Ciberseguridad utilizando la norma ISO 27032:2012

Transcripción

1 Ciberseguridad utilizando la norma ISO 27032:2012 Sisteseg Consulting Services Bogotá Colombia

2 Agenda Por: Rodrigo Ferrer CISSP, CISA, QSA, ISO e ISO 22301, AMBCI, ABCP. 1. Introducción general 2. Pilares fundamentales 3. Modelo ISO El ciberespacio 5. Controles de ciberseguridad ISO Conclusiones

3 Introducción

4 El Ciberespacio El ciberespacio es un ambiente en donde interactúan los seres humanos, el software y los servicios que en Internet se ofrecen (ISO 27032).

5 El Ciberespacio La seguridad en Internet y en el ciberespacio nos preocupa a todos (partes interesadas). Cada vez hay más presencia en el ciberespacio, sitios web y otras aplicaciones tienden a aprovechar este nuevo mundo virtual (ISO 27032).

6 Por otra parte El ciberespacio es un ambiente complejo resultante de la interacción de las personas, el software y los servicios de Internet soportados estos por el hardware y las redes de comunicaciones (ISO 27032).

7 Además Hay aspectos relacionados con la seguridad de la información que no están cubiertos por las mejores prácticas existentes y una falta de comunicación entre las organizaciones y los proveedores en el ciberespacio. Esto ha creado una especie de fragmentación y convergencia de múltiples niveles de seguridad en donde el menor de estos es el que prevale.

8 Relaciones de ISO con otras prácticas o normas ISO 27001:2013 ISO 27005:2018 ISO 27002:2013 ISO 31000:2018 ISO 22301:2012 ISO 27031:2009

9 Contexto de ISO La seguridad en Internet y en el ciberespacio nos convoca a todos. La presencia actual de las organizaciones en este espacio crea unos beneficios pero también unos riesgos.

10 Riesgos Personas Involucrados en el ciberespacio Entorno virtual ISO Redes Organizaciones Mundo virtual Hardware y software Internet

11 Riesgos La exposición de información en las redes sociales conlleva riesgos. (Pérdida de privacidad)

12 Amenazas posibles en el ciberespacio. Ataques de ingeniería social Malware Spyware Troyanos APT (advanced persistant threat)

13 Riesgos La convergencia de las tecnologías de información y de las comunicaciones han propiciado diferentes tipos de ataques cada vez más sofisticados:

14 Empresa a empresa Riesgos en las transacciones comerciales de: Consumidor a consumidor Riesgos Empresa a consumidor

15 ISO propone tres estrategias para mitigar estos riesgos que son:

16 Además la norma ISO proporciona un marco para:

17 Objeto y campo de aplicación

18 1. Información La Ciberseguridad ISO comprende a la(s): 2.Aplicaciones 3.Red 4.Internet 5.Infraestructura Confidencialidad Integridad

19 1.Objetivos de la Seguridad en la información Confidencialidad Integridad Disponibilidad

20 Procesos 2.Seguridad en las Aplicaciones a nivel de: Componentes Software Resultados Datos

21 Diseño 3.Seguridad en la red en su: Implementación Operación

22 Servicios en Internet seguros 4.Seguridad en Internet a nivel de: Redes Disponibilidad de servicios Fiabilidad de servicios

23 Datacenter 4.Seguridad en la infraestructura: Condiciones ambientales Acceso físico Sitios alternos

24 Modelo ISO 27032

25 Partes interesadas El ciberespacio no pertenece a nadie, todos podemos participar. Las partes interesadas sedividen en: Los consumidores, como personas y organizaciones Los proveedores de servicios

26 Involucrados en el ciberespacio Entorno virtual ISO Proveedores en el ciberespacio Consumidores

27 Ciberseguridad Actividades requeridas Entorno virtual ISO Acciones de las partes interesadas Establecer y mantener la seguridad

28 Agentes en el ciberespacio. Seguridad Organizaciones Personas Red Internet Dispositivos

29 Activos Riesgos Modelo general de ciberseguridad ISO Partes interesadas Controles Vulnerabilidades Organizaciones Personas Red Internet Dispositivos Confiabilidad Seguridad

30 Controlando los riesgos a través de: Tecnología innovadora Mejores prácticas Educación

31 Consumidores Proveedores Visión general de la norma ISO Personas Organización Mejores prácticas: Prevenir, Detectar y Reaccionar. Comunicación y coordinación

32 El ciberespacio

33 La información Activos en el ciberespacio El software El Hardware Los servicios Las personas Y los activos intangibles Seguridad

34 Proteger el ciberespacio Metas de la ciberseguridad ISO Gestión de crisis Educación Alertar sobre amenazas Coordinación entre entidades

35 Controles de ciberseguridad ISO 27032

36 Controles de:

37 Controles de aplicación 01 Presentar políticas empresariales 02 Manejo de sesiones web 03 Evitar ataques de scripting 04 Revisar código 05 Servicios autenticados y seguros

38 Usar estándares de configuración Actualizaciones periódicas Protección de servidores Uso de antivirus y antispyware Generar registros (logs) Análisis de vulnerabilidades Revisiones periódicas de malware

39 Instalar actualizaciones (OS) Filtros de phishing Uso de firewall personal Controles de usuario final Aplicaciones actualizadas Bloquear ventanas emergentes Uso de antivirus y antispyware Bloqueadores de scripts

40 Controles para la ingeniería social Políticas de seguridad Clasificación de la información Sensibilizaciones Controles técnicos aplicables

41 Conclusiones

42 Finalmente El ciberespacio en un ambiente muy complejo que debe ser asegurado. Existen diferentes niveles de seguridad en el ciberespacio lo que dificulta la estrategia de seguridad en él. Existe una proliferación de malware y ataques persistentes avanzados. Se debe mejorar la gestión de incidentes entre entidades. Optimizar la seguridad en los proveedores de servicio es parte fundamental de la estrategia. Se debe proteger: La información Las aplicaciones Las redes La Internet Y la infraestructura crítica de información (CIIP)

43 1. ISO 27032: ISO 27001: ISO 27002: ISO 27005: ISO 31000: PCI DSS Bibliografía 7. Business Continuity Institute (2013) Good Practice Guidelines: A guide to global good practice in business continuity, BusinessContinuity Institute, Caversham. 8. Guia para la preparación de lastic para la continuidad del negocio de Mintic (2010) 9. ISO (2011) Guidelines for information and communication technology readiness for business continuity

44 Ciberseguridad basada en ISO 27032:2012 FIN