CIBERSEGURIDAD

ISO 27032
SALOMÉ ZAPATA MADRIGAL
01
NORMA
ISO 27032
CONCEPTOS BÁSICOS
¿DE QUÉ TRATA LA NORMA ISO 27032?

La norma ISO/IEC 27032 es un

estándar internacional que se
enfoca en la ciberseguridad y la
gestión de la seguridad de la
información en el ámbito de la
tecnología de la información.

Fue desarrollada por la

Organización Internacional de
Normalización (ISO) y la
Comisión Electrotécnica
Internacional (IEC).
PUNTOS CLAVE RELACIONADOS

1. El Alcance de la Norma
2. Cooperación entre Partes
Interesadas
3. Gestión de Incidentes
4. Protección de la
Información
5. Gestión de Riesgos
COMPAÑÍA 6. Privacidad
DE SEGURIDAD
 02
VISIÓN
GENERAL
INTRODUCCIÓN

La seguridad en Internet y en
el Ciberespacio ha sido un
tema de creciente
preocupación.

Las partes interesadas han

establecido su presencia en
el ciberespacio a través de
sitios web y ahora intentan
aprovechar aún más el
mundo virtual
VISIÓN GENERAL
LA NATURALEZA DEL
CIBERESPACIO
El Ciberespacio no existe en
ninguna forma física si no en
un entorno o espacio
complejo que resulta de la
aparición del internet.

LA NATURALEZA DE LA
CIBERPROTECCIÓN
La Ciberprotección tiene
relación con las acciones que
los actores deberían realizar
para establecer y mantener
la protección del mismo.
MODELO GENERAL

PROTECCIÓN GENERAL
● Actores
● Controles
● Vulnerabilidades
● Riesgos
● Activos
● Amenazas
● Agentes de
Amenazas

FIGURA 2. CONCEPTOS Y RELACIONES DE PROTECCIÓN

ENFOQUE
 03
PARTES
INTERESADAS
Partes Interesadas de la Ciberseguridad

CONSUMIDORES
Individuos y organizaciones
tanto públicas como
privadas

PROVEEDORES
Proveedores de servicio de
internet y de aplicaciones
ACTIVOS EN EL CIBERESPACIO

ACTIVOS
● Información
● Software
● Activos físicos
● Servicios
● Personas
● Activos intangibles
TIPOS DE ACTIVOS

ACTIVOS ACTIVOS
PERSONALES ORGANIZACIONALES
Uno de los Es una
activos estructura que
virtuales clave, utiliza una
es la identidad interconexión
online del enmallada de
consumidor redes, servicios
individual y su y aplicaciones
información que le
crediticia pertenecen a
online muchos
proveedores de
servicios
04
AMENAZAS
CONTRA LA
PROTECCIÓN
AMENAZAS

AMENAZAS A ACTIVOS AMENAZAS A ACTIVOS

PERSONALES ORGANIZACIONALES
Las amenazas a los activos La presencia online de las
personales se centran organizaciones y los
principalmente en los negocios online suelen ser
problemas de identidad, blancos de malhechores
provocados por la filtración cuyas intenciones van más
o robo de información allá de un simple
personal pasatiempo
AMENAZAS

AGENTES DE VULNERABILIDADES
AMENAZA
Un agente de amenaza es un Es un defecto, debilidad o
individuo o grupo de propiedad del diseño o
individuos que tiene implementación de un
cualquier rol en la ejecución sistema de información o su
o soporte de un ataque entorno que se podría
aprovechar de manera
intencional o no para afectar
una organización
MECANISMOS DE ATAQUE

DENTRO DE UNA FUERA DE UNA

RED PRIVADA RED PRIVADA
Usualmente los ataques Hay muchos ataques
suelen ser desde una diferentes que se
red privada de una pueden lanzar desde el
organización por alguien exterior de una red
que tenga acceso a las privada, incluyendo
instalaciones internet.
 05
ROLES DE LAS
PARTES
INTERESADAS
 ROLES DE LOS CONSUMIDORES
ROLES DE LOS CONSUMIDORES
Ver o recolectar información, así como proveer
cierta información específica en el espacio de
aplicaciones en el Ciberespacio

ROLES DE LOS INDIVIDUOS

● Usuario general de aplicación del
Ciberespacio.
● Comprador/Vendedor
● Blogueros
● Un IAP
● Miembro de una organización
● Otros roles
 ROLES DE LAS ORGANIZACIONES

ROLES DE LAS ORGANIZACIONES

Las organizaciones suelen usar el
Ciberespacio para publicitar compañías e
información relacionadas.

ROLES DE LOS PROVEEDORES

● Proveedor de acceso a empleados y
socios al Ciberespacio
● Proveedores de servicios a los
consumidores del Ciberespacio sea a
una comunidad cerrada o abierta
06
DIRECTRICES
PARA LAS
PARTES
INTERESADAS
 VISIÓN GENERAL
EVALUACIÓN Y
11.2 TRATAMIENTO DE
11.1 RIESGOS

● Identificación de activos críticos

● Identificación de riesgos
● Responsabilidad
● Reconocimiento
ORIENTACIÓN ● Informar
● Compartir data
● Guía de protección ● Evaluación de riesgos
● Gestión de riesgos ● Normas/Legislaciones
● Requisitos de ● Retiro de sistema o servicio
protección ● Consistencia
VISIÓN GENERAL
11.3
DIRECTRICES PARA
LOS CONSUMIDORES
Aprender y entender las políticas
de seguridad y privacidad del sitio
y aplicación que les interesa, a su
vez aprender de los riesgos de
seguridad y privacidad
11.4
DIRECTRICES PARA
ORGANIZACIONES Y PROVEEDORES
● Sistema de gestión de seguridad de la data
● Proveer productos seguros
● Seguimiento y respuesta de red
● Soporte y escalado
● Mantenerse al tanto de los últimos desarrollos
● Requisitos de seguridad para el alojamiento web
● Orientación de seguridad para los consumidores
 07
CONTROL DE
CIBERPROTECCIÓN
CONTROLES DE CIBERPROTECCIÓN

CONTROLES A NIVEL DE APLICACIÓN

● Exponer notificaciones cortas con resúmenes

claros concisos y de una sola página de las
políticas online de la compañía
● Asegurar el manejo de sesiones para las
aplicaciones web (eje. cookies).
● Asegurar validación y manejo de las entradas para
prevenir ataques comunes (Inyección SQL)
● Scripting de la página web por prevención de
ataques
● Revisar y testear la seguridad de los códigos
● Servicio que se provee para que el consumidor
pueda autenticar dicho servicio
CONTROLES DE CIBERPROTECCIÓN
PROTECCIÓN DEL SERVIDOR
● Configurar los servidores, incluyendo los sistemas
operativos subyacentes, de acuerdo a una guía de
configuración de seguridad base.
● Implementar un sistema para probar e implementar
actualizaciones de seguridad
● Realizar seguimiento del desempeño de seguridad
del servidor
● Revisar la configuración de seguridad
● }ejecutar controles anti software malicioso
● Escanear todo el contenido alojado y subido
● Realizar evaluaciones de vulnerabilidad y pruebas
de seguridad
● Hacer escaneos constantes en busca de
compromisos
 CONTROLES DE CIBERPROTECCIÓN

CONTROLES PARA LOS USUARIOS FIELES

● Usar sistemas operativos compatibles con los parches de

seguridad más actualizados
● Usar las últimas aplicaciones de software compatibles con
los parches más actualizados instalados.
● Usar herramientas antivirus y antispywares
● Implementar dispositivos de seguridad antivirus y
antispywares
● Habilitar bloqueadores de script
● Usar filtros de suplantación de identidad
● Usar otros elementos de seguridad disponibles para los
navegadores web
● Habilitar un firewall y un HIDS personales
● Habilitar actualizaciones automáticas
CONTROL CONTRA ATAQUES DE INGENIERÍA SOCIAL

CONTROLES PARA LOS USUARIOS FIELES

● Tecnología de seguridad
● Políticas de seguridad
● Una educación y formación apropiadas

POLÍTICAS

Implementar políticas básicas para la

creación, recopilación, almacenamiento,
transmisión, intercambio, procesamiento y
uso general de la información personal y
organizacional y de la propiedad intelectual
en internet y en el ciberespacio
CONTROL CONTRA ATAQUES DE INGENIERÍA SOCIAL
MÉTODOS Y PROCESOS

● Categorización y clasificación de
la información
● Conciencia y formación
● Pruebas
● Personas y organización
● Técnicos
● Disposición de Ciberprotección
● Otros controles
 08
MARCO DEL
INTERCAMBIO Y
COORDINACIÓN
DE DATA
MARCO DE INTERCAMBIO Y COORDINACIÓN DE DATA
POLÍTICAS MÉTODOS Y PROCESOS
● Organizaciones proveedoras de
información y organizaciones receptoras ● Clasificación y categorización de la
de información información
- Organizaciones proveedoras de data ● Acuerdo de no divulgación
- Organizaciones receptoras de data ● Código de práctica
● Clasificación y categorización de la data ● Pruebas y simulacros
● Minimización de la data ● Coordinación del tiempo y
● Audiencia limitada programación para el intercambio
● Protocolo de coordinación de data
MARCO DE INTERCAMBIO Y COORDINACIÓN DE DATA
PERSONAS Y ORGANIZACIONES
● Contactos
● Alianzas TÉCNICOS
● Conciencia y formación
● Estandarización de los datos para
un sistema automatizado
● Visualización de datos
● Intercambio de claves
criptográficas y respaldos de
software/hardware
● Seguridad en el intercambio de
archivos, mensajería instantánea,
portal web y foro de discusión
● Sistema de prueba
¡GRACIAS!
CREDITS: This presentation template was created
by Slidesgo, including icons by Flaticon,
infographics & images by Freepik and
illustrations by Stories
Please keep this slide for attribution.