ESTANDAR INTERNACIONAL ISONEC 27032:2012 “Traduccion no oficial ~ Uso académico Primera edicién: 2012/07/16 Realizada por: Ing. uan Carlos Angarita C, MEE. Uso exclusivo para procesos de formacion desarrollados por Integrated Management Systems SAS. Information tachnolagy Security techniques Guidelines for cybersecurity TABLA DE CONTENIDO PREFACIO . 2 InTRopuccI6N } 3 1 ALCANGE 4 2 APLICABILIDAD 4 21 Auencia ) 4 22 __Limitaciones 4 3. REFERENCIAS NORMATIVAS 5 4 _TERMINOS Y DEFINICIONES ~ 5 5 TERMINOS ABREVIADOS 9 6 GENERALIDADES a0 61 Intoduccion 30 62 Naturales del clberoapacio : n 63. Naturlezade la ibersegurided ut 64 Modelo general 2 65 Enfome 4 7 LAS PARTES INTERESADAS EN EL CIBERESPACIO 14 11 Generaidades 14 72 Clientes 15 73. Proveedores 5 8 ACTIVOSEN EL CIBERESPACIO 15 81 Generaidades 45 0.2 Activ persenales 16 83 Actos organizacionales 16 9 AMENAZAS CONTRA LA SEGURIDAD EN EL CIBERESPACIO v7 81 Amenazas ” 82 Agenies de amenaze 8 83 Vulnerabiidades 18 84 Mecanismos de ataque Fe 10 _ ROLESDE LAS PARTES INTERESADAS EN CIBERSEGURIDAD 20 101 Generaidades 20 102 Roles de os cientes 20 103. Ko ae 0s proveedores 2 ‘11 GUIAS PARA PARTES INTERESADAS 2 111 Goneradades 2 11.2 Evaluecon y tratamiento de riesges 23 41.3 Guies para cientes 24 11.4 Guies para organizaciones y proveedores de servicios 25 42. CONTROLES DE CIBERSEGURIDAD 2 121 Generadades 28 422 Control de nivel de aplicacn 29 123 _Proteccén de servidores 29 124 —Contoles de usvai fal 29 ° ISO/IEC 27032:2012 - Traduccién no oficial de uso académico Autor: ng. Juan Carlos Angarta C., ME. (cac2000@hotmall com) Prohibdasu copa oreproducié no autoriadaosuateracin en general125. Controles frente a ataques de ingenieria social 30 126 — Preparacién para a ciberseguridad 33 127 _ Otros controles 33 43. MARCO DE REFERENCIA PARA COMPARTIR Y COORDINAR INFORMACION 34 431 Generalidades 34 122 Palltioas 34 13.3 Metodos y procesos 35 484 Personas y organizaciones 36 135 Técnico : 37 136 Disetlo 38 Q 1 ISO/IEC 27032:2012 - Traduccién no oficial de uso académico ‘Autor: Ing. Juan Carlos Angarta C., M.E.(jec2000@hotmai.com) Prohibia su copia 0 repredueein no autarizada osu alteracin en generalPREFACIO. |8O (La organizacion intemacional para la estanderizacién) y la IEC (Comision Internacional Electrtécnica) conforman el sistema especializado para la estendarizacion a nivel global, Los organismos nacionales miembros de ISO 0 IEC pariipan en el desarolo de estandares intemacionales a través de comités técnicos establecidos por las respectivas organizaciones para tratar temas particulares de la anivdad térnica, Lae enmités técnicos do ISO @ IEC eolaboran on campos do intorbo mutuo, ras organizaciones intemacionales, de gobierno y no gubemamentales, en alianza con !SO e IEC, también toman parte en este trabajo. En el campo de las tecnologias dela informacién, ISO e IEC han establecido un comitétécnico conjunto, ISCEC. atc. Los esténdares intemacionales son redactados de acuerdo oon las reglas esteblecidas en las directives ISONEC parte 2. La tarea principal del comité técnico conjunio es preparar estandares intemacignales. Los borradores de los esténdares internacionales requieren aprobacion de al menos el 75% de los organizaclones nacionales con opcion de voto. Se lama la atencién sobre la posibilidad en la cual algunos de los elementO$"de este(ocumento pueden estar sujetos de derechos de patente. ISO e IEC no son responsables por la ideniicacion de una ojcualqul&ta de tales derechos de patente. ISO/IEC 27032 fue orenarado poral com trnion enjnin ISCUIEC.IT 4, Inegiantechelegy, eubeBmke SC 27, 1T Socuty oohniquos. 2 'S0/IEC 27032:2012 - Traduccién no oficial de uso académico Autor: Ing. Juan Carlos Angarita C., M.E. (jcae2000@hotmail.com) Prohibida su copa reprodiceion no autoraads ou alercinen generalINTRODUCCION El ciberespacio es un ambiente complejo resuitante dela interaccion de personas, software y servicios en intemet, soportado por tecnologias fisicas de la informacién y las comunicaciones (TIC) distrbuidas a nivel global, asi como disposttvos y redes conectadas. Sin embargo, existen asuntos de seguridad de la informacién no cubietas por las actuales précticas en seguridad de la informacion, seguridad en intemet. seguridad en redes v seauridad en TIC. debido a la existencia de vacios en estos, dominios, asi como falta de comunicacién entre organizaciones y sus proveedores en el cberespacio. Esto se debe principalmente a que los dispositvos y redes conectadas que soportan el ciberespacio tienen miltiples propetaros, cada uno con sus propios asuntos de negocio, de la operacién y regulatorio, Los diferentes enfoques asignados por cada organizacion y proveedor en el ciberespacio en dominios releventes de la seguridad donda/poCa8 entradas, o ninguna, han sido tomadas por parte de otras organizaciones, lo cual a tenido como resultado un estado actal de seguridad fragmentado para el cberespacio. Por ello, la primera area de enfoque de este estandar internacional es atender-fa seguridad en el ciberespacio 0 asuntos de ciberseguridad los cuales se concentran en reducir as brechas ents oferéntes cominios de seguridad en el ciberespaci. En particular, este estandarintemacional provee guia técnica para alendeiesgos teMiunes de cerseguridad, incluyendo: ‘Ataques de ingenieria social = Hacking; = _Proiferacin de software malicioso (‘malware’); = Spyware; y ~ ros tipos de software potencialmente no daseados La guia técnica provee controls para atender estos riesgos,incluyefdo Contbles para: =) = Prepararse ante etaques tales como, por ejemplo, malvaré, delincuehies indvidualés;-t organizaciones criminales en internet: = Detectary monitorear ataques:; y , + Responder a atagques, - ) La segunda area de enfoque de este esténdar internacional es la colaboracién debida a que hay una necesidad de compartir y coordinarinformacién de forma eficiencia y eficaz, asi como de manejo de incidentes, entre las partes interesadas en el ciberespacio. Esta colaboracion debe suceder de forma segura y confable de forma que igualment protej la privacidad de los indivdues interesados. Muchas de estas partes inteesadas pueden residr en diferentes ubicaciones geogréficas y zonas horarias, y estan gobernadas por diferentes requisitos reguiatoros, Las partes interesadas incluyen: = Clientes los cuales oueden de diversos tioos de oraanizaciones @ individuos: v = Proveedores, los cuales incluyen proveedores de servicios. Por ello, este estindar internacional también provee un marco de referencia para = Compantcinformacién; Coordinacin; y = Manejo de incidentes, El marco de referencia incluye! ~ Elementos clave para establecer confianza: = Los procesos necesarios para colaboracién, intercambio y el compartir informacién, ast como ~ _ Requisitos técnicos para la ntegracin e ntsroperabildad de sistemas entre diferentes pares interesadas. Dado el alcance de este esténdar intemacional, los contoles suministrados son necesarios a un alto nivel. La espedificacion detallada de esténdares y guias apicables a cada érea son referenciadas dentro de este esténdar internacional para su posterior guia 3 ISO/IEC 27032:2012 - Traduccién no oficial de uso académico ‘Autor: Ing. Juan Carlos Angarita C.,.M.E. (cac2000@hotmailcom) Prohibia su copia o reproduceiinno autorizada osu ateracin en genera,‘TECNOLOGIA DE LA INFORMACION — TECNICAS DE SEGURIDAD — GUIAS PARA LA CIBERSEGURIDAD 1 ALCANCE Este estandar internacional provee guia para la mejora del estado de la ciberseguridad, considerando los aspectos Gnicos de esa actividad y sus dependencias con otros dominios de seguridad, en particular: + Seguridad de la informacion, ~ Seguridad de redes, : + Seguridad en intemet, y = Proteccién de inraestructura crtica de informacion (ClIP) E incluye practices de seguridad de linea base para las partes Inetesada¥"@h ciberespacio. Este esténdar infemacional Provee Una vision general de la ciberseguridad, = Una explicacin de las relaciones entre ciberseguridad y otros tibos de seguridad, ~ Una definicion de partes interesadas y una descrpcion de sus foles en cibétseguridad, ~ Guia para atender asuntos comunes de ciberseguridad, y } + Un matoo de referencia para facilitar la colaboracién de las pales nt@resadas’én la soli de asuntos de ciberseguridad, 2 APLICABILIDAD 24° Audiencia Este esténdar intemacional es aplicable a proveedores de servicios'en el’Ciberespacio»t@ audiencia, sin embargo, incluye los clientes que usan e80s servicios, Cuando las organizaciones proven servicios en el ciberespacio a personas para su uso en ‘casa o en otras organizaciones, eos pueden necesitar preparar guias basadas en este esténdar intemecional que contengan cexplicaciones adicionales 0 ejemplos suficientes para permit al lector entender y actuar sobre ellos 22 Limitaciones ste estandar internacional na ationde: = Ciberseguridad (enfoque Cibersafety), = Ciererimen, > CIP, ~ Seguridad en internet (intemet safety), y = Crimen en intemet. Se entiende que existenrelaciones entre fos dominios mencionados y la ciberseguridad. Sin embargo, esté fuera del alzance de este esténdar inemacional atender esas relaciones y compartir controls enive esos dominios. Fe impnitante anntar que, aunqun ¢a mancinna al anncania de eiharviman, bela na es alana Feta esténvar infernanional na provee quia en asgectos relacionados con normatividad juridica en el ciberespacio 0 regulaciones de ciberseguridad. La quia suministfada en este estandar intemacional se limita al desarrollo del ciberespacio en Internet, incluyendo sus extremos de ‘conexién. Sin embargo, no se incluye la extensién del ciberespacio a otras representaciones espaciales como medios y plataformas de comunicacion ni los aspectos de seguridad fsica de ellos. Ejemplo 1: Proteccion de elementos de infraestructura, tales como portadores de sefial, que, aunque operan en el ciberespacio no son atendidos. Ejemplo 2: No se atiende la seguridad fisica de teléfonos méviles que se conectan al ciberespacio para descarga ylo ‘manipulacion de contenidos. Ejemplo 3: No sa atiand los sistemas de mensajes de texto y vo7 existantes en teléfnnas méviles. 4 1SO/IEC 27032:2012 - Traduccién no oficial de uso académico Autor: Ing. Juan Carlos Angarita C., ME. (cac2000@hotmail.com) Prohibie su copia o reproduccién no autorizada osu altracin en general3 REFERENCIAS NORMATIVAS Los siguientes documentos referenciados son indispensables para la aplicacién de este documento. Para obtener referencias, ~actualizadas, aplica la itima edicién del documento referenciado (incluyendo cualquier enmienda) ISQMEC 27000, Information technology - Security techniques - Information secunty management systems - Overview and vocabulary 4 TERMINOS Y DEFINICIONES Para los propésitos de este documento, ls términos y definiciones indicados @rr ISO/IEC 27000 y ls siguientes, aplican: 44 Adware c Aplcacién que muestra publicidad a los usuarios ylo recolecta comporfamient dl isuario en linea Nola: La aplicacion puede estar instalada o no con conocimientoly congentimighf6 el usuario oforzado a haverl a través de los términos de licenciamiento de ott sofware. 4.2 Aplicacién Solucién TI que incluye software de aplicacién, datos de aplicacién y-procedliils, visefiados para ayudar alos usuarios de la corganizacion a realizar tareas particulares o manejar tipos partialares de problemas de T] al @utomatizar un proceso o funcién de negocio [ISONEC 27034-1:2011] poe © QQ) 4.3 Proveedor de servicios de aplicacién DI e= Operador que prove una solucin de software alojada que suministra Servicios ¢8apicaetdn que incluyen los modelos basalos ‘en la web asi como clente-servider. 44 Ejemplo: Operadores de juegos en linea, proveedores de aplicaciones de ofimatica y provéédores de almacenamiento en linea, 44 Servicios de aplicacion fo) Software con funcionalidad suministrada por demanda a susoriptores médiante-un modélo.en linea que inciuye aplicaciones: basadas en la web o clente-servicer. 4.5 Software de aplicacién ‘Software disefiado para ayudar a los usuarios a realizar tareas especificas o manejar tipos especifions de problemas, distinto al software que controla al equipo de cbmputo por si mismo. [SOMEC 18019) 46 Activo Cualquier cosa que tiene valor para un indviduo, organizacién o gobierno, Nota: Adaptado de ISOVIEC 27000 para asegura la separacién entre gobiemo y organizaciones (4.37) 47 Avatar Representacin dela paticipacion de una persona en el ciberespacio, Nota 1: Un avatar también puede ser referido como el alter ego de una persona, Nota 2: Un avatar también puede ser visto como un ‘objeto’ que representa la encamacion del usuario, 48 Ataque Intento de destruccion, exposiciin, alteracin, inhabillacién, robo, obtencion de acceso no autorizado 0 uso no autorizado de un activo. [ISONEC 27000:2009] 439 Potencial del ataque Potencial percibido del éxito de un ataque una ver lanzado, en términos de la experticia, recursos y motivacién del atacante, [ISOMEC 15408-1:2005} 4.10 Vector de ataque Ruta 0 mecanismos por os cuales un atacante puede obtener aoceso a un equipo de cémputo o servidor de red para entregar tna salida malciosa, 5 ISO/IEC 27032:2012 - Traduccién no oficial de uso académico ‘Autor: Ing. Juan Carlos Angarita C., MLE. (jcac2000@hotmail.com) rohibida eu copa o reprodcion no autriaadao su aercén en gener4.11 Ataque mixto (0 hibrido) ‘Ataque que busca maximizar la severidad del dafio y velocidad del contagio al combinar milliples métodos de ataque 4.12 Bot | Robot Programa de software automatizado empleado para realizar tareas espectficas Nota 1: Elmina es a menudo usadin para deseritr programas, usualmente ojocutadoc on un aervider, que automatizen tarees {ales como reenvio y ciesiicacén de correo. ‘Nota 2: Un bot también puede ser descrito como un programa que actia gomo-agente para un usuario o un programa que simula una actividad humana. En internet, los bots mas ubicuas son programas que acceden sits web y recopilan su contenido para indexadores de motores de bisqueda, también lamados spiders o crawi6fS. "= 4.13 Botnet ; Software de control remoto, especificamente una coleccidn dé ols mlicios0s” que corren de forma auténoma o automética en los equipos de cdmputo comprometdos. 7 4.14 Cookin 7 - Capacidad o tiquete en un Sistema de control de’acces6 4.15 Cookie <(PSec> Datos intercambiados por ISAKMP para prevenir aféques de dénegation délServcio durante la actividad de establecimiento de una asociacién de seguridad. CO) ) 4.16 Cookie C Datos intercamblados entre un servidor HTTP y un navegador para aliiacenarnformacion de estado en el lado del cliente yrecuperaio posteiormente para uso enol servidor. Nota: Un navegartor puede ser eliania a garvidar = ~ 4.17 Control | Contramedida - Mecanismos para gestionar el resgo incluyendo polices, provedimientos!guias,-practioas o-éstructuras organizacionales, las cuales pueden ser de naturaleza administratva, tecnica, de gestion, o legal. {ISO/EC 27000:2008) NOTA: La guia ISO 73:2009 define contol simplemente como una medida que modifica el riesgo, 4.18 Cibercrimen ‘Actividad criminal donde los servicios o aplicaciones en el ciberespacio son usados para o son el blanco de un crimen, 0 donde cl ciberesnacio es la fuente, herramienta, hlancn 9 lgar da ralizacién del erimon. 4.19 Ciberseguridad (Cybersafety) Condicién de estar protegido contra consecuencias de tino fisico, social, espirtual,financiero, politico, emocional, ocupacional siool6gico, educacional o cualquier otro tipo proveniente de falas, datios, errores, accidentes, traumas 0 cualquier otro evento en el ciberespacio que pudiese ser considerado no deseable, Nota 1: Esta puede tomar la forma de estar protegido frente al evento o de la exposicién a algo que pueda causar pérdidas ‘econ6micas o en la salud, Esta puede inclu a proteccién de personas o de actives. Nota 2: La seguridad (safety) en general es igualmente definida como el estado de certidumbre en el cual los afectos adversos ‘no serén causados por agentes bajo condiciones definidas, 4.20 Ciberseguridad | Seguridad en el ciberespacio Preservacién de la confidencialidad, integridad y disponibilidad de la informacién en el ciberespacio. Nota 1: Ademés, se podrian involucrar otras propiedades como autenticidad, responsabilidad (demostrada), no repudio y Cconfiabilad, Nota 2: Adaptado de la definicion de seguridad de la informacién en ISOEC 27000:2009, 4.21 El clberespacio Ambiente complejo resultante de la inleraccion de personas, software y servicios en Intemet por medio de dispostives 'tecnoligicos y redes conectadias a Intemet, por lo cual no existe en forma fisica alguna. 6 1SO/IEC 27032:2012 - Traducci6n no oficial de uso académico Autor: ng. Juan Carlos Angarita C., ME. (cec2000@hotmal.com) rohibda su copia oreproducidn no autorzadao su akeracién en general4.22 Servicios de aplicacién en el ciberespacio Servicios de aplicacion (4.4) suministrados en el ciberespacio 4.23 Ciber-usurpador Individuos u organizaciones que registran y mantienen URLs que representan referencias o nombres de otras organizationes en ‘el mundo real o en elciberespacio. 4.24 Software engafioso Software que realiza actividades en el equipo de cémputo de un usuario sitnotifcar antcipadamente al usuario exactamente qué es lo que va a realizar ni solctar consentiiento al usuario sobre esas eqCiOnes, jemplo 1: Un programa que secuestra configuraciones de usuario. Ejemplo 2: Un programa que causa e! surgimiento de publicidad lo cual no puede Sr facimente detenido por el usuario. Ejemplo 3: Adware and spyware, 5 4.25 Hacking ~ ‘cin de accede intencionalmente el sistema de un equipo de cSt sine attrizac Usuario o el propetaro 4.26 Hactivismo Hacking motivado por propésites poticos o sociales. 4.27 Activo de informacién CConocimiento 0 datos que tienen valor para el indviduo u organizaciomy ) > Nota: Adaptado de ISONEC 27000:2008. ¢ seed om UW 4.28 internet | internetwork Colecoién de redes interconectadas, Nota 1: Adaptado de ISOMEC 27U3%3-1:2009 Nota 2 En ese coneso, se dehera hacer referencia a “nlemet-Hay difrentla ghia Gefricén de “una internet y "el internet” 4.29 El internet Sistema global de redes interconectadas en el dominio publico. {ISONEC 27033-1:2009] Nota: Hay diferencia entre la definicion de ‘una internet’ y “el internet” 4.30 Crimen en internet ‘Actividad criminal donde 10s Servicios 0 aplicaciones en intemet Son usados para o son el blanco de un ermen, o donde internet ‘8 la fuente, herramienta, blanco o lugar de ocurrencia del crimen. 4.31 Seguridad en internet (Internet safety) Condicin de estar protegido contra consecuencias de tipo fisico, social, espirtual, financier, politico, emocional, ocupacional, sicol6gico, educacional o cualquier otro tino proveniente de falas, dafos, erores, accidentes, traumas 0 cualquier oto evento en cl ciberespacio que pudiese ser considerado no deseable. 4,32 Seguridad en internet Preservacién de la confidencialidad, itegridad y disponibiidad de la informacion en Internet 4333 Servicios de internet Servicios entregados a un usuario para permitir su acceso a Internet a través de una direccin IP asignada, a cual tipicamente incluye autenticacién, autorizacion y servicios de nombre de dominio, 4334 Proveedor de servicios de internet Organizacién que provee servicios de internet a un usuario y permite el acceso de sus clientes a Internet. Nota: Esto algunas veces es referdo como un proveedor de acceso a internet. 7 1SO/IEC 27032:2012 - Traduccién no oficial de uso académico ‘Autor: Ing. Juan Carlos Angarita C., ME, (ac2000@hotmail.com) Prahibde su copia repodicein no autorzada osu akeracién en general4.35 Malware | software malicioso ‘Software disefiado con intencién malcioso e incluye caraceristicas o capacidades que potencialmente pueden causes dato, directa oindirectamente, al usuario o a sistema del equipo de cémputo del usuario } Ejemplo: Virus, gusanos, troyanos. 4.38 Contonide malicioc Aplicaciones, documentos, archivos, datos y olfos recursos que tienen caracteristicas 0 capacidades maliciosas incrustadas, distrazadas u ccuitas en elias, 4.37 Organizacién. Grupo de personas y faclidades con un acuerdo de responsabilidades, auloridades'y relaciones, [180 9000:2006] Nola 1: En el contexto de este estndar internacional, un individu €8 distinto &faorganizacin. Nota 2: En general, el gobierno es también la organizacion. En el talext dé este esténdar interacial, el gobiemo puede ser ‘sonsiderado por separado de otras organizaciones por claridad 4.38 Phishing (Suplantacion de identidad) Proceso fraudulento de intentar adquir informacién privada o confidencial al esand (como la organizacion de conflanza en ‘comunicaciones electrénicas. Nota: El phishing puede ser realizado empleando ingenieria socialo engafo ttt. © 4.39 Activo fisico Activo que tiene una existencia tangible o material Nota: Los actives fisicos hacen referencia al efectvo, equipos, invéntaros._propiedades"de propiedad de un individuo u crganizacion El software se considera un activ intangible o activo nosio. 4.40 Software potencialmente no deseado. Sofware, incluyendo software malcioso y no malcioso, que muestra caracarstcaS de\Softfar@lengatoso. 4.44 Scam (estafa) Fraude o truco frente ala confianza 4.42 Spam (Mensajeria no deseada) ‘Abuso de sistemas de mensajeria electro pare enviar de forma no ciscriminaga mensajes no soitados.. Nota: Mientras que la forma mas ampliamente reconocda de spam es el spam de correo electrénico, el término es aplicado a abusos similares en otros medios: mensajeria instanténea, grupos de noticias, motores de bisquada, blogs, wiki, mansajaria da {eléfonos méviles, foros de internet y ransmisiones basura por fax 443 Spyware ‘Software engafioso que recoleta informacion privada o confidencial de un equipo de computo de un usuario. Nota: La informacién puede inclir temas tales como sitios web mas visitados 0 informacion més sensible como, claves de aceso. 4.44 Stakeholder (partes interesadas) - Persona u organizacién que puede afectar, ser afectada,o percibirse afectada por una decisin o actividad. {150 Guide 73:2009} 4.45 Stakeholder (partes interesadas) Individuo u organizacion que tlene un derecho, paricipacién,reclamacién o interés en un sistema o en posesion de ccaraceristicas, que cumplen sus necesidades y expectativas. {ISONEC 122072008] 4.46 Amenaza ‘Causa potencial de un incidente no deseado, el cual puede resultar en el dafio a un sistema, individuo u organizacién, "Nota: Adaptado de ISOVIEC 27000:2009, 8 ISO/IEC 27032:2012 - Traduccién no oficial de uso académico ‘Autor: Ing. Juan Carlos Angarta C., M.E. (jcae2000@hotmailcom) ‘ronbid su copa o reproduccion no autortoda su alteracion en general4.47 Troyano | Caballo troyano Malware que aparentemente realiza una funcién deseable 4.48 Correo electrénico no deseado. Correo electronico que no es bienvenido, o que no fue solctado o invtado a ser enviado. 4.49 Activo virtual Representacién de un activo en el ciberespaci. Nota: En este contexto, el dinero puede ser definido como un medio de intercambio o una propiedad que tiene valor en un “ambiente especfico, tales como juegos de video 0 en ejercicos de simulacion 86 Regocios financieros, 4.50 Dinero virtual Activos virtuales monetarios. 451 Mundo virtual ‘] - . ‘Ambientes simulados accedides por miltiples usuarios a través dé"Uria. inerazentnes ) Nota 1: Los ambientes simulados son a menudo interactivos, a ‘Nota 2: E] mundo fisico en el cual las personas residen, y las caracteisicas YelaCionadaé seran referenciados como el "mundo real’ para diferenciarios de un mundo virtual. - . 4.52 Vulnerabilidad 1 Debidad de un activo 0 control que puede ser expltado (aprovathado) or ufadfenara [ISONEC 27000:2009) cn 4.53 Zombie | Zombie computer | Drone cc Equipo de cmputo que contene software ocuito que permite e-conirol remota de la figuina, usualmente para realizar un ataque 2 otto equipo de compute Nota: Generalments, una méquina comprometida es solo unie-de~muchgs.. er ung oly y sera utiizada para realizar actividades malciosas bajo direcciones remotas. 5 ‘TERMINOS ABREVIADOS Los siguientes términos abreviados son empleados en este esténdar internacional: AAS Autonomous System / Sistema aut6nomo ‘AP Access Hoint unto de acceso (CBT Computer Based Training / Entrenamiento basado en computador CERT Computer Emergency Response Team / Equipo de respuesta a emergencias en sistemas de cOmputo CCIRT Computer Incident Response Team / Equipo de respuesta a incidentes en sistemas de cdmputo SIRT Computer Security Incident Response Team / Equipo de respuesta a incidentes de seguridad en sistemas de cbmputo CIP Ctical Information infrastructure Protection / Proteccion de inftaestructura critica de informacién oS Denialot Service / Denagacién de servicio (DDoS Distributed Denialot-Servce / Denegacién cistribuida del servicio HIDS Host-based Intrusion Detection System / Sistema de deteccién de inrusos basado en el huésped |AP independent Application Provider / Proveedor independiente de aplicaciones ICME Internet Control Message Frotocol/ rotocolo de contol de mensajes en mternet ICT Information and Communications Technology / Tecnologias de i nformacin y las comunicaciones IDS Intrusion Detection System / Sistemas de deteccion de intrusion IP Intemet Protocol Protocolo de intemet IPO Information Providing Organization / Organizacin proveedora de informacion IPS Intrusion Prevention System / Sistema de prevencién de intrusion IRO information Receiving Organization / Organizacién receptor dela informacion ISP Internet Service Provider / Proveedor de servicios de intemet ISV Independent Software Vendor / Vendedor independiente de software IT Information Technology / Tecnologia de la informacion 9 1SO/IEC 27032:2012 - Traduccién no oficial de uso académico Autor: Ing. Juan Carlos Angarta C., M.E. (jcac2000@hotmall.com) Prohbia 3 copa © repreducciéa no autorzada osu ateracin en generaMMORPG Massively Mutiplayer En linea Role-Playing Game / Juego de rol en linea masivo NDA Non-Disclosure Agreement / Acuerdo de no divuigacion SSDLC Software Development Life-cycle / Ciclo de vida de desarrollo de software ‘SSID Service Set Identfer/Identficador del conjunto de servicios TCP Transmission Control Protocol /Protacolo de control de transmision LRP Ligar Ratagram Protaral | Prntnenln da datagramas de wsria URI Uniform Resource Kientifer dentficador unforme de recursos URL Uniform Resource Locator /Localizador uniforme de recursos 6 GENERALIDADES 6.4 Introduccién ; La seguridad en intemet y en el ciberespacio ha sido un toma dé interdS"6¥Eciente, Les partes interesades han estado ‘tablecionda cv prosoncia on ol ciberespacis a travbs de siiog Ue y ahsfarestan infeofarvin apmvachar el muna virial suministrado por el ciberespacio. Ejemplo: Incrementar ef nimero de indviduos que gastan cantidades.de temo cof Sus aaiares viuales en MMORPGs, Mientras algunos indviduos son cuidadosos en el manejo de si ifdad ef line’, muchas personas proveen detalles de sus perfles personales para comparttos con otros. Los pertles, en muchos sitios, ef particular en stios de redes sociles y sales ‘de chal, pueden ser descargados y almacenados por otras partes, ESlo puede levar ala creacién de un catalog digital de datos personales que pueden ser mal ulizados, divuigados @ otras partes, 0 usados para recaleeién secundaria de datos, Mientras ‘qe la exactiude integridad de estos datos es cuestionable, ellos crean eniates a indviddes y organizaciones que a menudo no pueden ser ramplatamanta alminaeos Ine actiaies dacarrline-ea-lns.slaminios de I4"pomuniaciin. el entretenimiento, el ‘ransporte, el comerci, las finanzas, los seguros y la Salud, cream tiesgos & las.partes intéfesadas en el ciberespacio. Por elo, los lesgos pueden ser asociados con périda de la privacidad La convergencia de las tecnologias de la informacién las comunicaciones, la faclidad de entrar en el ciberespacio, y la cisminucion del espacio personal entre indviduos, estén llamando la atencién de delincuentes individuales y las organizaciones criminales. Estas entidades estén usando mecanismos actuales, tales como el phishing, spam y Spyware, asi_ como ‘desarrllando nuevas técnicas de ataque, para aprovechar cualquier debiidad que puedan encontrar en el cberespacio. En afos recientes, los ataques de seguridad en el ciberespacio han evolucionados del hacking sobre aspectos personales hacia el ‘timen organizado, 0 cbercimen, La gran abundancia de herramientas y procesos anteriormente observados en incidentes rielados de cihersegurdad estén siendo ahora usados, de forma conjunta. en ataques hibridos. a menudo en obietivs de laroo ‘alcance malicioso. Estos objetves varian desde ataques personales, robo 0 secuesto de identidad, aude financieros 0 bos, al hactivsmo politico. gualmente, han surgido foros especializados para resaltar potenciales asuntos de seguridad lo cual ha ‘servido como virina de técnicas de ataque y de oportunidades criminales. Las miltiples modalidades de transacciones de negocios que son realizadas en el ciberespacio se han convertido en el blanco de organizaciones del cibercrimen. En un amplio rango de servicios business-2-business, business-2-consumer hasta consumer- 2-consumer, los riesgos presentes son inherentemente complejos. Conceptos tales como qué consituye una transaccion o un acuerdo dependen de la interpretacion de la ley y como cada parte interesada en la relacion gestiona su responsabiidad. A menudo, el asunto del uso de los datos recolectados durante la transaccién o relacién no es atendido edecuadamente, Esto peda lavar, evenialmante, a aeunios de segura tales enma fuga de informacion, Los relos legales y t2onicos planteados por estos asuntos de ciberseguridad son de amplio alcance y globales por naturaleza Tales relos solo pueden ser atendldos al reunir la comunidad técnica de seguridad de la informacion, la comunidad juridica, las naciones y comunidad de naciones, para alcanzar una estrategla coherente, Esta estrategia deberia considerar el rol de cada part interesada y as iniiativas existentes, en un matco de cooperacién internacional Ejemplo: Un ejemplo de un reto surge del hecho en el cual la ciberseguridad permite la anorimidad vitual y el siglo en los leques, dfcutando la deteccién. Esto incvementa fa dfcutad para que indviduos y organizaciones establezcan confianza y Telaciones, asi como en agencias del gobiemo para reformar polticas relacionadas. Ain si fa fuente del ataque pudiese ser faterminada, Ine acini juridiens mes ala dla fronteras a menuido euitan avances en investigaciones y devotaciones, 10 ISO/IEC 27032:2012 - Traduccién no oficial de uso académico ‘Autor: Ing. Juan Carlos Angarta C., MLE. (jcac2000@)hotmall com) rohibida w copa o reproduc no autoizada osu alteracin en generalEl avance actual para atender estos retos ha sido obstaculizado por muchos asuntos, donde tales asuntos de ciberseguridad estén en incremento y evolucion continua. Mientras abundan las amenazas en ciberseguridad, y aunque hay varias formas de contarlas, de forma no estandarizada, el enfoque de este estandar internacional se ubica en los siguientes asuntos clave: ~ _Ataques por software malicioso y potencialmente no deseado; = Alaques de ingeniaria social: y = Elhecho de compartir ycoordinar informacion. ' Adicionalmente, se discutiran brevemente algunas herramientas de ciberseguridad en este esténdar internacional. Estas herramientas y areas se relacionan de forma cercana con la prevencién, detetclén} respuesta e investigacién al cibercrimen. Se pueden encontrar detalles adicionales en el Anexo A. 6.2 Naturaleza del ciberespacio l El ciberespacio puede ser desorito como un ambiente virtual, ebdual nd existe’6h fStma fii, J mas all, un ambiente o espacio complejo resuitante de la convergencia del Interne, las personagylas arganizacones,y actividades, en todo tio de dispositvos tecnolégicos y redes que estan conectads. La seguridad en el eberespacio; 0 ciberseguridad, trata sobre la seguridad de este mundo vital Muchos mundos vitusles tienen una moneda viual, la cual es Gada para adgiifr elementos on el juego. Usualmenie hay un valor en el mundo real asociado a a moneda virial e inclusg- 16s elementos en eljuege, Esos elementos viruales son frecuentemente intercambiados mediante moneda virtual en sitio§ de subastas en linea y alguies juegos incluso tienen un canal oficial con tasas de cambio oficial de monedas virtuales y reales para el intercambio de ‘elementos virtuales. A menudo, estos canales de monetizacién de tales mundos virtuales son un blanco-para ataques. usualmente mediante phishina u otras técnicas ppara robo de informacién de las cuentas. 63 Naturaleza de la ciberseguridad Las partes interesadas en el ciberespacio deben asumir un rol activo, mas alld de la proteocién de sus propios actives, para que prevalezcan los beneficos del ciberespacio. Las aplicaciones en el ciberespacio se estén expandiendo més all de los modelos. Business-2-Consumers y Consumers-2-Consumers, a una forma de interaccin y transaccién muchos a muchos. Los requisitos de preperacion para atender ls riesgos y retos emergentes en seguridad estén en expansién tanto para individuos como para corganizaciones para poder eficazmente prevenir y responder al mal uso y aprovechamiento criminal. La ciberseguridad se tlaiona cn las aoones que las pats iteresadas deboran etrrealzando para estblecer y mantener la sequen el espacio, La cibersegurdad se basa en la seguridad de la informacién, seguridad de aplicaciones, seguridad de redes y seguridad del Inlernet como bioques fundamentales. La ciberseguridad es una de las actividades necesarias para CIP y, a la vez, la proteccién adecuada de los servicios de infraestructura critica contrbuye a las neoesidades de seguridad basica (ej. Seguridad, ‘confabldad y dlsponibilidad de inreestructura critica) para alcenzar las metas de la cberseguridad, La ciberseguridad no es, sin embargo, sindnimo de seguridad de intemet, seguridad de red, seguridad de aplicaciones, ‘seguridad de informacién o CIIP. Ela tiene un aleance tinico que requiere que las partes interesadas desemperien un rol activo para mantener, sino mejorar, la utlidad y confianza del ciberespacio. Este estandar itemaconal diferencia la cibersequridad y Jos ottos dominios de seguridad asi: = La seguridad dela informacion se enfoca en la proteccién de [a confidencialidad,integridad y disponiblidad de la informacion en general, para atender las necesidades de los usuarios de la informacion pertinentes. ~ La seguridad de aplicaciones es un proceso llevado a cabo para aplcar controles y medidas a las aplicaciones de la orgenizacién para gestionar los iesgos de su uso. Los contfoles y medidas pueden ser aplicados a la aplcacién en si misma (sus procesos, componentes, software y resutados), a sus datos (datos de configuracion, datos del usuario y datos de la ‘organizacién), ya toda tecnologia, procesos y actores involucrados en el ciclo de vida de la apicacion. it ISO/IEC 27032:2012 - Traduccién no oficial de uso académico Autor: Ing. Juan Carlos Angarita C.,.NLE. (cac2000@hotmail com) Prohicis 0 ela oreprodedén no autora osu altraeén en general= La seguridad de redes se interesa en el disefo,implementacion y operacion de redes para llevar a cabo los propésitos de la ‘seguridad de la informacion en redes dentro de las organizaciones, entre organizacin, y entre organizaciones y usuario. ~ La seguridad ce internet se relaciona con la proteccion de servicios relacionados con Intemety sistemas TIC relacionados ‘como una extension de la seguridad en redes en organizacional y en el hogar, para alcanzar los propbsitos de seguridad. La ‘seguridad en intemet también asegura la cisponibiidad y confiabilidad de los servicios de Internet. = CIP se intoroza on Ia proteccién de sistemas que son proporcionados u operados por proveedores de inraestructira erica, {ales como energia,telecomunicaciones y empresas de agua. CIIP asegura que 650s sistemas y redes estan protegidas y son reslentes frente @ riesgos de seguridad de la informacién, rlesgos de seguridad en redes, riesgos de seguridad en Internet, asi como riesgos de clberseguridad La figura 1 resume la relacién entre la cibersegurided y otros dominios d@"seguridad. La relacion entre esos dominios de seguridad y la ciberseguridad es complela. Algunos de los serviclos de infraesineciyra critica, po elemplo, agua y transporte, no nnecesariamente impactan el estado de ciberseguridad directa o signifcativamente. Sin embargo, las falas en la cibersegurided pueden tener un impacto negativo en la disponiblidad de sisterigSde infraéstruciua critica de informacion suministrados por proveedores de infraestructura critica, Cybercrime Information Security Por otro lado, la disponibildad y confiabilidad del ciberespacio se basa, de muchas formas, en la disponiblidad y confiabilided de servicios de infraestructura critica, tales como la infreestructura de red de telecomunicaciones. La seguridad del clberespacio esta tambien relacionada con fa seguridad del intemet, de las redes empresariales y de hogar y la segundad ge fa informacion ‘en general, Se deberia considerer que los dominios de seguridad identficados en esta seccién tienen sus propios objetivos y alcance de enfoque. Para tratar los asuntos de ciberseguridad, se requiere una comunicacion y coordinacién sustancial ente diferentes entidedes privadas y piblces de diferentes paises y organizaciones. Los servicios de infraestructura cica se consideran como servicios relacionados con la seguridad nacional por algunos gobiernos, y por elo no se permite su discusion o divulgacion abiertamente. Adicionalmente, el conocimiento de debilidades de infraestructura crea, si no se use apropiadamente, puede tener una implicacion directa en la seguridad nacional. Por ello es neceserio un marco de referencia para compartir informacion 0 coordinar asuntos ¢ incidentes para reducir las brechas para un adecuado aseguremiento de las partes interesadas en el ciberespacio. 64 Modelo general 644 Introduccién Esta clausula presenta un modelo general usado a lo largo de este estandar intemacional. Esta cléusula asume la existencia de Cie conocimiento de seguridad y no busca ser un tutorial en esta area Este esténdar internacional discute a seguridad usando un conjunto de conceptos y terminologia de seguridad. Es.un pre- requisito el entendimiento de esos conceptos y terminologia para el uso eficaz de este esténdar internacional. Sin embargo, los Cconceptos por si mismos, son muy generales y no se busca restingt la clasifeacion de problemas de seguridad en Ta los ‘uales este estandar internacional es aplicabl. n ISO/IEC 27032:2012 - Traduccién no oficial de uso académico ‘Autor: Ing, Juan Carlos Angarita C., ME. (jcac2000@hotmall com) riba su copia oreproducckn no avtorzada osu aeration en general642 — Contexto general de seguridad La seguridad se interesa en la proteccién de los actvos de los riasgos, miantras que las amenazas son categorizadas como el potencal abuso de los actvos protegidos. Se deberlan considerar todas las categorias de amenazas, pero en el dominio de la Seguridad se debe prestar especial atencién a aquellas amenazas relacionadas con actividades malicosas y otras actividades hhumanas. La figura 2ilustra estos conceptos y relaciones de alto nivel, Nota: La fgura 2 es adapta de ISOMEG 15408-1206, Infomation technology — Secury techniques — Evaluation crea for IT securly — Part 1: Introduction and general model. para reducir 8 \ 1 ! 1 c puede ' Pusde: i redlucido por ne i ' 1 Vuinarnbilidadian fn ' lievan a La proteccién de actives de interés es responsebildad de las partes interesadas que han asignado valor a es0s actvos. Los agentes de amenazas, actuales 0 presuntos, pueden igualmente asignar valor en tales activos y buscar abusar esos activos en Torma conirana a los infereses de las panes interesacas aplioaoies. Las partes imeresadas perotoran tales ameriazas como el tencial de incapacitar os actvos de forma que se reduzca el valor de los actvos para las partes interesadas, La reduocién de Capacidad cominmente incluye, pero no se limita a, divulgacion dana del activo a receptores no autorzados (pérdida de confidencialdad), dafo al activo @ través de modificacién no autorizada (pérdida de integridad) 0 negacién de acceso al activo (pérdida de disponibilidad). Las partes interesadas evalian los riesgos considerando amenazas aplicables a sus activos. Este andlisis puede ayudar a la seleccidn de controles para contrarrestar los riesgos y reducirlos a un nivel establecido. 3B ISO/IEC 27032:2012 - Traduccién no oficial de uso académico ‘Autor: Ing, Juan Carlos Angarita C.,.N.E. (cac2000@hotmail. com) ‘Prohiblcs su copia a eprodicién no autortada osu alteracin en generalLos controles son impuestos para reducir wnerablidades o impactos, y para alcanzar requisites de seguridad de las partes interesadas (de forma directa o indirecta al proporcionar ineamientos @ otras partes). Pueden persisir vulnerabiidades resivales luego de la imposicion de controles. Tales vuinerabiidades pueden ser aprovechadas por agentes de amenaza lo cual representa un nivel residual de riesgo a los actives. Las partes interesadas busoarén minimizar ese riesgo dada otras restrcciones.. Las partes interesadas necesitan tener conflanza sobre la idoneidad de los controles para enfrentar las amenazas @ los acivos antes de permit la exposicion de los activos alas amenazas indicadas, Las partes interesadas pueden no tener, por si mismas, la capacidad de juzgar todos los aspectos de los conttoles y, por lo tanto eden buscar evaluacion de los controles usando “organizaciones externas, 65 — Enfoque Una forma eficaz para enfrentar los riesgos de ciberseguridad inv6luéfe una éomibinacion de miiples estrategias, considetando las diversas partes interesadas. Estas estrategias incluyen: = Mejores précticas de la industria, con colaboracién de todas-las’ partes Iiteresadas fafa identificar y atender asuntos y riesgos de ciberseguridad; = Abordar la educacion del cliente y los empleados, suministrando’ recursos d@ Confianza sobre cbmo identficar y tender riesgos especifioos de ciberseguridad dentro de la organizaci6h, asi como été! ciberespacio; y = Innovar en soluciones tecnoldgicas para ayudar a proteger & [68 clientés de ataques conocides de ciberseguridad, para permanecer actualizados y para estar preparados frente a nuevos aprovechamtientos. . Esta guia se enfoca en proveer mejores practicas de la industia y une educacion amplig-ayctientes y empleados para asistr a las partes interesadas en el ciberespacio en el desempevio de un. rol activo para atender los fetes de la clberseguridad. Esta quia inchiye oui en: — + Roles; f) ~ Policas; wt = Métodos; = Provesos; y = Controles teenicos aplicables. La figura 3 provee una vision general de los puntos sobresalientes en el enfoque aplicado en este esténdar internacional, Este estandar internacional no esté pensado para ser usado directamente para proveer educacion a los clientes. En su lugar, est ensado oara ser usado por proveedores de servicios en el ciberespacio, asi como en organizaciones que proveen educacién relacionada con el civerespacio a los clientes para preparar material de estudio para educacion de los clientes, related education to consumers, to prepare materials for broad consumer edu Consumers = Individuals Organizations = Private = Public Personal = Physical Assets = Virtual Assets Providers internet Serview Provisers| Organizational PPhvsical Assets 7 _ LAS PARTES INTERESADAS EN EL CIBERESPACIO TA Gener idades El ciberespacio no tiene propietario; cualquiera puede participar y tener una parte en él. Para los propésitos de este esténdar intornadianal,lae pares interacarlae an el charegpacin se categerizan en los siguientes grupos: 14 1SO/IEC 27032:2012 - Traduccién no oficial de uso académico ‘Auto: Ing. Juan Carlos Angarta C., ME. (cac2000@hotmall.com) Prehibda su copa oreproducinnoautoriadaosualteracion en generaly = _Organizaciones tanto privadas como piblicas; = Proveedores, incluyendo y sin imitarse a = Proveedores de servicios de internet; y = Proveedores de servicios de aplcacién 7.2 Clientes Como se describe en la figura 3, el trmino clients hace referencia a usuarios Tviduales, asi como organizaciones privadas y piiblica. Las organizaciones privadas incluyen empresas pequefas y medianas (SME) asi como empresas grandes. El gobierno ¥ otras agencias piblicas son reeridas en general como organizaciones publica’, Un individuo o la organizacion llegan a ser un cliente cuando ellog ebeden a ébérespacio o cualquier servicio dlsponibe en el ciberespacio. Un ctente también puede ser un proveedor si, en darnbig, proved" Ui Servicio en el ciberespacio o permite que otro cliente acceda al ciberespacio. Un clente de un mundo virtual puede leaar 'serun préveédor al feclitar la disponibilidad de productos y servicios vituales a oes clientes, - 73 Proveedores EI término proveedor hace referencia a los provaedores de sericid8 "én el cbrespacio, sl odmo proveedores de servicios de internet que permiten a los clientes acceder al ciberespacio y los diversos'servicid8 disponibles en el ciberespacio. Los proveedores también pueden ser entendidos como portadofes'o Mayorisias versus distribyidores y minoristas de servicios de acceso. Esta distincion es importante desde una perspectva,de Seguridad y aplcacionrde ta ley, debido a que en el evento en el cual un distribuidor 0 minaista no pueda proveer sequridad-adecuada o, acceso i Tos,servcios de soporte usualmente son asumidos por el portador 0 mayorista, Entender la naturaleza'derun proweedor espectigg de servicio es un elemento ati en la gestion del riesgo en el ciberespacio. Los proveedores de servicios de aplicacién hacen disponibles sus servicios a través de su software, Estos servicios pueden ‘tomar varias formas e incluir una combinacion de ia siguiente lista no exhaustiva: - Edicién, almacenamientoy distribucién de documentos; = Ambientes virtuales en linea para entretenimiento, comunicaciones ¢ ineraoci6n con oltos usuarios; = Repositorios en linea de contenido digital con servicios de agregacion, indexacién, bisqueda, virina, catélogo, carito de ‘compras y pagos; y ~ Funcién de gestion de recursos empresariales tales como recursos humanos, finanzas, nomina, gestion de la cadena de suministo,relaciones con el liente y facturacion 8 —_ACTIVOS ENEL CIBERESPACIO 81 Generalidades Un activo es cualquier cosa que tiene valor para un indivduo 0 a organizacién. Hay muchos tipos de actives, incluyendo, pero sin iitarse: a} Informacion; )_ Software, tales como programas de computador, €) Fisicos, tales como un equipo de cémputo; 4) Servicios; @} Personas, sus calificaciones, destrezas y experiencia; € 4) Intangibles, tales como la reputacine imagen. Nota 1: A menudo, os actives sin simplemente vistos solo como informacién o recursos, 15 ISO/IEC 27032:2012 - Traduccién no oficial de uso académico ‘Autor: Ing. Juan Carlos Angarta C.,.M.E. (cac2000@)hotmail. com) ‘Prohibissu copa eprodecién no autorzada osu alteacin en generaNota 2: ISO/IEC 15408-1:2005 define un activa como informacion 0 recursos @ ser protegidos por contoles de objetvos de evaluacn (TOE) Nota 3: {SO/IEC 19770-1 ha sido desarrollado para permitr a las organizaoiones demostrar que su software de gestion de activos (SAM) se desempefa de forma suficiente para satisfacer los requisites de gobemanza corporativo y asegura soporte cficaz para la gestion general de servicios de TI. ISONEC 19770 esta pensada para alinearse, de forma cercana y soporta, ISOMEC 20000, Nota 4: ISOEC 20000-1 promueve la adopcién de un enfoque integrado de procesos al establecer, implementar, operar, monitorer, medi, revisar y mejorar un sistema de gestién de servicios (SMS) parael dsefo y enlrega de servicios que apiquen los requistos y necesidades de clientes y del negocto. Para los propésitos de este esténdar internacional, los activos en el ciberespatio'seclasifican en las siguientes clases: Personales: y = Organizacionales. Para ambae claeee, un aetivo pusde adicionalmente ser clasifioadé ine f = Unactvo fisico, el cual existe en el mundo real, o . = Un activo virtual, el cual solo existe en el ciberespacio y no pede ser vst feGado ef el mundo real 82 —_Activos personales - 37 Q Un activo cave vitual esta identidad de un cliente individual SU informacion creditdiae linea. La identidad en linea se considera como un activo dado que es el denier clave para cialqu cen en el cberespacio Owes setives vinualos para rlonins intvulns inrkian refatnning en os rindos vituales..£n los mundos vitals. los miembros a menudo usan avatares viruales para representarse,o identificarse.a si misi0S, 9 acluar en su nombre, A menudo se usen monedas vituales para transacciones Vrales, Eslos‘avetares y, monet pudlen|ser considerados como actives pertenecientes a un cliente individual. ee Se Ejemplo: Algunos bancos operan en mundos vrtuales y reconocen la moneda del mundo virtual como una moneda oficial. El hardware y software de TI, asi como los dispositves digitales personales © puntos finales que permiten a un cliente Cconectarse y comunicarse en el ciberespacio también son considerados activos en el contexto de este estandar internacional. 83 Activa arganizacionales Un aspecto clave del citerespacio es la infraestructure que lo hace posible, Esta infaestuctura es una mala interconectada de redes, servidores y aplicaciones que pertenecen a muchos proveedores de servicios. Sin embargo, la conflabilidad y cisponibiidad de esta infraestructura es critica para asegurar que los servicio y aplicaciones de! civerespacio estan disponibles a todos en el ciberespacio. Mientras que toda infraestructura que permite a un cliente conectarse © acceder servicios en el ciberespacio es considerada un activo fisico que debe ser atendido por este esténdar intemacional existe un traslapo de medidas de seguridad propuestas, por ejemplo, para CIIP, seguridad del intemet y seguridad de redes. Sin embargo, este estandar intemacional se enfocara en asegurar que los asuntos de seguridad que puedan afectar estos actvos organizacionales son apropiadamente alendidos sin enfatizar demasiado otros asuntos que no son parte de este estandar internacional ‘Ademés de los activos fisioos, os actives vrtuales organizacionales se estén haciendo cada vez mas vaiosos. Las marcas en linea y otras representaciones de las organizaciones en el ciberespacio identfican Gnicamente la organizacion en el ciberespacio y son tan importantes como los larillos y el cemento de esa organizacién. Ejemplo 1: La URL de la organizacién einformacién del website son acivas. Ejemplo 2: Los palses han establecdo incluso embajadas en mundos virtuales para protege la representacién del pals. ‘Otros activos organizacionales que pueden estar expuestos en el ciberespacio, por vulnerabilidades, incluyen la propiedad intelectual (formulas, procesos propietarios, patentes y resultados de investigacion) asi como planes y estrategias de negocio (lanzemienta de prodctn,ttieas da marczdea,infermacion competitva.informacién fst v datos de report. 16 1S0/IEC 27032:2012 - Traduccién no oficial de uso académico ‘Autor: Ing. Juan Carlos Angarita C.,.M.E. (cac2000@hotmail.com) Prohbid su copa o eproducién no autorzada osu ateacin en general9 _ AMENAZAS CONTRA LA SEGURIDAD EN EL CIBERESPACIO 9.4 Amenazas 9.1.1 Generalidades Las amenazas que existes en el ciberespacio son discutidas en relacion con los activos en el ciberespacio, Las amenazes en el ciberespacio pueden ser diviidas en dos areas clave: - Amenazas a actvos personales; = Amenazas a activos organizacionales. 94.2. Amenazas a activos personales ag amanazan aloe actos personales oan akededor do seu le deni paride Bla fia o robo de oman personal _ Ejemplo 1; La informacién creditcia puede ser vendida en el mertado-negro, Ib Cuil Bede faciliar el robo de identidad en linea, Sila identidad en linea de una persona es robada o suplantada, 684 persofia puede pear abceso a servicios y aplicaciones clave. En escenarios mas complejos las consecuencias pueden varias desde incidentes financleros hasta de orden nacional. E| ‘acceso no autorizado a informacion financiera personal también abre la Puerta al robo de dinero'y fraude en las personas. tra amenaza es la posiblidad en la cual un punto final sea conyértida en uf z6mbie o un bot: Los disposivos de computacion personal pueden verse comorometidos v convertrse en parte de uma qran botnet... =, Ademas de lo anterior, otras activos virtuales que son blanco de-ataques son.activos personales en mundos virtuales y juegos en linea, Los activos en mundos virtuales o de juegos en linea'son-sujeto dé-ataque y aprovechamiento. Ejemplo 2: Los detalles del avatar y moneda vitual, los cuales pueden ser rastreados y convertidos al mundo real en algunos casos, serian blancos primarios de ataque, ! robo y asalto vitual son algunos de los nuevos términos acuiados para este tipo de ataque. La seguridad, en este caso, dependerd de cuanta informacion del mundo real es accesibe, asi como la defnicon e implementacion del marco de referencia de securidad por es administradores. Como las reglas y regulaciones de proteccién de actives fiscos reales en conexién con el ciberespacio ain estén siendo escritas, aquelas especiicas para actives vituales précticamente no existen. Se debe tener cuidado y atencion adicional por parte de los paricipantes para asegurar protaccion de sus acivos virtuales. 94.2 Amenazas a actives organizacionales La presencia y desarrollo de negocios en linea de las organizaciones son a menudo elegidas como blanco por los delincuentes ‘cuya intencion va mas alla de una simple travesura. jemplo 1: Los grupos organizados de clbercrimen a menudo amenazan las organizaciones con el deribo de sus sitios web 01a generacién de escatnio publico mediante acciones tales como la desfiguracion de sus website (defacement) Ejemplo 2: Si la URL de la organizaciin es registrada o robada por citer-usurpadores y vendida a organizaciones no relacionadas con fa organizacion en el mundo real, se perderia la confianza en linea concedida a la organizacién vietima, En el evento de un ataque exes, la nformacién personal de empleados, clientes, allados o proveedores podria ser divulgeda y derivar en sanciones contra la organizacion si se encuentra que tal informacion fue gestionada o protegida de forma insufciente, contribuyendo a la pérdida, v 1S0/IEC 27032:2012 - Traduccién no oficial de uso académico ‘Autor: ng. Juan Carlos AngaritaC., ME. (jcac2000@hotmal.com) Prohibida su eoplaoreproduccién no atorzada osu alteracion en generalLa pubicacion de regulaciones financieras también puede verse afectada si los resultados son divulgados de forma no autorizada, Los gobiernos mantienen informacion sobre seguridad nacional, asi como sobre asuntos estatégicos, miltares y de inteigencia entre otros tantos elementos relacionads con el gobierno y el estado, asi como una ampla catidad de informacion de indviduos,organizaciones y sociedad en general Fl gobierno daha prntager si infransininiura a infrmarién dol ancesn y aprovachamientaindebido, Ahora, la tendencia erectonte yen expansion de oferta de servicios de gobiemo electonico (e-government) en el citerespacio establece un nuevo canal entre ‘tro, para lanzar ataques ¢ infentos de acoeso a la informacion, ls cuales, si sonextos0s, pueden resutar en resgos serios a la nacién, su gobierno y la sociedad. ‘A mayor escal, ia inraestructura que soporta el internet, y por ende el cibérespaci, también puede ser blanco de ataques. Mientras esto no afecta el funcionamiento del ciberespacio permanentementé 8 afectaré la confiabidad y disponiblidad de la infraestructura lo cual contrbuye ala seguridad del ciberespacio, ‘A.una escala nacional o intemacional, el ciberespacio es un ared|giis donde pf68péra el terorismo, Una de las razones para elo. ‘28 la fected de cemunicacién dada par ol ciherespacio. Dehide 3 18 naturalgxa'delcibafoshatio, ospecificamenta le rotae on la defnicion de mites y fronteras, es dificil regular y controlar la forma-en la cial eden ser usados. Los grupos terrorists pueden comprar legltimamente las aplicaciones, servll6S\y tecurs68 ue faciiten su causa, 0 pueden buscar metas egeles para esepurar e505 recursos para ei la detectn-y asedESW puede incur la adquisin de recursos masivos de equipos de cmputo como botnet, ) 92 Agentes de amenaza j Un agente de amenaza es un individuo 0 grupo de indivduos ‘quertienen "él'en la bjecuatén 0 soporte de un ataque. a entendimiento de su metivacion (eigiosa, police, econémica,.}, Capecidades(conocimiento, fnanciamiento, tama. iereones vers, cimen, explode. co enlaevalisin de Wleaibadesy esas, a como en! esa y despiegue de controles, f 93 Vulnerabilidades Una vulnerabiiad es una debiidad de un activo o control que puede ser explotada (aprovechada) por una amenaza. En el contexto de un sistema de informacién, ISOMEC TR 19791:2006 también define vulnerablidad como una falia, debldad 0 Propiedad del disefo o implementacién de un sistema de informacién (incluyendo sus controles de seguridad) o su ambiente, {que podrian ser aprovechados, infencional ono intencionalmente, para afectar los activos u operacion de la orgenizacin. Las evaluaciones de vuineraoiicaa deten ser una tarea continua, A medida que los sistemas recioen ajustes, actuaizaciones © nuevos elementos, pueden introducirse nuevas vulnerabildades. Las partes interesadas requieren un conccimiento y ‘entendimiento completo del activo 0 contol en cuestion, asi como de las amenazas, agentes de amenaza y riesgos involucrados para poder realizar una evaluacién comprensiva, Nota: ISO/IEC 27005 provee quias para laidentiicacin de vulnerabiidades. Se deberia mantener un inventario de vuinerabilidades conacidas con un protocolo estrico de acceso, preferiblemnente con ‘separacion fisica y logica del activo o control al cual es aplicable. Si sucediera un acceso no autorizado y se viera comprometico 2 inventario de vulnerabilidades, dicho inventario seria una de las herramientas mas eficaoes en el arsenal de un agente de ‘amenaza para perpetrar el ataque. ‘Se deben buscar ¢ implementar soluciones a las vuinerabildades y, cuando no sea posible 0 viable una solucién, asignar los Ccontroles respectvos. Este enfoque debe ser aplicado de forma priontaria de forma que las vulnerabilidades con mayor riesgo sean atendidas primero. Los procedimientos de divuigacién de vulnerabilidades podrian ser definidos bajo el marco para compartir y coardinar informacion de la ciéusula 13 de este estandar internacional. ‘Nota: Un futuro estandar internacional, ISOMEC 29147, provera guia sobre divulgacién de vulnerabiidades. 18, ISO/IEC 27032:2012 - Traduccién no oficial de uso académico ‘Autor: Ing, Juan Carlos Angarita C.,.NLE. (jcac2000@hotmail.com) Prohibide sv copa © repreducin no autorzada osu ateacin en general94 — Mecanismos de ataque 9.41 Introduccion Muchos de los ataques en el ciberespacio son realizados usando software malicioso, tales como spyware, gusanos y virus. La informacion usualmente es recolectada a través de técnicas de phishing. Un ataque ouede ocurrr mediante un vector cnico de ataque 0 realizado usando un mecanismo de alaque hibndo. Estos ataques pueden ser propagados, por ejemplo, mediante sitios web sospechosos, descargas no verficadas, core0s masivos, aproveghamiento remoto y madios removibles infectades. Los ataques pueden provenir desde dos categorias principales: = Ataques desde dentro dela red privada; y = Ataques de fuera dela red privada, Hay casos en los cuales fos ataques son una combinacién desde fanto led interna como fuera de la red privada. Otros mecanismos crecientes para ataque, en uso y soistcacion, son aquellos baBad0S en sitios web de redes sociales y el uso de archivos corruptos en sitios web legtimos. Los indviduos tienden implictamente a contiar en los mensajes y-contenidl ebibdos dé Contactos previamente aceptados en sus perfles de sus redes sociales, Una vez el atacante se disraza a si mismi6 tomo un ontacto legitmo, mediante el robo de identdad, puede invitar a otros y abre una autopista para lanzar les dversos tpos de taqle previamente discutdos. Los sitios web legitimos pueden también ser objetos de hackifig’8e forma BI que alfutos) de sus archivos son alterados, {comuptos) y usados como medios para perpetrar ataques. Los ingividuos tishden a, implictamente confiar en sitos web usvalmente vsitados, a veces marcados como favorites en suf Mavegadayes, e incluso-que cuentan con mecanismes de seguridad tales como SSL. (Secure Sookets Layer). Mientras qué la autenticacién de parte'etegridad de la informacion que se transmit 0 se recibe ain esta activa, SSL no diferencia entre el contenido ogifaly el nubvo contenido alterado, plantado por el atacante, por ende, exponiendo a los usuarios de ese sito web-aalaques: ‘A pesar de la lagitimidad percibida de la fuente, en instancias como-la de arriba,los individuds deben tomar las precauciones indicadas en la Clausula 11 para protegerse mejor a si mismos: 9.42 Ataques desde dentro de la red privada Estos ataques normalmente son lanzados dentro de la red privada de la organizacién, tipicamente la red de rea local (LAN), y puede ser iniciada por empleados o alguien que ha obtenido aoneso a un equipo de cémputo o red dentro de la organizacin. Ejemplo 1: Un posible caso es que los administadores de sistemas aprovechen las ventajas de los privilegios de acceso al sistema, tales como informacion de ciaves de usuano, ¥ os usen para Iniciar un ataque. Por oto lado, los adminisiadres de sistemas pueden legar @ ser e! blanco inicial de un ataque como medio, para el atacante, de obtener informacién adicional (nombres de usuario, contraseas...) antes de proceder a su bianco original. El ataque puede usar mecanismos tales como software de interceptacion de paquetes para obtener coniraserias u ota informacion de identdad. Altemativamente el atacante puede hacerse pasar como una entidad autorizada y actuar bajo la figura de hombre en el medio (man-in-he-middle) para robar informacion de identidad. Ejemplo 2: Un ejemplo es el uso de Access Points (AP) no legitimos para robar identidades. En este caso, el alacante puede sentarse en un aeropuerto, café u otros sitios piblcos para oftecer acceso gratis WiFi. En algunos casos, el alacante puede incluso presentarse como el legitimo propitario de! punto de acceso inalémbrco usando el Service Set |Dentifer (SSID) real. Si Un usuario accede empleando este AP no legitimo, el atacante puede actuar como hombre en el meclo y obtener informacién vvalosa de identidad y contrasenas del usuario, por eemplo, Informacion bancarla y Su contrasena, conasenas d2 correD electrinico, etc. Ejemplo 3: A menudo, es sufciente con estar cerca de una red WiFi no protegida, tales como estaconar un vehiculo fuera de una residencia, para poder rober informacién de la red. ‘Ademas de los ataques lanzados por atacantes humanas, los equipos de cémputo infectados por malware también pueden lanzar varies ataques a los equinos de computo dentro de la red privada. Ejemplo 4: A menudo el malware envia paquetes de escaneo a la red privada para detectar equipos de cémputo a su altededor Y luego tratar de aprovechar los equipos de computo encontrados. 19 ISO/IEC 27032:2012 - Traduccién no oficial de uso académico Autor: Ing. Juan Carlos Angarita C., ME. (jc@¢2000@hotmal.com) Prehibés su copia o reprodvceén no autorzade osu aeracén en generalEjemplo 5: Algunos malware usan el modo promiscuo de intrfaz de red del equipo de cémputo infectado para escuchar el traioofuyendo en lared prvada Ejemplo 6: Los registradores de teclado (Key loggers) son hardware o aplicaciones de software que capturan las pulsaciones del teclado en el sistema blanco, Esto puede ser realizado en secrelo para monitorear las acciones del usuario. Los registradores de teclado @ menudo son ufiizados para capturarinformacién de autenticacion de las pantallas de entrada a las aplicaciones. 943 Ataques desde fuera de a red privada (e.Internet) Hay muchos diferentes ataques que pueden ser lanzados desde fuera de late prtvada, inluyendo Internet. Mientras que el ataque inicial siempre tiene como blanco un sistema expuesto"el piblico (e). Router, servidor, firewall, sitio web...) los atacantes pueden estar buscando aprovechar actives que residen dani dela red privada. Los antiguos métodos de ataque han sido mejorados y se et desarllnido nuevos métodos de forma continua, Los atacantes se estén volviendo mas sofiscados y normalmenta, combinan difetéfites tEcnicas y mecenismos de ataque para ‘maximizar ou éxito, lo oval dificulta aun mae la dotoccién y prevenibh de loe states. Los escéneres de puertos son una de las herramientas mas antiguas, pero éficacas, usadas for los atacantes. Ellos escanean todos los puertos disponibles en un servidor para confirmar cuales puertos éstén abieftos, Este es normaimente uno de los primeros pasos ejecutados por un atacante en el sistema blanco (debataque), Estos ataques pueden manifestarse en varios ataques DoS tanto S168 servid0'@s de apiéadénicomo otros equipos de red para aprovechar vulnerablidades de dsefio de protocolos © aplicaciones. Ejemplo: Con la ayuda de un botnet, se pueden lanzar ataques DOS de gran, escala los,cuales pueden quitar el acceso de un pals al ciberespacio. Con la proiferacion de aplicaciones punto @ punto (peer-to-peer o'P2P}, usvaimente sgt pare bonpari archivos tales como misica, video, fotos, etc, los atacantes han incrementado susofisticacin.al’Poderse/disfiazar a si mismos y su o6cigo ‘malicioso al usar los archivos intercambiados como caballos troyanos'pard'sus:ataques:-" Los desbordamienios del bufer (0 sobrecarga de bifer) (Buffer overflows - buffer overruns) son otro método popular para Ccomprometer servidores en Intemet. Al aprovechar las vulnerabiliades de cOdigo y enviar cadenas de caracteres mucho mas largas de lo esperado, los atacantes pueden hacer que el servdor opere fuera de su ambiente normal (controlado) facitando la insercidn /ejecucion de cédigo malcioso. ‘tra técnica o¢ of engatio de IP (IP Spoofing) que cansista an que al alana manila dicién IP asociada con sus mensaies en un intento de hacerse pasar como una fuente conacida y de confianza, para ganar acceso no autorizado a los sistemas. 40 ROLES DE LAS PARTES INTERESADAS EN CIBERSEGURIDAD 10.41 Generalidades Para mejorar el estado de la clbersequridad, las partes interesadas en el ciberespacio necesitan desempefiar un rol activo en su Tespecivo uso y desarrollo de Internet, Estos roles pueden, a veces, superponerse con sus roles individuals y organizacionales denivo do cue rodoe poreonales organizacionales. El vomina rad arganizarinnal hare referencia la combinacin de redes privadas de la organizacion(tipicamente intranet), extranet y redes pUblicamente visibles. Para los propdsitos de este estandar internacional, las redes pablicamente visibles son aquelias redes expuestas a Inernet, por ejemplo, para almacenar un sito web. Debido a esia superposicidn, estos roles pueden parecer tener un benefico insignificant o no directo para el individuo u Corganizacion, Sin embargo, ellos son signifcativos para mejorar Ia ciberseguridad cuando todos los involucrados actéan en consecuencia 10.2 Roles delos clientes 10.2.4 Introduecién 20 ISO/IEC 27032:2012 - Traduccién no oficial de uso académico Autor: Ing. Juan Carlos Angarita C., MLE. (jeac2000@hotmail.com) Prohbida 3 copa e eproducion no autorzadao ualteacin en generalLos clientes pueden vero recolectar informacién, asi como proveerinformacin espectfica dentro de un espacio de aplicacion del ciberespacio, o de forma abierta a miembros lmitedos 0 grupos dentro del espacio de epicacién, o al public general. Las, aociones tomadas por los cliantes en es0s roles pueden ser pasivas o activas, y pueden contribur, directa o indirectamente, a estado de la ciberseguridad. 10.2.2 Roles de los individuos Los clientes indviduales del ciberespacio pueden asumir diferentes roles en diversos contextos y aplicaciones. ‘Los roles de los clientes pueden incu, sin limitarse, ls siguientes: = Usuario de aplicaciones generales en el ciberespacio, o usuarios en gefétal)tales como jugadores en linea, usuarios de ‘mensajeria en tinea, o intemauta; , ~_Compradocendedor, involuredo en colocarbenesy service subasa bla y sos de comora para les comrades interesados, y viceversa; = Blogger y ots tipos de autor de contenido (por ejemplo, autor déun airs tuna Wikif dh el cual la informaci6n, en texto © murtmeata (ejemplo; vdeo exp), es supicada para coreunp aa puncte ‘Ua auoenca mada; = IAP (proveedor independiente de aplicaciones) dentro del contexto de Ua @picacion (tales como juegos en linea) o el ciberespacio en general; = Miembro de fa organizacin (tales como empleados de una obimpatia u of@8 forras de 86ciacion con una compafia) = Otros roles. Es posible que se pueda asignar un rola un usuario 48 formaing intencional o sin su consentimient, Ejemplo: Cuando un usuario visita un siio que requiere avtondation,"y sf inlenciorsbbtien® acceso, el usuario podria ser etiquetado como un intruso, yee UD En cada uno de esos roles, los individuos pueden ver 0 recolectar informacion,.asi como’proveer cierta informacion especifica denivo dei espacio oe aplcacion ce Cberespacio o estar abjenos-a ‘Tiemmys mladOS_ o grupos deniTo del espacio de aplicacién 0 el piblico en general Las acciones tomadas por loseliantes en, esos Toles gn ser ppasivas 0 activas, y pueden contibuir de forma directa o indrecta al estado de la cibersegurdad = ; Ejemplo 1: Si un IAP provee una aplicecion que contiene winerebilidades de seguridad, estas vulnerabilidades pueden ser Usadas por citer-delincuentes como un canal para llegar alos usuarios dela aplicacion. Ejemplo 2: Los bloggers y otras formas de contribucién de contenido pueden recibir una solicitud en la forma de preguntas inocentes sobre sus contenidos, En su respuesta, ellos, sin querer, pueden revelar més informacién personal o de la Compania que lo deseado, Ejemplo 3: Un individuo, actuando como comprador 0 vendedor, puede, sin saber, paticinar en transacciones criminales de ven ue atculos 1ovados u an atv Ue avery Ue ie En consecuencia, como en el mundo real, los clientes individuales, necesitan ser cuidadosos en cada rol que desempefien en el ciberespacio. 10.2.3 Roles de las organizaciones Las organizaciones a menudo usan el ciberespacio para divuigar la compafia y su informaciin relacionada, asi como para hacer mercadeo de products y servicios relacionados. Las organizaciones también usan el ciberespacio como parte de sured para entrega y recepcién de mensajes elecronicos (ej. Correo electronica) y otzos documentos (ej. Transferencia de archivos). En ‘alinoacién con los miemoe principioe propice para cor un buen ciudadane corperatvo, eetae organizacionee deberian extender ‘us responsabiidades corporativas al ciberespacio al asegurar proactivamente que sus practicas y acciones no introduzcan riesgos adicionales de seguridad en elciberespacio. Algunas medidas proactivas incluyen: = Una adecuada gestion de seguridad de la informacion al implementar y operar un sistema eficaz de gestiin de seguridad de la informacién (ISM); Nota t: ISOMEC 27001 provee requsios para los sistemas de gestion de seguridad de la informacién, = Un apropiado monitoreo y respuesta en seguridad; = _Incorporar la seguridad como parte del ciclo de vida de desarrollo de software (Software Development Life-cycle - SDLC) donde se necesita que los niveles de seguridad construdos en los sistemas se determinen con base en la cicidad de los datos de la organizacin: a ISO/IEC 27032:2012 - Traduccién no oficial de uso académico ‘Autor: Ing. Juan Carlos Angarta C., ME. (cac2000@hotmalcom) Prohibida su capla o reproduce’ no autoritada osu aeration en general= Educacién regular en seguridad de los usuarios en la organizacién a través de actualizaciones continuas en tecnologia y una Vigilancia tecnoldgica de los recientes desarrollos tecnologicos: y = Entendimiento y uso adecuado de los canales de comunicacion con vendedores y proveedores de servicios en asuntos de seguridad descubiertos durante el uso Nota 2: Un futuro esténdar intemacional, ISOMIEC 29147, proveerd guia sobre divuigacion de vulnerabildades. Nota 3: ISQEC: 97024 prnuee guia para al alctamianta eo le TIC para fa enntinidad dal nagaso, Nota 4: ISOMEC 27035 provee guia para la gestion de incdertes de seguridad de la informacion. Nota 5: ISOMIEC 27034-1 provee guias para la seguridad en aplicaciones, El gobiemo, en esencia agencias de aseguramiento del cumplimiento de lal8Y Vlos reguladores, pueden tener los siguientes Toles importantes: = Informar a las organizaciones sobre sus roles y responsabilidad @n el cipefespacio; = Compartir informacién con otras parte interesadas sobre las tims tendencas y desarrollos en tecnologia = Compartir informacin con otras parts interesadas sobre los cuales riesges predominates de seguridad; ~ Ser conducto para recibir informacin, sea de forma cerrado bier, resbeoto-ariesqos.enelciberespacio; y Ser el coordinador primario para diseminacion de informacibn.¢.instrumentacion de loS recursos requeridos, tanto a nivel nacional como corporativo, en momentos de crisis surgida por. un ciber-ataque masivof 10.3 Rolde los proveedores: Las organizaciones proveedoras de servicios pueden incluir dos gategottas: = Proveedores de acceso a empleados y alados al ciberespacio; y = Proveedores de servicios a clientes del ciberespacio o a Una-comunidadcerrada (e)/ Usuarios registrados) o al piblica ‘general, através de fa entrega de aplicaciones en el cberespacio. ‘ Ejemplo: Como ejemplo de servicios se tiene: mercados de comiéfi6'en linéa servicios de plataformas de foros de discusion; servicios de plataforma de bogs; y servicios de redes sociales. J Los proveedores de servicios son también organizaciones clientes. Por ello, se espera que ellos observen los mismos roles y responsabilidades que las organizaciones clans. Como proveedores de servicios, ellos tienen responsabidades adicionales ‘en mantener e incluso mejorar la seguridad del ciberespacio al = Proveedor productos y servicios seguros (safe and secure); Proveer guias de seguridad (safety and security) para usuarios finales; y = Proveer entradas de seguridad « otros preveedores y cliontoo acorea do tondenciae y cbeorvacionos sobre ol trfico an ss redes y servicios, 11 GUIAS PARA PARTES INTERESADAS 11.4 Generalidades La guia de esta clausula se enfoca en tres areas principales: + Quia Ue seguridad para ciontes: = Gestion interna de riesgos de seguridad dela informacion de la organizacion; y = Recuisitos de seguridad que los proveedores deberian especiicar para ser implementados por sus clientes. Las recomendaciones son estructuradas as! ‘) Una introduccin a la evaluacién y tratamiento de riesgos; ») para clientes; y ©) Gulas para organizaciones, incluyendo proveedores de servicios: = Gestién de riesgos de seguridad de la informacion en el negocio; y = Reyuisitos de seguridad pare elmacenar acrviiaa y otroo vorvcioe do aplioacién 2 1SO/IEC 27032:2012 - Traduccién no oficial de uso académico ‘Autor: Ing. Juan Carlos Angarta C., M.E. (cac2000@hatmail.com) Prohbida su copa o reproducién no autorieada osu alteracion en general14.2 Evaluacién y tratamiento de riesgos 180 31000, Risk management ~ Principles and guidelines, provee principios y guia general sobre la gestién del riesgo mientras que ISONEC 27005, Information technology - Security techniques - Information security Risk management, provee quia y procesos para la gestién del riesgo en seguridad de la informacion en la organizacion, soportando especialmente los requisitos de un ISMS segtin ISONEC 27001. Estas guias y procesos son considerados suficientes para tender la gestin del riesgo en el ‘contexto del ciberespacio. ISONEC 27005:2011 no provee metodologia especifica alguna para la gestion’tel riesgo en seguridad de la informacion. Es decision de los clientes y proveedores definir su enfoque para la gestion del riésgo. Diferentes melodologias existentes pueden ser usadas en el marco de referencia descrito en ISOMEC 27005 para implementar fos requistos de un |SMS. Los siguientes aspectos han sido considerados al defn un enfoque 08 gestiOn deiesgos: ~ Identficacién de actives cris: Conectarse o utiizar el cbetespacio apa el alcance al definiractivos. Como no es tenable protege ods los actos, es endl deioar bs aces cries ce forma dulse eau un cutado parler para protegeros. La designaciin daberia ser realizada a-pati-vel cantaxto de negocio mediante la consideracon del impacto que tencta la pérdida o degradacién del activo sobrerelnegocio como Un todd, ~ Identficacién de riesgos: Las pares intoresadas deberian Considerar y alendeapropiadamente los riesgos, amenazas y ataques adicionales que leguen 2 ser relevantes al partcparen el ciberespaclo. = Responsablidad: Al paricipar en elciberespacio, as partes interésadas deberian aceptar id responsabilidad adcional hacia otras partes interesadas. Esto inclue: Reconacimiento: Reconocer los posibies riesgos que la Paricipacion de la partevinteresada puede introduc en el ciberespacio y de forma especific en los sistomas de iffolmacin de airs partes intetesadas Reporte: Puede ser necesari incluit partes interesadas externas a Ja organizatin al distbuirreportes relacionados con resgos,incdentes y amenazas. Compartir informacion: Asi como con los reportes, puedé”Ser neCesario compart, informacion relevante con otras partes interesadas. \Valoracién del riesgo: Es nevesario determinar la ‘etfension en lac las ‘accionés de una parte interesada y su presencia en el ciberespacio llega a ser, o contribuye a, un riesgo para otra parte interesada, Regulacién y legislacion: Al conectarse al ciberespacio, as fronteras legales y regulatorias se vuelven difiles de distinguiry, a veces, pueden exist apicarrequistos contradictorio. + Retro de sistemas o servicios: Una vez un sistema o servicio ya no es necesario, deberia ser retired de forma que asegure que los servicios e interfaces relacionados no sean impactados. Toda la informacion relacionada con seguridad debe ser invalidada para asegurar que los sistemas con ls cuales se conecta o est relacionado no estén comprometides. + Consistencia: El enfoaue ara la cestion del riesoo apica a lo largo de todo el ciberespacio. Dentro de este enfoaue 0 metodoogia, os clientes y proveedores en el ciberespaco reciben responsablidades para actividades espectfice, tales como planeacién ante contingencia, recuperacién ante desastres, asl como el desarrollo implementacion de programas de proteccién para sistemas bajo su control ylo propiedad. En general, la metodologia de gestion de riesgos en ISO/EC27005 cubre el ciclo de vida completo de un sistema generico, haciéndolo ublizable para nuevos sistemas de seguridad, asi como para sistemas existentes. Dado que considera el tratamiento de sistemas, es apicable 2 todos los modelos de negocio. El proceso dentro del marco de referencia puede atender las redes de proveedores de servicios y subsistemas privados que soportan servicios internos, o puede atender cada uno de los servicios inividuales (ej, Hosting web) de forma separada, y desoribr su suministro en t&rminos de sistemas separados que interactian entre si, Puede ser conveniente, por simolicidad. considerar todo lo ave se necesita nara resoaldar los servicios del nroveedor ‘coro un gran sistema que se puede descomponer en sistemas mas pequefos, donde cada uno de los cuales provee un servicio de valor de negocio o forma parte de la infraestructura, Los siguientes son aspectos importantes a tener en cuenta al considerar metas y objtivos de ciberseguridad! 4) Proteger la seguridad general del ciberespacio; ) Planear para emergencias y crisis a través de la paticipacién en ejerccios, y actualizar los planes de respuesta y planes de Continvidad de operaciones; ©). Educar las partes interesadas en clberseguridad y practicas de gestion del riesgo; 23 ISO/IEC 27032:2012 - Traduccién no oficial de uso académico ‘Autor: Ing. Juan Carlos AngartaC., M.E. (cac2000@hotmai.com) ‘Prohibida su copa oreproducién no autariada su alteraion en gene4) Asegurar el compartir informacion de forma oportuna, relevante y exacta entre organizaciones encargadas del cumplimiento de laley, comunidades de inteligencia y tomadiores de decisiones clave, relevantes a cberespacio; y ©) Establecer mecenismos eficaces de coordinacién entre sectores y entre partes interesadas para atenderinterdependencias critcas,incluyendo conciencia situacional de incidentes y gestion de incidentes entre sectores y entre parte interesadas. Las matae y nhjetune Mala 2) a fae) flayan hacia ahaio dirertamente a las proveedores de servicio, quienes son responsables Por los equipos y servicios bajo su control. Para las metas y objets 4) ye), los proveedores de servicios estan involucrados ‘como partcipantes actvos al compartir informacion y en actividades de coordinacion. tras metas especifcas de servicio, tales como cuales servicios proveer,fluyéhT¥éSde el contexto de negocio. 11.3 Gulas para clientes 7. Este esténdar intemacional no esté dirglda especificamente@ individuos” 8h! ciberespacio, en su lugar, se enfoca en exganizaeinnas que penveen servicio a clientes y nrganizaniches.que réqifen que Sus empleados ¥ usuarios finales practiquen el uso seguro del ciberespacio para gestionareficazmentells riesgos de ciberSeguridad, La guia sobre los roles y seguridad de los usuarios en el ciberespacio y como ells podrianiniyenciar peatranet estado de la ciberseguridad tiene ‘como objetivo servir como guia para el disefio y desarrollo de contenidog porje8as Organizaciones, en el contexto'de su provisin de servicios, yconcencia, as como programas de enrenamiento a SUF Usvarios fae ‘Como se explica en la clausula 10.2, los clientes pueden ver o récolectat information, asi Como proveer informacion especifica dentro de un espacio de aplcacion del civerespacio, o de forma ablerta a miembros limtados’o grupos dentro del espacio de apicacion o al plilico general. Las acciones lomadas por los ciantaé en e508 foles puedem'ser pasivas 0 actvas, y pueden contriui, directa o indrectamente, al estado de la clverseguridad, Por ejemplo, para IAP, si la aplicacién suministrada oontiene-vuinerabifidades. de segUiidad, ‘ellas podrian resultar en su ‘aprovechamiento por parte de ciber-delincuentes aprovechéndolas-como_un-canal/para llegar a usuarios inoventes de la aplicacion, En el caso de bloggers y otras formas de contribuoién-de contenido; ellos pueden reeibir una solctud con la forma de pregunta inocente sobre sus conterides donde ellos, sin intencion, pueden revelar més informacion personal o de la compatia al piiblico de lo deseado, Como comprador o vendedor, un cliente puede, sin sabero, patcipar en transacciones criminales de Venta de ariculos robados 0 actividades de lavado de actvos. Como consecuencia, como en e! mundo fisico, Ws clientes rnecesitan tener cuidado en cada rol que desemperien en el ciberespaci. En general, los clientes deberian consierar las siguientes guias 2) Aprender y entender la politica de seguridad y privaciad del sitio y aplicacién de interés, tal como se publica por parte del proveedor del sto. b}_Aprender y entender os resgos de seguridad y privacidad invalucrados y determinar los controles apropiados aplicables. Partcipar en foros de discusion en linea o consultar sobre el stio 0 aplicacin antes de proveer informacién personal ode la ‘organizacion,o participar y contrbuir informacion a ta discusion. «)Establecer y practicar una poltica personal de privacidad para la proteccién de la identidad al determinar las categorias de informacion personal disponible y los principos relatvos al hecho de compartir esa informacién, 4) Gestionar la identidad en linea. Use diferentes identiicadores para diferentes aplicaciones web, y minimice la cantidad de informacion comparida a cada sitio web o apicacién que solicit tal informacion. Registre una identidad en linea para sos ranularns de ries soriles asi la cuenta se dee inactva €Ejemplo: El inicio de sesion Unico es una forma de gestion en linea de identidad @), Reporte eventos o encuentros sospechosos alas autoridades relevantes. f) Como comprador o vendedor, lea y entienda la politica de seguridad y privacidad del sitio de compras en linea, y realize actividades de verticacion de autenticdad de las partes interesadas involuorades. No comparta datos personel, incluyendo informacion bancaria, a menos que se haya establecido un interés genuino para vender 0 comprar. Use un mecanismo de ago confable 9) Como IAP, aplique practicas de desarrollo seguro de aplicaciones y provea un valor de verificacion del cOdigo en tinea de forma que las partes interesadas que lo reciben puedan verficar el valor, si es necesaro, para asegurar la Integridad del codigo. Suministre documentacién de las polticas y précticas de seguridad y privacidad del cbdlgo y respete la privacidad de los usar dl tion 24 ISO/IEC 27032:2012 - Traduccién no oficial de uso académico ‘Autor: Ing. Juan Carlos Angarita C., MLE. (jcac2000@hotmail.com) Prahibida wv copa oteproduccién no autorzadao su ateraciin en genera) Como blogger 0 contrbuidor de contenidos (incluyendo mantenimiento de sitos web), asequre que no se divulgue informacion sensible o privada de las partes interesadas perinentes a través de los blogs o publicaciones en linea. Revise ‘comentarios y anuncios recibidos en el sitio para asegurar que ellos no contienen contenido malicioso tales como sitios web ‘con phishing o descargas malciosas. |) Como miembro de ia organizacién, un cliente individual deberta aprender y entender la politica corporativa de seguridad de la informacion de la organizacién y asegurar que la informacion clasficada 0 sensible no sea divulgada intencional o ‘accidentalmente en cualquier sto web en el clberespacio, a menos que se genere una autorzacion previa y formal para tal 1) Otros roles, Cuando un cliente visita un sitio que solcita autorizaciéne'y'se’Obtiene acceso de forma no intencional, os Usuarios pueden ser etiquetados como inrusos. Salga del sta inmediatagtéht y reporte la situacién ala autordad relevente pes el hecho de ser posible obtener aoceso puede ser inicio de compromiso 144 Gulas para organizaciones y proveedores de servicios La guia de esta clausula se enfoca en tres reas principales: (~) 1144 Generalidades mi Los controles para la gestion del riesgo en ciberseguridad dependen signficativarpentéde"la madurez de los procesos de ‘gestion de la seguridad dentro de las organizaciones incluyendo proveedores-de’Servicios)°Mlentras estas quias sugieren que ‘son en esentia discrecionales para las orgenizaciones, se recomienda que losiproveedores dé servicios traten las guias como medidas mandatoros de linea base Las guias en esta clausula pueden ser resumidas como: a) - 7 = Gestionar ls resgos de seguridad de la informacién en os negocios. Sad ‘Atondor loc roquiitoe do coguridad de hocpodsie do ctce web y stroe-eareioe-do cibgr apieacionos. + Proveer guias de seguridad alos clientes. r 1142 _Gestionar riesgos de seguridad de la informacion en Tos negocios 11.4.2. Sistemas de gestin de seguridad de la informacién ‘A nivel empresarial, las organizaciones que se conectan al ciberespacio deberian implementar un sistema de gestion de seguridad de la informacién (ISMS) para identificar y gestionar riesgos de seguridad de la informacion relacionados oon el negocio. La serie de normas ISOVIEC 27000 de esténdares intemacionales para sistemas de gestion de seguridad de la informacéin provee la guia requerida y mejores préctcas para implementar tales sistemas. ‘Una consideracion clave en la implementacion de un ISMS es asegurar que la organizacién cuente con un sistema para identifier, evaluar, ratary gestonar de forma continua los riasgos de seguridad dela informacién relacionada con sus negocios, incluyendo el suministo de servicios en internet, directamente 2 usuarios finales o subscrptores, lo que deberiaigualmente ser para proveedores de servicio, ‘Nota 1: ISO/IEC 27006, information technology — Securty techniques — Information security risk management, provee guia para la gestion del riesgo en seguridad de la informacion la organizacién, soportando — en particular — los requsitos de un ISMS conforme a ISO/IEC 27001. Nota 2: [80 31000. Risk management ~ Principles and guidelines. nravee princnios y quias genéricas an gestén del riesgo. Las organizaciones pueden también considerar una certiicacién formal de su conformiad con los requistos del ISMS, tales como ISOHEC 27001. Como parte de la implementacién de un ISMS, la organizacién deberia también establecer una capacidad de monitoreo y respuesta a incidentes de seguridad de la informacion y coordinar sus actividades de respuesta a incidentes con organizaciones. GIRT, CERT 0 CSIRT en el pais. La provisiin de respuestas a incidentes y emergencias deberia incur el monitoreo y evaluacin dal estado de seguridad en el uso de los servicios de la organizacién por parte de usuarios finales y clientes, y proveer guia para asst las partes iteresadas para obtener una respuesta eficaz als incidentes de seguridad. 2 ISO/IEC 27032:2012 - Traduccién no oficial de uso académico Autor: Ing. Juan Carlos Angarita C.,.M.E. (cac2000@hotmail. com) Prohibia su ela oreproduccéin no atoriza os aleracién en general