Este documento resume los principales conceptos y términos relacionados con la ciberseguridad según la norma ISO/IEC 27032. Explica que el ciberespacio es un ambiente complejo resultado de la interacción entre personas, software y servicios en internet. Define 53 términos clave como activo, ataque, botnet, cibercrimen, entre otros. Describe la naturaleza de la ciberseguridad y sus relaciones con otras áreas como seguridad de la información. Explica que involucra a múltiples interesados y el en
2. El ciberespacio es un ambiente complejo
resultado de la interacción entre personas,
software y servicios en internet, soportado
por información, tecnologías de la
comunicación, dispositivos y redes
interconectadas de manera distribuida a
nivel global
Ernesto Rodrigo Quispe Apaza 12789-8
3. Terminología aplicable
• ISO/IC 27032 incluye un conjunto de 53
términos y definiciones que considera
necesarias para una comprensión
homogénea de la norma y sus acciones.
• De estas 53, revisaremos brevemente
solo 17.
Ernesto Rodrigo Quispe Apaza 12789-8
4. • Activo
• Activo virtual
• Ataque
• Ataque potencial
• Vector de ataque
• Botnet
• Control
• Cibercrimen
• Cibersalubridad (Cybersafety)
• Ciberseguridad (Seguridad en
el ciberespacio)
• Ciberespacio
• Hacking
• Hacktivismo
• El Internet
• Crimen por internet
• Salubridad en internet
• Contenido malicioso
Fuente: ISO/IEC 27032
t d i . p Ernesto Rodrigo Quispe Apaza 12789-8
5. Naturaleza de la Ciberseguridad
• Los interesados en el ciberespacio juegan un rol
activo, no solo protegiendo sus propios activos,
también aportan a la supervivencia del
ciberespacio.
• El ciberespacio se extiende a un modelo muchos-
muchos en interacciones y transacciones.
• Ciberseguridad relaciona las actividades de los
interesados para establecer y mantener la
seguridad en el Ciberespacio.
Ernesto Rodrigo Quispe Apaza 12789-8
6. Cibercrimen Seguridad de la Información Cibersalubridad
Seguridad en las
aplicaciones
Ciberseguridad
Seguridad
de las
Redes
Seguridad
de Internet
Protección de Infraestructuras Críticas de Información
Relación entre ciberseguridad y otros dominios de seguridad
Fuente: ISO/IEC 27032
Ernesto Rodrigo Quispe Apaza 12789-8
7. Los interesados
ISO/IEC 27032 - Los interesados en
ciberseguridad pueden ser:
– Clientes
• Individuos
• Organizaciones (publicas o privadas)
– Proveedores (Incluyendo pero no limitado a)
• Proveedores de servicios de internet
• Proveedores de servicios de aplicación
Ernesto Rodrigo Quispe Apaza 12789-8
8. Enfoque
• Un forma efectiva de confrontar los riesgos a la
ciberseguridad involucran una combinación de
múltiples estrategias, tomando en consideración
los múltiples interesados.
La estrategias incluyen:
– Mejores prácticas de la industria
– Educación amplia, proporcionando recursos
confiables sobre ciberseguridad y el ciberespacio.
– Orientación en cuanto a roles, políticas, métodos,
procesos y aplicación de controles técnicos.
Ernesto Rodrigo Quispe Apaza 12789-8
9. Clientes
Individuos
Organizaciones
Privadas
Públicas
Proveedores
Proveedores de
servicios de internet
Proveedores de servicios
de aplicación
Personales
Activos físicos
Activos virtuales
Organizacionales
Activos físicos
Activos virtuales
Mejores prácticas
Preventivas
De detección
Reactivas
Coordinar y compartir
información
Interesados Activos Medidas
Overview y enfoque
Fuente: ISO/IEC 27032
Ernesto Rodrigo Quispe Apaza 12789-8
10. Amenazas
ISO/IEC 27032 las amenazas en el
ciberespacio pueden ser:
– Amenazas a activos personales (referidos a
las personas)
– Amenazas a activos organizacionales.
Ernesto Rodrigo Quispe Apaza 12789-8
11. Rol de los interesados
Clientes
Individuos
Usuario de aplicación, juego online, web surfer, etc
Vendedor/comprador de bienes o servicios
Blogger y otros generadores de contenidos
Miembro de una organización, etc.
Organizaciones
Publicidad e información de la compañía.
Parte de una red de entrega y recepción de mensajes
Proactividad en la extensión de sus compromisos de
responsabilidad al Ciberespacio (incluir el ciberespacio)
Ernesto Rodrigo Quispe Apaza 12789-8
Proveedores
Proporcionar acceso al ciberespacio a sus empleados y socios de negocios
Proporcionar servicios a clientes en el ciberespacio
Cuando sean asociaciones de consumidores:
Proporcionar servicios y productos seguros
Proporcionar guías de seguridad a sus usuarios finales
12. Coordinación e información
Los incidentes de ciberseguridad desbordan
los límites tanto geográficos como
organizacionales, la velocidad con la cual
fluye lay cambia información solo
proporciona un tiempo limitado para que los
individuos u organizaciones puedan actuar
(reaccionar, corregir, etc).
Ernesto Rodrigo Quispe Apaza 12789-8
13. Políticas
Información recibida / brindada a organizaciones
Clasificación y categorización de la información
Minimizar la información
Reducción de la audiencia
Protocolo de coordinación
Personas y organizaciones
Contactos
Alianzas
Educación y entrenamiento
Áreas a considerar
Ernesto Rodrigo Quispe Apaza 12789-8
Métodos y procesos
Clasificar y categorizar la información
Acuerdos de no divulgación
Código de práctica
Pruebas y ejercicios (simulacros)
Tiempos y calendario de información conpartida
Técnico
Estandarizar datos para sistemas automatizados
Visualización de datos
Intercambio de claves criptográficas y respaldo de
software/hardware
Seguridad en archivos compartidos, mensajería
instantánea, portal web y foros de discusión
Sistemas de prueba
14. Referencias
Online
sobre
Seguridad y
anti-spyware
Fragmentodel AnexoB
ISO/IEC 27032
Anti-spywareCoalition (http://www.antispywarecoalition.org/)
APWG (http://www.antiphishing.org)
Be Web Aware (http://www.bewebaware.ca)
Centre for safe and Resposible InternetUse (http://csriu.org)
ChildnetInternational (http://www.childnet-int.org)
ECPAT (http://www.ecpat.net)
GetNetWise (http://www.getnetwise.org)
GlobalInfraestructureAlliance for InternetSafety (GIAIS)
(http://www.microsoft.com/security/msra/default.mspx)
INHOPE (http://inhope.org)
InternetSafety Group (www.netsafe.org.nz)
Interpol (http://www.interpol.int)
iSafe (http://www.isafe.org)
Ernesto Rodrigo Quispe Apaza 12789-8