exponer, alterar, deshabilitar, robar u obtener acceso no autorizado o hacer que no se

uso de un activo [ISO/IEC 27000:2009]
4.9 potencial de ataque

potencial percibido para el éxito de un ataque, en caso de que se lance un ataque, expresado en términos de
experiencia, recursos y motivación de un atacante
[ISO/IEC 15408-1:2005]
4.10 vector de ataque

ruta o medios por los cuales un atacante puede obtener acceso a un ordenador o servidor de red con el fin de
entregar un resultado malicioso
4.11 ataque mezclado

ataque que busca maximizar la gravedad del daño y la velocidad de contagio mediante la combinación de
múltiples métodos de ataque
4.12 robot bot programa de software automatizado utilizado

para llevar a cabo tareas específicas
NOTA 1 La palabra se utiliza a menudo para describir programas, que normalmente se ejecutan en un servidor, que
automatizan tareas como el reenvío o la ordenación de correo electrónico.
NOTA 2 Un bot también se describe como un programa que funciona como un agente para un usuario u otro programa o
simula una actividad humana. En Internet, los bots más ubicuos son los programas, también llamados arañas o
rastreadores, que acceden a sitios web y reúnen su contenido para los índices de motores de búsqueda.
4.13 Botnet
software de control remoto, específicamente una colección de bots maliciosos, que se ejecutan de forma
autónoma o automática en equipos comprometidos
4.14 cookie
<control de acceso> capacidad o ticket en un sistema de control de acceso
4.15 cookie
<IPSec> datos intercambiados por ISAKMP para evitar ciertos ataques de denegación de servicio durante el
establecimiento de una asociación de seguridad
4.16 cookie
<HTTP> datos intercambiados entre un servidor HTTP y un explorador para almacenar información de estado
en el lado del cliente y recuperarla más tarde para su uso en el servidor
NOTA Un navegador web puede ser un cliente o un servidor.
4.17 contramedida de control

medios de gestión del riesgo, incluidas las políticas, procedimientos, directrices, prácticas o estructuras
organizativas, que pueden ser de naturaleza administrativa, técnica, de gestión o jurídica
[ISO/IEC 27000:2009]
NOTA ISO Guía 73:2009 define el control como simplemente una medida que está modificando el riesgo.
4.18 Ciberdelincuencia
actividad delictiva cuando los servicios o aplicaciones en el Ciberespacio se utilizan para o son el blanco de un
delito, o donde el Ciberespacio es la fuente, herramienta, objetivo o lugar de un delito
4.19 Ciberseguridad
condición de estar protegido contra la condición física, social, espiritual, financiera, política, emocional,
ocupacional, psicológica, educativa u otros tipos o consecuencias de fracaso, daño, error, accidentes, daños o
cualquier otro evento en el Ciberespacio que pudiera considerarse no deseable
NOTA 1 Esto puede tomar la forma de estar protegido del evento o de la exposición a algo que causa pérdidas de salud o

ISO/IEC 27032:2012(E)
económicas. Puede incluir la protección de las personas o de los activos.
NOTA 2 La seguridad en general también se define como el estado de la certeza de que los efectos adversos no serán
causados por algún agente en condiciones definidas.
4.20 Seguridad ciberespacio de ciberseguridad

preservación de la confidencialidad, integridad y disponibilidad de la información en el Ciberespacio
NOTA 1 Además, también pueden participar otras propiedades, como la autenticidad, la responsabilidad, la no repudio y
la fiabilidad.
NOTA 2 Adaptado de la definición de seguridad de la información en ISO/IEC 27000:2009.
4.21 el ciberespacio
entorno complejo resultante de la interacción de personas, software y servicios en Internet a través de
dispositivos tecnológicos y redes conectadas a él, que no existe en forma física
4.22 Servicios de aplicaciones en el ciberespacio

servicios de aplicación (4.4) proporcionados a través del Ciberespacio
4.23 ciber-squatter
personas u organizaciones que se registran y se aferran a URLs que se asemejan a referencias o nombres
de otras organizaciones en el mundo real o en el Ciberespacio
4.24 software engañoso

software que realiza actividades en el ordenador de un usuario sin notificar primero al usuario qué hará
exactamente el software en el ordenador, o pedir al usuario su consentimiento para estas acciones
EJEMPLO 1 Un programa que secuestra las configuraciones de usuario.
EJEMPLO 2 Un programa que causa un sinfín de anuncios emergentes que no pueden ser fácilmente detenidos
por el usuario.
EJEMPLO 3 Adware y spyware.
4.25 Hacking
acceder intencionalmente a un sistema informático sin la autorización del usuario o del propietario
4.26 hactivismo
hackeo para un propósito política o socialmente motivado
4.27 conocimiento de activos de información o datos que tienen valor para el individuo u
organización
NOTA Adaptado de ISO/IEC 27000:2009.
4.28 colección de redes de internet de redes interconectadas

NOTA 1 Adaptado de ISO/IEC 27033-1:2009
NOTA 2 En este contexto, se haría referencia a "un Internet". Hay una diferencia entre la definición de "un Internet" e
"Internet".
4.29 Internet
sistema mundial de redes interconectes en el dominio público
[ISO/IEC 27033-1:2009]
NOTA Hay una diferencia entre la definición de "un Internet" e "Internet".
4.30 Delitos en Internet

actividad delictiva cuando los servicios o aplicaciones en Internet se utilizan para o son el blanco de un delito,
o cuando Internet es la fuente, herramienta, objetivo o lugar de un delito

4.31 Seguridad en Internet
condición de estar protegido contra la condición física, social, espiritual, financiera, política, emocional,
ocupacional, psicológica, educativa u otros tipos o consecuencias de fracaso, daño, error, accidentes, daños
o cualquier otro evento en Internet que pudiera considerarse no deseable
4.32 Seguridad en Internet

preservación de la confidencialidad, integridad y disponibilidad de la información en Internet.
4.33 Servicios de Internet

servicios entregados a un usuario para permitir el acceso a Internet a través de una dirección IP asignada,
que normalmente incluyen servicios de autenticación, autorización y nombres de dominio.
4.34 Organización proveedora de servicios de Internet que proporciona servicios de Internet a un

usuario y permite a sus clientes acceder a Internet
NOTA También a veces se conoce como proveedor de acceso a Internet.
4.35 software malicioso malware

software diseñado con intención maliciosa que contiene características o capacidades que potencialmente
pueden causar daño directa o indirectamente al usuario y / o el sistema informático del usuario
EJEMPLOS Virus, gusanos, troyanos.
4.36 contenidos maliciosos

aplicaciones, documentos, archivos, datos u otros recursos que tienen características o capacidades
maliciosas incrustadas, disfrazadas u ocultas en ellas
4.37 Organización
grupo de personas e instalaciones con un acuerdo de responsabilidades, autoridades y
relaciones [ISO 9000:2005]
NOTA 1 En el contexto de esta Norma Internacional, un individuo es distinto de una organización.
NOTA 2 En general, un gobierno también es una organización. En el contexto de esta Norma Internacional, los gobiernos
pueden ser considerados por separado de otras organizaciones para mayor claridad.
4.38 Phishing
proceso fraudulento de intentar adquirir información privada o confidencial haciéndose pasar por una entidad
de confianza en una comunicación electrónica
NOTA El phishing se puede lograr mediante ingeniería social o engaño técnico.
4.39 acitvos fisicos que tiene un existencia tangible o material
NOTA Los activos físicos suelen referirse al efectivo, el equipo, el inventario y las propiedades propiedad de la persona u
organización. El software se considera un activo intangible o un activo no físico.
4.40 software potencialmente no deseado

software engañoso, incluido el software malicioso y no malintencionado, que exhibe las características del
software engañoso
4.41 Estafa
fraude o truco de confianza
4.42 Spam
abuso de los sistemas de mensajería electrónica para enviar indiscriminadamente mensajes masivos no
solicitados
NOTA Mientras que la forma más ampliamente reconocida de spam es el spam de correo electrónico, el término se aplica

ISO/IEC 27032:2012(E)
a abusos similares en otros medios: spam de mensajería instantánea, spam de grupo de noticias Usenet, spam de motor
de búsqueda web, spam en blogs, spam wiki, spam de mensajería de teléfono móvil spam, spam de foro de Internet y
transmisiones de fax basura.
4.43 Spyware
software engañoso que recopila información privada o confidencial de un usuario de computadora
NOTA La información puede incluir asuntos como los sitios web más visitados o información más sensible,
como contraseñas.
4.44 Partes interesadas

<persona u organización de gestión de riesgos que puede afectar, verse afectada o percibirse afectada por
una decisión o actividad
[Guía ISO 73:2009]
4.45 Partes interesadas

<sistema> persona u organización que tiene un derecho, participación, reclamación o interés en un sistema o
en su posesión de características que satisfagan sus necesidades y expectativas
[ISO/IEC 12207:2008]
4.46 amenaza de un incidente no deseado, que puede resultar en un daño a un sistema, individuo u
organización
NOTA Adaptado de ISO/IEC 27000:2009.
4.47 caballo troyano troyano

malware que parece realizar una función deseable
4.48 correo electrónico no solicitado

correo electrónico que no es bienvenido, o no fue solicitado, o invitado
4.49 representación de activos virtuales activo en el Ciberespacio

NOTA En este contexto, la moneda se puede definir como un medio de intercambio o una propiedad que
tiene valor en un entorno específico, como un videojuego o un ejercicio de simulación de operaciones
financieras
4.50 activos virtuales monetarios de monedas virtual

4.51 entorno simulado mundo virtual al que acceden varios usuarios a través de una interfaz en línea
NOTA 1 Los entornos simulados suelen ser interactivos.
NOTA 2 El mundo físico en el que viven las personas, y las características relacionadas, se denominarán el "mundo real"
para diferenciarlo de un mundo virtual.
4.52 Vulnerabilidad
debilidad de un activo o control que puede ser explotado por una amenaza
[ISO/IEC 27000:2009]
4.53 zombie zombie zombie ordenador drone

equipo que contiene software oculto que permite controlar la máquina de forma remota, por lo general para
realizar un ataque en otro equipo
NOTA Generalmente, una máquina comprometida es sólo una de las muchas en una red de bots y se utilizará para
realizar actividades maliciosas bajo dirección remota.

5 Términos abreviados
Los siguientes términos abreviados se utilizan en esta Norma Internacional.
AS Sistema Autónomo
AP Punto de acceso
CBT Formación basada en computadoras
CERT Equipo de Respuesta a Emergencias Informáticas
CIRT Equipo de respuesta a incidentes informáticos
CSIRT Equipo de respuesta a incidentes de seguridad informática
CIIP Protección de la infraestructura de información crítica
DoS Denegación de servicio
DDoS Denegación de servicio distribuida
HIDS Sistema de detección de intrusiones basado en host
IAP Proveedor de aplicaciones independiente
ICMP Protocolo de mensajes de control de Internet
ICT Tecnología de la Información y las Comunicaciones
IDS Sistema de detección de intrusiones
IP Protocolo de Internet
IPO Organización que proporciona información
IPS Sistema de prevención de intrusiones
IRO Organización receptora de información
ISP Proveedor de servicios de Internet
ISV Proveedor de software independiente
IT Tecnología de la Información
MMORPG Juego de rol en línea multijugador masivo
NDA Acuerdo de no divulgación
SDLC Ciclo de vida de desarrollo de software
SSID TCP Protocolo de control de transmisión de identificadores de conjuntos de servicios

UDP URI Protocolo de datagramas de usuario
URL Identificador Uniforme de Recursos Localizador Uniforme de Recursos

ISO/IEC 27032:2012(E)
6 Resumen
6.1 Introducción
La seguridad en la Internet y en el ciberespacio ha sido un tema de creciente preocupación. Los interesados
han estado estableciendo su presencia en el ciberespacio a través de sitios web y ahora intentan aprovechar
más el mundo virtual que ofrece el ciberespacio.
EJEMPLO Un número cada vez mayor de personas pasa cada vez más tiempo con sus avatares virtuales en
los MMORPG.
Aunque algunos individuos son cuidadosos en el manejo de su identidad en línea, la mayoría de las personas
están subiendo detalles de sus perfiles personales para compartirlos con otros. Los perfiles de muchos sitios,
en particular los sitios de redes sociales y salas de chat, pueden ser descargados y almacenados por otras
partes. Esto puede dar lugar a la creación de un expediente digital de datos personales que puede utilizarse
indebidamente, revelarse a otras partes o utilizarse para la reunión secundaria de datos. Si bien la exactitud e
integridad de esos datos son cuestionables, crean vínculos con personas y organizaciones que a menudo no
pueden borrarse por completo. Estos avances en los ámbitos de la comunicación, el entretenimiento, el
transporte, las compras, las finanzas, los seguros y la atención de la salud crean nuevos riesgos para los
interesados en el ciberespacio. Así, los riesgos pueden estar asociados con la pérdida de privacidad.
La convergencia de las tecnologías de la información y las comunicaciones, la facilidad de acceso al
ciberespacio y la reducción del espacio personal entre los individuos están atrayendo la atención de los
malhechores y las organizaciones delictivas individuales. Estas entidades están utilizando los mecanismos
existentes, como el phishing, el correo basura y los programas espía, así como desarrollando nuevas técnicas
de ataque, para explotar cualquier debilidad que puedan descubrir en el ciberespacio. En los últimos años, los
ataques a la seguridad en el ciberespacio han evolucionado desde la piratería para obtener fama personal
hasta la delincuencia organizada o el delito cibernético. Una plétora de herramientas y procesos que antes se
observaban en incidentes aislados de seguridad cibernética se utilizan ahora conjuntamente en ataques
combinados, a menudo con objetivos maliciosos de gran alcance. Esos objetivos van desde los ataques
personales, el robo de identidad, los fraudes o robos financieros, hasta el hactivismo político. Los foros
especializados para poner de relieve los posibles problemas de seguridad también han servido para mostrar
las técnicas de ataque y las oportunidades delictivas.
Las múltiples modalidades de transacciones comerciales que se realizan en el ciberespacio se están
convirtiendo en el blanco de los sindicatos del delito cibernético. Los riesgos que plantean son intrínsecamente
complejos y van desde los servicios de empresa a empresa, de empresa a consumidor y de consumidor a
consumidor. Conceptos tales como lo que constituye una transacción o un acuerdo dependen de la
interpretación de la ley y de la forma en que cada una de las partes en la relación gestiona su responsabilidad.
A menudo, no se aborda adecuadamente la cuestión de la utilización de los datos reunidos durante la
transacción o la relación. Esto puede dar lugar a problemas de seguridad, como la fuga de información.
Los problemas jurídicos y técnicos que plantean estas cuestiones de seguridad cibernética son de gran alcance
y de carácter mundial. Los retos sólo pueden abordarse si la comunidad técnica de seguridad de la información,
la comunidad jurídica, las naciones y la comunidad de naciones se unen mediante una estrategia coherente.
Esa estrategia debe tener en cuenta la función de cada una de las partes interesadas y las iniciativas existentes,
en un marco de cooperación internacional.
EJEMPLO Un ejemplo de desafío surge del hecho de que el ciberespacio permite el anonimato virtual y el sigilo
de los ataques, lo que dificulta la detección. Esto hace cada vez más difícil que las personas y organizaciones
establezcan confianza y realicen transacciones, así como que los organismos encargados de hacer cumplir la
ley apliquen las políticas conexas. Incluso si se puede determinar el origen del ataque, las cuestiones jurídicas
transfronterizas suelen impedir que se siga avanzando en la investigación o la repatriación legal.
Los progresos actuales para hacer frente a esos problemas se han visto obstaculizados por muchas cuestiones,
y los problemas de seguridad cibernética están aumentando y siguen evolucionando.
Si bien no faltan las amenazas a la seguridad cibernética y hay tantas formas, aunque no normalizadas, de
contrarrestarlas, la presente Norma Internacional se centra en las siguientes cuestiones fundamentales:

- los ataques de programas informáticos maliciosos y potencialmente no deseados;
- los ataques de ingeniería social; y
- intercambio de información y coordinación.
Además, algunos instrumentos de seguridad cibernética se examinarán brevemente en la presente Norma
Internacional. Estos instrumentos y áreas están estrechamente relacionados con la prevención, detección,
respuesta e investigación del delito cibernético. En el Anexo A se ofrecen más detalles al respecto.
6.2 La naturaleza del Ciberespacio
El Ciberespacio puede describirse como un entorno virtual, que no existe en ninguna forma física, sino que es
un entorno o espacio complejo resultante de la aparición de la Internet, además de las personas, organizaciones
y actividades en todo tipo de dispositivos tecnológicos y redes que están conectados a ella. La seguridad del
ciberespacio, o Ciberseguridad, se refiere a la seguridad de este mundo virtual.
Muchos mundos virtuales tienen una moneda virtual, como la que se utiliza para comprar artículos de juego.
Hay un valor asociado del mundo real a la moneda virtual e incluso a los artículos del juego. Estos artículos
virtuales se intercambian frecuentemente por moneda real en los sitios de subastas en línea y algunos juegos
incluso tienen un canal oficial con los tipos de cambio de moneda virtual o real publicados para la monetización
de los artículos virtuales. A menudo son estos canales de monetización los que hacen de estos mundos
virtuales un objetivo de ataque, normalmente mediante phishing u otras técnicas de robo de información de
cuentas.
6.3 La naturaleza de la ciberseguridad
Los interesados en el ciberespacio tienen que desempeñar un papel activo, más allá de la protección de sus
propios bienes, para que prevalezca la utilidad del ciberespacio. Las aplicaciones del ciberespacio se están
ampliando más allá de los modelos de empresa a consumidor y de consumidor a consumidor, hasta llegar a
una forma de interacciones y transacciones de muchos a muchos. Se están ampliando los requisitos para que
las personas y las organizaciones estén preparadas para hacer frente a los nuevos riesgos y problemas de
seguridad a fin de prevenir y responder eficazmente al uso indebido y la explotación delictiva.
La seguridad cibernética se refiere a las medidas que las partes interesadas deberían adoptar para establecer
y mantener la seguridad en el ciberespacio.
La ciberseguridad se basa en la seguridad de la información, la seguridad de las aplicaciones, la seguridad de

las redes y la seguridad de Internet como elementos fundamentales. La ciberseguridad es una de las
actividades necesarias para la PIBI y, al mismo tiempo, la protección adecuada de los servicios de
infraestructura crítica contribuye a las necesidades básicas de seguridad (es decir, seguridad, fiabilidad y
disponibilidad de la infraestructura crítica) para alcanzar los objetivos de la ciberseguridad.
Sin embargo, la ciberseguridad no es sinónimo de seguridad de Internet, seguridad de la red, seguridad de las
aplicaciones, seguridad de la información ni de la PIBI. Tiene un alcance único que requiere que las partes
interesadas desempeñen un papel activo a fin de mantener, si no mejorar, la utilidad y la fiabilidad del
ciberespacio. Esta Norma Internacional diferencia la Ciberseguridad de los demás dominios de seguridad de la
siguiente manera:
— La seguridad de la información tiene que ver con la protección de la confidencialidad, la integridad y la

disponibilidad de información en general, para atender las necesidades del usuario de la información aplicable.
— La seguridad de las aplicaciones es un proceso realizado para aplicar controles y mediciones a las
aplicaciones con el fin de gestionar el riesgo de su utilización. Los controles y las mediciones pueden
aplicarse a la propia aplicación (sus procesos, componentes, programas informáticos y resultados), a sus
datos (datos de configuración, datos de los usuarios, datos de la organización) y a toda la tecnología, los
procesos y los agentes que intervienen en el ciclo de vida de la aplicación.
— La seguridad de las redes se refiere al diseño, implementación y operación de redes para lograr los
propósitos de la seguridad de la información en las redes dentro de las organizaciones, entre organizaciones
y entre organizaciones y usuarios.

ISO/IEC 27032:2012(E)
— La seguridad de la Internet se ocupa de proteger los servicios relacionados con la Internet y los sistemas y
redes de TIC conexos como una extensión de la seguridad de la red en las organizaciones y en el hogar,
para lograr el propósito de la seguridad. La seguridad de Internet también garantiza la disponibilidad y
fiabilidad de los servicios de Internet.
— La CIIP se ocupa de proteger los sistemas que son proporcionados u operados por proveedores de
infraestructura crítica, como los departamentos de energía, telecomunicaciones y agua. La PIBI garantiza
que esos sistemas y redes estén protegidos y sean resistentes a los riesgos de seguridad de la información,
los riesgos de seguridad de las redes, los riesgos de seguridad de Internet, así como los riesgos de
seguridad cibernética.
En la figura 1 se resume la relación entre la ciberseguridad y otros dominios de seguridad. La relación entre
estos dominios de seguridad y la Ciberseguridad es compleja. Algunos de los servicios de infraestructura
críticos, por ejemplo, el agua y el transporte, no tienen por qué repercutir en el estado de la ciberseguridad de
forma directa o significativa. Sin embargo, la falta de seguridad cibernética puede tener un efecto negativo en
la disponibilidad de los sistemas de infraestructura de información crítica proporcionados por los proveedores
de la infraestructura crítica.
Seguridad de la Información^ Seguridad cibernética

Seguridad de la aplicación
Ciberseguridad
Seguridad Seguridad
de la red en internet
Protección de la infraestructura de información crítica y
Figure 1 — Relación entre la Ciberseguridad y otros dominios de seguridad
Por otra parte, la disponibilidad y la fiabilidad del ciberespacio dependen en muchos sentidos de la
disponibilidad y la fiabilidad de los servicios de infraestructura críticos conexos, como la infraestructura
de la red de telecomunicaciones. La seguridad del ciberespacio también está estrechamente
relacionada con la seguridad de la Internet, las redes empresariales y domésticas y la seguridad de la
información en general. Cabe señalar que los ámbitos de seguridad identificados en esta sección tienen
sus propios objetivos y alcance. Por consiguiente, para abordar las cuestiones de seguridad cibernética
se requieren importantes comunicaciones y coordinación entre las diferentes entidades privadas y
públicas de los distintos países y organizaciones. Algunos gobiernos consideran que los servicios de
infraestructura críticos son servicios relacionados con la seguridad nacional y, por lo tanto, no pueden
ser objeto de debate o divulgación abierta. Además, el conocimiento de las deficiencias de las
infraestructuras críticas, si no se utiliza adecuadamente, puede tener una repercusión directa en la
seguridad nacional. Por consiguiente, es necesario un marco básico para el intercambio de información
y la coordinación de cuestiones o incidentes a fin de colmar las lagunas y ofrecer garantías adecuadas
a los interesados en el ciberespacio.

6.4 Modelo general
6.4.1 Introducción
Esta cláusula presenta un modelo general utilizado a lo largo de esta Norma Internacional. Esta cláusula
supone cierto conocimiento de la seguridad y no se propone actuar como un tutorial en esta área.
Esta Norma Internacional trata de la seguridad utilizando un conjunto de conceptos y terminología de

seguridad. La comprensión de estos conceptos y de la terminología es un requisito previo para el uso
efectivo de esta Norma Internacional. Sin embargo, los conceptos en sí mismos son bastante generales
y no pretenden restringir la clase de problemas de seguridad informática a los que esta Norma
Internacional es aplicable.
6.4.2 Contexto general de seguridad
La seguridad se ocupa de la protección de los bienes frente a las amenazas, en la que las amenazas
se clasifican como el potencial de abuso de los bienes protegidos. Se deben considerar todas las
categorías de amenazas, pero en el ámbito de la seguridad se presta mayor atención a las amenazas
relacionadas con actividades maliciosas u otras actividades humanas. En la figura 2 se ilustran estos
conceptos y relaciones de alto nivel.
NOTA La figura 2 es una adaptación de la norma ISO/CEI 15408-1:2005, Tecnología de la
información - Técnicas de seguridad - Criterios de evaluación de la seguridad de la TI - Parte 1:
Introducción y modelo general.
Figure 2 — Conceptos de seguridad y relaciones

ISO/IEC 27032:2012(E)
La salvaguardia de los activos de interés es responsabilidad de las partes interesadas que asignan
valor a esos activos. Los agentes de la amenaza real o presunta también pueden asignar valor a los
activos y tratar de abusar de ellos de manera contraria a los intereses de los interesados
correspondientes. Los interesados percibirán esas amenazas como un posible deterioro de los activos
de manera que se reduzca el valor de los mismos para los interesados. El deterioro específico de la
seguridad suele incluir, entre otras cosas, la divulgación perjudicial del activo a destinatarios no
autorizados (pérdida de confidencialidad), el daño del activo mediante su modificación no autorizada
(pérdida de integridad) o la privación no autorizada del acceso al activo (pérdida de disponibilidad).
Los interesados evalúan los riesgos teniendo en cuenta las amenazas que se aplican a sus activos.
Este análisis puede ayudar a seleccionar los controles para contrarrestar los riesgos y reducirlos a un
nivel aceptable.
Los controles se imponen para reducir las vulnerabilidades o los impactos y para cumplir los requisitos
de seguridad de las partes interesadas (ya sea directa o indirectamente proporcionando orientación a
otras partes). Pueden quedar vulnerabilidades residuales después de la imposición de los controles.
Esas vulnerabilidades pueden ser explotadas por agentes de amenaza que representan un nivel
residual de riesgo para los activos. Las partes interesadas tratarán de reducir al mínimo ese riesgo
teniendo en cuenta otras limitaciones.
Los interesados deberán tener la seguridad de que los controles son adecuados para contrarrestar las
amenazas a los activos antes de que permitan la exposición de los activos a las amenazas
especificadas. Es posible que los interesados no posean por sí mismos la capacidad de juzgar todos
los aspectos de los controles y que, por consiguiente, soliciten la evaluación de los controles utilizando
organizaciones externas.
6.5 Enfoque
Una forma eficaz de hacer frente a los riesgos de la ciberseguridad supone una combinación de
múltiples estrategias, teniendo en cuenta a las diversas partes interesadas. Estas estrategias incluyen:
— las mejores prácticas de la industria, con la colaboración de todas las partes interesadas para
identificar y abordar la ciberseguridad cuestiones y riesgos;
— amplia educación de consumidores y empleados, proporcionando un recurso de confianza sobre
cómo identificar y abordar los riesgos específicos de la seguridad cibernética dentro de la
organización, así como en el ciberespacio; y
— soluciones tecnológicas innovadoras para ayudar a proteger a los consumidores de los conocidos
ataques de ciberseguridad, para que permanezcan actuales y estar preparados contra nuevas
explotaciones.
Esta directriz se centra en proporcionar las mejores prácticas de la industria y una amplia educación a
los consumidores y empleados para ayudar a los interesados en el ciberespacio a desempeñar un
papel activo para hacer frente a los desafíos de la seguridad cibernética. Incluye orientación para:
— funciones;
— políticas;
— métodos;
— procedimientos; y
— controles técnicos aplicables.
En la figura 3 se presenta una visión general de los puntos más destacados del enfoque adoptado en
esta Norma Internacional. Esta Norma Internacional no está destinada a ser utilizada directamente
para proporcionar una amplia educación al consumidor. En cambio, está destinada a ser utilizada por
los proveedores de servicios en el ciberespacio, así como por las organizaciones que imparten a los
consumidores educación relacionada con el ciberespacio, a fin de preparar materiales para una
amplia educación del consumidor.

Figure 3 — Visión general del enfoque
7 Interesados en el ciberespacio
7.1 Resumen
El Ciberespacio no pertenece a nadie; todos pueden participar y tienen un interés en él.
A los efectos de esta Norma Internacional, los interesados en el Ciberespacio se clasifican en los
siguientes grupos:
— consumidores, incluyendo
— individuos; y
— tanto de organizaciones privadas como públicas;
— proveedores, incluidos, pero no
limitado a — Servicio de Internet
proveedores; y —
Servicio de solicitud
proveedores.
7.2 Consumidores
Como se describe en la figura 3, los consumidores se refieren a los usuarios individuales, así como a
las organizaciones privadas y públicas. Las organizaciones privadas incluyen las pequeñas y medianas
empresas (PYME), así como las grandes empresas. El gobierno y otros organismos públicos se
denominan colectivamente organizaciones públicas. Un individuo o una organización se convierten en
consumidores cuando acceden al Ciberespacio o a cualquier servicio disponible en el Ciberespacio.
Un consumidor también puede ser un proveedor si a su vez presta un servicio en el Ciberespacio o

permite que otro consumidor acceda al Ciberespacio. Un consumidor de un servicio mundial virtual
puede convertirse en proveedor si pone a disposición de otros consumidores productos y servicios
virtuales.
7.3 Proveedores
Los proveedores se refieren a los proveedores de servicios en el ciberespacio, así como a los
proveedores de servicios de Internet que permiten a los consumidores acceder al ciberespacio y a los
diversos servicios disponibles en el ciberespacio.
También puede entenderse por proveedores a los transportistas o mayoristas, frente a los distribuidores
y minoristas de los servicios de acceso. Esta distinción es importante desde el punto de vista de la

ISO/IEC 27032:2012(E)
seguridad y, especialmente, de la aplicación de la ley, porque, en caso de que un distribuidor o minorista

no pueda proporcionar una seguridad adecuada o un acceso legal, los servicios de apoyo a menudo se
devolverán al transportista o al mayorista. La comprensión de la naturaleza de un determinado
proveedor de servicios es un elemento útil en la gestión de riesgos en el ciberespacio.
Los proveedores de servicios de aplicación ponen los servicios a disposición de los consumidores a
través de sus programas informáticos. Estos servicios adoptan muchas formas e incluyen
combinaciones de la siguiente lista no exhaustiva:
— edición, almacenamiento y distribución de documentos;
— entornos virtuales en línea para el entretenimiento, las comunicaciones y la interacción con otros
usuarios;
— repositorios de medios digitales en línea con agregación, indexación, búsqueda, tienda, catálogo,
compras
servicios de carros y de pago; y
— funciones de gestión de los recursos institucionales, como recursos humanos, finanzas y

nómina, suministro gestión de la cadena, relación con los clientes, facturación.
8 Activos en el Ciberespacio
8.1 Resumen
Un activo es cualquier cosa que tenga valor para un individuo o una organización. Hay muchos tipos de
activos, entre ellos:
a) información;
b) software, como un programa de ordenador;
c) físico, como un ordenador;
d) servicios;
e) personas, sus calificaciones, habilidades y experiencia; y
f) intangibles, como la reputación y la imagen.
NOTA 1 A menudo, los bienes se consideran de manera simplista sólo como información o recursos.
NOTA 2 La norma ISO/CEI 15408-1:2005 define un activo como la información o los recursos que deben protegerse
mediante los controles de un TOE (objetivo de la evaluación).
NOTA 3 La norma ISO/CEI 19770-1 ha sido desarrollada para permitir a una organización demostrar que está
realizando una gestión de activos de software (SAM) con un estándar suficiente para satisfacer los requisitos de
gobernanza corporativa y asegurar un apoyo efectivo a la gestión de los servicios de TI en general. La ISO/CEI
19770 tiene por objeto alinearse estrechamente con la ISO/CEI 20000 y prestarle apoyo.
NOTA 4 La ISO/CEI 20000-1 promueve la adopción de un enfoque de proceso integrado al establecer, aplicar,
operar, supervisar, medir, revisar y mejorar un sistema de gestión de servicios (SMS) para diseñar y prestar
servicios que satisfagan las necesidades empresariales y los requisitos de los clientes.
A los efectos de esta Norma Internacional, los activos en el ciberespacio se clasifican en las siguientes clases: -

personal; y
— organizacional.
Para ambas clases, un activo también puede ser clasificado como

— un activo físico, cuya forma existe en el mundo real, o
— un activo virtual, que sólo existe en el ciberespacio y no puede ser visto o tocado en el mundo real.
8.2 Bienes personales
Uno de los activos virtuales clave es la identidad en línea de un consumidor individual y su información
crediticia en línea. La identidad en línea se considera un activo, ya que es el identificador clave para
cualquier consumidor individual en el ciberespacio.
Otros activos virtuales de los consumidores individuales incluyen referencias en mundos virtuales. En
los mundos virtuales, los miembros suelen utilizar avatares virtuales para representarse o identificarse,
o para actuar en su nombre. A menudo se utiliza una moneda virtual para las transacciones virtuales.
Estos avatares y monedas pueden considerarse como activos pertenecientes a un consumidor
individual.
EJEMPLO Algunos bancos operan en mundos virtuales y reconocen el dinero del mundo virtual como
moneda oficial.
Los equipos y programas informáticos, así como los dispositivos digitales personales o puntos finales
que permiten a un consumidor conectarse y comunicarse en el ciberespacio, también se consideran
activos en el contexto de esta Norma Internacional.
8.3 Activos de la organización

Un aspecto clave del Ciberespacio es la infraestructura que hace todo esto posible. Esta infraestructura
es una malla de interconexión de redes, servidores y aplicaciones que pertenece a muchos proveedores
de servicios. Sin embargo, la fiabilidad y disponibilidad de esta infraestructura es crucial para garantizar
que los servicios y aplicaciones del Ciberespacio estén al alcance de cualquier persona en el
Ciberespacio. Si bien toda infraestructura que permita a cualquier consumidor conectarse al
Ciberespacio, o que permita a cualquier consumidor acceder a los servicios en el Ciberespacio, se
considera un activo físico que debe abordarse en la presente Norma Internacional, puede haber
superposiciones con las medidas de seguridad que se proponen, por ejemplo, en la PIBI, la seguridad
de Internet y la seguridad de las redes. No obstante, la presente Norma Internacional se centrará en
garantizar que las cuestiones de seguridad que puedan afectar a estos activos de la organización se
aborden adecuadamente sin hacer demasiado hincapié en otras cuestiones que no entran en el ámbito
de aplicación de la presente Norma Internacional.
Además de los activos físicos, los activos organizativos virtuales son cada vez más valiosos. La marca
en línea y otras representaciones de la organización en el ciberespacio identifican de manera única a
la organización en el ciberespacio y son tan importantes como los ladrillos y el mortero de esa
organización.
EJEMPLO 1 La URL y la información del sitio web de una organización son activos.
EJEMPLO 2 Los países incluso han establecido embajadas en un mundo virtual importante para
proteger la representación del país.
Otros activos de las organizaciones que están expuestos a través de las vulnerabilidades del

ISO/IEC 27032:2012(E)
ciberespacio incluyen la propiedad intelectual (fórmulas, procesos de propiedad, patentes, resultados

de investigaciones) y los planes y estrategias comerciales (lanzamiento de productos y tácticas de
comercialización, información sobre la competencia, información financiera y datos de notificación).
9 Amenazas contra la seguridad del Ciberespacio
9.1 Amenazas
9.1.1 Resumen
Las amenazas que existen en el Ciberespacio se examinan en relación con los bienes del Ciberespacio.
Las amenazas al Ciberespacio pueden dividirse en dos áreas clave:
— amenazas a los bienes personales:
— amenazas a los activos de la organización;
9.1.2 Amenazas a los bienes personales
Las amenazas a los bienes personales giran principalmente en torno a cuestiones de identidad,
planteadas por la filtración o el robo de información personal.
EJEMPLO 1 La información crediticia puede venderse en el mercado negro, lo que puede facilitar el
robo de identidad en línea.
Si la identidad en línea de una persona es robada o enmascarada, esa persona puede verse privada
del acceso a servicios y aplicaciones clave. En escenarios más graves, las consecuencias pueden ir
desde incidentes financieros hasta incidentes a nivel nacional.
El acceso no autorizado a la información financiera de una persona también abre la posibilidad de robo
de su dinero y de fraude.
Otra amenaza es la posibilidad de que el punto final se convierta en un zombi o un bot. Los dispositivos
de computación personal pueden verse comprometidos y así formar parte de una red de bots más
grande.
Además de lo anterior, otros activos virtuales que están siendo atacados son los bienes personales en
los mundos virtuales y los juegos en línea. Los activos en un mundo virtual o en el mundo de los juegos
en línea también son objeto de ataque y explotación.
EJEMPLO 2 Los detalles de los avatares y la moneda virtual que, en algunos casos, pueden ser
rastreados y convertidos al mundo real, serían los objetivos principales.
Robo virtual y asalto virtual son algunos de los términos recién acuñados para este tipo de ataque. La
seguridad, en este caso, dependerá de la cantidad de información del mundo real a la que se tenga
acceso, así como del marco de seguridad del propio mundo virtual definido e implementado por su
administrador.
Dado que todavía se están redactando normas y reglamentos para la protección de los activos físicos
reales, en relación con el ciberespacio, las relativas a los activos virtuales son casi inexistentes. Los
participantes en la prospección deben tener un cuidado y una precaución extraordinarios para
garantizar la protección adecuada de sus activos virtuales.
9.1.3 Amenazas a los activos de la organización
La presencia y los negocios en línea de las organizaciones suelen ser el blanco de delincuentes cuya
intención es más que una simple travesura.
EJEMPLO 1 Los sindicatos de ciberdelincuentes organizados a menudo amenazan a las organizaciones

con hacer caer sus sitios web, o con causarles vergüenza mediante acciones como la desfiguración de
sitios web.

EJEMPLO 2 Si la URL de una organización es registrada o robada por ciberespias y vendida a
organizaciones no relacionadas con la organización del mundo real, la confianza en línea otorgada a
la organización victimizada puede perderse.
En caso de que el ataque tenga éxito, la información personal de los empleados, clientes, socios o
proveedores podría divulgarse y dar lugar a sanciones, contra las organizaciones, si se descubre que
ha sido gestionada o protegida de manera insuficiente, lo que contribuiría a la pérdida.
También podrían infringirse las normas de presentación de informes financieros si los resultados de
la organización se divulgan de manera no autorizada.
Los gobiernos poseen información sobre cuestiones de seguridad nacional, estratégicas, militares, de
inteligencia, entre muchos otros elementos relacionados con el gobierno y el Estado, pero también
una amplia gama de información sobre las personas, las organizaciones y la sociedad en su conjunto.
Los gobiernos deben proteger su infraestructura y su información contra el acceso y la explotación

indebidos. Con una tendencia creciente y en expansión de ofrecer servicios de gobierno electrónico a
través del ciberespacio, éste es un nuevo canal, entre otros, para lanzar ataques y acceder a la
información antes mencionada que, de tener éxito, puede dar lugar a graves riesgos para una nación,
su gobierno y su sociedad.
En mayor escala, la infraestructura que soporta la Internet, y por lo tanto el Ciberespacio, también
puede ser objeto de ataques. Si bien esto no afectará permanentemente al funcionamiento del
Ciberespacio, sí afectará a la fiabilidad y disponibilidad de la infraestructura, que contribuye a la
seguridad del Ciberespacio.
En el plano nacional o internacional, el Ciberespacio es una zona gris en la que prospera el

terrorismo. Una de las razones es la facilidad de comunicación que ofrece el Ciberespacio. Debido a la
naturaleza del Ciberespacio, concretamente a los problemas que plantea la definición de límites y
fronteras, es difícil regular y controlar la forma en que puede utilizarse.
Los grupos terroristas pueden comprar legítimamente las aplicaciones, servicios y recursos que
facilitan su causa, o pueden recurrir a medios ilegales para asegurar esos recursos a fin de evitar su
detección y rastreo. Esto puede incluir la adquisición de recursos informáticos masivos a través de
redes de bots.
9.2 Agentes de la amenaza
Un agente de la amenaza es un individuo o grupo de individuos que tienen algún papel en la

ejecución o el apoyo de un ataque.
La comprensión cabal de sus motivos (religiosos, políticos, económicos, etc.), capacidades

(conocimientos, financiación, tamaño, etc.) e intenciones (diversión, delincuencia, espionaje, etc.) es
fundamental para evaluar las vulnerabilidades y los riesgos, así como para elaborar y desplegar
controles.
9.3 Vulnerabilidades
Una vulnerabilidad es una debilidad de un activo o control que puede ser explotada por una
amenaza. En el contexto de un sistema de información, la norma ISO/CEI TR 19791:2006 también
define la vulnerabilidad como un defecto, debilidad o propiedad del diseño o la aplicación de un
sistema de información (incluidos sus controles de seguridad) o de su entorno que puede explotarse

ISO/IEC 27032:2012(E)
intencionalmente o no para afectar negativamente a los activos o las operaciones de una

organización.
La evaluación de la vulnerabilidad debe ser una tarea continua. A medida que los sistemas reciben
parches, actualizaciones o se añaden nuevos elementos, pueden introducirse nuevas
vulnerabilidades. Los interesados requieren un conocimiento y una comprensión cabales del activo o
control en cuestión, así como de las amenazas, los agentes de amenaza y los riesgos que conlleva,
para poder realizar una evaluación completa.
NOTA La norma ISO/CEI 27005 proporciona directrices para la identificación de vulnerabilidades.
Se debe mantener un inventario de las vulnerabilidades conocidas con el protocolo de acceso más
estricto y preferiblemente separado, física y lógicamente, del activo o control al que se aplica. En
caso de que se produzca una violación del acceso y el inventario de vulnerabilidades se vea
comprometido, el inventario de vulnerabilidades sería uno de los instrumentos más eficaces del
arsenal de un agente de amenazas para utilizarlo en la perpetración de un ataque.
Hay que buscar y aplicar soluciones a las vulnerabilidades y, cuando una solución no sea posible o
factible, hay que establecer controles. Este enfoque debe aplicarse con carácter prioritario, de modo
que se aborden primero las vulnerabilidades que plantean un mayor riesgo. Los procedimientos de
divulgación de las vulnerabilidades podrían definirse en el marco del intercambio de información y la
coordinación en la cláusula 13 de la presente Norma Internacional.
NOTA Una futura norma internacional, la ISO/CEI 29147, proporcionará orientación sobre la
divulgación de la vulnerabilidad.
9.4 Mecanismos de ataque
9.4.1 Introducción
Muchos de los ataques en el ciberespacio se llevan a cabo utilizando software malicioso, como
programas espía, gusanos y virus. La información se suele recopilar mediante técnicas de phishing.
Un ataque puede ocurrir como un vector de ataque singular o llevado a cabo como un mecanismo de
ataque combinado. Estos ataques pueden propagarse, por ejemplo, a través de sitios web
sospechosos, descargas no verificadas, correos electrónicos spam, explotación remota y medios
extraíbles infectados.
Los ataques pueden provenir de dos categorías principales:
- Ataques desde el interior de la red privada; y
- Ataques desde fuera de la red privada.
Sin embargo, hay casos en los que los ataques son una combinación de ambos, dentro y fuera de una
red privada. Otros mecanismos cada vez más utilizados y sofisticados, para llevar a cabo los ataques,
son los que se basan en los sitios web de redes sociales y el uso de archivos corruptos en sitios web
legítimos.
Las personas tienden a confiar implícitamente en los mensajes y el contenido recibidos de contactos
previamente aceptados en sus perfiles en sus sitios web de redes sociales. Una vez que un atacante,
mediante el robo de identidad, puede disfrazarse de un contacto legítimo, el atacante puede
comprometer a otros, y se abre una nueva vía para lanzar los diversos tipos de ataques antes
mencionados.

Los sitios web legítimos también pueden ser objeto de piratería y algunos de sus archivos pueden ser
corrompidos y utilizados como medio para perpetrar ataques. Las personas tienden a confiar
implícitamente en los sitios web más visitados, que a menudo se marcan como favoritos en sus
navegadores de Internet durante mucho tiempo, y aún más en los que utilizan mecanismos de
seguridad como el SSL (Secure Sockets Layer). Si bien la autenticación de las partes y la integridad de
la información que se transmite o recibe siguen vigentes, el SSL no distingue entre el contenido
original y el nuevo contenido corrupto, plantado por un atacante, exponiendo así a los usuarios de
ese sitio web a los ataques.
A pesar de la fuente legítima percibida, como en casos como el anterior, las personas deben tomar
las precauciones indicadas en la cláusula 11 para protegerse mejor.
9.4.2 Ataques desde el interior de la red privada
Estos ataques normalmente se lanzan dentro de la red privada de una organización, normalmente la
red de área local, y pueden ser iniciados por empleados o alguien que obtiene acceso a una
computadora o red dentro de los locales de una organización o individuo.
EJEMPLO 1 Un caso posible es que los administradores de sistemas puedan aprovechar los privilegios
de acceso al sistema que tienen, como el acceso a la información de la contraseña de los usuarios, y
utilizarlos para iniciar un ataque. Por otra parte, los propios administradores de sistemas pueden
convertirse en el blanco inicial de un ataque, como medio para que el atacante obtenga información
adicional (nombres de usuario, contraseñas, etc.), antes de proceder a su blanco o blancos
originalmente previstos. El atacante puede utilizar mecanismos como el software de rastreo de
paquetes para obtener contraseñas u otra información de identidad. Alternativamente, el atacante
puede hacerse pasar por una entidad autorizada y actuar como intermediario para robar información
de identidad.
EJEMPLO 2 Un ejemplo es el uso de Puntos de Acceso (AP) deshonestos para robar identidades. En
este caso, el atacante podría estar sentado en un aeropuerto, una cafetería u otros lugares públicos
que ofrecen acceso Wi-Fi gratuito a Internet. En algunos casos, el atacante puede incluso hacerse
pasar por el propietario legítimo del punto de acceso inalámbrico del local utilizando el Service Set
IDentifier (SSID) del local. Si un usuario accede a este punto de acceso deshonesto, el atacante puede
actuar como un hombre en el medio y obtener una contraseña y/o información de identidad valiosa
del usuario, por ejemplo, información y contraseña de la cuenta bancaria, contraseña de la cuenta de
correo electrónico, etc.
EJEMPLO 3 A menudo basta con estar cerca de una red Wi-Fi no protegida, como sentarse en un
coche fuera de una casa, para poder robar información en la red.
Además de los ataques lanzados por los atacantes humanos, los ordenadores infectados por el
malware también lanzan varios ataques a los ordenadores circundantes dentro de la red privada.
EJEMPLO 4 Muchos programas maliciosos suelen enviar paquetes de análisis a la red privada para
encontrar las computadoras cercanas, y luego tratan de explotar las computadoras descubiertas.
EJEMPLO 5 Algunos programas maliciosos utilizan el modo promiscuo de una interfaz de red de su
computadora infectada para espiar el tráfico que fluye a través de la red privada.
EJEMPLO 6 Los registradores de teclas son aplicaciones de hardware o software que capturan todas
las pulsaciones de teclas en el sistema objetivo. Esto puede hacerse en secreto para supervisar las

ISO/IEC 27032:2012(E)
acciones de un usuario. Los registradores de teclas se utilizan a menudo para capturar información de
autenticación de las páginas de inicio de sesión de la aplicación.
9.4.3 Ataques desde fuera de la red privada (por ejemplo, Internet)
Hay muchos ataques diferentes que pueden lanzarse desde fuera de la red privada, incluida la
Internet.
Si bien el ataque inicial siempre se dirigirá contra un sistema de cara al público (por ejemplo, un
enrutador, un servidor, un cortafuegos, un sitio web, etc.), los atacantes también pueden tratar de
explotar los activos que residen dentro de la red privada.
Los antiguos métodos de ataque se mejoran y los nuevos se desarrollan de manera continua. Los
atacantes son cada vez más sofisticados y normalmente combinan diferentes técnicas y mecanismos
de ataque para maximizar su éxito, lo que dificulta aún más la detección y prevención de los ataques.
Los escáneres de puertos son una de las herramientas más antiguas, y aún muy eficaces, utilizadas
por los atacantes. Escanean todos los puertos disponibles en un servidor para confirmar qué puertos
están "abiertos". Normalmente es uno de los primeros pasos que da un posible atacante al sistema
objetivo.
Estos ataques pueden manifestarse en varios ataques DoS a los servidores de aplicaciones o a otros
equipos de red, explotando las vulnerabilidades de los protocolos o del diseño de las aplicaciones.
EJEMPLO Con la ayuda de una red de bots, se pueden lanzar ataques DoS a gran escala que pueden
hacer caer el acceso de un país al ciberespacio.
Con la proliferación de las aplicaciones peer-to-peer, comúnmente utilizadas para compartir archivos
como música digital, vídeo, fotos, etc., los atacantes son cada vez más sofisticados en la forma de
disfrazarse y disfrazar su código malicioso utilizando los archivos intercambiados como un caballo de
Troya para sus ataques.
Los desbordamientos de búfer (también conocidos como rebasamientos de búfer) son otro método
popular de comprometer los servidores en Internet. Al explotar las vulnerabilidades de la codificación
y enviar cadenas de caracteres mucho más largas de lo previsto, los atacantes hacen que el servidor
funcione fuera de su entorno normal (controlado), facilitando así la inserción/ejecución de código
malicioso.
Otra técnica es el IP Spoofing, que consiste en que el atacante manipula la dirección IP asociada a sus
mensajes en un intento de disfrazarla como una fuente conocida y de confianza, obteniendo así
acceso no autorizado a los sistemas.
10 Funciones de las partes interesadas en la ciberseguridad
10.1 Resumen
Para mejorar el estado de la ciberseguridad, los interesados en el ciberespacio deben desempeñar un

papel activo en su respectivo uso y desarrollo de la Internet. Esas funciones pueden coincidir a veces
con sus funciones individuales y organizativas dentro de sus redes personales u organizativas. El
término red de la organización se refiere a la combinación de las redes privadas de una organización
(normalmente una intranet), las extranets y las redes visibles públicamente. A los efectos de la
presente Norma Internacional, las redes visibles públicamente son las redes expuestas a la Internet,
por ejemplo para alojar un sitio web. Debido a esta superposición, puede parecer que estas funciones
tienen un beneficio insignificante o ninguno directo para la persona y la organización en cuestión. Sin

embargo, son importantes para mejorar la ciberseguridad cuando todos los implicados actúan en
consecuencia.
10.2 Funciones de los consumidores
10.2.1 Introducción
Los consumidores pueden ver o recopilar información, así como proporcionar cierta información
específica dentro del espacio de una aplicación del ciberespacio, o abierto a miembros o grupos
limitados dentro del espacio de la aplicación, o al público en general. Las medidas adoptadas por los
consumidores en estas funciones pueden ser pasivas o activas, y pueden contribuir directa e
indirectamente al estado de la ciberseguridad.
10.2.2 Funciones de los individuos
Los consumidores individuales del ciberespacio pueden asumir diferentes funciones en diferentes
contextos y aplicaciones.
Los papeles de los consumidores pueden incluir, entre otros, los siguientes:
- Usuario de aplicaciones del Ciberespacio en general, o usuario general, como jugador de juegos en
línea, instantáneo
usuario de mensajería, o navegante de la web;
- Comprador/vendedor, involucrado en la colocación de bienes y servicios en sitios de subastas y

mercados en línea para
compradores interesados, y viceversa;
- Blogger y otros colaboradores de contenidos (por ejemplo, un autor de un artículo en un wiki), en el

que
La información en texto y multimedia (por ejemplo, videoclips) se publica para el consumo del
público en general o de una audiencia limitada;
- IAP dentro de un contexto de aplicación (como un juego en línea), o el Ciberespacio en general;
- Miembro de una organización (como un empleado de una empresa, u otra forma de asociación con
una empresa); - Otras funciones. Es posible que a un usuario se le asigne un rol sin querer o sin su
consentimiento.
EJEMPLO Cuando un usuario visita un sitio que requiere autorización y obtiene acceso sin querer, el
usuario
puede ser etiquetado como un intruso.
En cada una de estas funciones, las personas pueden ver o recopilar información, así como
proporcionar cierta información específica dentro del espacio de una aplicación del ciberespacio, o
abierto a miembros o grupos limitados dentro del espacio de la aplicación, o al público en general.
Las medidas adoptadas por los individuos en estas funciones pueden ser pasivas o activas, y pueden
contribuir directa e indirectamente al estado de la ciberseguridad.
EJEMPLO 1 Si un IAP proporciona una aplicación que contiene vulnerabilidades de seguridad, estas
vulnerabilidades pueden ser utilizadas por los ciberdelincuentes como un canal para llegar a los
usuarios de la aplicación.

ISO/IEC 27032:2012(E)
EJEMPLO 2 Los bloggers u otras formas de contribuyentes de contenido pueden recibir una solicitud
en forma de preguntas inocentes sobre sus contenidos. En su respuesta, pueden revelar
involuntariamente al público más información personal o de la empresa de la que desean.
EJEMPLO 3 Un individuo, actuando como comprador o vendedor, puede participar sin saberlo en
transacciones criminales de venta de bienes robados o actividades de lavado de dinero.
En consecuencia, como en el mundo real, los consumidores individuales deben tener cuidado con
todos y cada uno de los papeles que desempeñan en el ciberespacio.
10.2.3 Funciones de las organizaciones
Las organizaciones suelen utilizar el ciberespacio para dar a conocer información sobre las empresas
y la información conexa, así como productos y servicios relacionados con el mercado. Las
organizaciones también utilizan el Ciberespacio como parte de su red para la entrega y recepción de
mensajes electrónicos (por ejemplo, correos electrónicos) y otros documentos (por ejemplo,
transferencia de archivos).
En consonancia con los mismos principios de ser un buen ciudadano corporativo, estas
organizaciones deben ampliar sus responsabilidades empresariales al Ciberespacio asegurándose
proactivamente de que sus prácticas y acciones en el Ciberespacio no introduzcan más riesgos de
seguridad en el Ciberespacio. Entre las medidas proactivas figuran las siguientes:
- la gestión adecuada de la seguridad de la información mediante la aplicación y el funcionamiento de

un sistema eficaz de gestión de la seguridad de la información (SGSI);
NOTA 1 La norma ISO/CEI 27001 establece los requisitos para los sistemas de gestión de la seguridad
de la información.
- supervisión y respuesta adecuadas de la seguridad;
- la incorporación de la seguridad como parte del ciclo de vida del desarrollo de software (SDLC), en
el que el nivel de seguridad incorporado en los sistemas debe determinarse en función de la
criticidad de los datos de la organización;
- la educación regular de los usuarios de la organización en materia de seguridad mediante

actualizaciones continuas de la tecnología y
seguir la pista de los últimos avances tecnológicos; y
- comprender y utilizar los canales adecuados para comunicarse con los vendedores y los
proveedores de servicios en relación con los problemas de seguridad descubiertos durante el uso.
NOTA 2 Una futura norma internacional, la ISO/CEI 29147, proporcionará directrices sobre la
vulnerabilidad y la divulgación.
NOTA 3 La norma ISO/CEI 27031 proporciona directrices para la preparación de las TIC para la
continuidad de las actividades.
NOTA 4 La norma ISO/CEI 27035 proporciona directrices para la gestión de incidentes de seguridad
de la información.
NOTA 5 La norma ISO/CEI 27034-1 proporciona directrices para la seguridad de las aplicaciones.

El gobierno, principalmente los organismos encargados de hacer cumplir la ley y los reguladores,
pueden desempeñar las siguientes funciones importantes:
- asesorar a las organizaciones sobre sus funciones y responsabilidades en el ciberespacio;
- compartir información con otras partes interesadas sobre las últimas tendencias y novedades de la
tecnología;
- compartir información con otros interesados sobre los riesgos de seguridad predominantes en la
actualidad;
- ser un conducto para recibir cualquier información, ya sea cerrada o abierta, con respecto a los
riesgos de seguridad del Ciberespacio; y
- ser el principal coordinador para la difusión de información y la orquestación de los recursos

necesarios, tanto a nivel nacional como corporativo, en tiempos de crisis derivadas de un ataque
cibernético masivo.
10.3 Funciones de los proveedores
Las organizaciones proveedoras de servicios pueden incluir dos categorías:
- proveedores de acceso a empleados y socios al ciberespacio, y
- proveedores de servicios a los consumidores del ciberespacio, ya sea a una comunidad cerrada (por
ejemplo,
usuarios registrados), o el público en general, mediante la entrega de aplicaciones del ciberespacio
EJEMPLO Ejemplos de servicios son los mercados de comercio en línea, los servicios de plataformas
de foros de debate, los servicios de plataformas de blogs y los servicios de redes sociales.
Los proveedores de servicios son también organizaciones de consumidores. Por consiguiente, se

espera que cumplan las mismas funciones y responsabilidades que las organizaciones de
consumidores. En su calidad de proveedores de servicios, tienen responsabilidades adicionales en lo
que respecta a mantener o incluso mejorar la seguridad del ciberespacio mediante:
- proporcionando servicios seguros y productos y servicios seguros;
- proporcionar orientación sobre seguridad y protección a los usuarios finales; y
- proporcionar información de seguridad a otros proveedores y a los consumidores sobre las

tendencias y observaciones del tráfico en sus redes y servicios.
11 Directrices para los interesados
11.1 Resumen
La orientación de esta cláusula se centra en tres áreas principales:
- la orientación en materia de seguridad para los consumidores;
- gestión de los riesgos de seguridad de la información interna de una organización; y
- requisitos de seguridad que los proveedores deben especificar para que los consumidores los
apliquen.

ISO/IEC 27032:2012(E)
Las recomendaciones se estructuran de la siguiente manera:
a) una introducción a la evaluación y el tratamiento de los riesgos;
b) directrices para los consumidores; y
c) directrices para las organizaciones, incluidos los proveedores de servicios:
- la gestión del riesgo de seguridad de la información en la empresa; y
- requisitos de seguridad para los servicios de hospedaje y otros servicios de aplicación.
11.2 Evaluación y tratamiento de los riesgos
ISO 31000, Gestión de riesgos - Principios y directrices, proporciona principios y directrices genéricas
sobre la gestión de riesgos, mientras que ISO/IEC 27005, Tecnología de la información - Técnicas de
seguridad - Gestión de riesgos para la seguridad de la información, proporciona directrices y procesos
para la gestión de riesgos para la seguridad de la información en una organización, apoyando en
particular los requisitos de un SGSI según ISO/IEC 27001. Estas directrices y procesos se consideran
suficientes para abordar la gestión de riesgos en el contexto del ciberespacio.
La norma ISO/CEI 27005:2011 no proporciona ninguna metodología específica para la gestión de los
riesgos para la seguridad de la información. Corresponde a los consumidores y proveedores definir su
enfoque de la gestión de riesgos. En el marco descrito en la norma ISO/CEI 27005 se pueden utilizar
varias metodologías existentes para aplicar los requisitos de un sistema de gestión de la seguridad de
la información.
Al definir un enfoque de gestión de riesgos hay que tener en cuenta los siguientes aspectos
- Identificación de los activos críticos: La conexión o utilización del ciberespacio amplía el alcance de
definiendo los activos. Como no es rentable proteger todos los activos, es esencial que se
identifiquen los activos críticos para poder tener un cuidado especial en su protección. La designación
debe hacerse desde el contexto empresarial, mediante la consideración del impacto de la pérdida o
degradación de un activo en la empresa en su conjunto.
- Identificación de los riesgos: Los interesados deben considerar y abordar adecuadamente los riesgos
adicionales, las amenazas
y ataques que se vuelven relevantes al participar en el Ciberespacio.
- Responsabilidad: Al participar en el Ciberespacio, una parte interesada debe aceptar el añadido
responsabilidad hacia otras partes interesadas. Esto incluye:
- El reconocimiento: Reconocer el posible riesgo de que la participación de los interesados pueda
introducir en el ciberespacio en general y, en particular, en los sistemas de información de otros

interesados.
- La presentación de informes: Puede ser necesario incluir a los interesados ajenos a la organización
cuando
distribuyendo informes relacionados con los riesgos, incidentes y amenazas .
— Compartir información: Al igual que en el caso de la presentación de informes, puede ser

necesario compartir la información pertinente con otras partes interesadas.

— Evaluación de riesgos: Es necesario determinar la medida en que las acciones de un
interesado y La presencia en el ciberespacio se convierte, o contribuye, a un riesgo para otra parte
interesada.
— Regulatorio/Legislativo: Al conectarse al Ciberespacio, los límites legales y regulatorios se
vuelven difíciles de distinguir y se aplican más requisitos, a veces contradictorios.
— Jubilación del sistema o del servicio: Una vez que un sistema o servicio ya no es necesario, debe
ser retirado en una forma de asegurar que los servicios o interfaces relacionados no se vean afectados.
Toda la información relacionada con la seguridad debe ser invalidada para asegurar que los sistemas
con los que se interfirió o con los que se relaciona no se vean comprometidos.
— Consistencia: El enfoque de la gestión de riesgos se aplica en todo el ciberespacio. Dentro de este
enfoque o metodología, a los consumidores y proveedores del ciberespacio se les asignan
responsabilidades para actividades específicas, como la planificación de contingencia, la recuperación
de desastres y el desarrollo e implementación de programas de protección para los sistemas bajo su
control y/o propiedad.
En general, la metodología de gestión de riesgos de la norma ISO/IEC27005 abarca todo el ciclo de
vida de un sistema genérico, por lo que puede utilizarse tanto para los nuevos sistemas de seguridad
como para los sistemas heredados. Dado que se ocupa del tratamiento de los sistemas, es aplicable a
todos los modelos de negocio. Los procesos dentro del marco pueden tratar las redes y servicios de los
proveedores de servicios como un sistema integrado, compuesto por subsistemas que prestan servicios
públicos y subsistemas privados que apoyan los servicios internos, o puede tratar cada uno de los
servicios individuales (por ejemplo, el hospedaje en la web) por separado, y describir su prestación en
términos de sistemas separados e interactivos. Puede ser ventajoso, por simplicidad, considerar todo
lo que se necesita para apoyar los servicios del proveedor como un gran sistema que puede
descomponerse en sistemas más pequeños, cada uno de los cuales proporciona un servicio
comercializable o forma parte de la infraestructura.
Los aspectos importantes que hay que recordar al considerar las metas y objetivos de la ciberseguridad
son:
a) proteger la seguridad general del Ciberespacio;

b) planificar para emergencias y crisis mediante la participación en el ejercicio, y actualizar los planes
de respuesta y los planes de continuidad de las operaciones;
c) educar a los interesados en materia de seguridad cibernética y prácticas de gestión de riesgos;
d) garantizar el intercambio oportuno, pertinente y preciso de información sobre las amenazas entre
los organismos de represión e inteligencia y los principales encargados de adoptar decisiones en
relación con el ciberespacio; y
e) Establecer mecanismos eficaces de coordinación intersectorial e intersectorial para abordar las
cuestiones críticas interdependencias, incluyendo el conocimiento de la situación del incidente y la
gestión de incidentes de las partes interesadas.
Metas y objetivos a) a c) fluyen directamente a los proveedores de servicios, que son responsables del
equipo y los servicios bajo su control. Para las metas y objetivos d) y e), los proveedores de servicios
participan activamente en las actividades de intercambio de información y coordinación.
Los objetivos específicos de los proveedores de servicios, como los servicios que se han de suministrar,
se derivan del contexto empresarial.
11.3 Directrices para los consumidores

Esta Norma Internacional no está dirigida específicamente a los individuos del ciberespacio, sino que
se centra en las organizaciones que prestan servicios a los consumidores y en las organizaciones que
exigen a sus empleados o usuarios finales que practiquen un uso seguro del ciberespacio para
gestionar eficazmente el riesgo de seguridad cibernética. La orientación sobre las funciones y la
seguridad de los usuarios en el ciberespacio y sobre la forma en que podrían influir positivamente en el
estado de la ciberseguridad tiene por objeto servir de guía para la elaboración y el desarrollo de
contenidos por parte de esas organizaciones, en el contexto de sus programas de prestación de
servicios y de sensibilización y capacitación para la entrega a sus usuarios finales.
Como se explica en la cláusula 10.2, los consumidores pueden ver o recopilar información, así como

ISO/IEC 27032:2012(E)
proporcionar cierta información específica dentro del espacio de una aplicación del ciberespacio, o
abierto a miembros o grupos limitados dentro del espacio de la aplicación, o al público en general. Las
medidas adoptadas por los consumidores en estas funciones pueden ser pasivas o activas, y pueden
contribuir directa e indirectamente al estado de la ciberseguridad.
Por ejemplo, como IAP, si la aplicación proporcionada contiene vulnerabilidades de seguridad, podrían
dar lugar a la explotación por parte de ciberdelincuentes aprovechándolas como un canal para llegar a
usuarios inocentes de la aplicación. Como bloggers o colaboradores de contenidos de otro tipo, pueden
recibir una solicitud en forma de preguntas inocentes sobre sus contenidos en las que pueden revelar
involuntariamente al público más información personal o de la empresa de la deseada. Como
comprador o vendedor, un consumidor puede participar sin saberlo en transacciones delictivas de venta
de bienes robados o en actividades de blanqueo de dinero. Por consiguiente, al igual que en el mundo
físico, los consumidores deben actuar con cautela en todas y cada una de las funciones que
desempeñan en el ciberespacio. En general, los consumidores deben tomar nota de la siguiente
orientación:
a) Conozca y comprenda la política de seguridad y privacidad del sitio y la aplicación en cuestión, tal
como la publica el proveedor del sitio.
b) Aprender y comprender los riesgos de seguridad y privacidad involucrados y determinar los controles
apropiados aplicables. Participar en foros de discusión en línea relacionados o preguntar a alguien que
conozca el sitio o la aplicación antes de proporcionar información personal o de la organización, o
participar y contribuir con información a la discusión.
c) Establecer y practicar una política de privacidad personal para la protección de la identidad

determinando las categorías de información personal disponibles y compartiendo principios relativos a
dicha información.
d) Gestionar la identidad en línea. Utilizar diferentes identificadores para diferentes aplicaciones web y
reducir al mínimo el intercambio de información personal a cada sitio web o aplicación que solicite dicha
información. Registrar la identidad en línea en los sitios de redes sociales populares, incluso si la cuenta
se deja inactiva.
EJEMPLO El single sign on es una forma de gestión de identidades en línea.
a) Informar de los acontecimientos o encuentros sospechosos a las autoridades competentes (véase

el anexo B como ejemplo de una lista de contactos de acceso público).
b) Como comprador o vendedor, leer y comprender la política de seguridad y privacidad del sitio del
mercado en línea y tomar medidas para verificar la autenticidad de las partes interesadas. No
comparta datos personales, incluida la información bancaria, a menos que se haya establecido un
interés genuino en vender o comprar. Utilice un mecanismo de pago fiable.
c) Como IAP, practique el desarrollo de software seguro y proporcione un valor de hash del código
en línea, de modo que las partes receptoras puedan verificar el valor si es necesario para
garantizar la integridad del código. Proporcionar documentación sobre las políticas y prácticas de
seguridad y privacidad del código y respetar la privacidad de los usuarios del mismo.
d) En su calidad de autor de un blog o de otro tipo de contribución de contenido (incluidos los

encargados del mantenimiento de sitios web), asegurarse de que la privacidad y la información
confidencial de los interesados no se divulguen a través de los blogs o las publicaciones en línea.
Revise los comentarios y publicaciones recibidos en el sitio y asegúrese de que no contengan
ningún contenido malicioso, como enlaces a sitios web de suplantación de identidad o descargas
maliciosas.
e) Como miembro de una organización, un consumidor individual debe conocer y comprender la

política de seguridad de la información de la organización y asegurarse de que la información
clasificada y/o sensible no se divulgue intencionadamente o por accidente en ningún sitio web del
ciberespacio, a menos que se haya concedido formalmente una autorización previa para dicha

divulgación.
f) Otras funciones. Cuando un consumidor visita un sitio que requiere autorización y obtiene acceso
sin querer, el usuario puede ser etiquetado como un intruso. Salga del sitio inmediatamente e
informe a la autoridad pertinente, ya que el hecho de que haya podido obtener acceso puede ser
un indicio de que se ha llegado a un compromiso.
11.4 Directrices para organizaciones y proveedores de servicios
11.4.1 Resumen
Los controles para la gestión de los riesgos de la ciberseguridad dependen en gran medida de la
madurez de los procesos de gestión de la seguridad dentro de las organizaciones (incluidos los
proveedores de servicios). Si bien las directrices sugeridas aquí son principalmente discrecionales para
las organizaciones, se recomienda que los proveedores de servicios traten las directrices como medidas
obligatorias de referencia.
Las directrices de esta cláusula pueden resumirse como:
— Gestionar el riesgo de seguridad de la información en el negocio.

— Abordar los requisitos de seguridad para el alojamiento de servicios web y otros servicios de
aplicaciones cibernéticas.
— Proporcionar orientación sobre seguridad a los consumidores.
11.4.2 Gestionar el riesgo de seguridad de la información en el negocio
11.4.2.1 Sistema de gestión de la seguridad de la información
A nivel de las empresas, las organizaciones que se conectan al ciberespacio deben aplicar un sistema
de gestión de la seguridad de la información (SGSI) para identificar y gestionar los riesgos conexos
para la seguridad de la información de la empresa. La serie de Normas Internacionales para los
sistemas de gestión de la seguridad de la información ISO/CEI 27000 proporciona la orientación
necesaria y las mejores prácticas para la aplicación de ese sistema.
Una consideración fundamental al aplicar un sistema de gestión de la seguridad de la información es

garantizar que la organización cuente con un sistema para identificar, evaluar, tratar y gestionar
continuamente el riesgo para la seguridad de la información relacionado con su negocio, incluida la
prestación de servicios en Internet, directamente a los usuarios finales o abonados, en caso de que sea
un proveedor de servicios.
NOTA 1 ISO/IEC 27005, Tecnología de la información - Técnicas de seguridad - Gestión de riesgos para la
seguridad de la información, proporciona directrices para la gestión de riesgos para la seguridad de la información
en una organización, apoyando en particular los requisitos de un SGSI según la ISO/IEC 27001.
NOTA 2 ISO 31000, Gestión de riesgos - Principios y directrices, proporciona principios y directrices genéricas
sobre la gestión de riesgos.
Las organizaciones también pueden considerar una certificación formal de su cumplimiento de los requisitos del
SGSI, como la ISO/CEI 27001.
Como parte de la aplicación de un SGSI, una organización también debe establecer una capacidad de
vigilancia y respuesta a incidentes de seguridad y coordinar sus actividades de respuesta a incidentes
con organizaciones externas de CIRT, CERT o CSIRT en el país. La provisión de respuesta a incidentes
y emergencias debe incluir la supervisión y evaluación del estado de la seguridad en el uso de los
servicios de la organización por parte de los usuarios finales y clientes, y proporcionar orientación para
ayudar a las partes afectadas a responder a los incidentes de seguridad de forma eficaz.
NOTA ISO/CEI 27035, Tecnología de la información - Técnicas de seguridad - Gestión de incidentes de seguridad
de la información, proporciona orientación sobre la gestión de incidentes de seguridad de la información.

ISO/IEC 27032:2012(E)
11.4.2.2 Proporcionar productos seguros
Algunas organizaciones desarrollan ) y liberan sus propias barras de herramientas, marcadores o

código de navegador web para proporcionar servicios de valor añadido a los usuarios finales o facilitar
el acceso a los servicios o aplicaciones de la organización. En tales casos, debe existir un acuerdo
adecuado para el usuario final en un lenguaje apropiado, que incorpore declaraciones sobre la política
de codificación de la organización, la política de privacidad y los medios para que los usuarios puedan
cambiar su aceptación más adelante o intensificar cualquier problema que puedan tener en relación
con la política y las prácticas. Cuando se utilice un acuerdo de ese tipo, debe ponerse bajo control de
versión y la organización debe asegurarse de que los usuarios finales lo firmen de forma coherente.
Cuando exista un alto grado de confianza en la seguridad de los productos de software, éstos deberían
ser validados de forma independiente según el esquema de Criterios Comunes, tal y como se describe
en la norma ISO/CEI 15408.
Las organizaciones deben documentar el comportamiento del código y hacer una evaluación para
determinar si el comportamiento puede recaer en áreas potenciales que podrían ser consideradas como
spyware o software engañoso. En este último caso, debería contratar a un evaluador debidamente
calificado para que evalúe si el código se ajusta a los criterios objetivos de los proveedores de
programas informáticos contra el espía que se adhieren a las mejores prácticas, de modo que los
instrumentos de software suministrados por la organización a los usuarios finales no sean etiquetados
como programas informáticos contra el espía o el adware por los proveedores de programas
informáticos contra el espía. Muchos vendedores de software anti-espía publican los criterios con los
que califican el software.
Las organizaciones deberían implementar la firma de código digital para sus binarios, de manera que
los vendedores de programas antiespía y antimalware pudieran determinar fácilmente el propietario de
un archivo, y los ISV, que producen sistemáticamente software que sigue las mejores prácticas, serían
clasificados como probablemente seguros incluso antes del análisis.
Si una organización descubre técnicas de software útiles que podrían ayudar a reducir el problema del
spyware o el malware, la organización debería considerar la posibilidad de asociarse y trabajar con el
proveedor para que estén ampliamente disponibles.
Para cumplir estos requisitos, es muy importante la educación en materia de seguridad de los
desarrolladores. Se debe utilizar un ciclo de vida de desarrollo de software seguro en el que se puedan
minimizar las vulnerabilidades del software y, por lo tanto, proporcionar un producto de software más
seguro.
NOTA ISO/IEC 27034, Tecnología de la información - Técnicas de seguridad - Seguridad de las

aplicaciones, proporciona directrices para definir, desarrollar, implementar, gestionar, apoyar y retirar
una aplicación.
11.4.2.3 Vigilancia y respuesta de la red
La vigilancia de la red es utilizada comúnmente por las organizaciones para garantizar la fiabilidad y la
calidad de sus servicios de red. Al mismo tiempo, esta capacidad puede aprovecharse para buscar
condiciones excepcionales de tráfico en la red y detectar actividades maliciosas que surjan en la red.
En general, las organizaciones deberían realizar lo siguiente:
— Entender el tráfico en la red - lo que es normal, lo que no es normal.
— Utilizar un instrumento de gestión de redes para identificar picos de tráfico, tráfico/puertos
"inusuales" y asegurarse de que se dispone de instrumentos para identificar y responder a la causa.
— Pruebe la capacidad de respuesta antes de que se necesiten para un evento real. Refinar las
técnicas, procesos y herramientas de respuesta basadas en el resultado de los ejercicios regulares.

— Comprender los componentes de forma individual - si alguien que normalmente es un usuario
inactivo comienza de repente a limitar al 100 por ciento el ancho de banda disponible, puede ser
necesario aislar al usuario infractor hasta que se pueda encontrar la razón. El aislamiento de la red
puede prevenir la propagación del malware, aunque algunas implementaciones pueden requerir el
consentimiento del usuario o actualizaciones de las condiciones de servicio..
— Considere la posibilidad de supervisar la actividad de los puntos de inteligencia de la red, como los
filtros de DNS y de mensajería, que también pueden servir para marcar los dispositivos que se han
visto comprometidos con el malware pero que, por diversas razones, no son detectados por los
servicios antivirus o de IDS.
EJEMPLO Debido al volumen de información en la red, se pueden utilizar herramientas como el IDS y el IPS para
vigilar las excepciones notificables.
11.4.2.4 Apoyo y escalada
Las empresas, incluidos los proveedores de servicios y las organizaciones gubernamentales, suelen
disponer de un servicio de apoyo para responder a las consultas de los clientes y prestar asistencia
técnica y apoyo para abordar los problemas de los usuarios finales. Con la creciente proliferación de
los programas informáticos maliciosos en la Internet, una organización proveedora de servicios puede
recibir informes relativos a las infecciones de programas informáticos maliciosos y espías y otros
problemas de seguridad cibernética. Esa información es importante y útil para que los proveedores
pertinentes evalúen la situación de los riesgos y los programas informáticos malignos y proporcionen
actualizaciones de los instrumentos necesarios para garantizar que todo nuevo programa informático
maligno o espía que se detecte pueda eliminarse o desactivarse eficazmente. A este respecto, una
organización debe establecer contacto con los proveedores de seguridad y presentarles informes
pertinentes y muestras de programas informáticos malignos para su seguimiento, en particular si parece
haber un aumento de la prevalencia. La mayoría de los proveedores mantienen una lista de correo
electrónico para recibir esos informes o muestras para su análisis y seguimiento. Por ejemplo, véase el
cuadro B.1 del anexo B.
11.4.2.5 Mantenerse al día con los últimos avances
Como parte de la aplicación del SGSI para gestionar el riesgo de la seguridad de la información de la
empresa, y también para garantizar que las organizaciones continúen haciendo un seguimiento de las
mejores prácticas de la industria y se mantengan al tanto de las últimas vulnerabilidades y situaciones
de explotación/ataque, las organizaciones deben participar en los foros comunitarios o de la industria
pertinentes para compartir sus mejores prácticas y aprender de otros proveedores colegas.
11.4.3 Requisitos de seguridad para el alojamiento de servicios web y otros servicios de

aplicaciones cibernéticas
La mayoría de los proveedores de servicios prestan servicios de hospedaje en su red y centro de datos
como parte de sus servicios comerciales. Esos servicios, que incluyen sitios web y otras aplicaciones
en línea, suelen ser reempaquetados y revendidos por los suscriptores de los servicios de hospedaje a
otros consumidores, como pequeñas empresas y usuarios finales. Si los suscriptores del hospedaje
establecen un servidor inseguro o alojan contenidos malignos en sus sitios o aplicaciones, la seguridad
de los consumidores se verá afectada negativamente. Por ello, es importante que los servicios, como
mínimo, cumplan las normas de las mejores prácticas mediante el cumplimiento de la política o las
condiciones de los acuerdos.
Cuando se utilicen varios proveedores, se debe analizar la interacción entre ellos y los respectivos
acuerdos de servicios deben abordar cualquier interacción crítica. Por ejemplo, las actualizaciones o
parches de los sistemas de un proveedor deben coordinarse con otros proveedores, en caso de que la
actualización dé lugar a una interacción negativa.
Los términos de los acuerdos deberían abarcar al menos lo siguiente:
a) Avisos claros, en los que se describan las prácticas de seguridad y privacidad del sitio o la aplicación en línea, las prácticas
de recopilación de datos y el comportamiento de cualquier código (por ejemplo, Browser Helper Object) que el sitio o la
aplicación en línea pueda distribuir y ejecutar en los escritorios de los usuarios finales o en los entornos de los navegadores
web.

ISO/IEC 27032:2012(E)
b) Consentimiento del usuario, facilitando el acuerdo o desacuerdo del usuario con las condiciones de los servicios descritos
en los Avisos. Esto permitiría al usuario ejercer su discreción y determinar si puede aceptar las condiciones de los servicios
en consecuencia.
c) Controles de usuario, que facilitan a los usuarios la modificación de sus configuraciones o el cese de su aceptación en
cualquier momento del futuro tras el acuerdo inicial.
Los términos son importantes para garantizar que los usuarios finales tengan claro el comportamiento
y las prácticas del sitio o la aplicación en línea, en relación con la privacidad y la seguridad de los
usuarios finales. Los términos deben elaborarse con la ayuda de un profesional del derecho para
garantizar que también indemnizarán al proveedor de servicios de las posibles acciones legales de los
usuarios finales, como resultado de las pérdidas o los daños específicos sufridos debido a contenidos
malintencionados o a políticas y prácticas poco claras en el sitio web.
Además de las disposiciones sobre protección de datos y privacidad personal en el sitio o la aplicación
en línea, los proveedores de servicios deberían exigir que los sitios o aplicaciones en línea alojados en
sus redes apliquen un conjunto de controles de seguridad de prácticas óptimas a nivel de las
aplicaciones antes de que puedan entrar en funcionamiento. Estos controles deberían incluir, entre
otros, los ejemplos que figuran en la cláusula 12.2.
Como parte de la infraestructura de hospedaje de un proveedor de servicios, los servidores deberían

estar protegidos contra el acceso no autorizado y la capacidad de albergar contenido malicioso. Véase
la cláusula 12.3 para ejemplos de controles.
Para permitir la aplicación de estos controles de seguridad, en particular los relativos a la seguridad de
los sitios y aplicaciones en línea, los proveedores de servicios deben considerar la posibilidad de
incorporar estas disposiciones en las condiciones de los acuerdos de servicios.
11.4.4 Orientación sobre seguridad para los consumidores
Los proveedores de servicios deben orientar a los consumidores sobre cómo mantenerse seguros en
línea. Los proveedores de servicios pueden crear la orientación directamente o remitir a los usuarios a
los sitios de orientación disponibles que podrían proporcionar los contenidos. Es fundamental educar a
los usuarios finales sobre la forma en que pueden contribuir a una Internet segura en relación con las
múltiples funciones que pueden desempeñar en el ciberespacio, como se describe en la cláusula 7.
Además, se debe aconsejar a los usuarios finales que adopten los controles técnicos de seguridad
necesarios en los que los proveedores de servicios también podrían desempeñar un papel activo, como
se describe en la cláusula 11.3. Entre los ejemplos de actividades de orientación pueden figurar:
a) Boletines de seguridad periódicos (por ejemplo, mensuales) para asesorar sobre técnicas de
seguridad específicas (por ejemplo, cómo elegir una buena contraseña); actualizaciones de las
tendencias de seguridad; y para proporcionar avisos de transmisiones web de seguridad, otros
vídeos a petición, transmisiones de audio e información de seguridad que estén disponibles en el
portal web de la organización o en otros proveedores de contenido de seguridad.
b) Emisiones directas de vídeos de educación sobre seguridad a la carta o transmisiones por la web
que cubran una variedad de temas de seguridad para mejorar las prácticas de seguridad y la
concienciación de los usuarios finales.
c) Incorporar una columna de seguridad en el boletín impreso del proveedor de servicios que se envía
a las direcciones de residencia u oficina de los usuarios finales para destacar los principales
acontecimientos o contenidos de seguridad.
d) Seminarios anuales u otros seminarios periódicos sobre seguridad de los usuarios finales o
exposiciones itinerantes, posiblemente en asociación con otros actores de la industria,
proveedores y gobiernos.
Los proveedores de servicios que utilizan el correo electrónico como principal medio de comunicación
con los usuarios finales deben hacerlo de manera que ayude a los usuarios finales a resistir los ataques
de la ingeniería social. En particular, se debe recordar constantemente a los usuarios finales que los

correos electrónicos no solicitados del proveedor de servicios nunca pedirán para
— información personal;
— nombres de usuario;
— Contraseñas; y
— nunca incluirá enlaces relacionados con la seguridad para que el lector haga clic en.
Cuando un proveedor de servicios desea que un usuario vaya a su sitio para obtener información, debe
indicarle cómo conectarse con seguridad al URL requerido. Por ejemplo, pueden pedirle al usuario que
escriba una URL citada en su navegador y se asegure de que la URL citada no contenga un enlace en
el que se pueda hacer clic.
Como parte de la educación en materia de seguridad del usuario y la orientación contra el software
engañoso y el spyware, las organizaciones y los proveedores de servicios deben asesorar a sus
usuarios finales sobre el uso de los controles técnicos de seguridad adecuados para proteger sus
sistemas contra los exploits y ataques conocidos. Como guía general, se debería alentar a los
consumidores a aplicar los controles de la cláusula 12.4.
En el anexo B figura una lista de ejemplos de referencias y recursos en línea que podrían utilizarse para
apoyar la aplicación de las recomendaciones anteriores.
12 Controles de seguridad cibernética
12.1 Resumen
Una vez identificados los riesgos para la ciberseguridad y redactadas las directrices adecuadas, se
pueden seleccionar y aplicar controles de ciberseguridad que respalden los requisitos de seguridad.
Esta cláusula ofrece una visión general de los principales controles de ciberseguridad que pueden
aplicarse para respaldar las directrices establecidas en esta Norma Internacional.
12.2 Controles del nivel de aplicación

Los controles de nivel de aplicación incluyen lo siguiente:
a) Exhibición de avisos breves, que proporcionan resúmenes claros y concisos de una página
(utilizando un lenguaje sencillo) de las políticas esenciales de la empresa en línea. Con ello, los
usuarios pueden tomar decisiones más informadas sobre cómo compartir su información en línea.
Los avisos breves deben ajustarse a todos los requisitos reglamentarios y proporcionar enlaces a
declaraciones jurídicas completas y otra información pertinente, de modo que los clientes que
deseen obtener más detalles puedan hacer clic fácilmente para leer la versión más larga. Con un
solo aviso, los clientes pueden tener una experiencia más coherente en todas las propiedades de
la empresa, con las mismas normas de privacidad y expectativas extendidas a muchos sitios.
b) Manejo seguro de las sesiones para las aplicaciones web; esto puede incluir mecanismos en línea
como las cookies.
Validación y manejo seguro de la entrada para prevenir ataques comunes como la inyección SQL.
Dado que los sitios web, que en general se consideran fiables, se utilizan cada vez más para la
distribución de códigos maliciosos, la validación de entrada y salida debe llevarse a cabo tanto por
contenido activo como por contenido dinámico.
c) Guiones seguros de páginas web para prevenir ataques comunes como el Cross-site Scripting.
d) Examen y ensayo de la seguridad del código por entidades debidamente capacitadas.
e) El servicio de la organización, ya sea prestado por la organización o por una parte que la

ISO/IEC 27032:2012(E)
represente, debe prestarse de manera que el consumidor pueda autenticar el servicio. Esto puede
incluir que el proveedor utilice un subdominio del nombre de dominio de marca de la organización
y posiblemente el uso de credenciales HTTPS registradas en la organización. El servicio debe
evitar el uso de métodos engañosos en los que el consumidor pueda tener dificultades para
determinar con quién está tratando.
12.3 Protección del servidor

Los siguientes controles pueden utilizarse para proteger los servidores contra el acceso no autorizado
y el alojamiento de contenido malicioso en los servidores:
a) Configurar los servidores, incluidos los sistemas operativos subyacentes, de acuerdo con una guía
de configuración de seguridad básica. Esta guía debe incluir la definición adecuada de los usuarios
del servidor frente a los administradores, la aplicación de controles de acceso a los directorios y
archivos del programa y del sistema, y la habilitación de pistas de auditoría, en particular, para la
seguridad y otros eventos de fallo en el sistema. Además, se recomienda instalar un sistema
mínimo en un servidor para reducir el vector de ataque.
b) Implementar un sistema para probar y desplegar las actualizaciones de seguridad, y asegurar que
el sistema operativo del servidor y las aplicaciones se mantengan actualizados con prontitud
cuando haya nuevas actualizaciones de seguridad disponibles.
c) Supervisar el rendimiento de la seguridad del servidor mediante revisiones regulares de los
registros de auditoría.
d) Revisar la configuración de seguridad.
e) Ejecutar controles de software antimalicioso (como antivirus y antispyware) en el servidor.

f) Escanear todo el contenido alojado y cargado regularmente usando controles de software
antimalicioso actualizados. Reconocer que un archivo puede, por ejemplo, seguir siendo spyware
o malware aunque no sea detectado por los controles actuales debido a las limitaciones de
información imperfecta.
g) Realizar evaluaciones periódicas de la vulnerabilidad y pruebas de seguridad de los sitios y
aplicaciones en línea para garantizar el mantenimiento adecuado de su seguridad.
h) Escanear regularmente en busca de compromisos.
12.4 Controles para el usuario final

A continuación, figura una lista incompleta de controles que los usuarios finales pueden utilizar para
proteger sus sistemas contra exploits y ataques conocidos:
a) Utilización de sistemas operativos compatibles, con los parches de seguridad más actualizados
instalados. Los consumidores de las organizaciones tienen la responsabilidad de conocer y seguir
la política de la organización en relación con los sistemas operativos admitidos. Los consumidores
individuales deben conocer y considerar la posibilidad de utilizar los sistemas operativos
recomendados por el proveedor. En todos los casos, el sistema operativo debe mantenerse
actualizado con respecto a los parches de seguridad.
b) Utilización de las últimas aplicaciones de software soportadas, con los parches más actualizados
instalados. Los consumidores de las organizaciones tienen la responsabilidad de conocer y seguir
la política de la organización en relación con el software de las aplicaciones admitidas. Los
consumidores individuales deben conocer y considerar la posibilidad de utilizar el software de
aplicación recomendado por el proveedor. En todos los casos, el software de aplicación debería
mantenerse actualizado en lo que respecta a los parches de seguridad.
c) Utilizar herramientas antivirus y anti-spyware. Si es posible, un proveedor de servicios como un

ISP debería considerar la posibilidad de asociarse con proveedores de seguridad de confianza
para ofrecer a los usuarios finales estas herramientas como parte del paquete de suscripción de
servicios, de modo que los controles de seguridad estén disponibles al suscribirse o al renovar la
suscripción. Los consumidores de las organizaciones tienen la responsabilidad de conocer y seguir
la política de la organización con respecto al uso de las herramientas de software de seguridad.

Los consumidores individuales deben utilizar las herramientas de software de seguridad. Deben
buscar en el proveedor cualquier software de seguridad recomendado, suministrado o
interrumpido. En todos los casos, el software de seguridad debe mantenerse actualizado en lo que
respecta a los parches de seguridad y las bases de datos de firmas.
d) Implementar protección antivirus y antispyware adecuadas. Los navegadores web y las barras de
herramientas de los navegadores comunes han incorporado ahora capacidades como los bloqueadores
de ventanas emergentes, que impedirán que los sitios web maliciosos muestren ventanas que
contengan programas espía o software engañoso que podrían explotar las debilidades del sistema o
del navegador, o que utilicen la ingeniería social para engañar a los usuarios para que los descarguen
e instalen en sus sistemas. Las organizaciones deberían establecer una política que permita el uso de
esos instrumentos. Las organizaciones proveedoras de servicios deberían recopilar una lista de
instrumentos recomendados y se debería alentar su uso a los usuarios finales, con orientación sobre
su habilitación y concesión de permisos para los sitios web que los usuarios quisieran permitir.
e) Habilitar los bloques de secuencias de comandos. Habilitar los bloques de scripts o una configuración
de seguridad web más alta para garantizar que en una computadora local sólo se ejecuten scripts de
fuentes confiables.
f) Utilizar filtros de phishing. Los navegadores web y las barras de herramientas de los navegadores
comunes suelen incorporar esta capacidad, que podría determinar si un sitio que un usuario está
visitando se encuentra dentro de una base de datos de sitios web de suplantación de identidad
conocidos, o si contiene patrones de secuencias de comandos similares a los que se encuentran en los
sitios web típicos de suplantación de identidad. El navegador proporcionaría alertas, normalmente en
forma de resaltados codificados por colores, para advertir a los usuarios del posible riesgo. Las
organizaciones deberían establecer una política para permitir el uso de ese instrumento.
g) Utilizar otras características de seguridad disponibles en los navegadores de Internet. De vez en

cuando, a medida que surgen nuevos riesgos de seguridad cibernética, los navegadores web y los
proveedores de la barra de herramientas de los navegadores añaden nuevas capacidades de seguridad
para proteger a los usuarios contra los riesgos. Los usuarios finales deben mantenerse al corriente de
estos avances informándose sobre las actualizaciones que normalmente proporcionan los proveedores
de las herramientas. Las organizaciones y los proveedores de servicios deberían igualmente revisar
estas nuevas capacidades y actualizar las políticas y servicios relacionados para atender mejor las
necesidades de sus organizaciones y clientes, y abordar el riesgo de ciberseguridad relacionado.
h) Habilitar un cortafuegos personal y el HIDS. Los cortafuegos personales y el HIDS son instrumentos
importantes para controlar los servicios de red que acceden a los sistemas de los usuarios. Varios de
los sistemas operativos más recientes tienen incorporados cortafuegos personales y HIDS. Aunque
están activados por defecto, los usuarios o las aplicaciones podrían desactivarlos, lo que daría lugar a
exposiciones indeseables a la seguridad de la red. Las organizaciones deberían adoptar una política
sobre el uso de un cortafuegos personal y del HIDS y evaluar los instrumentos o productos adecuados
para su aplicación, de modo que su uso esté habilitado por defecto para todos los empleados. Los
proveedores de servicios deberían alentar el uso de un cortafuegos personal y de las funciones de
HIDS, y/o sugerir otros productos de cortafuegos personales y de HIDS de terceros que hayan sido
evaluados y considerados de confianza, y educar y ayudar a los usuarios a habilitar la seguridad básica
de la red a nivel del sistema del usuario final.
i) Habilitar las actualizaciones automáticas. Si bien los controles técnicos de seguridad mencionados
son capaces de hacer frente a la mayoría de los programas informáticos maliciosos en sus respectivos
niveles de funcionamiento, no son muy eficaces contra la explotación de las vulnerabilidades que
existen en los sistemas operativos y los productos de aplicación. Para evitar esos aprovechamientos,
se debería habilitar la función de actualización disponible en los sistemas operativos, así como las
proporcionadas por las aplicaciones en las que el usuario confía (por ejemplo, los productos
antispyware y antivirus evaluados por terceros de confianza), para que se realicen actualizaciones
automáticas. Así se garantizaría que los sistemas se actualizarán con los últimos parches de seguridad
siempre que estuvieran disponibles, con lo que se acortaría la brecha de tiempo para que se produjeran

ISO/IEC 27032:2012(E)
los exploits.
12.5 Controles contra los ataques de ingeniería social

12.5.1 Panorama general
Los ciberdelincuentes recurren cada vez más a tácticas psicológicas o de ingeniería social para tener
éxito.
EJEMPLO 1 El uso de correos electrónicos que llevan URI dirigiendo a usuarios desprevenidos a sitios
web de phishing.
EJEMPLO 2 Correos electrónicos de estafa que solicitan a los usuarios que proporcionen información
de identificación personal, o información relacionada con la propiedad intelectual de la empresa.
La proliferación de las redes sociales y los sitios comunitarios proporciona nuevos vehículos que
permiten realizar estafas y fraudes más creíbles. Cada vez más, esos ataques también trascienden la
tecnología, más allá de los sistemas de computadoras personales y la conectividad tradicional de las
redes, aprovechando los teléfonos móviles, las redes inalámbricas (incluido el Bluetooth) y la voz sobre
IP (VoIP).
Esta cláusula proporciona un marco de controles aplicables para gestionar y reducir al mínimo el riesgo
de ciberseguridad en relación con los ataques de ingeniería social. La orientación proporcionada en
esta cláusula se basa en la noción de que la única forma eficaz de mitigar la amenaza de la ingeniería
social es mediante la combinación de:
- tecnologías de seguridad;
- políticas de seguridad que establezcan normas básicas para el comportamiento personal, tanto como
individuo como empleado; y
- educación y capacitación adecuadas.
Por lo tanto, el marco abarca:
- las políticas;
- métodos y procesos; - personas y organizaciones; y - controles técnicos aplicables.
12.5.2 Políticas
De conformidad con las prácticas comunes de gestión de los riesgos para la seguridad de la
información, deben determinarse y documentarse las políticas básicas que rigen la creación, la reunión,
el almacenamiento, la transmisión, el intercambio, el procesamiento y el uso general de la información
organizativa y personal y de la propiedad intelectual en Internet y en el ciberespacio. En particular, esto
se refiere a aplicaciones como la mensajería instantánea, los blogs, el intercambio de archivos P2P y
las redes sociales, que normalmente están fuera del alcance de la seguridad de las redes empresariales
y de la información.
Como parte de las políticas empresariales, también deberían incorporarse declaraciones y sanciones
relativas a la utilización indebida de las aplicaciones del Ciberespacio para disuadir las prácticas de
utilización indebida por parte de empleados y terceros en la red o los sistemas empresariales que
acceden al Ciberespacio.
Deberían elaborarse y promulgarse políticas administrativas que promuevan la sensibilización y la

comprensión de los riesgos de la ciberseguridad, y que fomenten, si no obliguen, el aprendizaje y el
desarrollo de aptitudes contra los ataques a la ciberseguridad, en particular los ataques de ingeniería
social. Esto debería incluir requisitos para la asistencia regular a esas sesiones informativas y de
capacitación.

Mediante la promoción de políticas adecuadas y la sensibilización sobre los riesgos de la ingeniería
social, los empleados ya no pueden alegar su desconocimiento de esos riesgos y requisitos y, al mismo
tiempo, desarrollar una comprensión de las mejores prácticas y políticas que se esperan de las redes
sociales externas y otras aplicaciones del ciberespacio, por ejemplo, el acuerdo de política de seguridad
del proveedor de servicios.
12.5.3 Métodos y procesos

12.5.3.1 Categorización y clasificación de la información
Para apoyar las políticas de promoción de la sensibilización y la protección de la información clasificada
de las empresas y la información confidencial personal, incluida la propiedad intelectual, se deberían
aplicar procesos de categorización y clasificación de la información.
Para cada categoría y clasificación de información involucrada, se deben desarrollar y documentar

controles de seguridad específicos para la protección contra la exposición accidental y el acceso no
autorizado previsto.
Los usuarios de las organizaciones podrían entonces diferenciar entre las diferentes categorías y
clasificación de la información que generan, reúnen y manejan. Los usuarios pueden entonces ejercer
la precaución y los controles de protección necesarios al utilizar el ciberespacio.
También deberían desarrollarse y promulgarse procedimientos sobre cómo manejar la propiedad

intelectual de las empresas, los datos personales y otra información confidencial.
12.5.3.2 Concienciación y capacitación

La sensibilización y la capacitación en materia de seguridad, incluida la actualización periódica de los
conocimientos y el aprendizaje pertinentes, son un elemento importante para contrarrestar los ataques
de la ingeniería social.
Como parte del programa de seguridad cibernética de una organización, se debería exigir a los
empleados y a los terceros contratistas que se sometan a un número mínimo de horas de capacitación
de concienciación a fin de garantizar que sean conscientes de sus funciones y responsabilidades en el
ciberespacio, así como de los controles técnicos que deben aplicar como personas que utilizan el
ciberespacio. Además, como parte del programa para contrarrestar los ataques de ingeniería social,
esa capacitación de concienciación debería incluir contenidos como los siguientes
a) Las últimas amenazas y formas de ataques de ingeniería social, por ejemplo, cómo el phishing ha
evolucionado desde los sitios web falsos únicamente a una combinación de Spam, Cross Site Scripting
y ataques de Inyección SQL.
b) Cómo se puede robar y manipular la información individual y empresarial mediante ataques de

ingeniería social, lo que permite comprender cómo los atacantes pueden aprovecharse de la naturaleza
humana, como la tendencia a cumplir las solicitudes que se hacen con autoridad (aunque pueda ser
irreal), el comportamiento amistoso, el hacerse pasar por víctima y la reciprocidad dando primero algo
de valor o ayuda.
c) Qué información hay que proteger y cómo protegerla, de conformidad con la política de seguridad de
la información.
d) Cuándo informar o intensificar un evento sospechoso o una aplicación maliciosa para acercarse a
las autoridades o al organismo de respuesta, y la información sobre estos contactos disponible. Por
ejemplo, véase el anexo B.
Las organizaciones que proporcionan aplicaciones y servicios en línea en el ciberespacio deberían

proporcionar a los abonados o consumidores materiales de sensibilización que abarquen los contenidos
antes mencionados en el contexto de sus aplicaciones o servicios.
13 Marco de intercambio de información y coordinación

ISO/IEC 27032:2012(E)
13.1 Generalidades
Los incidentes de seguridad cibernética suelen traspasar las fronteras geográficas y organizativas
nacionales, y la velocidad del flujo de información y los cambios a partir del incidente en curso suelen
dar un tiempo limitado para que las personas y organizaciones que responden actúen. Es necesario
establecer un sistema de intercambio de información y coordinación para ayudar a preparar y responder
a los acontecimientos e incidentes de seguridad cibernética. Se trata de una medida importante que las
organizaciones deben adoptar como parte de sus controles de ciberseguridad. Ese sistema de
intercambio de información y coordinación debe ser seguro, eficaz, fiable y eficiente.
El sistema debe ser seguro para garantizar que la información que se comparte, incluidos los detalles
sobre la coordinación de las actividades, esté protegida contra el acceso no autorizado, en particular
por parte del autor del incidente en cuestión. La seguridad de la información relativa a los sucesos de
seguridad cibernética también es necesaria para evitar que se interprete erróneamente y cause un
pánico indebido o alarmas al público. Al mismo tiempo, la integridad y la autenticidad de la información
son fundamentales para garantizar su exactitud y fiabilidad, independientemente de que esa
información se comparta en un grupo cerrado o se divulgue públicamente. El sistema debe ser eficaz y
eficiente de modo que cumpla su propósito con un mínimo de recursos y en el tiempo y el espacio
requeridos.
Esta cláusula proporciona un marco básico para la aplicación de un sistema de intercambio de

información y coordinación. El marco incluye cuatro áreas a considerar, a saber, políticas, métodos y
procesos, personas y elementos técnicos.
NOTA La Comisión de Estudio 17 del UIT-T está llevando a cabo una amplia labor sobre el intercambio
de información en materia de ciberseguridad. Véase el Cuadro C.17 - Intercambio de información sobre
ciberseguridad para más información.
13.2 Políticas
13.2.1 Organizaciones proveedoras de información y organizaciones receptoras de
información
A los efectos del presente marco, se introducen dos tipos de organizaciones de intercambio de
información:
- IPO e IRO.
Como OPI, las políticas básicas relativas a la clasificación y categorización de la información, la

gravedad de los sucesos e incidentes y la forma de compartirla deben determinarse antes de que se
produzcan incidentes de seguridad cibernética o de que se comparta la información (en el caso de que
una OPI se convierta en una ORI para compartir la información recibida con otras entidades autorizadas
de la cadena de información).
En el extremo receptor, la ORI debería convenir en hacer cumplir la protección de seguridad y los
procedimientos pertinentes al recibir información de la OPI, de conformidad con el acuerdo previamente
alcanzado y sobre la base de la clasificación y categorización de la información de que se trate.
13.2.2 Clasificación y categorización de la información

Las OPI deben determinar las diferentes categorías de información que recogen, cotejan, guardan y
distribuyen. Entre los ejemplos de categorías de información pueden figurar los eventos de seguridad,
las amenazas a la seguridad, las vulnerabilidades de la seguridad, los perfiles de los autores
presuntos/confirmados, los grupos organizados, la información sobre las víctimas y las categorías de
perfiles de los sistemas de TIC.
Para cada categoría, debería desglosarse más detalladamente en dos o más clasificaciones basadas
en el contenido de la información de que se trate. La clasificación mínima puede ser sensible y no
restringida. Si la información contiene datos personales, también pueden aplicarse las clasificaciones
de privacidad.

13.2.3 Reducción al mínimo de la información
Para cada categoría y clasificación, la OPI debe tener la precaución de reducir al mínimo la información
que debe distribuirse. Esa minimización es necesaria para evitar la sobrecarga de información en el
extremo receptor, a fin de asegurar el uso eficiente del sistema de distribución, sin comprometer la
eficacia. Otro objetivo de la minimización es la omisión de información sensible para preservar la
privacidad de las personas en la IPO y la IRO. A este respecto, la OPI y la OIR deberían determinar el
nivel deseado de detalles, siempre que sea posible, para cada categoría y clasificación de la información
que pueda identificarse antes de la compartición real.
13.2.4 Audiencia limitada

De conformidad con el principio de minimización, es necesario adoptar una política para limitar el
público, que puede ser una persona de contacto, un grupo o una organización específicos, para su
distribución cuando se comparta información que contenga datos privados o confidenciales. En el caso
de la información menos sensible, se debe considerar la posibilidad de aplicar esa política para evitar
la sobrecarga de información, a menos que los beneficios de una distribución máxima (como el
intercambio de alertas críticas de seguridad) superen el impacto de la sobrecarga de información para
la OIA.
13.2.5 Protocolo de coordinación

Se debería establecer una política de alto nivel para coordinar la solicitud y la distribución (ya sea que
se trate de una OPI o de una OI). Esa política formaliza el protocolo correspondiente, que proporciona
un medio para que la OPI y la OIR respondan con eficacia y eficiencia. Los procedimientos de
autenticación y verificación mutuas podrían entonces basarse en ese protocolo para garantizar la
autenticidad del origen y la prueba de la entrega cuando se desee, en particular en el caso de
información delicada, personal y/o confidencial.
13.3 Métodos y procesos

Para llevar a cabo las políticas de intercambio de información y garantizar la coherencia de la práctica,
la eficacia, la eficiencia y la fiabilidad de la ejecución, deben elaborarse y aplicarse métodos y procesos
conexos. Esos métodos y procesos deberían basarse en las normas disponibles. De lo contrario, tras
la validación operacional, pueden formalizarse para su normalización. En las siguientes cláusulas se
ofrece orientación sobre los métodos y procesos que suelen utilizar las organizaciones de la industria
para lograr los objetivos y políticas pertinentes de intercambio de información y coordinación en el
contexto de la ciberseguridad.
13.3.2 Clasificación y categorización de la información

La información que se comparta procederá de fuentes abiertas y cerradas. La información de fuente
abierta suele encontrarse en Internet o en otras fuentes públicas, como los periódicos. La información
de código abierto suele ser de la clasificación más baja porque los autores de la información pueden
ser múltiples o desconocidos, la antigüedad de la información puede ser indeterminada y la exactitud
puede ser cuestionada. La información de fuente cerrada no está disponible públicamente, a menudo
atribuible a una fuente y de edad conocida. Ejemplos de información de fuente cerrada son la
investigación y el análisis patentados, o la inteligencia recopilada empíricamente.
NOTA la orientación para esta cláusula puede basarse en el resultado del período de estudio sobre
este tema, haciendo referencia a la norma si la PE procede al desarrollo, o adoptando un resumen del
texto de la PE si termina sin más desarrollo.
13.3.3 Acuerdo de no divulgación

Una AND puede utilizarse al menos con dos fines en el contexto del intercambio de información y la
coordinación para mejorar la seguridad cibernética. Un uso típico de una AND es asegurar el manejo y

ISO/IEC 27032:2012(E)
la protección adecuados de la información sensible, personal y/o confidencial compartida entre la OPI
y la ORI, y preestablecer la condición de compartir y distribuir y utilizar ulteriormente dicha información.
En el contexto de la respuesta a los sucesos de ciberseguridad, el preestablecimiento de una AND

permite que el intercambio y la distribución rápida entre las entidades autorizadas se lleve a cabo de
manera eficiente, incluso si la clasificación de la información no se ha definido claramente.
13.3.4 Código de prácticas

Un método comúnmente utilizado para garantizar el intercambio y el manejo adecuados de la
información delicada es el establecimiento de un código de práctica, que abarca procedimientos
detallados, responsabilidades y compromisos de las organizaciones interesadas (es decir, la OPI y la
OI) para las respuestas y medidas que deben adoptar las respectivas entidades involucradas para cada
categoría y clasificación de la información.
EJEMPLO Véase la futura norma internacional ISO/CEI 29147, Tecnología de la información - Técnicas
de seguridad - Divulgación de la vulnerabilidad.
13.3.5 Pruebas y ejercicios

Para garantizar la eficacia y la fiabilidad y alcanzar el nivel de eficiencia deseado, deben desarrollarse
métodos y procesos para realizar pruebas periódicas y ejercicios de escenarios.
Debería utilizarse una metodología estándar como referencia para las pruebas de seguridad, a fin de
que se ajuste a los objetivos y necesidades de la organización.
Las pruebas de seguridad pueden realizarse en activos de alto riesgo. Para ello se puede utilizar la
nomenclatura de clasificación de datos propia de la organización.
Las evaluaciones de seguridad deben realizarse de forma regular en el:
- Aplicación
- Sistema operativo
- Sistema de gestión de bases de datos
13.3.6 Calendario y programación del intercambio de información

El requisito de compartir la información, ya sea de manera proactiva o durante la respuesta a un
incidente, variará de una entidad a otra. Algunas organizaciones tendrán un requisito de información en
tiempo real: en el momento en que se produzca una alerta o alarma querrán la información para su
posterior análisis. Otras entidades no dispondrán de los recursos necesarios para gestionar el
intercambio de información en tiempo real. De hecho, es posible que muchas organizaciones no tengan
la capacidad de gestionar el intercambio de información en cualquier intervalo.
El calendario y los calendarios de intercambio de información deben definirse claramente, con objetivos
específicos de nivel de servicio definidos para las relaciones voluntarias y acuerdos de nivel de servicio
para las relaciones comerciales.
13.4 Personas y organizaciones

Las personas y las organizaciones son los principales determinantes del éxito de la ciberseguridad. Las
personas se refieren a las personas que participan en la ejecución de los métodos y procesos para el
intercambio de información y la coordinación para marcar una diferencia positiva en los resultados de
los eventos de seguridad cibernética. Las organizaciones se refieren a los grupos de personas dentro
de una empresa hasta la totalidad de la empresa involucrada en dichas actividades. En aras de la
eficacia y la eficiencia, deben tenerse en cuenta las necesidades tanto de las personas como de las
organizaciones.

13.4.2 Contactos
La OPI y la OIJ deben elaborar una lista de contactos e intercambiarla entre sí, de modo que cada
entidad pueda identificar a la persona que solicitó o envió información sobre la comunidad de
intercambio.
También pueden elaborarse y compartirse listas de contactos más granulares de conformidad con las
políticas de audiencia limitada (cláusula 13.2.4) y de clasificación y categorización de la información
(cláusula 13.2.2).
La lista de contactos no debe contener información personal sensible, de conformidad con la política de
minimización de la información (cláusula 13.2.3). A efectos de privacidad, también puede considerarse
un alias en lugar del nombre completo. La información mínima de la lista de contactos debe incluir el
nombre (o el alias), los números de contacto (teléfono móvil si es posible) y la dirección de correo
electrónico. También puede establecerse un contacto alternativo para cada persona clave de la lista de
contactos.
Además de una lista de contactos para el intercambio de información y la coordinación, también se

puede compilar una lista de contactos separada para la escalada de incidentes, a fin de facilitar una
rápida escalada. Esa lista suele incluir contactos externos que no forman parte de la red de intercambio.
Por ejemplo, véase el anexo B.
Como mínimo, la lista de contactos debe protegerse contra la modificación no autorizada para evitar la
corrupción y mantener la integridad. Deberán aplicarse controles técnicos (cláusula 13.5) según
proceda.
13.4.3 Alianzas
Para facilitar el intercambio de información y establecer prácticas comunes y coherentes regidas por un
código de prácticas acordado, y/o NDA, las organizaciones y grupos de personas pueden formar
alianzas basadas en sus esferas de interés, que pueden ser la industria, la tecnología u otras esferas
de interés especial. En el anexo B figura una lista de muestra de las alianzas y organizaciones sin fines
de lucro existentes que cumplen ese propósito.
13.4.4 Sensibilización y capacitación
Las personas de las organizaciones deberían ser conscientes de los nuevos riesgos de seguridad
cibernética y estar capacitadas para que desarrollen las habilidades y la experiencia necesarias para
responder con eficacia y eficiencia cuando se encuentran con un riesgo específico o recibieron
información que requería sus acciones para mitigar o mejorar una situación determinada. Para lograr
estos objetivos,
- Reuniones informativas periódicas sobre la situación de los riesgos para la seguridad cibernética y las
conclusiones relativas a la organización y la industria debe ser proporcionada.
- Sesiones de capacitación específicas Sesiones de capacitación de mesa simuladas de escenarios de

ciberataques y talleres sobre las áreas de acción requeridas deben ser diseñadas, organizadas y
entregadas, tanto a los recién llegados al grupo/organización, con actualizaciones periódicas.
- Pruebas regulares, con recorridos de los escenarios relevantes para asegurar una comprensión
completa y la capacidad de ejecutar procedimientos y herramientas específicas.
Esta concienciación, capacitación y pruebas pueden ser realizadas por expertos internos involucrados,
externos, consultores, u otros expertos de los miembros de las alianzas afines que participan en el
intercambio de información y los esfuerzos de coordinación.
Se recomienda encarecidamente la utilización de escenarios como parte de los procesos de

capacitación y ensayo como tal un enfoque permite a las personas obtener una experiencia cercana a
la vida real de las situaciones pertinentes y aprender y practicar las respuestas requeridas. Además,
los incidentes pasados pueden utilizarse como parte de los escenarios para maximizar el intercambio

ISO/IEC 27032:2012(E)
de las lecciones aprendidas y la comprensión obtenida de esas situaciones.
13.5 Técnicas
Los controles técnicos y la normalización pueden utilizarse para mejorar la eficiencia, reducir el error
humano y mejorar la seguridad en los procesos de intercambio y coordinación de la información. Una
serie de técnicas se pueden diseñar, desarrollar y poner en práctica sistemas y soluciones. Esta norma
internacional proporciona algunos de los enfoques y técnicas comúnmente utilizados que han sido
adoptados por algunas organizaciones, y pueden adaptarse más para mejorar el intercambio de
información y la coordinación de necesidades y procesos para hacer frente al cambiante entorno de
riesgo de la ciberseguridad.
13.5.2 Normalización de datos para el sistema automatizado
Como parte de la red de intercambio, se pueden desarrollar y desplegar sistemas automatizados entre
organizaciones de coordinación para reunir datos sobre la evolución de los acontecimientos en materia
de seguridad cibernética en tiempo real y fuera de línea análisis y evaluación, a fin de determinar el
estado de seguridad más reciente en el ciberespacio dentro del límite de las organizaciones
involucradas. Esos datos pueden incluir datos de tráfico de la red, actualizaciones de seguridad para
sistemas de software y dispositivos de hardware, datos de vulnerabilidades de seguridad y malware,
spam y datos de spyware, incluyendo sus cargas útiles e información interceptada. Los sistemas
automatizados de apoyo a la de primeros auxilios y la escalada de incidentes, como se describe en la
cláusula 13.4.2, también contendría datos relativos a organizaciones y personas. En vista de la
sensibilidad y el volumen del contenido de los datos en cuestión. En estos sistemas, las organizaciones
(en particular, las alianzas de organizaciones) deben evaluar los datos, esquemas y contenidos para
determinar los controles técnicos adecuados para mejorar la eficiencia, la eficacia y la seguridad. Estos
pueden incluir, pero no se limitan a lo siguiente:
a) la normalización del esquema de datos para cada categoría y la clasificación de los datos recopilados
haciendo cumplir la política de minimización de la información y la privacidad, proporcionar una garantía
técnica a todas las entidades participantes y los propietarios de los datos de esa práctica;
b) la normalización del formato de los datos para facilitar el intercambio y mejorar el almacenamiento,
la transmisión, el manejo y la interoperabilidad entre los sistemas. Por ejemplo, véase la
Recomendación UIT-T X.1205; y
c) la normalización de la funcionalidad básica de procesamiento de datos y los algoritmos utilizados,

por ejemplo, el hash función y procedimientos para el anonimato de direcciones IP y otros requisitos de
preprocesamiento.
13.5.3 Visualización de datos
Considerar la posibilidad de utilizar técnicas de visualización de datos para presentar información sobre
los acontecimientos, lo que ayuda a mejorar la visibilidad de los cambios y el incidente de seguridad
emergente que se produce sin necesidad de que los operadores lean los detalles de cada evento a
medida que surge. Por ejemplo, véase el Anexo A, que presenta una imagen que es la representación
de las actividades de Darknet, lo que facilita una respuesta más eficiente a los cambios.
13.5.4 Intercambio de claves criptográficas y copias de seguridad de software y hardware
Para facilitar el intercambio de información confidencial, un sistema criptográfico, que incluye un sistema
de clave el intercambio que podría implementarse rápidamente debe considerarse para la
implementación. El sistema debe incluir copias de seguridad adecuadas para el software y el hardware,
así como las claves utilizadas en preparación para los propósitos de compartir y las necesidades de
recuperación de emergencia.

13.5.5 Uso compartido de archivos seguro, mensajería instantánea, portal web y discusión foro
Facilitar la interacción en línea y el intercambio rápido y seguro de información, lo que puede incluir el
intercambio de contenidos digitales como archivos de texto y multimedia, y debates tanto en línea como
fuera de línea, el intercambio Las organizaciones (IPO y IRO) deberían considerar la adopción de
herramientas adecuadas para compartir archivos, el mensajero instantáneo, y herramientas de foros de
discusión en línea que podrían cumplir con la seguridad, eficacia, eficiencia y fiabilidad necesidades.
El suministro de portales web se alimenta de los eventos de ciberseguridad y el estado de la misma

debe aplicarse como una forma de comunicación para la comunidad pública y privada interesada e
involucrada, respectivamente. Donde
Si se utiliza un portal web de este tipo, debe haber una clara propiedad y responsabilidad administrativa
para garantizar su seguridad y disponibilidad, y deben proporcionarse zonas privadas para la
información de un público limitado en las que necesario.
13.5.6 Sistemas de prueba
Si bien cada sistema técnico y los métodos y procesos conexos deben probarse rigurosamente para
garantizar su fiabilidad e integridad, uno o más sistemas técnicos dedicados a mejorar la eficiencia y se
debe considerar la eficacia de las pruebas, en particular, las pruebas de escenarios. Tal sistema puede
ser en la forma de un sistema de simulación para simular los entornos operativos tal y como los percibe
cada uno organización del Ciberespacio, y la evolución de la situación de la Ciberseguridad,
proporcionando la capacidad de introduciendo una serie de eventos de seguridad para facilitar la
realización de las pruebas requeridas.
13.6 Orientación para la aplicación

La aplicación de ese marco requiere que las organizaciones y personas que colaboran con él obtengan
juntos (virtual o físicamente) para determinar la política específica, los controles y las medidas a tomar
para alcanzar sus objetivos de intercambio y coordinación de información segura, efectiva, fiable y
eficiente en respuesta a los nuevos incidentes de seguridad cibernética. Se recomiendan las siguientes
medidas de alto nivel como una guía para la aplicación:
a) Identificar y reunir a las organizaciones y personas pertinentes para formar el intercambio de

información requerido y la comunidad de la red de coordinación, ya sea de manera informal u oficial;
b) Determinar la función o funciones de cada organización o persona que participe en calidad de OPI,
ORI o ambas (cláusula 13.2.1).
c) Establecer el tipo de información y coordinación necesaria que sea beneficiosa para la comunidad;
d) Realizar la categorización y clasificación de la información para determinar si es sensible y/o privada

información están involucrados (cláusula 13.2.2);
e) Establecer políticas y principios que rijan la comunidad y la información en cuestión (cláusula 13.2);
f) Determinar los métodos y procesos necesarios para cada categoría y clasificación de la información
involucrados (cláusula 13.3);
g) Determinar los requisitos y criterios de rendimiento, y establecer un código de prácticas y firmar las
AND según sea necesario (cláusulas 13.3.3 y 13.3.4);
h) Identificar las normas y sistemas técnicos necesarios y adecuados para apoyar la aplicación y
operaciones de la comunidad (cláusula 13.5);
i) Preparar la operación; recopilar la lista de contactos; y realizar talleres de sensibilización y

capacitación para preparar a los interesados;
j) Realizar pruebas periódicas, incluidos escenarios de recorrido y simulación, según sea necesario

ISO/IEC 27032:2012(E)
(cláusulas 13.3.5 y 13.5.6);
k) Realizar exámenes periódicos, posteriores a las pruebas y a los incidentes para mejorar el
intercambio y la coordinación sistemas, incluyendo las personas, los procesos y la tecnología
involucrados; ampliar o reducir el tamaño de la comunidad como sea necesario.
NOTA ISO/IEC 27001, Tecnología de la información - Técnicas de seguridad - Sistemas de gestión de

la seguridad de la información y la ISO/IEC 27003, Tecnología de la información - Técnicas de seguridad
- Seguridad de la información. La orientación para la aplicación del sistema de gestión proporciona los
requisitos y la orientación para la aplicación, respectivamente.

Anexo A
(informativo)
Preparación para la seguridad cibernética
A. 1 Resumen
Los controles de seguridad cibernética descritos en la cláusula 12 minimizan la exposición de las
organizaciones y los usuarios finales el riesgo para la mayoría de los ataques de ciberseguridad
conocidos. Al surgir los incidentes de seguridad cibernética, el marco para el intercambio de información
y la coordinación descrito en la cláusula 11 prevé el establecimiento de un sistema de intercambio de
información y coordinación para preparar la respuesta a los sucesos de seguridad cibernética e
incidentes. Esa información está adecuadamente protegida entre la IPO y la IRO. Si bien estos
controles reducen el riesgo y mejoran el manejo y la gestión de los incidentes, los ciberdelincuentes u
otros malhechores continuarán desarrollando nuevos ataques o evolucionando los actuales para
superar las existentes protecciones. Por consiguiente, también es importante que las organizaciones
apliquen sistemas e infraestructuras que permiten un enfoque más dinámico y riguroso de la detección
de ataques a la seguridad, la investigación y respuesta.
La norma ISO/CEI 27031 proporciona orientación sobre los sistemas de gestión y los procesos conexos
para preparar una los sistemas de TIC de la organización para detectar y responder a los nuevos
acontecimientos en materia de seguridad, incluida la ciberseguridad eventos. En esta directriz se
destacan otros enfoques técnicos aplicables para mejorar una de la organización en el área de la
detección de eventos, a través de la vigilancia Darknet, investigación, a través de Traceback, y
respuesta, a través de Sinkhole Operation. Las organizaciones, en particular las PIBI, deberían
considerar la posibilidad de aprovechar estos enfoques para mejorar su preparación para la seguridad
cibernética y, por lo tanto, estado de la misma.
A. 2 Vigilancia de la Red de Oscuridad
A.2.1 Introducción
A.2.1 Introducción
El Darknet es un conjunto de direcciones IP que no se utilizan en las organizaciones. Las direcciones

IP en Darknet son no asignado a ningún sistema operativo de servidores/PC. Al utilizar paquetes
monitorizados en el IP Darknet las organizaciones podrían observar los ataques de red emergentes,
incluidos los iniciados por software malicioso escaneo, comportamiento de infección de malware y
DDoS Backscatters. Dado que las direcciones IP de la Darknet son público, pero no se asignan a hosts
legítimos, todo el tráfico entrante perteneciente a los dominios IP de Darknet puede inferirse como
consecuencia de actividades maliciosas o de configuraciones incorrectas.
Hay, en general, tres métodos comúnmente utilizados en Darknet para observar las actividades
maliciosas relacionadas con tráfico en Internet, a saber, la vigilancia de los agujeros negros y la
vigilancia de las interacciones de alta y baja intensidad.
A.2.2 Vigilancia de los agujeros negros

La vigilancia de los agujeros negros se refiere a los sistemas de vigilancia que no responden a nada
contra las entradas paquetes que se encuentran dentro de los dominios IP de Darknet. Este tipo de
sistema de vigilancia se utiliza a menudo para observar los puertos de red escaneados por el malware,
y el comportamiento de la infección de malware (UDP con carga útil incluyendo el código de shell) y los
retro dispersores DDoS. El escaneo de puertos de red es a menudo el paso inicial tomado por los
atacantes para buscar sistemas huéspedes vulnerables que puedan ser explotados. La infección de

ISO/IEC 27032:2012(E)
malware. Los comportamientos son normalmente las medidas de seguimiento tomadas por los
atacantes después de identificar al huésped vulnerable sistemas. A menudo se observa que tales
acciones de infección utilizan UDP con carga útil en el agujero negro de la vigilancia. Además, los retro
dispersores DDoS también se observan por medio de la vigilancia de Agujeros Negros en el caso de
falsificación de las direcciones IP de origen (atacantes) y el objetivo de DDoS puede ser reconocido por
esto Dispersa el tráfico. La figura A.1 muestra una captura de pantalla de una visualización de las
actividades del malware detectado por un sistema de monitoreo de Agujeros Negros. Un ejemplo de
enlace de vídeo se puede encontrar aquí: https://www.
youtube.com/watch?v=asemvKgkib4&feature=related.
Figure A.1 — Ejemplo de una visualización de las actividades de malware utilizando una
monitorización de Agujero Negro sistema
Las "flechas" sobre el mapa del mundo (Figura A.1) representan el recorrido de los paquetes IP desde
las fuentes hasta en los lugares de destino. Las diferentes tonalidades (colores en el vídeo) representan
el tipo de paquete (por ejemplo, TCP SYN, TCP SYN-ACK, otros tipos de TCP, UDP, y ICMP). La altitud
de cada flecha es proporcional a su número de puerto.
A.2.3 Monitorización de baja interacción
Un sistema de vigilancia de baja interacción es un sistema de vigilancia Darknet que responde a la
detección de Darknet Paquetes de IP intentando conectar con los sistemas de host sospechosos. El
propósito del intento es obtener más información sobre los sistemas anfitriones atacantes, las rutas de
la red de ataque y otra información de ataque relacionada, si es posible. El sistema de vigilancia suele
estar configurado para se disfraza como un sistema con vulnerabilidades no fijas para atraer ataques.
La supervisión de la interacción baja también se utiliza para observar la reacción posterior de los
comportamientos y actividades maliciosas como la ejecución de Shell Scripts después de los escaneos
iniciales de los puertos de la red.
A.2.4 Monitoreo de alta interacción
Un sistema de vigilancia de alta interacción (también llamado "honeypot de alta interacción") es también
un Darknet que responde a los paquetes IP de Darknet detectados intentando conectarse de nuevo al
sistema de huéspedes sospechosos e interactuar con los sistemas tanto como sea posible. El propósito
de la interacción es para obtener información mucho más profunda, incluyendo la estrategia de explotar
las vulnerabilidades, ejecutables de malware inyectados después de las explotaciones, y el
comportamiento del malware infectante. El alto sistema de vigilancia de la interacción puede
implementarse en sistemas operativos reales o virtuales con vulnerabilidades para que llamen la
atención de los atacantes, sean explotadas, y finalmente capturen las inyecciones muestras de

malware.
A.3 Operación del sumidero

El funcionamiento de un sumidero se define como un método para redirigir el tráfico IP específico a un
dispositivo de sumidero (por ejemplo, router de sumidero) con el propósito de analizar el tráfico, desviar
los ataques y detectar anomalías comportamientos en una red. Por ejemplo, si se interrumpe el
funcionamiento comercial de un sistema de objetivos por medio de un ataque DDoS, una de las
soluciones efectivas es iniciar una operación de Sinkhole inyectando una ruta alternativa para el
objetivo y redirigir el tráfico DDoS a lo largo de la ruta en lugar de permitir que fluyen río abajo hasta el
objetivo original. El dispositivo de sumidero es capaz de absorber, analizar y/o descartando el tráfico
DDoS. La ruta de redireccionamiento del objetivo, que se dirige a un router de sumidero, es
normalmente liberado por un router de frontera BGP. El funcionamiento del sumidero mediante el uso
de la configuración BGP es descrito en la RFC 3882. Una desventaja de este método es que la dirección
IP que está siendo atacada no puede ser utilizado para la comunicación con otros usuarios de la red
hasta que se elimine la ruta.
Las operaciones de Sinkhole se utilizan a menudo para la protección contra los ataques DDoS como
se ha descrito anteriormente. Eso también se ha desplegado para protegerse de los ataques de las
redes de robots, redirigiendo el Mando y Control de las redes de robots a un dispositivo de sumidero.
Ya que cada robot necesita establecer conexiones con un servidor C&C para para recibir instrucciones
de ataque desde un controlador de botnets, envían consultas DNS para resolver la URL de el servidor
de C&C. Entonces los servidores DNS envían una dirección IP del dispositivo de sumidero a los bots
en lugar de la dirección IP genuina del servidor de C&C. En consecuencia, el controlador de la red de
robots está privado de la conexión con los robots para no enviarles instrucciones de ataque.
A.4 Rastreo
a) A fin de automatizar o acelerar el rastreo manual contra ataques maliciosos como los ataques DoS
donde se falsifica el huésped de origen, se han estudiado muchas técnicas de rastreo automático. Las
técnicas de rastreo se reconocen como técnicas que reconstruyen la trayectoria del ataque, y localizan
los nodos atacantes corrigiendo el tráfico de ataque, la información de enrutamiento, los paquetes
marcados o el registro de auditoría de la atacar el tráfico.
b) No hay técnicas de rastreo que puedan reconstruir la ruta de ataque a través de varios dominios
de la red, empleado o practicado en el entorno real de la red de operaciones todavía. Las dificultades
para desplegar técnicas de rastreo interdominio (en varios dominios de la red) se derivan de lo siguiente
cuestiones operacionales:
c) A los efectos del rastreo entre dominios, el intercambio de información delicada como la detallada
la topología de la red troncal puede causar graves problemas a los operadores de redes.
d) Dado que el funcionamiento del rastreo puede estar estrechamente vinculado a la seguridad de
las redes troncales de los proveedores de servicios de Internet, los ensayos arbitrarios de los intentos
de rastreo por parte de personas no autorizadas no serían aceptables para la mayoría de los
proveedores de servicios de Internet. Por lo tanto, existe el temor de un mal uso de la técnica de rastreo
en cada dominio de la red por parte de otros.
e) Si se aplica una única y específica técnica de rastreo entre dominios en varias redes de los
dominios, la única técnica única debe ser desplegada por los Sistemas Autónomos participantes (AS)
al mismo tiempo. Además, los atacantes desarrollarán tarde o temprano ataques de evasión. En la
práctica, muchos proveedores de servicios de Internet emplean múltiples herramientas de detección y
rastreo en sus redes.
f) Los problemas operacionales mencionados surgen cuando un ensayo de rastreo intenta

expandirse más allá de la red límites. Las técnicas de rastreo deben tener en cuenta los límites de la
operación de la red y la diferencia de las políticas operacionales entre los diferentes dominios de la red.
Se cree firmemente que los mecanismos de mitigación de ataques y rastreo de interdominios deben
implementarse de manera ubicua en todo el Internet.

ISO/IEC 27032:2012(E)
g) En el desarrollo de técnicas y sistemas de rastreo entre dominios en la práctica, lo siguiente La

arquitectura de rastreo debe considerarse:
h) Para mantener los límites de la operación de la red, la arquitectura de rastreo debe dejar que cada
AS deciden heredar una solicitud de rastreo por la política operativa de cada AS;
i) La arquitectura de rastreo también debería dejar a cada AS la decisión de investigar o no dentro

de su propio dominio de la red más profundamente;
j) La arquitectura también debería permitir a cada subdominio de un AS decidir si inspeccionar o no

la red de cada sub-dominio por su política de funcionamiento. La operación de rastreo consumirá
muchos recursos en los EA relacionados; por lo tanto, la arquitectura de rastreo no debería generar o
inundar solicitudes sin sentido si es posible; por lo tanto, la arquitectura de rastreo no debe reenviar la
solicitud mensajes a las ASes que no tienen relación con el ataque montado;
k) Con el fin de reducir el daño de los abusos, el mensaje no debe transmitir tan sensible información
que podría causar la fuga de secretos o la confianza de un AS; por lo tanto, el rastreo la arquitectura
no debería revelar información sensible de un AS a otros;
l) Incluso cuando se produzca un mal uso o una acción comprometida, la trazabilidad del mensaje
identificará el infractor, por lo tanto, un mensaje intercambiado en la arquitectura debe tener su propia
trazabilidad a probar o confirmar los emisores;
m) Si la arquitectura depende de una técnica de rastreo específica, los atacantes desarrollarán

evasión ataca y oculta la ubicación de los nodos del atacante. Para superar los ataques de evasión, el
rastreo la arquitectura debe ser independiente de las técnicas específicas de rastreo;
n) Muchos sistemas operativos vienen a soportar la pila dual IPv4 / IPv6, y vienen varios ataques a
través de un túnel 6to4 IPv6. Si la arquitectura de rastreo no puede rastrear ataques en el IPv6 red o
ataques a través de algunos traductores, la mayoría de los ataques cambiarán a un complejo tan
complejo ataque. Por lo tanto, la arquitectura de rastreo debe rastrear un ataque en una pila dual
entorno, incluso cuando el ataque emplea algunas técnicas de traducción de direcciones;
o) Para automatizar el proceso de mitigación de ataques, la arquitectura debería poder exportar el

resultado de un juicio de rastreo como desencadenante de la mitigación del ataque. Por lo tanto, la
arquitectura de rastreo debe permitir que cada AS realice otra acción junto con un resultado de
seguimiento, como un filtro u otro rastreo;
p) La arquitectura debe tener la capacidad de cooperar con los sistemas de detección o protección
sistemas;
q) Un atacante puede cambiar el patrón del tráfico de ataque para evitar el efecto de tales acciones
atenuantes. Combatiendo con los cambios de un ataque complejo, el tiempo dedicado a trazar
una ruta de ataque debe ser lo más corto posible Por lo tanto, la arquitectura debería excluir a los
seres humanos tanto como sea posible.

Anexo B
(informativo)
Recursos adicionales
B. 1 Referencias sobre seguridad en línea y antispyware

Hay varios sitios web a los que se puede hacer referencia y aprovechar para obtener más información sobre
la seguridad en Internet y la ciberseguridad. A continuación, figura una lista no exhaustiva de ejemplos:
- Coalición antispyware (http://www.antispywarecoalition.org/) - Un grupo dedicado a la construcción de un
consenso sobre las definiciones y las mejores prácticas en el debate sobre los programas espía y otras
tecnologías potencialmente no deseadas. Compuesto por empresas de software anti-espía, académicos y
grupos de consumidores, el ASC busca reunir una diversa gama de perspectivas sobre el problema del control
de los programas espía y otras tecnologías potencialmente no deseadas.
- APWG (http://www.antiphishing.org) - Un sitio educativo y de concienciación sobre el Phishing que

proporciona
Libros blancos actualizados trimestralmente sobre tendencias de ataques, distribución, impactos y noticias.
- Be Web Aware (http://www.bewebaware.ca) - Programa nacional de educación pública bilingüe sobre
La seguridad en la Internet tiene por objeto garantizar que los jóvenes canadienses se beneficien de la Internet,
al mismo tiempo que se mantienen seguros y responsables en sus actividades en línea.
- Centro para el Uso Seguro y Responsable de Internet (http://csriu.org) - Organización de divulgación
servicios que se ocupan de las cuestiones de la utilización segura y responsable de la Internet.
- Childnet International (http://www.childnet-int.org) - Organización sin ánimo de lucro que trabaja en
asociación con otros en todo el mundo para ayudar a hacer de Internet un lugar grande y seguro para los
niños.
- ECPAT (http://www.ecpat.net) - Red de organizaciones e individuos que trabajan juntos para
eliminar la explotación sexual comercial de los niños.
- GetNetWise (http://www.getnetwise.org) - Servicio público ofrecido por una coalición de la industria de

Internet
empresas y organizaciones de interés público que desean que los usuarios estén a sólo "un clic" de los
recursos que necesitan para tomar decisiones informadas sobre su uso de la Internet y el de su familia.
- Alianza Mundial para la Infraestructura de la Seguridad en Internet (GIAIS)

(http://www.microsoft.com/security/
msra/default.mspx) - Una alianza de algunos proveedores de servicios, que se han organizado para mejorar
la seguridad y la protección en la Web, gestionar las amenazas de forma coherente en un amplio espectro, e
identificar y mitigar las vulnerabilidades existentes.
- INHOPE (http://inhope.org) - Asociación internacional que presta apoyo a las líneas telefónicas directas de
Internet en su objetivo de
responder a las denuncias de contenido ilegal para hacer más segura la Internet.

ISO/IEC 27032:2012(E)
- Grupo de Seguridad en Internet (www.netsafe.org.nz) - El sitio web de NetSafe es el hogar en línea del
Grupo de Seguridad de Internet de Nueva Zelanda (ISG) y Héctor el Protector.
- Interpol (http://www.interpol.int) - Organización internacional de policía que facilita el intercambio

transfronterizo
cooperación policial, y apoya y ayuda a todas las organizaciones, autoridades y servicios cuya misión es
prevenir o combatir la delincuencia internacional.
- iSafe (http://www.isafe.org) - Líder mundial en educación sobre seguridad en Internet; incorpora el aula
con un dinámico programa de divulgación en la comunidad para capacitar a los estudiantes, los maestros, los
padres, las fuerzas del orden y los adultos interesados en hacer de Internet un lugar más seguro.
- ISECOM (http://www.isecom.org) - Metodologías gratuitas y de código abierto (FDL) sobre la
Pruebas de seguridad (evaluación de vulnerabilidad, prueba de penetración, hacking ético), Evaluación de

Riesgos Técnicos (RAVs, etc.). El ISECOM dirige el OSSTMM (Open Source Security Testing Methodology
Manual), un estándar mundial de facto para la ejecución de pruebas de seguridad de TI/TIC
(http://www.osstmm.org).
- COP (http://www.itu.int/cop/) - La Protección de los Niños en Línea (COP) es un proyecto especial llevado a
cabo por
La UIT (Unión Internacional de Telecomunicaciones) y otros organismos especializados/firmas, que

proporcionan directrices de seguridad para: Niños, padres, tutores y educadores, la industria y los
responsables políticos.
- Microsoft Security At Home (http://www.microsoft.com/protect) - Información y recursos para
ayudar al público a proteger sus computadoras, a sí mismos y a sus familias.
- El Instituto Nacional de Tecnologías de las Telecomunicaciones, INTECO
(http://www.inteco.es, http://cert. inteco.es, http://www.osi.es, http://observatorio.inteco.es) - Servicio público

gratuito ofrecido por una administración pública española para promover la confianza y la seguridad en Internet
para los ciudadanos, las PYMES, los técnicos, los niños, etc., a través de un Equipo de Respuesta a
Emergencias Informáticas (INTECO-CERT), un Servicio de Ayuda a la Seguridad de los Ciudadanos (OSI) y
un Observatorio de Seguridad de la Información.
- Net Family News (http://netfamilynews.org) - Servicio público sin fines de lucro que proporciona un foro y
"kid¬".
noticias tecnológicas" para padres y educadores en más de 50 países.
- NetAlert Limited (http://www.netalert.net.au) - Organización comunitaria sin fines de lucro establecida por
al gobierno australiano para que proporcione asesoramiento independiente y educación sobre la gestión del
acceso a los contenidos en línea.
-NetSmartzKids (http://www.netsmartzkids.org) - NetSmartz es una seguridad interactiva y educativa
recurso del Centro Nacional para Menores Desaparecidos y Explotados (NCMEC) y el Club de Niños y Niñas
de América (BGCA) para niños de 5 a 17 años de edad, padres, tutores, educadores y fuerzas de seguridad
que utiliza actividades tridimensionales apropiadas para cada edad para enseñar a los niños cómo estar más
seguros en Internet.
- Saferinternet.be (www.saferinternet.be) - Este sitio web ofrece información útil sobre los principales
riesgos y contenidos nocivos a los que pueden enfrentarse los menores de edad en línea y en el ámbito de
las TIC en general (también a través de las redes de telefonía móvil, etc.), es decir, la pornografía infantil, el

racismo y la discriminación, las sectas, las prácticas comerciales ilegítimas y las estafas y, por último, los
riesgos técnicos. El sitio web, que también presenta estrategias para abordar correctamente estos riesgos,
consta de varias secciones que se centran en diversos grupos destinatarios. Ofrece, entre otras cosas, fichas
pedagógicas y técnicas para los educadores (padres y profesores), juegos para niños (de 6 a 12 años) y un
sitio web completamente separado (web4me.be) para adolescentes.
- SafeKids.com (http://www.safekids.com) - Recursos para ayudar a las familias a hacer de Internet y
tecnología divertida, segura y productiva.
- StaySafe.org (http://www.staysafe.org) - Sitio educativo destinado a ayudar a los consumidores a entender
tanto los aspectos positivos de la Internet como la forma de gestionar una variedad de cuestiones de seguridad
que existen en línea.
- UNICEF (http://www.unicef.org) - Defensor mundial de la protección de los derechos de los niños dedicado
a la prestación de asistencia humanitaria y de desarrollo a largo plazo a los niños y padres de los países en
desarrollo.
- WebSafe Crackerz (http://www.websafecrackerz.com) - Juegos interactivos y rompecabezas diseñados
para ayudar a los adolescentes y ofrecer estrategias para hacer frente a diferentes situaciones en línea,
incluyendo el spam, el phishing y las estafas.

ISO/IEC 27032:2012(E)
B. 2 Lista de muestra de contactos de escalada de incidentes

En el cuadro B.1 infra figura una lista no exhaustiva de ejemplos de contactos de escalada de incidentes de
seguridad en Internet:
Tabla B.1 - Lista de ejemplos de información de contacto de escalada de seguridad

Organizaciones Contacto
Cisco Systems Inc. mailto:safetyandsecurity@cisco.com

http://www.cisco.com/security
Microsoft Corporation mailto:avsubmit@submit.microsoft.com

mailto:secure@microsoft.com
Forum of Incident Response and http://www.first.org/about/organization/teams/

Security Teams (FIRST)
Respective national CERT teams (e.g.)
National Institute of http://cert.inteco.es

Telecommunications Technologies,
INTECO, Spain (English: http://cert.inteco.es/cert/INTECOCERT 1/?postAction=getCertHome )
Telecom-ISAC Japan https://www.telecom-isac.jp/contact/index.html
KrCERT/CC (Korea Internet http://www.krcert.or.kr/index.jsp

Security Center

Anexo C
(informativo)
Ejemplos de documentos conexos
C. 1 Introducción
En el presente anexo figura una lista no exhaustiva de ejemplos de documentos que pueden ser útiles al
examinar la cuestión de la ciberseguridad. No pretende ser una lista completa de las normas internacionales e
informes técnicos sobre ciberseguridad.
C. 2 ISO y IEC
Tabla C.1 — Sistemas de gestión de la seguridad de la información

Referencia Titulo
ISO/IEC 27000 Tecnología de la información - Técnicas de seguridad - Sistemas de gestión de la

seguridad de la información - Descripción y vocabulario
ISO/IEC 27001 Tecnología de la información - Técnicas de seguridad - Sistemas de gestión de la

seguridad de la información - Requisitos
ISO/IEC 27002 Tecnología de la información - Técnicas de seguridad - Código de práctica para la

gestión de la seguridad de la información
ISO/IEC 27003 Tecnología de la información - Técnicas de seguridad - Guía de aplicación del sistema
de gestión de la seguridad de la información
ISO/IEC 27010 Tecnología de la información - Técnicas de seguridad - Gestión de la seguridad de la

información para comunicaciones intersectoriales
Table C.2 — Gestión de los riesgos
Referencia Titulo
Tecnología de la información - Técnicas de seguridad - Gestión de riesgos para la seguridad de la
ISO/IEC 27005
información
Ingeniería de sistemas y programas informáticos - Procesos del ciclo de vida - Gestión del riesgo
ISO/IEC 16085
Table C.3 — Evaluación de la seguridad de la tecnología de la información
Referencia Titulo
Tecnología de la información - Técnicas de seguridad - Criterios de evaluación de la seguridad informática
ISO/IEC 15408
Tecnología de la información - Técnicas de seguridad - Metodología para la evaluación de la seguridad
ISO/IEC 18045 informática
Tecnología de la información - Técnicas de seguridad - Evaluación de la seguridad de los sistemas operativos
ISO/IEC TR 19791
Table C.4 — Garantía de seguridad
Referencia Titulo
Tecnología de la información - Técnicas de seguridad - Un marco para la garantía de la seguridad
ISO/IEC TR 15443
informática
Ingeniería de sistemas y software - Sistemas y aseguramiento de software
ISO/IEC 15026

ISO/IEC 27032:2012(E)
Table C.5 — Diseño y aplicación

Referencia Titulo
ISO/IEC 12207 Ingeniería de sistemas y software - Procesos del ciclo de vida del software
ISO/IEC 14764 Ingeniería de Software - Procesos del ciclo de vida del software - Mantenimiento
ISO/IEC 15288 Ingeniería de sistemas y software - Procesos del ciclo de vida del sistema
ISO/IEC 23026 Ingeniería de Software - Práctica recomendada para Internet - Ingeniería de sitios web,
administración de sitios web y ciclo de vida de sitios web
ISO/IEC 42010 Ingeniería de sistemas y software - Descripción de la arquitectura
Table C.6 — Subcontratación y servicios de terceros

Referencia Titulo
ISO/IEC TR 14516 Tecnología de la información - Técnicas de seguridad - Directrices para la utilización y

gestión de servicios de terceros de confianza
ISO/IEC 15945 Tecnología de la información - Técnicas de seguridad - Especificación de los servicios

TTP de apoyo a la aplicación de firmas digitales
Table C.7 — Seguridad de las redes y aplicaciones
Referencia Titulo
Tecnología de la información - Técnicas de seguridad - Seguridad de la red informática
ISO/IEC 18028
ISO/IEC 18043 Tecnología de la información - Técnicas de seguridad - Selección, despliegue y operaciones de

sistemas de detección de intrusos
ISO/IEC 27033 Tecnología de la información - Técnicas de seguridad - Seguridad de la red
Tecnología de la información - Técnicas de seguridad - Directrices para la seguridad de las

ISO/IEC 27034
aplicaciones
Table C.8 — Gestión de la continuidad y de los incidentes
Referencia Titulo
Tecnología de la información - Técnicas de seguridad - Gestión de incidentes de seguridad de la
ISO/IEC TR 18044
información
ISO/IEC 24762 Tecnología de la información - Técnicas de seguridad - Directrices para los servicios de
recuperación en caso de desastre de la tecnología de la información y las comunicaciones
ISO/IEC 27031 Tecnología de la información - Técnicas de seguridad - Directrices para la preparación de las TIC
para la continuidad del negocio
Tecnología de la información - Técnicas de seguridad - Gestión de incidentes de seguridad de la

ISO/IEC 27035
información
Table C.9 — Gestión de la identidad
Referencia Titulo
ISO/IEC 24760 Tecnología de la información - Técnicas de seguridad - Un marco para la gestión de la identidad
Table C.10 — Privacidad

Referencia Titulo
ISO/IEC 29100 Tecnología de la información - Técnicas de seguridad - Marco de privacidad
Table C.11 — Gestión de activos

Referencia Titulo
ISO/IEC 19770 Tecnología de la información - Gestión de activos de software

Table C.12 — Gestión de los servicios
Referencia Titulo
ISO/IEC 20000 Information technology - Service management
C.3 ITU-T
Table C.13 — Ciberseguridad

Referencia Titulo
ITU-T X.1200 - Serie X: Redes de datos, comunicaciones y seguridad de sistemas abiertos, seguridad
X.1299 Series de las telecomunicaciones - seguridad del ciberespacio
ITU-T X.1205 Serie X: Redes de datos, comunicaciones y seguridad de sistemas abiertos, seguridad
de las telecomunicaciones - Visión general de la ciberseguridad
Table C.14 — Gestión de la continuidad y de los incidentes
Referencia Titulo
ITU-T X.1206 Serie X: Redes de datos, comunicaciones y seguridad de sistemas abiertos, seguridad de las
telecomunicaciones - Un marco neutral para la notificación automática de información relacionada
con la seguridad y la difusión de actualizaciones
Table C.15 — Software no deseado
Referencia Titulo
ITU-T X.1207 Serie X: Redes de datos, comunicaciones y seguridad de los sistemas abiertos, seguridad de las
telecomunicaciones - Directrices para los proveedores de servicios de telecomunicaciones para
hacer frente al riesgo de programas espía y software potencialmente no deseado
Table C.16 — Spam
Referencia Titulo
Serie X: Redes de datos, comunicaciones y seguridad de sistemas abiertos, seguridad de las
ITU-T X.1231
telecomunicaciones - Estrategias técnicas para contrarrestar el spam
telecomunicaciones - Tecnologías para contrarrestar el correo electrónico no deseado
telecomunicaciones - Marco técnico para contrarrestar el correo electrónico no deseado
telecomunicaciones - Aspectos generales de la lucha contra el spam en aplicaciones multimedia
basadas en IP
Table C.17 — Intercambio de información sobre seguridad cibernética
Referencia Titulo
Serie X: Redes de datos, comunicaciones de sistema abierto y seguridad - Intercambio de

ITU-T X.1500 -X.1598
información sobre ciberseguridad
Series (CYBEX)
NOTA A partir de septiembre de 2011, dado que el trabajo del CYBEX está actualmente en curso en el UIT-T, sólo están
disponibles como Recomendaciones o proyectos las Recomendaciones X.1500, X.1520, X.1521 y X.1570. En el futuro
habrá varias más, por lo que se recomienda a los usuarios que comprueben el sitio web del UIT-T para obtener la
información más reciente disponible.

ISO/IEC 27032:2012(E)
Bibliografía
[1] An Autonomous Architecture for Inter-Domain Trace back across the Borders of Network Operation
(iscc06)
[2] IETF RFC 3882, Configuring BGP to Block Denial-of-Service Attacks
[3] ISO Guide 73:2009, Risk management — Vocabulary
[4] ISO/IEC 12207:2008, Systems and software engineering — Software life cycle processes
[5] ISO/IEC 15408-1, Information technology — Security techniques — Evaluation criteria for IT security —
Part 1: Introduction and general model
[6] ISO/IEC 19770-1, Information technology — Software asset management — Part 1: Processes and
tiered assessment of conformance
[7] ISO/IEC TR 19791, Information technology — Security techniques — Security assessment of

operational systems
[8] ISO/IEC 20000-1, Information technology — Service management — Part 1: Service management
system requirements
[9] ISO/IEC 27001, Information technology — Security techniques — Information security management
systems — Requirements
[10] ISO/IEC 27002, Information technology — Security techniques — Code of practice for information
security management
[11] ISO/IEC 27005, Information technology — Security techniques — Information security risk
management
[12] ISO/IEC 27010, Information technology — Security techniques — Information security management for
inter-sector and inter-organizational communications
[13] ISO/IEC 27031, Information technology — Security techniques — Guidelines for information and
communication technology readiness for business continuity
[14] ISO/IEC 27033 (all parts), Information technology — Security techniques — Network security
[15] ISO/IEC 27034 (all parts), Information technology — Security techniques — Application security
[16] ISO/IEC 27035, Information technology — Security techniques — Information security incident
management
[17] ISO/IEC 29147, Information technology — Security techniques — Vulnerability disclosure1)
[18] ISO 31000, Risk management — Principles and guidelines
[19] ITU-T X.1200 - X.1299, Series X: Data Networks, Open System Communications and Security,
Telecommunication Security - Cyberspace security
[20] ITU-T X.1500 - X.1598, Series X: Data Networks, Open System Communications and Security -
Cybersecurity Information Exchange
1 ) Under preparation.

01 - Iso - Iec - 27032 - 2012 - Español

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

01 - Iso - Iec - 27032 - 2012 - Español

Cargado por

Copyright:

Formatos disponibles

ESTÁNDAR ISO/IEC

DOCUMENTO PROTEGIDO POR DERECHOS DE AUTOR

© ISO/IEC 2012 – Todos los derechos reservados iii

© ISO/IEC 2012 – Todos los derechos reservados iii

— respondiendo a los ataques.

— elementos clave de las consideraciones para establecer la confianza,

— una visión general de la seguridad cibernética,

— Delito relacionado con Internet.

EJEMPLO 1 No se aborda la protección de los elementos de la infraestructura, como los portadores de

© ISO/IEC 2012 – Todos los derechos reservados 7

comunicaciones, que sustentan el ciberespacio.

ISO/IEC 27000, Tecnología de la información — Técnicas de seguridad — Sistemas de gestión de la seguridad

4.3 proveedor de servicios de aplicaciones

4.4 servicios de aplicación

4.5 software de aplicación

4.7 representación avatar de una persona que participa en el Ciberespacio

© ISO/IEC 2012 – Todos los derechos reservados 8

4.9 potencial de ataque

4.10 vector de ataque

4.11 ataque mezclado

4.12 robot bot programa de software automatizado utilizado

NOTA Un navegador web puede ser un cliente o un servidor.

4.17 contramedida de control

© ISO/IEC 2012 – Todos los derechos reservados 9

económicas. Puede incluir la protección de las personas o de los activos.

4.20 Seguridad ciberespacio de ciberseguridad

NOTA 2 Adaptado de la definición de seguridad de la información en ISO/IEC 27000:2009.

4.22 Servicios de aplicaciones en el ciberespacio

4.24 software engañoso

EJEMPLO 1 Un programa que secuestra las configuraciones de usuario.

EJEMPLO 3 Adware y spyware.

4.28 colección de redes de internet de redes interconectadas

NOTA Hay una diferencia entre la definición de "un Internet" e "Internet".

4.30 Delitos en Internet

© ISO/IEC 2012 – Todos los derechos reservados 10

4.32 Seguridad en Internet

4.33 Servicios de Internet

4.34 Organización proveedora de servicios de Internet que proporciona servicios de Internet a un

4.35 software malicioso malware

EJEMPLOS Virus, gusanos, troyanos.

4.36 contenidos maliciosos

relaciones [ISO 9000:2005]

NOTA 1 En el contexto de esta Norma Internacional, un individuo es distinto de una organización.

NOTA El phishing se puede lograr mediante ingeniería social o engaño técnico.

4.39 acitvos fisicos que tiene un existencia tangible o material

4.40 software potencialmente no deseado

© ISO/IEC 2012 – Todos los derechos reservados 11

4.44 Partes interesadas

[Guía ISO 73:2009]

4.45 Partes interesadas

4.47 caballo troyano troyano

4.48 correo electrónico no solicitado

4.49 representación de activos virtuales activo en el Ciberespacio

4.50 activos virtuales monetarios de monedas virtual

4.53 zombie zombie zombie ordenador drone

© ISO/IEC 2012 – Todos los derechos reservados 12

CBT Formación basada en computadoras

CERT Equipo de Respuesta a Emergencias Informáticas

CIRT Equipo de respuesta a incidentes informáticos

CSIRT Equipo de respuesta a incidentes de seguridad informática

CIIP Protección de la infraestructura de información crítica

DoS Denegación de servicio

DDoS Denegación de servicio distribuida