Durante años las normas ISO han evolucionado adaptándose a las necesidades del momento. En este contexto, las relacionadas con seguridad de la información no son la excepción, y su transformación ha dado como resultado mejoras significativas que nutren a los y las profesionales de seguridad de la información en la ejecución de sus actividades laborales y en el entendimiento de los cambios del entorno de la protección corporativa de la información.
Fue en el primer semestre del 2023 cuando la ciberseguridad representada por la ISO/IEC 27032:2023 atravesó por esta evolución después de casi 11 años.
Es de dominio público el incremento de ataques cibernéticos que han sufrido las organizaciones públicas y privadas durante los últimos años, tales como robo de información, extorsiones y fraudes, mismos que también pueden afectar a cualquier persona que utilice medios informáticos con acceso a internet. ¿Quién no se ha enterado por las noticias o por parte de un amigo o familiar de algún tipo de situación desagradable, dolorosa, que ha afectado su entorno personal debido al mal uso información electrónica?
Actualmente la inteligencia artificial y el computo en la nube son tecnologías de uso común, tanto para organizaciones como para personas, debido a los grandes beneficios que ofrecen, entre los que se encuentran la facilidad en el acceso, el análisis de datos, el acceso ubicuo y el uso bajo demanda. Por lo que es importante no perder de vista que estas y otras herramientas tecnológicas asociadas al ciberespacio están expuestas a riesgos de ciberseguridad que deben ser gestionados adecuadamente, para que su implementación no pase de ser una decisión prometedora a una pesadilla corporativa.
La ciberseguridad a través de la nueva ISO/IEC 27032:2023 busca prevenir ese tipo de situaciones mediante la gestión proactiva de riesgos y el correcto diseño, implementación, operación, monitoreo y mejora de los siguientes controles:
Control ISO/IEC 27032:2023 | Descripción general |
Política de seguridad del internet. | Se debe preparar y publicar una política relativa al uso de Internet, esto determina qué servicios de Internet se utilizan y quién está autorizado a utilizarlos. Además, esta política dirige todas las otras pautas para la conexión segura y el uso de Internet. |
Controles de acceso | Se deben establecer e implementar reglas para controlar el acceso físico y lógico a la información y los activos asociados con Internet y las instalaciones de procesamiento de información en función del valor comercial y de la información. |
Educación, capacitación y concientización | El personal debe actualizarse periódicamente sobre las principales amenazas que pueden afectar a la organización (por ejemplo, phishing y vishing) y las acciones a tomar para prevenirlas y responder en caso de actuación indebida. |
Gestión de incidentes de seguridad | Los incidentes de seguridad en Internet abarcan una amplia variedad de ataques cibernéticos a recursos organizacionales conectados a Internet, así como a servidores, bases de datos y aplicaciones que se encuentran detrás de los recursos conectados a Internet. Los incidentes deben gestionarse a través de un método corporativo y formalizado. |
Gestión de activos | Se deben identificar los componentes de TIC que contienen información y aplicaciones críticas. Las organizaciones deben conocer dónde están ubicados físicamente sus activos para protegerlos adecuadamente. |
Gestión de proveedores | Se deben identificar e implementar procesos y procedimientos para gestionar los riesgos de seguridad de Internet asociados con el uso de proveedores. |
Continuidad del negocio a través de internet | Algunas actividades comerciales, como el comercio basado en Internet y otras actividades de comercio electrónico, dependen de la infraestructura de Internet de la organización dentro de la organización. Las interrupciones en los servicios de Internet pueden ser causadas por ataques DoS o DDoS por parte de malos actores, mal funcionamiento del dispositivo perimetral o cualquier interrupción por parte del ISP. Cualquier interrupción en la infraestructura de Internet constituye un riesgo de continuidad para la organización y debe ser abordada por la organización. |
Protección de la privacidad sobre el internet | Controlar a los proveedores de servicios cuando procesan información privada, cuando esta información se utiliza para fines diferentes a los intereses del titular de los datos, surgen preocupaciones sobre la privacidad. |
Gestión de vulnerabilidades. | Se debe obtener oportunamente información sobre las vulnerabilidades de los sistemas TIC que se utilizan. Se debe evaluar la exposición de la organización a tales vulnerabilidades y se deben tomar medidas apropiadas para abordar el riesgo asociado. Se deben establecer, documentar, implementar, monitorear y revisar las configuraciones, incluidas las configuraciones de seguridad de hardware, software, servicios y redes. |
Gestión de la red. | Deben establecerse controles para salvaguardar la confidencialidad y la integridad de los datos que pasan por Internet y para proteger los sistemas y aplicaciones conectados. |
Protección contra el malware | El software antimalware escanea datos y programas para identificar patrones sospechosos asociados con malware. Para permitir la detección de nuevos códigos maliciosos, es muy importante asegurarse de que el software de escaneo se mantenga siempre actualizado. |
Control de cambios | Se deben establecer políticas y procesos de gestión de cambios para garantizar que sea más fácil para las organizaciones implementar cambios en la infraestructura de TI y gestionar cambios en los sistemas y aplicaciones de TI para evitar interrupciones no programadas, corrupción o pérdida de datos. |
Identificación de la legislación aplicable y requerimientos de cumplimiento. | Internet se utiliza cada vez más como plataforma para implementar servicios de transacciones en línea y pueden existir leyes y regulaciones de seguridad de datos, ciberseguridad y privacidad sobre la protección de la confidencialidad, la integridad y la disponibilidad de las transacciones que debe ser identificados y asegurar su cumplimiento. |
Cifrado. | Se debe utilizar criptografía para proteger la confidencialidad, autenticidad y/o integridad de la información transmitida a través de Internet. |
Seguridad de aplicaciones en internet. | Se pueden adoptar sistemas que formen parte de la infraestructura de Internet, sin embargo, la seguridad debe integrarse al diseñar el sistema y revisarse periódicamente para garantizar que se mantengan actualizado en términos de combatir cualquier nueva amenaza potencial que pueda afectar el sistema en el Internet. |
Gestión de equipos de usuario final | La información almacenada, procesada o accesible a través de dispositivos de usuario final (por ejemplo, dispositivos IoT, dispositivos USB, BYOD, equipos móviles) debe estar protegida. |
Monitoreo. | Se deben producir, proteger, conservar y analizar registros que registren actividades, excepciones, fallas y otros eventos relevantes. Las redes, los sistemas y las aplicaciones conectados a Internet deben monitorearse para detectar comportamientos anómalos y deben tomarse las acciones adecuadas para evaluar posibles incidentes de seguridad de la información. |
Conoce al creador de este artículo
JORGE LUNA
Instructor certificado CYNTHUS. Profesional de TI, particularmente en Seguridad de la Información, Gestión de Riesgos y Continuidad del Negocio.
Certificaciones:
» CISA (Certified Information Systems Auditor)
» CISM (Certified Information Security Manager)
» CRISC (Certified in Risk and Information Systems
Control)
» CDPSE (Certified Data Privacy Solutions Engineer)
» ISO 27001 Implementador y Auditor Líder
» ISO 31000 Risk Manager y Lead Risk
Manager
» ISO 22301 Implementador y Auditor Líder
» ISO 27005 Gerente de Riesgos
» COBIT 5 Fundamentos
» Instructor certificado bajo el EC0217 del CONOCER