SlideShare una empresa de Scribd logo

253 1. página de portada-865-1-10-20200922 (1)

S
ssuserb87508

Este documento analiza la Norma Internacional ISO/ECT 27032 para la gestión de la ciberseguridad. En primer lugar, explica que el rápido desarrollo de la tecnología ha dado lugar a un espacio virtual llamado ciberespacio, donde circula información digital de personas y organizaciones. Sin embargo, también ha surgido nuevas amenazas cibernéticas que ponen en peligro la ciberseguridad. Luego, resume que la norma ISO 27032 proporciona directrices para mejorar la ciberseguridad mediante buenas prácticas para quien

Tecnología
1 de 13
Descargar para leer sin conexión
Estudios en Seguridad y Defensa • 2017 • diciembre, volumen 12 • número 24 • 99-111 99 ESCUELA SUPERIOR DE GUERRA “GENERAL RAFAEL REYES PRIETO” Directrices para la gestión de la Ciberseguridad utilizando el estándar ISO/ECT 270321 Guidelines for the management of cybersecurity using the ISO / ECT standard 27032 Diretrizes para gestão da segurança cibernética utilizando o padrão ISO/ ECT27032 HUMBERTO PARRA CÁRDENAS, Ph.D.2 ANGIE FERNÁNDEZ LORENZO, Ph.D.3 LUIS RECALDE HERRERA, Mgs.4 Resumen Como consecuencia de la rápida evolución y de- sarrollo de los sistemas de telecomunicaciones y de información, en la última década gran parte de actividades tanto comerciales, financieras y comu- nicacionales se las realiza a través de las redes de internet, las cuales han dado origen a un espacio virtual y asimétrico denominado “Ciberespacio”, es decir, que este es la autopista por donde circula in- formación digital tanto de personas naturales como 1. Artículo de reflexión vinculado al proyecto de investigación del Departamento de Seguridad y Defensa de la Universidad de las Fuerzas Armadas ESPE, Ecuador. 2. Tcrnl. Humberto Parra Cárdenas, PhD. Director del Departamen- to de Seguridad y Defensa, Universidad de las Fuerzas Armadas ESPE. haparra@espe.edu.ec 3 Eco. Angie Fernández Lorenzo, PhD. Profesora del Departamento de Ciencias Económicas, Administrativas y de Comercio, Univer- sidad de las Fuerzas Armadas ESPE. aafernandez2@espe.edu.ec 4 Mayor Luis Recalde Herrera, Mgs. Profesor del Departamento de Seguridad y Defensa, Universidad de las Fuerzas Armadas ESPE. llrecalde@espe.edu.ec Cómo citar este artículo: Parra, H., Fernández, A., & Recalde L. (2017). Directrices para la gestión de la Ciberseguridad utilizando el estándar ISO/ECT 27032. Estudios en Seguridad y Defensa, 12(24), 99-111. Recibido: 30 de noviembre de 2016 Aprobado: 15 de diciembre de 2017 Palavras-chaves: ciberespaço, ciberameaças, cibersegurança, internet, gestão, ISO 27032. Palabras clave: Ciberespacio, Ciberamenazas, Ciberseguridad, Internet, Gestión. ISO 27032. Keywords: Cyberspace, Cyber Threats, Cybersecurity, ISO 27032.
Estudios en Seguridad y Defensa • 2017 • diciembre, volumen 12 • número 24 • 99-111 100 Humberto Parra Cárdenas, PH.d. - angie Fernández Lorenzo, PH.d. - Luis reCaLde Herrera, mgs. organizaciones de todos los Estados del mundo. Al paso que ha aumentado la tecnología van apareciendo y creándose nuevas amenazas que ponen en peligro la ciberseguridad de las naciones. Para analizar las amenazas cibernéticas es impor- tante enfocarse en términos de su origen, es decir, de donde provienen. Las cibe- ramenazas pueden derivarse de un espectro amplio de fuentes, que van desde una sola persona como un hacker solitario, pasando por un empleado descontento, los cibercriminales y ciberterroristas y llegando hasta el empleo de las capacidades de una o varios Estados-nación para conducir un ataque encubierto, coordinado y dinámico a un adversario. El presente artículo está orientado a conceptualizar el enfoque, el alcance y las directrices de la norma ISO/ECT 27032 para la gestión de la ciberseguirdad, para lo cual se realizó un análisis de contenido cualitativo; fun- damentándose en un estudio conceptual del origen del Ciberespacio. Además se estudió que al interactuar en este espacio virtual origina un creciente riesgo para mantener la confiabilidad, integridad y disponibilidad de la información, por la proliferación de las “Ciberamenazas” que han ido evolucionando de tal forma que sus irrupciones podrían afectar a todas las actividades humanas. Como resultado de este trabajo se determinó que la implementación de la Norma Internacional ISO 27032 proporcionará directrices para mejorar la seguridad cibernética (Ci- berseguridad), mediante buenas prácticas para quienes gestionan sus actividades en el ciberespacio, a fin de asegurar la información, las redes, de internet y prote- ger las infraestructuras críticas. Abstract This article seeks conceptualizing the approach, scope and guidelines of the stan- dard ISO / ECT 27032 for managing the cybersecurity, for which a qualitative content analysis was performed; it was based on a conceptual study of the origin of the Cyberspace. Additionally, it was studied that the interaction in this virtual space creates an increased risk for maintaining the reliability, integrity and avai- lability of information, this occurred due to the proliferation of “Cyber Threats”, which have evolved in such a way that their raids could affect all human activities. As a result of this work, it was determined that the implementation of the Inter- national Standard ISO 27032 will provide guidelines for improving cybersecurity, through good practice for those who manage their activities in the Cyberspace, in order to ensure information, networks, Internet and protect critical infrastructure. Resumo Como consequência da rápida evolução e o desenvolvimento do sistema de te- lecomunicações e de informação, na última década, grande parte das atividades,
Estudios en Seguridad y Defensa • 2017 • diciembre, volumen 12 • número 24 • 99-111 101 Directrices para la gestión De la ciberseguriDaD utilizanDo el estánDar iso/ect 27032 tanto comerciais, como financeiras e de comunicações, são realizadas através das redes de internet, as quais deram origem a um espaço virtual e assimétrico de- nominado “ciberespaço”, ou seja, esta é autopista por onde circula a informação digital, tanto das pessoas naturais, como das organizações de todos os Estados do mundo. Na medida em que tem aumentado a tecnologia, vão aparecendo e sendo criadas novas ameaças, que põem em perigo a “cibersegurança” das Nações. Para analisar as ameaças cibernéticas é importante focar em termos de sua origem, isto é, de onde provêm. As ameaças cibernéticas podem derivar de um aspecto amplo de fontes, que vão desde uma só pessoa, como um hacker solitário, passando por um funcionário descontente. Os cibercriminosos e os ciber-terroristas chegam até ao uso das capacidades de um ou vários Estados-Nação para conduzir um ataque encoberto, coordenado e dinâmico a um adversário. Introducción Como consecuencia de la rápida evolución y desarrollo de los sistemas de tele- comunicaciones y de información, en la última década gran parte de actividades tanto comerciales, financieras y comunicacionales se las realiza a través de las redes de Internet, las cuales han dado origen a un espacio virtual y asimétrico denominado “Ciberespacio”, es decir, que este es la autopista por donde circula información digital tanto de personas naturales como organizaciones de todos los estados del mundo. En este nuevo ambiente de dimensiones infinitas actual- mente se producen ataques que aseguran el anonimato y pueden causar mayores efectos que un ataque con armas convencionales; dado que pueden inutilizar in- fraestructuras críticas de un país tales como centrales hidroeléctricas, refinerías, aeropuertos, sistemas de telecomunicaciones, aplicaciones financieras, etc.; ade- más, pueden producir pánico financiero y sustracción de información altamente clasificada. A este tipo de atacantes se les conoce actualmente como amenazas ci- bernéticas, ya que estos no usan armas, ni municiones ni ejércitos, solo se infiltran en todos los sistemas tecnológicos y son capaces de someter gobiernos, quebrar economías y desquiciar a grupos sociales, a través de la inyección de un simple virus hasta sofisticados ataques realizados por un terrorista informático o por un Estado como parte de un plan estratégico para doblegar a otro país. En este contexto, todos quienes interactúan en el espacio cibernético (perso- nas, organizaciones y estados), deben tener un papel preponderante en la gestión de la seguridad de ciberespacio, a fin de proteger su privacidad, sus activos y sus infraestructuras críticas. En tal virtud surge la ISO/ECT 27032 como una Norma Internacional encargada de abordar la ciberseguridad desde un enfoque técnico con el fin de determinar los riesgos más comunes para la seguridad del espacio cibernético y establecer los controles más adecuados para mitigar dichos riesgos.
Estudios en Seguridad y Defensa • 2017 • diciembre, volumen 12 • número 24 • 99-111 102 Humberto Parra Cárdenas, PH.d. - angie Fernández Lorenzo, PH.d. - Luis reCaLde Herrera, mgs. Adicionalmente, esta norma enfoca la necesidad de un eficiente intercambio de información entre todos los que interactúan en el ciberespacio, a fin de crear una base de conocimientos sólida de las amenazas y de los incidentes que permitan proteger la privacidad, integridad y disponibilidad de sus activos y su aplicabili- dad en el ámbito empresarial. Metodología Para desarrollar el presente trabajo se realizó un estudio de contenido cualitativo, para lo cual se analizó el contenido de la norma ISO 27032, que básicamente se di- vide en dos partes: la primera que se enfoca al marco teórico de la ciberseguridad; y la segunda, que está orientada a la aplicabilidad de la norma y a las categorías y particularidades de todos los actores que intervienen en el ciberespacio. Inicialmente se realizó el análisis de las definiciones de los elementos básicos que intervienen en la ciberseguridad a fin de comprender adecuadamente la con- cepción del ciberespacio en el ámbito de la seguridad: analizando las principales amenazas que utilizan el espacio cibernético para llevar a cabo acciones crimina- les, terroristas, de usurpación y uso ilícito de la información; también se realiza- do una aproximación a la conceptualización de la ciberseguridad como elemento clave para preservar los activos de una organización; y, finalmente se analizó el propósito, alcance y aplicabilidad de la norma ISO/ECT 27032 como referente de buenas prácticas tanto para proveedores como para usuarios de servicios de internet y de la infraestructura tecnológica de comunicaciones, a fin de preservar la integridad, confiabilidad y disponibilidad de la información que circula por el ciberespacio; y, finalmente se examinó como esta norma complementa el enfoque de la gestión de riesgos de otras normas de las familias ISO 27000 y la ISO 31000, mediante: la identificación de activos críticos, evaluación de riesgos tanto de pro- veedores como usuarios, la responsabilidad hacia otras partes interesadas al in- teractuar en el ciberespacio, proporcionando directrices para la implementación de controles: a nivel de aplicación, para protección de servidores, para usuarios finales, contra ataques de ingeniera social y otros controles a nivel de hardware. Conceptualización de los elementos principales de la Ciberseguridad Origen y definición del Ciberespacio Rattray (2001) plantea que “El ciberespacio es un entorno artificial para la creación, transmisión y uso de la información en una variedad de formatos,
Estudios en Seguridad y Defensa • 2017 • diciembre, volumen 12 • número 24 • 99-111 103 Directrices para la gestión De la ciberseguriDaD utilizanDo el estánDar iso/ect 27032 fundamentalmente constituido por el hardware electrónico, redes, sistemas ope- rativos, estándares y políticas de transmisión” (p, 17). Por otro lado Aguirre (2010) define al ciberespacio como un espacio virtual de interacción, puesto que su rea- lidad se materializa a través de un intercambio de información, surgiendo de una interacción entre el espacio y el medio en este caso la interacción entre redes de computadoras y personas. De estas definiciones se podría abstraer que el ciberespacio es un ecosistema virtual que se forma de una combinación de la energía electromagnética, electró- nica, las infraestructuras de red y la información, lo que lo hace único y asimétri- co, y que básicamente sirve para el intercambio de información y conocimiento, sin importar la localización física, condición social, religiosa o económica de quienes interactúan en él. Está compuesto por una capa de física, que corresponde a la infraestructura y al hardware; una segunda capa que corresponde a las aplica- ciones y al software; y, finalmente una capa que corresponde a la comunicación y generación de contenido, llamada capa cognitiva (Ventre, 2012). La naturaleza y las fuentes de las Ciberamenazas Figura 1: Fuentes y espectro de las ciberamenazas Fuente: Elaboración propia. (IBM Global Business Service, 2010). Para analizar las amenazas cibernéticas es importante enfocarse en términos de su origen, es decir, de donde provienen. Las ciberamenazas pueden derivar- se de un espectro amplio de fuentes, que van desde una sola persona como un
Estudios en Seguridad y Defensa • 2017 • diciembre, volumen 12 • número 24 • 99-111 104 Humberto Parra Cárdenas, PH.d. - angie Fernández Lorenzo, PH.d. - Luis reCaLde Herrera, mgs. hacker solitario, pasando por un empleado descontento, los cibercriminales y ciberterroristas y llegando hasta el empleo de las capacidades de una o varios Es- tados-nación para conducir un ataque encubierto, coordinado y dinámico a un adversario. En tal virtud el impacto potencial de este ataque cibernético aumenta y puede causar daños considerables a las infraestructuras tecnológicas de un país. Este espectro de amenazas se puede esquematizar en la figura 1, contrastando su nivel de peligrosidad, siendo los menos peligrosos los hacker solitarios que buscan más reconocimiento y notoriedad y llegando a amenazas promovidas por Estados que tienen un alto grado de sofisticación y destrucción. Otra de las características importantes que se deben considerar al momen- to de categorizar e investigar las ciberamenazas son las técnicas y tecnologías utilizadas, partiendo desde la simple piratería para difundir información malin- tencionada hasta al ataque con la inyección de un virus que puede bloquear los sistemas computacionales de las infraestructuras críticas de un estado e inutilizar los sistemas de información y comunicaciones de cualquier tipo de organización sea esta pública o privada. Por lo tanto, la preparación de las organizaciones y de los Estados para hacer frente a este tipo de amenazas varía significativamente de acuerdo a sus medios y a sus capacidades estratégicas. Por otro lado, la empresa multinacional de telecomunicaciones CISCO SYS- TEMS, así como otras empresas y organizaciones que se dedican a la protección de la seguridad informática y de las comunicaciones han publicado estadísticas alarmantes del crecimiento exponencial de ataques a las infraestructuras tecnoló- gicas de empresas de todo tipo en los cinco últimos años, tal como se puede obser- var en la figura 2, en la cual CISCO difunde el reporte del crecimiento de ataques de malware por tipo de industria en el 2013. Donde se puede observar que las industrias con un crecimiento de más del 600% en ataques son: las de agricultura y minería, las farmacéuticas y químicas y las de electrónica, mientras que con un crecimiento mayor al 400% están las industrias de energía, gas y petróleo. Por otro lado se puede ver que las industrias que han sufrido menos ataques de malware, son las de aviación y las de IT y telecomunicaciones.
Estudios en Seguridad y Defensa • 2017 • diciembre, volumen 12 • número 24 • 99-111 105 Directrices para la gestión De la ciberseguriDaD utilizanDo el estánDar iso/ect 27032 Figura 2: Riesgos de los sectores y encuentros con malware web. Fuente: Tomado del Informe de CISCO Cloub Web Security (CISCO, 2014) La Ciberseguridad en el contexto empresarial En el glosario de términos publicado por el NICCS (National Initiative for Cyber- security Carrers and Studies, 2015), se define a la ciberseguridad como el conjun- to de estrategias, políticas y normas orientadas a la seguridad de las operaciones en el ciberespacio. Ampliando este concepto se puede decir que se enfoca en mi- nimizar las amenazas y las vulnerabilidades que podrían tener los sistemas de información de una organización, incluyendo las políticas y procedimientos para mitigar los riesgos, la disuasión, y la respuesta a incidentes en el ciberespacio. Mientras que la Unión Internacional de Telecomunicaciones (ITU por sus siglas en inglés), define a la ciberseguridad de la siguiente manera: La Ciberseguridad comprende el conjunto de herramientas, polí- ticas, conceptos de seguridad, medidas de seguridad, directrices, métodos de gestión de riesgos, acciones, formación, mejores prác- ticas, seguridad y tecnologías que se pueden utilizar para proteger en el entorno cibernético los activos de las organizaciones y de los usuarios. Los activos de la organización y de los usuarios inclu- yen dispositivos informáticos, recursos humanos, infraestructura,
Estudios en Seguridad y Defensa • 2017 • diciembre, volumen 12 • número 24 • 99-111 106 Humberto Parra Cárdenas, PH.d. - angie Fernández Lorenzo, PH.d. - Luis reCaLde Herrera, mgs. aplicaciones, servicios relacionados, sistemas de telecomunicacio- nes, y la totalidad de la información transmitida y/o almacenada en el entorno cibernético. La Ciberseguridad garantiza la conse- cución y el mantenimiento de la seguridad de los activos de pro- piedad de las organizaciones y de los usuarios, contra los riesgos de seguridad en el entorno cibernético. Los objetivos generales de seguridad comprenden los siguientes: disponibilidad; integridad, la cual puede incluir autenticidad y no repudio; y la confidencia- lidad. ( ITU, 2008) Esta definición en un sentido más amplio determina toda una amalgama de elementos que se consideran en la ciberseguridad, lo cual no solo corresponde a las directrices y políticas para proteger los activos de información de una organi- zación y de los usuarios de los servicios de telecomunicaciones, sino que incluye a toda su infraestructura tecnológica, a las personas, y a las buenas prácticas de gestión de la seguridad de la información. El Estándar ISO/ECT 27032 Enfoque Esta norma internacional liberada el 16 de julio de 2012, propone un en- foque sistemático para la adecuada gestión de la ciberseguridad, proporcionado una orientación técnica en el análisis de los riesgos de la ciberseguridad causados por los ataques de la ingeniería social, la piratería informática, la proliferación de software malicioso o potencialmente no deseado, además proporciona controles para la detección, seguimiento, preparación y respuesta contra ataques provenien- tes del ciberespacio. Otro aspecto significativo que abarca esta norma es la posibilidad que tan- to proveedores como consumidores (personas y organizaciones) puedan inter- cambiar información sobre todo para el manejo de incidentes y proliferación de ciberamenazas. Es importante destacar que en el año 2014, el Instituto Ecuatoriano de Nor- malización – INEN, publica la Norma Técnica Ecuatoriana NTE INEN-ISO/IEC 27032, que una traducción idéntica de la norma internacional ISO 27032:2012. (INEN, 2014), cuyo enfoque general se puede resumir en la figura 3, que se mues- tra a continuación.
Estudios en Seguridad y Defensa • 2017 • diciembre, volumen 12 • número 24 • 99-111 107 Directrices para la gestión De la ciberseguriDaD utilizanDo el estánDar iso/ect 27032 Figura 3: Vista general del enfoque. Fuente: Traducido de la ISO/ECT 27032 Alcance La ISO/ECT 27032 cubre las prácticas de seguridad desde el nivel más bási- co para quienes interactúan en el ciberespacio. Esta norma contempla una des- cripción integral de cómo mejorar la seguridad cibernética; una explicación de la relación entre la ciberseguridad y otros tipos de seguridades en el ámbito tecno- lógico; una definición de las partes interesadas (stakeholders) y una descripción de su papel en la seguridad cibernética; una orientación para abordar problemas comunes de seguridad cibernética y un marco que permite a las partes interesadas colaborar en la solución de problemas comunes en la ciberseguridad. Extrayendo los aspectos básicos de la ciberseguridad y de su dependencia en otros dominios de la seguridad, en forma concreta sobre: la seguridad de la información, la segu- ridad de las redes, la seguridad en Internet y la protección de la información de las infraestructuras críticas (CIIP, por sus siglas en inglés). Estructura y contenido general de la Norma En la figura 4 se ha esquematizado la estructura general de la norma ISO/ ECT 27032; cuyo contenido se puede dividir en dos partes. En una primera parte, desde la sección uno hasta la sexta, se realiza un enfoque del marco teórico de la ciberseguridad, del alcance, aplicabilidad y enfoque general del contexto en el que se orienta la ciberseguridad como parte de la seguridad en general. Mientras que en la segunda parte, que va desde la sección siete hasta la decimotercera, se incluyen los aspectos fundamentales de ciberseguridad que enfoca esta norma, es decir, una descripción de los stakeholders y sus roles, así como una clasificación de los activos en el ciberespacio; también se hace una descripción de las amenazas contra la seguridad del ciberespacio y los controles para mitigar los riesgos de
Estudios en Seguridad y Defensa • 2017 • diciembre, volumen 12 • número 24 • 99-111 108 Humberto Parra Cárdenas, PH.d. - angie Fernández Lorenzo, PH.d. - Luis reCaLde Herrera, mgs. dichas amenazas; y, finalmente se hace referencia a un marco de información y coordinación de los actores que intervienen activamente en el ciberespacio, tanto proveedores como consumidores. Figura 4: Estructura General del estándar ISO/ECT 27032 Fuente: ISO/ECT 27032 Dentro del análisis específico de la segunda parte de la norma ISO/ECT 27032l en la sección 7 de esta norma, se establece que dentro de ciberespacio interactúan, por un lado los consumidores; sean estos personas naturales y orga- nismos tanto públicos como privados; y por otro lado están los proveedores de servicios de Internet y de aplicaciones. Esta norma internacional a todos estos grupos descritos anteriormente los nombra en forma genérica como partes inte- resadas o stakeholders. En la sección 8 se describen los activos que están expuestos en el ciberespa- cio; considerando como activo todo bien o servicio que tiene un valor tangible o intangible para las organizaciones y para los individuos y que cuya perdida, subs- tracción o destrucción pueden causar deterioro en su patrimonio e inclusive en su credibilidad e imagen. En tal sentido la ISO/ECT 27032 establece dos grandes grupos relacionados a los bienes personales y a los activos de las organizaciones, sean estos físicos o virtuales.
Estudios en Seguridad y Defensa • 2017 • diciembre, volumen 12 • número 24 • 99-111 109 Directrices para la gestión De la ciberseguriDaD utilizanDo el estánDar iso/ect 27032 La sección 9 en forma específica establece cuáles son las amenazas contra la seguridad en el ciberespacio. Por un lado se establecen las amenazas a los bienes de las personas e individuos; por otro lado, las amenazas latentes para los activos de las organizaciones. En esta sección además se analizan cuáles son los agentes de amenazas y sus principales motivaciones para irrumpir en el ciberespacio. Otro apartado importante que enfoca está sección es lo referente a las vulnerabilidades que potencialmente pueden aprovechar los ciberatacantes y sus principales meca- nismos de ataque, los cuales pueden originarse tanto en el interior de un red pri- vadas por individuos que pertenecen a la organización, como en forma externa a una red privada como por ejemplo los ataques que se realizan a través del Internet. Los roles de las partes interesadas o stakeholders, es decir de los consumido- res sean estos personas naturales u organizaciones y de los proveedores, básica- mente se enfocan a su participación activa o pasiva para contribuir a la seguridad cibernética, están claramente estipulados en la sección 10 de la norma motivo del presente estudio. La sección 11 de la norma internacional se enfoca a la evaluación y trata- miento de los riesgos; considerándose aspectos fundamentales como la identifica- ción de activos críticos y los riesgos inherentes a dichos activos, para identificarlos y evaluarlos claramente. También se establecen las directrices de seguridad para consumidores y proveedores de servicios que intervienen activamente en el ci- berespacio, complementadas con una serie de buenas prácticas que permitirán garantizar la seguridad de la información dentro de las organizaciones. En la sección 12 de la ISO/ECT 27032, se trata como elemento clave de la aplicabilidad de esta norma los controles para una efectiva y eficiente seguridad cibernética; tanto a nivel de aplicaciones, de servidores (hardware) y de usuario final. También se establecen en forma explícita los controles en caso de ataques de ingeniería social y otros controles adicionales para fortalecer la ciberseguirdad. Considerando que los incidentes cibernéticos pueden originarse en cualquier lugar del planeta, sin importar fronteras geográficas, sin que importe el tipo de amenazas y atacantes, las organizaciones y los individuos deben establecer nor- mas y regulaciones para compartir la información que les permita responder efec- tivamente a cualquier evento o incidente que ponga en riesgo la seguridad de su información; en tal virtud, como en la sección 13 de esta norma se establecen las políticas generales y el marco de coordinación a todo nivel para crear un sistema global de ciberseguirdad, seguro, confiable y transparente. Finalmente la norma ISO/ECT 27032 incluye tres anexos; el Anexo A, orien- tado a mejorar los controles para detectar y responder ante amenazas emergentes. Mientras tanto el Anexo B incluye fuentes adicionales en las cuales se pueden
Estudios en Seguridad y Defensa • 2017 • diciembre, volumen 12 • número 24 • 99-111 110 Humberto Parra Cárdenas, PH.d. - angie Fernández Lorenzo, PH.d. - Luis reCaLde Herrera, mgs. ampliar aspectos técnicos y metodológicos para fortalecer la seguridad cibernética y el reporte de incidentes. El Anexo C incluye una serie de normas e informes téc- nicos que podrán ser de gran utilidad para la gestión integral de la ciberseguridad. Conclusiones El estándar o norma ISO/ECT 27032, como parte de la familia ISO 27000, propo- ne un enfoque sistemático para la gestión de la ciberseguridad, considerando que en el ciberespacio no solo interactúan organizaciones para intercambiar informa- ción en forma lícita, sino que también conviven en este ecosistema virtual ame- nazas tanto internas como externas que potencialmente podrían dañar, sustraer, destruir o incluso usar con fines políticos, económicos y delictivos los activos de estas organizaciones y los bienes de las personas en general. Esta norma proporciona directrices para que las partes interesadas evalúen los riesgos por el potencial deterioro o pérdida de sus activos e implementen con- troles efectivos tanto para las aplicaciones, como para los usuarios finales y los servidores de una organización. También proporciona lineamientos para la pro- tección de la información contra ataques de ingeniería social, proveyendo estra- tegias, políticas, métodos y procesos para mitigarlos, además de una adecuada capacitación y entrenamiento de los usuarios y consumidores que interactúan en el ciberespacio. Los incidentes que afectan la ciberseguridad traspasan las fronteras geográfi- cas y las redes internas de las organizaciones lo cual limita la respuesta en forma individual ante estos incidentes, por lo que se plantea la necesidad de establecer directrices generales para compartir información acerca de las amenazas con el fin de ejecutar acciones coordinadas para responder adecuadamente ante cual- quier tipo de amenaza a la ciberseguridad, por lo que esta norma proporciona un marco de referencia para implementar un sistema de información coordinado y compartido para un eficiente y efectivo control del espacio cibernético. La norma ISO/ECT 27032 por sí sola no es certificable y constituye una di- rectriz de buenas prácticas para la gestión de la ciberseguirdad en todo tipo de organizaciones, sean estás públicas o privadas e inclusive de las personas que in- teractúan permanentemente en el ciberespacio.
Estudios en Seguridad y Defensa • 2017 • diciembre, volumen 12 • número 24 • 99-111 111 Directrices para la gestión De la ciberseguriDaD utilizanDo el estánDar iso/ect 27032 Referencias Aguirre, J. (2010). Ciberespacio y Comunicación: Nuevas formas de vertebración social en el siglo XXI. Madrid: Biblioteca Virtual Universal CISCO. (2014). Informe anual de seguridad. San José, CA: Cisco Systems, Inc. IBM Global Business Service (2010). Cyber defense: Understanding and combating the threat. IBM Global Bussines Services, p.5 INEN (2014). Tecnología de la información – Técnicas de seguridad – Directrices para ciber- seguridad (ISO/IEC 27032:2012, IDT), NTE INEN-ISO/IEC 27032 Instituto Español de Estudios Estratégicos (2010). Ciberseguridad. Retos y Amenazas a la Seguridad Nacional en el Ciberespacios. Madrid: Ministerio de Defensa. ISACA (2012). Information technology — Security techniques — Guidelines for cyberse- curity. Genova: ISO/IEC 27032 ISACA (2013). Transforming Cybersecurity: Using COBIT. Illinois: ISACA org. ITU (2008). Recommendaion IUT-T X 1025. Section 3.2.5 - Overview of cybersecu- rity. Recuperado de: http://icto.dost.gov.ph/wp-content/uploads/2014/07/T- REC-X.1205_April2008.pdf Klimburg, A. (2012). National Cyber Security Framework Manual. Tallinn: NATO Coope- rative Cyber Defence Centre of Excellence Kissel, R. (2013). Glossary of Key Information Security Terms. National Institute of Stan- dards and Technology NIST NICCS - National Initiative for Cybersecurity Carriers and Studies (2015). Recuperado de: http://niccs.us-cert.gov/glossary Rattray, G. (2001, p.17, 65). Strategic Warfare in Cyberspace. Massachusetts: MITT Press Ventre, D. (2012). Cyber Conflic: Competing National Perpectives. Engelska: Wiley-ISTE

Recomendados

Ficha informativa: ISO/IEC 27032:2012 Lineamientos para Ciberseguridad
Ficha informativa: ISO/IEC 27032:2012 Lineamientos para CiberseguridadFicha informativa: ISO/IEC 27032:2012 Lineamientos para Ciberseguridad
Ficha informativa: ISO/IEC 27032:2012 Lineamientos para CiberseguridadCarlos A. Horna Vallejos
 
Aspectos sobre Ciberseguridad - ISO/IEC 27032
Aspectos sobre Ciberseguridad - ISO/IEC 27032Aspectos sobre Ciberseguridad - ISO/IEC 27032
Aspectos sobre Ciberseguridad - ISO/IEC 27032Carlos A. Horna Vallejos
 
Presetacion redes ip
Presetacion redes ipPresetacion redes ip
Presetacion redes ipJose Alberto Medina Vega
 
4 aspectos legales y eticos de la seguridad de informacion
4 aspectos legales y eticos de la seguridad de informacion4 aspectos legales y eticos de la seguridad de informacion
4 aspectos legales y eticos de la seguridad de informacionMarlene Lizbeth Rojas Abarca
 
Ciberseguridad- Acciones y Estrategias
Ciberseguridad- Acciones y EstrategiasCiberseguridad- Acciones y Estrategias
Ciberseguridad- Acciones y EstrategiasReuniones Networking TIC
 
Integración entre la ISO 27001 y la certificación en continuidad de negocio I...
Integración entre la ISO 27001 y la certificación en continuidad de negocio I...Integración entre la ISO 27001 y la certificación en continuidad de negocio I...
Integración entre la ISO 27001 y la certificación en continuidad de negocio I...PECB
 
Ciberseguridad: lo que deben saber los ejecutivos de TI
Ciberseguridad: lo que deben saber los ejecutivos de TICiberseguridad: lo que deben saber los ejecutivos de TI
Ciberseguridad: lo que deben saber los ejecutivos de TISoftware Guru
 
Actividad so
Actividad soActividad so
Actividad soCristian Izquierdo
 

Recomendados

Ficha informativa: ISO/IEC 27032:2012 Lineamientos para Ciberseguridad
Ficha informativa: ISO/IEC 27032:2012 Lineamientos para CiberseguridadFicha informativa: ISO/IEC 27032:2012 Lineamientos para Ciberseguridad
Ficha informativa: ISO/IEC 27032:2012 Lineamientos para CiberseguridadCarlos A. Horna Vallejos
 
Aspectos sobre Ciberseguridad - ISO/IEC 27032
Aspectos sobre Ciberseguridad - ISO/IEC 27032Aspectos sobre Ciberseguridad - ISO/IEC 27032
Aspectos sobre Ciberseguridad - ISO/IEC 27032Carlos A. Horna Vallejos
 
Presetacion redes ip
Presetacion redes ipPresetacion redes ip
Presetacion redes ipJose Alberto Medina Vega
 
4 aspectos legales y eticos de la seguridad de informacion
4 aspectos legales y eticos de la seguridad de informacion4 aspectos legales y eticos de la seguridad de informacion
4 aspectos legales y eticos de la seguridad de informacionMarlene Lizbeth Rojas Abarca
 
Ciberseguridad- Acciones y Estrategias
Ciberseguridad- Acciones y EstrategiasCiberseguridad- Acciones y Estrategias
Ciberseguridad- Acciones y EstrategiasReuniones Networking TIC
 
Integración entre la ISO 27001 y la certificación en continuidad de negocio I...
Integración entre la ISO 27001 y la certificación en continuidad de negocio I...Integración entre la ISO 27001 y la certificación en continuidad de negocio I...
Integración entre la ISO 27001 y la certificación en continuidad de negocio I...PECB
 
Ciberseguridad: lo que deben saber los ejecutivos de TI
Ciberseguridad: lo que deben saber los ejecutivos de TICiberseguridad: lo que deben saber los ejecutivos de TI
Ciberseguridad: lo que deben saber los ejecutivos de TISoftware Guru
 
Actividad so
Actividad soActividad so
Actividad soCristian Izquierdo
 
Presentación de la AEI Ciberseguridad y Tecnologías Avanzadas
Presentación de la AEI Ciberseguridad y Tecnologías AvanzadasPresentación de la AEI Ciberseguridad y Tecnologías Avanzadas
Presentación de la AEI Ciberseguridad y Tecnologías AvanzadasCentro Andaluz de Innovación y Tecnologías de la Información y las Comunicaciones
 
Curso: Comunicación de datos y redes: 15 Buenas prácticas internacionales
Curso: Comunicación de datos y redes: 15 Buenas prácticas internacionalesCurso: Comunicación de datos y redes: 15 Buenas prácticas internacionales
Curso: Comunicación de datos y redes: 15 Buenas prácticas internacionalesJack Daniel Cáceres Meza
 
Cloud Computing, IoT, BYOD Ha muerto el perímetro corporativo. ¿y ahora qué?
Cloud Computing, IoT, BYOD Ha muerto el perímetro corporativo. ¿y ahora qué?Cloud Computing, IoT, BYOD Ha muerto el perímetro corporativo. ¿y ahora qué?
Cloud Computing, IoT, BYOD Ha muerto el perímetro corporativo. ¿y ahora qué?Ramiro Cid
 
¿Cuáles son los peligros a los que se enfrenta su sistema informático?
¿Cuáles son los peligros a los que se enfrenta su sistema informático?¿Cuáles son los peligros a los que se enfrenta su sistema informático?
¿Cuáles son los peligros a los que se enfrenta su sistema informático?Ramiro Cid
 
La nueva era, la ciberseguridad
La nueva era, la ciberseguridadLa nueva era, la ciberseguridad
La nueva era, la ciberseguridadAje Región de Murcia
 
seguridad informatica
seguridad informaticaseguridad informatica
seguridad informaticavrme
 
Sensibilizacion
SensibilizacionSensibilizacion
Sensibilizacionpredeitor
 
Normas de Seguridad de la Información
Normas de Seguridad de la InformaciónNormas de Seguridad de la Información
Normas de Seguridad de la InformaciónJherdy Sotelo Marticorena
 
Ciberseguridad (deloitte)
Ciberseguridad (deloitte)Ciberseguridad (deloitte)
Ciberseguridad (deloitte)Mikel García Larragan
 
Seguridad en la PYME. Tertulia Digital
Seguridad en la PYME. Tertulia DigitalSeguridad en la PYME. Tertulia Digital
Seguridad en la PYME. Tertulia DigitalInternet Security Auditors
 
Tema 1. Seguridad física y lineamientos generales de seguridad
Tema 1. Seguridad física y lineamientos generales de seguridadTema 1. Seguridad física y lineamientos generales de seguridad
Tema 1. Seguridad física y lineamientos generales de seguridadFrancisco Medina
 
Cómo gestionar los riesgos de ciberseguridad
Cómo gestionar los riesgos de ciberseguridadCómo gestionar los riesgos de ciberseguridad
Cómo gestionar los riesgos de ciberseguridadTGS
 
Riesgos de la Información Electrónica
Riesgos de la Información ElectrónicaRiesgos de la Información Electrónica
Riesgos de la Información ElectrónicaVictorAlfonsoGuarinM
 
S4-AI-2.2. Normas
S4-AI-2.2. NormasS4-AI-2.2. Normas
S4-AI-2.2. NormasLuis Fernando Aguas Bucheli
 
Jornada ciberseguridad base CiberTECCH es
Jornada ciberseguridad base CiberTECCH esJornada ciberseguridad base CiberTECCH es
Jornada ciberseguridad base CiberTECCH esJordi Garcia Castillon
 
Seguridad de red para la generación de la Nube
Seguridad de red para la generación de la Nube Seguridad de red para la generación de la Nube
Seguridad de red para la generación de la Nube Cristian Garcia G.
 
Aplicando la ciencia de datos en la detección de amenazas
Aplicando la ciencia de datos en la detección de amenazasAplicando la ciencia de datos en la detección de amenazas
Aplicando la ciencia de datos en la detección de amenazasCristian Garcia G.
 
Curso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónCurso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónHoracio Veramendi
 
La ciberseguridad día a día: trabajar en el sector de la ciberseguridad
La ciberseguridad día a día: trabajar en el sector de la ciberseguridadLa ciberseguridad día a día: trabajar en el sector de la ciberseguridad
La ciberseguridad día a día: trabajar en el sector de la ciberseguridadJorge Martínez Taboada
 
Optimiti Ciberseguridad
Optimiti CiberseguridadOptimiti Ciberseguridad
Optimiti CiberseguridadPMI Capítulo México
 
PASSARELLO ESPEDITO Iram num 94_2004_hacia_una_cultura_de_seguridad
PASSARELLO ESPEDITO Iram num 94_2004_hacia_una_cultura_de_seguridadPASSARELLO ESPEDITO Iram num 94_2004_hacia_una_cultura_de_seguridad
PASSARELLO ESPEDITO Iram num 94_2004_hacia_una_cultura_de_seguridadEspedito Passarello
 
CIBERSEGURIDAD
CIBERSEGURIDADCIBERSEGURIDAD
CIBERSEGURIDADMarietaCanales
 

Más contenido relacionado

La actualidad más candente

Curso: Comunicación de datos y redes: 15 Buenas prácticas internacionales
Curso: Comunicación de datos y redes: 15 Buenas prácticas internacionalesCurso: Comunicación de datos y redes: 15 Buenas prácticas internacionales
Curso: Comunicación de datos y redes: 15 Buenas prácticas internacionalesJack Daniel Cáceres Meza
 
Cloud Computing, IoT, BYOD Ha muerto el perímetro corporativo. ¿y ahora qué?
Cloud Computing, IoT, BYOD Ha muerto el perímetro corporativo. ¿y ahora qué?Cloud Computing, IoT, BYOD Ha muerto el perímetro corporativo. ¿y ahora qué?
Cloud Computing, IoT, BYOD Ha muerto el perímetro corporativo. ¿y ahora qué?Ramiro Cid
 
¿Cuáles son los peligros a los que se enfrenta su sistema informático?
¿Cuáles son los peligros a los que se enfrenta su sistema informático?¿Cuáles son los peligros a los que se enfrenta su sistema informático?
¿Cuáles son los peligros a los que se enfrenta su sistema informático?Ramiro Cid
 
seguridad informatica
seguridad informaticaseguridad informatica
seguridad informaticavrme
 
Sensibilizacion
SensibilizacionSensibilizacion
Sensibilizacionpredeitor
 
Tema 1. Seguridad física y lineamientos generales de seguridad
Tema 1. Seguridad física y lineamientos generales de seguridadTema 1. Seguridad física y lineamientos generales de seguridad
Tema 1. Seguridad física y lineamientos generales de seguridadFrancisco Medina
 
Cómo gestionar los riesgos de ciberseguridad
Cómo gestionar los riesgos de ciberseguridadCómo gestionar los riesgos de ciberseguridad
Cómo gestionar los riesgos de ciberseguridadTGS
 
Riesgos de la Información Electrónica
Riesgos de la Información ElectrónicaRiesgos de la Información Electrónica
Riesgos de la Información ElectrónicaVictorAlfonsoGuarinM
 
Jornada ciberseguridad base CiberTECCH es
Jornada ciberseguridad base CiberTECCH esJornada ciberseguridad base CiberTECCH es
Jornada ciberseguridad base CiberTECCH esJordi Garcia Castillon
 
Seguridad de red para la generación de la Nube
Seguridad de red para la generación de la Nube Seguridad de red para la generación de la Nube
Seguridad de red para la generación de la Nube Cristian Garcia G.
 
Aplicando la ciencia de datos en la detección de amenazas
Aplicando la ciencia de datos en la detección de amenazasAplicando la ciencia de datos en la detección de amenazas
Aplicando la ciencia de datos en la detección de amenazasCristian Garcia G.
 
Curso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónCurso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónHoracio Veramendi
 
La ciberseguridad día a día: trabajar en el sector de la ciberseguridad
La ciberseguridad día a día: trabajar en el sector de la ciberseguridadLa ciberseguridad día a día: trabajar en el sector de la ciberseguridad
La ciberseguridad día a día: trabajar en el sector de la ciberseguridadJorge Martínez Taboada
 

La actualidad más candente (20)

Presentación de la AEI Ciberseguridad y Tecnologías Avanzadas
Presentación de la AEI Ciberseguridad y Tecnologías AvanzadasPresentación de la AEI Ciberseguridad y Tecnologías Avanzadas
Presentación de la AEI Ciberseguridad y Tecnologías Avanzadas
 
Curso: Comunicación de datos y redes: 15 Buenas prácticas internacionales
Curso: Comunicación de datos y redes: 15 Buenas prácticas internacionalesCurso: Comunicación de datos y redes: 15 Buenas prácticas internacionales
Curso: Comunicación de datos y redes: 15 Buenas prácticas internacionales
 
Cloud Computing, IoT, BYOD Ha muerto el perímetro corporativo. ¿y ahora qué?
Cloud Computing, IoT, BYOD Ha muerto el perímetro corporativo. ¿y ahora qué?Cloud Computing, IoT, BYOD Ha muerto el perímetro corporativo. ¿y ahora qué?
Cloud Computing, IoT, BYOD Ha muerto el perímetro corporativo. ¿y ahora qué?
 
¿Cuáles son los peligros a los que se enfrenta su sistema informático?
¿Cuáles son los peligros a los que se enfrenta su sistema informático?¿Cuáles son los peligros a los que se enfrenta su sistema informático?
¿Cuáles son los peligros a los que se enfrenta su sistema informático?
 
La nueva era, la ciberseguridad
La nueva era, la ciberseguridadLa nueva era, la ciberseguridad
La nueva era, la ciberseguridad
 
seguridad informatica
seguridad informaticaseguridad informatica
seguridad informatica
 
Sensibilizacion
SensibilizacionSensibilizacion
Sensibilizacion
 
Normas de Seguridad de la Información
Normas de Seguridad de la InformaciónNormas de Seguridad de la Información
Normas de Seguridad de la Información
 
Ciberseguridad (deloitte)
Ciberseguridad (deloitte)Ciberseguridad (deloitte)
Ciberseguridad (deloitte)
 
Seguridad en la PYME. Tertulia Digital
Seguridad en la PYME. Tertulia DigitalSeguridad en la PYME. Tertulia Digital
Seguridad en la PYME. Tertulia Digital
 
Tema 1. Seguridad física y lineamientos generales de seguridad
Tema 1. Seguridad física y lineamientos generales de seguridadTema 1. Seguridad física y lineamientos generales de seguridad
Tema 1. Seguridad física y lineamientos generales de seguridad
 
Cómo gestionar los riesgos de ciberseguridad
Cómo gestionar los riesgos de ciberseguridadCómo gestionar los riesgos de ciberseguridad
Cómo gestionar los riesgos de ciberseguridad
 
Riesgos de la Información Electrónica
Riesgos de la Información ElectrónicaRiesgos de la Información Electrónica
Riesgos de la Información Electrónica
 
S4-AI-2.2. Normas
S4-AI-2.2. NormasS4-AI-2.2. Normas
S4-AI-2.2. Normas
 
Jornada ciberseguridad base CiberTECCH es
Jornada ciberseguridad base CiberTECCH esJornada ciberseguridad base CiberTECCH es
Jornada ciberseguridad base CiberTECCH es
 
Seguridad de red para la generación de la Nube
Seguridad de red para la generación de la Nube Seguridad de red para la generación de la Nube
Seguridad de red para la generación de la Nube
 
Aplicando la ciencia de datos en la detección de amenazas
Aplicando la ciencia de datos en la detección de amenazasAplicando la ciencia de datos en la detección de amenazas
Aplicando la ciencia de datos en la detección de amenazas
 
Curso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónCurso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la Información
 
La ciberseguridad día a día: trabajar en el sector de la ciberseguridad
La ciberseguridad día a día: trabajar en el sector de la ciberseguridadLa ciberseguridad día a día: trabajar en el sector de la ciberseguridad
La ciberseguridad día a día: trabajar en el sector de la ciberseguridad
 
Optimiti Ciberseguridad
Optimiti CiberseguridadOptimiti Ciberseguridad
Optimiti Ciberseguridad
 

Similar a 253 1. página de portada-865-1-10-20200922 (1)

PASSARELLO ESPEDITO Iram num 94_2004_hacia_una_cultura_de_seguridad
PASSARELLO ESPEDITO Iram num 94_2004_hacia_una_cultura_de_seguridadPASSARELLO ESPEDITO Iram num 94_2004_hacia_una_cultura_de_seguridad
PASSARELLO ESPEDITO Iram num 94_2004_hacia_una_cultura_de_seguridadEspedito Passarello
 
Modulo II, parte 4 curso Protección de Datos.
Modulo II, parte 4 curso Protección de Datos.Modulo II, parte 4 curso Protección de Datos.
Modulo II, parte 4 curso Protección de Datos.ANTONIO GARCÍA HERRÁIZ
 
DEFENSA Y SEGURIDAD DEL CIBERESPACIO (1).pdf
DEFENSA Y SEGURIDAD DEL CIBERESPACIO (1).pdfDEFENSA Y SEGURIDAD DEL CIBERESPACIO (1).pdf
DEFENSA Y SEGURIDAD DEL CIBERESPACIO (1).pdfANGELRONALDOVALVERDE
 
Informe OBS: Ciberseguridad y Hackers
Informe OBS: Ciberseguridad y HackersInforme OBS: Ciberseguridad y Hackers
Informe OBS: Ciberseguridad y HackersOBS Business School
 
Seminario sobre ciberseguridad
Seminario sobre ciberseguridadSeminario sobre ciberseguridad
Seminario sobre ciberseguridadRamiro Cid
 
Seguridad informatica luissmendoza
Seguridad informatica luissmendozaSeguridad informatica luissmendoza
Seguridad informatica luissmendozaLuis Mendoza
 
Guia de seguridad en redes
Guia de seguridad en redesGuia de seguridad en redes
Guia de seguridad en redesJo Dan
 
Manual de seguridad
Manual de seguridadManual de seguridad
Manual de seguridadJORGE MONGUI
 
Manual de seguridad
Manual de seguridadManual de seguridad
Manual de seguridadJAV_999
 
Análisis situacional de la ciberseguridad en perú y países sudamericanos
Análisis situacional de la ciberseguridad en perú y países sudamericanosAnálisis situacional de la ciberseguridad en perú y países sudamericanos
Análisis situacional de la ciberseguridad en perú y países sudamericanosMARIO HUAYPUNA
 
Análisis situacional de la ciberseguridad en perú y países sudamericanos
Análisis situacional de la ciberseguridad en perú y países sudamericanosAnálisis situacional de la ciberseguridad en perú y países sudamericanos
Análisis situacional de la ciberseguridad en perú y países sudamericanosMARIO HUAYPUNA
 
Formación de una cultura de seguridad frente a robos informáticos
Formación de una cultura de seguridad frente a robos informáticosFormación de una cultura de seguridad frente a robos informáticos
Formación de una cultura de seguridad frente a robos informáticosBrandon Pérez
 

Similar a 253 1. página de portada-865-1-10-20200922 (1) (20)

PASSARELLO ESPEDITO Iram num 94_2004_hacia_una_cultura_de_seguridad
PASSARELLO ESPEDITO Iram num 94_2004_hacia_una_cultura_de_seguridadPASSARELLO ESPEDITO Iram num 94_2004_hacia_una_cultura_de_seguridad
PASSARELLO ESPEDITO Iram num 94_2004_hacia_una_cultura_de_seguridad
 
CIBERSEGURIDAD
CIBERSEGURIDADCIBERSEGURIDAD
CIBERSEGURIDAD
 
Modulo II, parte 4 curso Protección de Datos.
Modulo II, parte 4 curso Protección de Datos.Modulo II, parte 4 curso Protección de Datos.
Modulo II, parte 4 curso Protección de Datos.
 
Analisis editorial
Analisis editorialAnalisis editorial
Analisis editorial
 
Ciberseguridad
CiberseguridadCiberseguridad
Ciberseguridad
 
DEFENSA Y SEGURIDAD DEL CIBERESPACIO (1).pdf
DEFENSA Y SEGURIDAD DEL CIBERESPACIO (1).pdfDEFENSA Y SEGURIDAD DEL CIBERESPACIO (1).pdf
DEFENSA Y SEGURIDAD DEL CIBERESPACIO (1).pdf
 
Informe OBS: Ciberseguridad y Hackers
Informe OBS: Ciberseguridad y HackersInforme OBS: Ciberseguridad y Hackers
Informe OBS: Ciberseguridad y Hackers
 
ciberseguridad.pptx
ciberseguridad.pptxciberseguridad.pptx
ciberseguridad.pptx
 
ADA2_B1_JAHG
ADA2_B1_JAHGADA2_B1_JAHG
ADA2_B1_JAHG
 
Seminario sobre ciberseguridad
Seminario sobre ciberseguridadSeminario sobre ciberseguridad
Seminario sobre ciberseguridad
 
Seguridad informatica luissmendoza
Seguridad informatica luissmendozaSeguridad informatica luissmendoza
Seguridad informatica luissmendoza
 
Guia de seguridad en redes
Guia de seguridad en redesGuia de seguridad en redes
Guia de seguridad en redes
 
Manual de seguridad
Manual de seguridadManual de seguridad
Manual de seguridad
 
Manual de seguridad
Manual de seguridadManual de seguridad
Manual de seguridad
 
Análisis situacional de la ciberseguridad en perú y países sudamericanos
Análisis situacional de la ciberseguridad en perú y países sudamericanosAnálisis situacional de la ciberseguridad en perú y países sudamericanos
Análisis situacional de la ciberseguridad en perú y países sudamericanos
 
Análisis situacional de la ciberseguridad en perú y países sudamericanos
Análisis situacional de la ciberseguridad en perú y países sudamericanosAnálisis situacional de la ciberseguridad en perú y países sudamericanos
Análisis situacional de la ciberseguridad en perú y países sudamericanos
 
Formación de una cultura de seguridad frente a robos informáticos
Formación de una cultura de seguridad frente a robos informáticosFormación de una cultura de seguridad frente a robos informáticos
Formación de una cultura de seguridad frente a robos informáticos
 
Ciberseguridad
CiberseguridadCiberseguridad
Ciberseguridad
 
Ciberseguridad
CiberseguridadCiberseguridad
Ciberseguridad
 
Seguridad informaticafinal
Seguridad informaticafinalSeguridad informaticafinal
Seguridad informaticafinal
 

Último

Imágenes digitales: Calidad de la información
Imágenes digitales: Calidad de la informaciónImágenes digitales: Calidad de la información
Imágenes digitales: Calidad de la informaciónUniversidad de Sonora
 
BUSCADORES DE INTERNET (Universidad de Sonora).
BUSCADORES DE INTERNET (Universidad de Sonora).BUSCADORES DE INTERNET (Universidad de Sonora).
BUSCADORES DE INTERNET (Universidad de Sonora).jcaballerosamayoa
 
PRÁCTICA Nº 4: “Análisis de secuencias del ADN con el software BioEdit y uso ...
PRÁCTICA Nº 4: “Análisis de secuencias del ADN con el software BioEdit y uso ...PRÁCTICA Nº 4: “Análisis de secuencias del ADN con el software BioEdit y uso ...
PRÁCTICA Nº 4: “Análisis de secuencias del ADN con el software BioEdit y uso ...dramosbrise1403
 
Introduccion-a-la-electronica-industrial.pptx
Introduccion-a-la-electronica-industrial.pptxIntroduccion-a-la-electronica-industrial.pptx
Introduccion-a-la-electronica-industrial.pptxcj12paz
 
Chat GPT para la educación Latinoamerica
Chat GPT para la educación LatinoamericaChat GPT para la educación Latinoamerica
Chat GPT para la educación LatinoamericaEdwinGarca59
 
presentacion_desamblado_de_una_computadora_base_a_las_normas_de_seguridad.pdf
presentacion_desamblado_de_una_computadora_base_a_las_normas_de_seguridad.pdfpresentacion_desamblado_de_una_computadora_base_a_las_normas_de_seguridad.pdf
presentacion_desamblado_de_una_computadora_base_a_las_normas_de_seguridad.pdfaxelv9257
 
Desarrollo del Dominio del Internet - Estrada
Desarrollo del Dominio del Internet - EstradaDesarrollo del Dominio del Internet - Estrada
Desarrollo del Dominio del Internet - EstradaRicardoEstrada90
 
10°8 - Avances tecnologicos del siglo XXI 10-8
10°8 - Avances tecnologicos del siglo XXI 10-810°8 - Avances tecnologicos del siglo XXI 10-8
10°8 - Avances tecnologicos del siglo XXI 10-8antoniopalmieriluna
 
Navegadores de internet - Nuevas Tecnologías de la Información y la Comunicación
Navegadores de internet - Nuevas Tecnologías de la Información y la ComunicaciónNavegadores de internet - Nuevas Tecnologías de la Información y la Comunicación
Navegadores de internet - Nuevas Tecnologías de la Información y la ComunicaciónAntonia Yamilet Perez Palomares
 
Ejercicio 1 periodo 2 de Tecnología 2024
Ejercicio 1 periodo 2 de Tecnología 2024Ejercicio 1 periodo 2 de Tecnología 2024
Ejercicio 1 periodo 2 de Tecnología 2024NicolleAndrade7
 
Editorial. Grupo de 12B de La Salle Margarita.pdf
Editorial. Grupo de 12B de La Salle Margarita.pdfEditorial. Grupo de 12B de La Salle Margarita.pdf
Editorial. Grupo de 12B de La Salle Margarita.pdfYanitza28
 
Tipos de Datos de Microsoft Access-JOEL GARCIA.pptx
Tipos de Datos de Microsoft Access-JOEL GARCIA.pptxTipos de Datos de Microsoft Access-JOEL GARCIA.pptx
Tipos de Datos de Microsoft Access-JOEL GARCIA.pptxJOELGARCIA849853
 
microsoft word manuales para todos tipos de estudiamte
microsoft word manuales para todos tipos de estudiamtemicrosoft word manuales para todos tipos de estudiamte
microsoft word manuales para todos tipos de estudiamte2024020140
 
Tarea_sesion_15_Reportes Maestro - Detalle con el uso de AJAX.pptx
Tarea_sesion_15_Reportes Maestro - Detalle con el uso de AJAX.pptxTarea_sesion_15_Reportes Maestro - Detalle con el uso de AJAX.pptx
Tarea_sesion_15_Reportes Maestro - Detalle con el uso de AJAX.pptxVICTORMANUELBEASAGUI
 
Redes Neuronales profundas convolucionales CNN ́s-1.pdf
Redes Neuronales profundas convolucionales CNN ́s-1.pdfRedes Neuronales profundas convolucionales CNN ́s-1.pdf
Redes Neuronales profundas convolucionales CNN ́s-1.pdfJosAndrRosarioVzquez
 
Editorial. Grupo de 12B. La Salle Margarita.pdf
Editorial. Grupo de 12B. La Salle Margarita.pdfEditorial. Grupo de 12B. La Salle Margarita.pdf
Editorial. Grupo de 12B. La Salle Margarita.pdfYanitza28
 
¡Ya basta! Sanidad Interior - Angela Kellenberger.pdf
¡Ya basta! Sanidad Interior - Angela Kellenberger.pdf¡Ya basta! Sanidad Interior - Angela Kellenberger.pdf
¡Ya basta! Sanidad Interior - Angela Kellenberger.pdfjuan23xpx
 
Función del analizador léxico.pdf presentacion
Función del analizador léxico.pdf presentacionFunción del analizador léxico.pdf presentacion
Función del analizador léxico.pdf presentacionEmanuelMuoz11
 
infor expo AVANCES TECNOLOGICOS DEL SIGLO 21.pptx
infor expo AVANCES TECNOLOGICOS DEL SIGLO 21.pptxinfor expo AVANCES TECNOLOGICOS DEL SIGLO 21.pptx
infor expo AVANCES TECNOLOGICOS DEL SIGLO 21.pptxgustavovasquezv56
 
el uso de las TIC en la vida cotidiana.pptx
el uso de las TIC en la vida cotidiana.pptxel uso de las TIC en la vida cotidiana.pptx
el uso de las TIC en la vida cotidiana.pptx221112876
 

Último (20)

Imágenes digitales: Calidad de la información
Imágenes digitales: Calidad de la informaciónImágenes digitales: Calidad de la información
Imágenes digitales: Calidad de la información
 
BUSCADORES DE INTERNET (Universidad de Sonora).
BUSCADORES DE INTERNET (Universidad de Sonora).BUSCADORES DE INTERNET (Universidad de Sonora).
BUSCADORES DE INTERNET (Universidad de Sonora).
 
PRÁCTICA Nº 4: “Análisis de secuencias del ADN con el software BioEdit y uso ...
PRÁCTICA Nº 4: “Análisis de secuencias del ADN con el software BioEdit y uso ...PRÁCTICA Nº 4: “Análisis de secuencias del ADN con el software BioEdit y uso ...
PRÁCTICA Nº 4: “Análisis de secuencias del ADN con el software BioEdit y uso ...
 
Introduccion-a-la-electronica-industrial.pptx
Introduccion-a-la-electronica-industrial.pptxIntroduccion-a-la-electronica-industrial.pptx
Introduccion-a-la-electronica-industrial.pptx
 
Chat GPT para la educación Latinoamerica
Chat GPT para la educación LatinoamericaChat GPT para la educación Latinoamerica
Chat GPT para la educación Latinoamerica
 
presentacion_desamblado_de_una_computadora_base_a_las_normas_de_seguridad.pdf
presentacion_desamblado_de_una_computadora_base_a_las_normas_de_seguridad.pdfpresentacion_desamblado_de_una_computadora_base_a_las_normas_de_seguridad.pdf
presentacion_desamblado_de_una_computadora_base_a_las_normas_de_seguridad.pdf
 
Desarrollo del Dominio del Internet - Estrada
Desarrollo del Dominio del Internet - EstradaDesarrollo del Dominio del Internet - Estrada
Desarrollo del Dominio del Internet - Estrada
 
10°8 - Avances tecnologicos del siglo XXI 10-8
10°8 - Avances tecnologicos del siglo XXI 10-810°8 - Avances tecnologicos del siglo XXI 10-8
10°8 - Avances tecnologicos del siglo XXI 10-8
 
Navegadores de internet - Nuevas Tecnologías de la Información y la Comunicación
Navegadores de internet - Nuevas Tecnologías de la Información y la ComunicaciónNavegadores de internet - Nuevas Tecnologías de la Información y la Comunicación
Navegadores de internet - Nuevas Tecnologías de la Información y la Comunicación
 
Ejercicio 1 periodo 2 de Tecnología 2024
Ejercicio 1 periodo 2 de Tecnología 2024Ejercicio 1 periodo 2 de Tecnología 2024
Ejercicio 1 periodo 2 de Tecnología 2024
 
Editorial. Grupo de 12B de La Salle Margarita.pdf
Editorial. Grupo de 12B de La Salle Margarita.pdfEditorial. Grupo de 12B de La Salle Margarita.pdf
Editorial. Grupo de 12B de La Salle Margarita.pdf
 
Tipos de Datos de Microsoft Access-JOEL GARCIA.pptx
Tipos de Datos de Microsoft Access-JOEL GARCIA.pptxTipos de Datos de Microsoft Access-JOEL GARCIA.pptx
Tipos de Datos de Microsoft Access-JOEL GARCIA.pptx
 
microsoft word manuales para todos tipos de estudiamte
microsoft word manuales para todos tipos de estudiamtemicrosoft word manuales para todos tipos de estudiamte
microsoft word manuales para todos tipos de estudiamte
 
Tarea_sesion_15_Reportes Maestro - Detalle con el uso de AJAX.pptx
Tarea_sesion_15_Reportes Maestro - Detalle con el uso de AJAX.pptxTarea_sesion_15_Reportes Maestro - Detalle con el uso de AJAX.pptx
Tarea_sesion_15_Reportes Maestro - Detalle con el uso de AJAX.pptx
 
Redes Neuronales profundas convolucionales CNN ́s-1.pdf
Redes Neuronales profundas convolucionales CNN ́s-1.pdfRedes Neuronales profundas convolucionales CNN ́s-1.pdf
Redes Neuronales profundas convolucionales CNN ́s-1.pdf
 
Editorial. Grupo de 12B. La Salle Margarita.pdf
Editorial. Grupo de 12B. La Salle Margarita.pdfEditorial. Grupo de 12B. La Salle Margarita.pdf
Editorial. Grupo de 12B. La Salle Margarita.pdf
 
¡Ya basta! Sanidad Interior - Angela Kellenberger.pdf
¡Ya basta! Sanidad Interior - Angela Kellenberger.pdf¡Ya basta! Sanidad Interior - Angela Kellenberger.pdf
¡Ya basta! Sanidad Interior - Angela Kellenberger.pdf
 
Función del analizador léxico.pdf presentacion
Función del analizador léxico.pdf presentacionFunción del analizador léxico.pdf presentacion
Función del analizador léxico.pdf presentacion
 
infor expo AVANCES TECNOLOGICOS DEL SIGLO 21.pptx
infor expo AVANCES TECNOLOGICOS DEL SIGLO 21.pptxinfor expo AVANCES TECNOLOGICOS DEL SIGLO 21.pptx
infor expo AVANCES TECNOLOGICOS DEL SIGLO 21.pptx
 
el uso de las TIC en la vida cotidiana.pptx
el uso de las TIC en la vida cotidiana.pptxel uso de las TIC en la vida cotidiana.pptx
el uso de las TIC en la vida cotidiana.pptx
 

253 1. página de portada-865-1-10-20200922 (1)

  • 1. Estudios en Seguridad y Defensa • 2017 • diciembre, volumen 12 • número 24 • 99-111 99 ESCUELA SUPERIOR DE GUERRA “GENERAL RAFAEL REYES PRIETO” Directrices para la gestión de la Ciberseguridad utilizando el estándar ISO/ECT 270321 Guidelines for the management of cybersecurity using the ISO / ECT standard 27032 Diretrizes para gestão da segurança cibernética utilizando o padrão ISO/ ECT27032 HUMBERTO PARRA CÁRDENAS, Ph.D.2 ANGIE FERNÁNDEZ LORENZO, Ph.D.3 LUIS RECALDE HERRERA, Mgs.4 Resumen Como consecuencia de la rápida evolución y de- sarrollo de los sistemas de telecomunicaciones y de información, en la última década gran parte de actividades tanto comerciales, financieras y comu- nicacionales se las realiza a través de las redes de internet, las cuales han dado origen a un espacio virtual y asimétrico denominado “Ciberespacio”, es decir, que este es la autopista por donde circula in- formación digital tanto de personas naturales como 1. Artículo de reflexión vinculado al proyecto de investigación del Departamento de Seguridad y Defensa de la Universidad de las Fuerzas Armadas ESPE, Ecuador. 2. Tcrnl. Humberto Parra Cárdenas, PhD. Director del Departamen- to de Seguridad y Defensa, Universidad de las Fuerzas Armadas ESPE. haparra@espe.edu.ec 3 Eco. Angie Fernández Lorenzo, PhD. Profesora del Departamento de Ciencias Económicas, Administrativas y de Comercio, Univer- sidad de las Fuerzas Armadas ESPE. aafernandez2@espe.edu.ec 4 Mayor Luis Recalde Herrera, Mgs. Profesor del Departamento de Seguridad y Defensa, Universidad de las Fuerzas Armadas ESPE. llrecalde@espe.edu.ec Cómo citar este artículo: Parra, H., Fernández, A., & Recalde L. (2017). Directrices para la gestión de la Ciberseguridad utilizando el estándar ISO/ECT 27032. Estudios en Seguridad y Defensa, 12(24), 99-111. Recibido: 30 de noviembre de 2016 Aprobado: 15 de diciembre de 2017 Palavras-chaves: ciberespaço, ciberameaças, cibersegurança, internet, gestão, ISO 27032. Palabras clave: Ciberespacio, Ciberamenazas, Ciberseguridad, Internet, Gestión. ISO 27032. Keywords: Cyberspace, Cyber Threats, Cybersecurity, ISO 27032.
  • 2. Estudios en Seguridad y Defensa • 2017 • diciembre, volumen 12 • número 24 • 99-111 100 Humberto Parra Cárdenas, PH.d. - angie Fernández Lorenzo, PH.d. - Luis reCaLde Herrera, mgs. organizaciones de todos los Estados del mundo. Al paso que ha aumentado la tecnología van apareciendo y creándose nuevas amenazas que ponen en peligro la ciberseguridad de las naciones. Para analizar las amenazas cibernéticas es impor- tante enfocarse en términos de su origen, es decir, de donde provienen. Las cibe- ramenazas pueden derivarse de un espectro amplio de fuentes, que van desde una sola persona como un hacker solitario, pasando por un empleado descontento, los cibercriminales y ciberterroristas y llegando hasta el empleo de las capacidades de una o varios Estados-nación para conducir un ataque encubierto, coordinado y dinámico a un adversario. El presente artículo está orientado a conceptualizar el enfoque, el alcance y las directrices de la norma ISO/ECT 27032 para la gestión de la ciberseguirdad, para lo cual se realizó un análisis de contenido cualitativo; fun- damentándose en un estudio conceptual del origen del Ciberespacio. Además se estudió que al interactuar en este espacio virtual origina un creciente riesgo para mantener la confiabilidad, integridad y disponibilidad de la información, por la proliferación de las “Ciberamenazas” que han ido evolucionando de tal forma que sus irrupciones podrían afectar a todas las actividades humanas. Como resultado de este trabajo se determinó que la implementación de la Norma Internacional ISO 27032 proporcionará directrices para mejorar la seguridad cibernética (Ci- berseguridad), mediante buenas prácticas para quienes gestionan sus actividades en el ciberespacio, a fin de asegurar la información, las redes, de internet y prote- ger las infraestructuras críticas. Abstract This article seeks conceptualizing the approach, scope and guidelines of the stan- dard ISO / ECT 27032 for managing the cybersecurity, for which a qualitative content analysis was performed; it was based on a conceptual study of the origin of the Cyberspace. Additionally, it was studied that the interaction in this virtual space creates an increased risk for maintaining the reliability, integrity and avai- lability of information, this occurred due to the proliferation of “Cyber Threats”, which have evolved in such a way that their raids could affect all human activities. As a result of this work, it was determined that the implementation of the Inter- national Standard ISO 27032 will provide guidelines for improving cybersecurity, through good practice for those who manage their activities in the Cyberspace, in order to ensure information, networks, Internet and protect critical infrastructure. Resumo Como consequência da rápida evolução e o desenvolvimento do sistema de te- lecomunicações e de informação, na última década, grande parte das atividades,
  • 3. Estudios en Seguridad y Defensa • 2017 • diciembre, volumen 12 • número 24 • 99-111 101 Directrices para la gestión De la ciberseguriDaD utilizanDo el estánDar iso/ect 27032 tanto comerciais, como financeiras e de comunicações, são realizadas através das redes de internet, as quais deram origem a um espaço virtual e assimétrico de- nominado “ciberespaço”, ou seja, esta é autopista por onde circula a informação digital, tanto das pessoas naturais, como das organizações de todos os Estados do mundo. Na medida em que tem aumentado a tecnologia, vão aparecendo e sendo criadas novas ameaças, que põem em perigo a “cibersegurança” das Nações. Para analisar as ameaças cibernéticas é importante focar em termos de sua origem, isto é, de onde provêm. As ameaças cibernéticas podem derivar de um aspecto amplo de fontes, que vão desde uma só pessoa, como um hacker solitário, passando por um funcionário descontente. Os cibercriminosos e os ciber-terroristas chegam até ao uso das capacidades de um ou vários Estados-Nação para conduzir um ataque encoberto, coordenado e dinâmico a um adversário. Introducción Como consecuencia de la rápida evolución y desarrollo de los sistemas de tele- comunicaciones y de información, en la última década gran parte de actividades tanto comerciales, financieras y comunicacionales se las realiza a través de las redes de Internet, las cuales han dado origen a un espacio virtual y asimétrico denominado “Ciberespacio”, es decir, que este es la autopista por donde circula información digital tanto de personas naturales como organizaciones de todos los estados del mundo. En este nuevo ambiente de dimensiones infinitas actual- mente se producen ataques que aseguran el anonimato y pueden causar mayores efectos que un ataque con armas convencionales; dado que pueden inutilizar in- fraestructuras críticas de un país tales como centrales hidroeléctricas, refinerías, aeropuertos, sistemas de telecomunicaciones, aplicaciones financieras, etc.; ade- más, pueden producir pánico financiero y sustracción de información altamente clasificada. A este tipo de atacantes se les conoce actualmente como amenazas ci- bernéticas, ya que estos no usan armas, ni municiones ni ejércitos, solo se infiltran en todos los sistemas tecnológicos y son capaces de someter gobiernos, quebrar economías y desquiciar a grupos sociales, a través de la inyección de un simple virus hasta sofisticados ataques realizados por un terrorista informático o por un Estado como parte de un plan estratégico para doblegar a otro país. En este contexto, todos quienes interactúan en el espacio cibernético (perso- nas, organizaciones y estados), deben tener un papel preponderante en la gestión de la seguridad de ciberespacio, a fin de proteger su privacidad, sus activos y sus infraestructuras críticas. En tal virtud surge la ISO/ECT 27032 como una Norma Internacional encargada de abordar la ciberseguridad desde un enfoque técnico con el fin de determinar los riesgos más comunes para la seguridad del espacio cibernético y establecer los controles más adecuados para mitigar dichos riesgos.
  • 4. Estudios en Seguridad y Defensa • 2017 • diciembre, volumen 12 • número 24 • 99-111 102 Humberto Parra Cárdenas, PH.d. - angie Fernández Lorenzo, PH.d. - Luis reCaLde Herrera, mgs. Adicionalmente, esta norma enfoca la necesidad de un eficiente intercambio de información entre todos los que interactúan en el ciberespacio, a fin de crear una base de conocimientos sólida de las amenazas y de los incidentes que permitan proteger la privacidad, integridad y disponibilidad de sus activos y su aplicabili- dad en el ámbito empresarial. Metodología Para desarrollar el presente trabajo se realizó un estudio de contenido cualitativo, para lo cual se analizó el contenido de la norma ISO 27032, que básicamente se di- vide en dos partes: la primera que se enfoca al marco teórico de la ciberseguridad; y la segunda, que está orientada a la aplicabilidad de la norma y a las categorías y particularidades de todos los actores que intervienen en el ciberespacio. Inicialmente se realizó el análisis de las definiciones de los elementos básicos que intervienen en la ciberseguridad a fin de comprender adecuadamente la con- cepción del ciberespacio en el ámbito de la seguridad: analizando las principales amenazas que utilizan el espacio cibernético para llevar a cabo acciones crimina- les, terroristas, de usurpación y uso ilícito de la información; también se realiza- do una aproximación a la conceptualización de la ciberseguridad como elemento clave para preservar los activos de una organización; y, finalmente se analizó el propósito, alcance y aplicabilidad de la norma ISO/ECT 27032 como referente de buenas prácticas tanto para proveedores como para usuarios de servicios de internet y de la infraestructura tecnológica de comunicaciones, a fin de preservar la integridad, confiabilidad y disponibilidad de la información que circula por el ciberespacio; y, finalmente se examinó como esta norma complementa el enfoque de la gestión de riesgos de otras normas de las familias ISO 27000 y la ISO 31000, mediante: la identificación de activos críticos, evaluación de riesgos tanto de pro- veedores como usuarios, la responsabilidad hacia otras partes interesadas al in- teractuar en el ciberespacio, proporcionando directrices para la implementación de controles: a nivel de aplicación, para protección de servidores, para usuarios finales, contra ataques de ingeniera social y otros controles a nivel de hardware. Conceptualización de los elementos principales de la Ciberseguridad Origen y definición del Ciberespacio Rattray (2001) plantea que “El ciberespacio es un entorno artificial para la creación, transmisión y uso de la información en una variedad de formatos,
  • 5. Estudios en Seguridad y Defensa • 2017 • diciembre, volumen 12 • número 24 • 99-111 103 Directrices para la gestión De la ciberseguriDaD utilizanDo el estánDar iso/ect 27032 fundamentalmente constituido por el hardware electrónico, redes, sistemas ope- rativos, estándares y políticas de transmisión” (p, 17). Por otro lado Aguirre (2010) define al ciberespacio como un espacio virtual de interacción, puesto que su rea- lidad se materializa a través de un intercambio de información, surgiendo de una interacción entre el espacio y el medio en este caso la interacción entre redes de computadoras y personas. De estas definiciones se podría abstraer que el ciberespacio es un ecosistema virtual que se forma de una combinación de la energía electromagnética, electró- nica, las infraestructuras de red y la información, lo que lo hace único y asimétri- co, y que básicamente sirve para el intercambio de información y conocimiento, sin importar la localización física, condición social, religiosa o económica de quienes interactúan en él. Está compuesto por una capa de física, que corresponde a la infraestructura y al hardware; una segunda capa que corresponde a las aplica- ciones y al software; y, finalmente una capa que corresponde a la comunicación y generación de contenido, llamada capa cognitiva (Ventre, 2012). La naturaleza y las fuentes de las Ciberamenazas Figura 1: Fuentes y espectro de las ciberamenazas Fuente: Elaboración propia. (IBM Global Business Service, 2010). Para analizar las amenazas cibernéticas es importante enfocarse en términos de su origen, es decir, de donde provienen. Las ciberamenazas pueden derivar- se de un espectro amplio de fuentes, que van desde una sola persona como un
  • 6. Estudios en Seguridad y Defensa • 2017 • diciembre, volumen 12 • número 24 • 99-111 104 Humberto Parra Cárdenas, PH.d. - angie Fernández Lorenzo, PH.d. - Luis reCaLde Herrera, mgs. hacker solitario, pasando por un empleado descontento, los cibercriminales y ciberterroristas y llegando hasta el empleo de las capacidades de una o varios Es- tados-nación para conducir un ataque encubierto, coordinado y dinámico a un adversario. En tal virtud el impacto potencial de este ataque cibernético aumenta y puede causar daños considerables a las infraestructuras tecnológicas de un país. Este espectro de amenazas se puede esquematizar en la figura 1, contrastando su nivel de peligrosidad, siendo los menos peligrosos los hacker solitarios que buscan más reconocimiento y notoriedad y llegando a amenazas promovidas por Estados que tienen un alto grado de sofisticación y destrucción. Otra de las características importantes que se deben considerar al momen- to de categorizar e investigar las ciberamenazas son las técnicas y tecnologías utilizadas, partiendo desde la simple piratería para difundir información malin- tencionada hasta al ataque con la inyección de un virus que puede bloquear los sistemas computacionales de las infraestructuras críticas de un estado e inutilizar los sistemas de información y comunicaciones de cualquier tipo de organización sea esta pública o privada. Por lo tanto, la preparación de las organizaciones y de los Estados para hacer frente a este tipo de amenazas varía significativamente de acuerdo a sus medios y a sus capacidades estratégicas. Por otro lado, la empresa multinacional de telecomunicaciones CISCO SYS- TEMS, así como otras empresas y organizaciones que se dedican a la protección de la seguridad informática y de las comunicaciones han publicado estadísticas alarmantes del crecimiento exponencial de ataques a las infraestructuras tecnoló- gicas de empresas de todo tipo en los cinco últimos años, tal como se puede obser- var en la figura 2, en la cual CISCO difunde el reporte del crecimiento de ataques de malware por tipo de industria en el 2013. Donde se puede observar que las industrias con un crecimiento de más del 600% en ataques son: las de agricultura y minería, las farmacéuticas y químicas y las de electrónica, mientras que con un crecimiento mayor al 400% están las industrias de energía, gas y petróleo. Por otro lado se puede ver que las industrias que han sufrido menos ataques de malware, son las de aviación y las de IT y telecomunicaciones.
  • 7. Estudios en Seguridad y Defensa • 2017 • diciembre, volumen 12 • número 24 • 99-111 105 Directrices para la gestión De la ciberseguriDaD utilizanDo el estánDar iso/ect 27032 Figura 2: Riesgos de los sectores y encuentros con malware web. Fuente: Tomado del Informe de CISCO Cloub Web Security (CISCO, 2014) La Ciberseguridad en el contexto empresarial En el glosario de términos publicado por el NICCS (National Initiative for Cyber- security Carrers and Studies, 2015), se define a la ciberseguridad como el conjun- to de estrategias, políticas y normas orientadas a la seguridad de las operaciones en el ciberespacio. Ampliando este concepto se puede decir que se enfoca en mi- nimizar las amenazas y las vulnerabilidades que podrían tener los sistemas de información de una organización, incluyendo las políticas y procedimientos para mitigar los riesgos, la disuasión, y la respuesta a incidentes en el ciberespacio. Mientras que la Unión Internacional de Telecomunicaciones (ITU por sus siglas en inglés), define a la ciberseguridad de la siguiente manera: La Ciberseguridad comprende el conjunto de herramientas, polí- ticas, conceptos de seguridad, medidas de seguridad, directrices, métodos de gestión de riesgos, acciones, formación, mejores prác- ticas, seguridad y tecnologías que se pueden utilizar para proteger en el entorno cibernético los activos de las organizaciones y de los usuarios. Los activos de la organización y de los usuarios inclu- yen dispositivos informáticos, recursos humanos, infraestructura,
  • 8. Estudios en Seguridad y Defensa • 2017 • diciembre, volumen 12 • número 24 • 99-111 106 Humberto Parra Cárdenas, PH.d. - angie Fernández Lorenzo, PH.d. - Luis reCaLde Herrera, mgs. aplicaciones, servicios relacionados, sistemas de telecomunicacio- nes, y la totalidad de la información transmitida y/o almacenada en el entorno cibernético. La Ciberseguridad garantiza la conse- cución y el mantenimiento de la seguridad de los activos de pro- piedad de las organizaciones y de los usuarios, contra los riesgos de seguridad en el entorno cibernético. Los objetivos generales de seguridad comprenden los siguientes: disponibilidad; integridad, la cual puede incluir autenticidad y no repudio; y la confidencia- lidad. ( ITU, 2008) Esta definición en un sentido más amplio determina toda una amalgama de elementos que se consideran en la ciberseguridad, lo cual no solo corresponde a las directrices y políticas para proteger los activos de información de una organi- zación y de los usuarios de los servicios de telecomunicaciones, sino que incluye a toda su infraestructura tecnológica, a las personas, y a las buenas prácticas de gestión de la seguridad de la información. El Estándar ISO/ECT 27032 Enfoque Esta norma internacional liberada el 16 de julio de 2012, propone un en- foque sistemático para la adecuada gestión de la ciberseguridad, proporcionado una orientación técnica en el análisis de los riesgos de la ciberseguridad causados por los ataques de la ingeniería social, la piratería informática, la proliferación de software malicioso o potencialmente no deseado, además proporciona controles para la detección, seguimiento, preparación y respuesta contra ataques provenien- tes del ciberespacio. Otro aspecto significativo que abarca esta norma es la posibilidad que tan- to proveedores como consumidores (personas y organizaciones) puedan inter- cambiar información sobre todo para el manejo de incidentes y proliferación de ciberamenazas. Es importante destacar que en el año 2014, el Instituto Ecuatoriano de Nor- malización – INEN, publica la Norma Técnica Ecuatoriana NTE INEN-ISO/IEC 27032, que una traducción idéntica de la norma internacional ISO 27032:2012. (INEN, 2014), cuyo enfoque general se puede resumir en la figura 3, que se mues- tra a continuación.
  • 9. Estudios en Seguridad y Defensa • 2017 • diciembre, volumen 12 • número 24 • 99-111 107 Directrices para la gestión De la ciberseguriDaD utilizanDo el estánDar iso/ect 27032 Figura 3: Vista general del enfoque. Fuente: Traducido de la ISO/ECT 27032 Alcance La ISO/ECT 27032 cubre las prácticas de seguridad desde el nivel más bási- co para quienes interactúan en el ciberespacio. Esta norma contempla una des- cripción integral de cómo mejorar la seguridad cibernética; una explicación de la relación entre la ciberseguridad y otros tipos de seguridades en el ámbito tecno- lógico; una definición de las partes interesadas (stakeholders) y una descripción de su papel en la seguridad cibernética; una orientación para abordar problemas comunes de seguridad cibernética y un marco que permite a las partes interesadas colaborar en la solución de problemas comunes en la ciberseguridad. Extrayendo los aspectos básicos de la ciberseguridad y de su dependencia en otros dominios de la seguridad, en forma concreta sobre: la seguridad de la información, la segu- ridad de las redes, la seguridad en Internet y la protección de la información de las infraestructuras críticas (CIIP, por sus siglas en inglés). Estructura y contenido general de la Norma En la figura 4 se ha esquematizado la estructura general de la norma ISO/ ECT 27032; cuyo contenido se puede dividir en dos partes. En una primera parte, desde la sección uno hasta la sexta, se realiza un enfoque del marco teórico de la ciberseguridad, del alcance, aplicabilidad y enfoque general del contexto en el que se orienta la ciberseguridad como parte de la seguridad en general. Mientras que en la segunda parte, que va desde la sección siete hasta la decimotercera, se incluyen los aspectos fundamentales de ciberseguridad que enfoca esta norma, es decir, una descripción de los stakeholders y sus roles, así como una clasificación de los activos en el ciberespacio; también se hace una descripción de las amenazas contra la seguridad del ciberespacio y los controles para mitigar los riesgos de
  • 10. Estudios en Seguridad y Defensa • 2017 • diciembre, volumen 12 • número 24 • 99-111 108 Humberto Parra Cárdenas, PH.d. - angie Fernández Lorenzo, PH.d. - Luis reCaLde Herrera, mgs. dichas amenazas; y, finalmente se hace referencia a un marco de información y coordinación de los actores que intervienen activamente en el ciberespacio, tanto proveedores como consumidores. Figura 4: Estructura General del estándar ISO/ECT 27032 Fuente: ISO/ECT 27032 Dentro del análisis específico de la segunda parte de la norma ISO/ECT 27032l en la sección 7 de esta norma, se establece que dentro de ciberespacio interactúan, por un lado los consumidores; sean estos personas naturales y orga- nismos tanto públicos como privados; y por otro lado están los proveedores de servicios de Internet y de aplicaciones. Esta norma internacional a todos estos grupos descritos anteriormente los nombra en forma genérica como partes inte- resadas o stakeholders. En la sección 8 se describen los activos que están expuestos en el ciberespa- cio; considerando como activo todo bien o servicio que tiene un valor tangible o intangible para las organizaciones y para los individuos y que cuya perdida, subs- tracción o destrucción pueden causar deterioro en su patrimonio e inclusive en su credibilidad e imagen. En tal sentido la ISO/ECT 27032 establece dos grandes grupos relacionados a los bienes personales y a los activos de las organizaciones, sean estos físicos o virtuales.
  • 11. Estudios en Seguridad y Defensa • 2017 • diciembre, volumen 12 • número 24 • 99-111 109 Directrices para la gestión De la ciberseguriDaD utilizanDo el estánDar iso/ect 27032 La sección 9 en forma específica establece cuáles son las amenazas contra la seguridad en el ciberespacio. Por un lado se establecen las amenazas a los bienes de las personas e individuos; por otro lado, las amenazas latentes para los activos de las organizaciones. En esta sección además se analizan cuáles son los agentes de amenazas y sus principales motivaciones para irrumpir en el ciberespacio. Otro apartado importante que enfoca está sección es lo referente a las vulnerabilidades que potencialmente pueden aprovechar los ciberatacantes y sus principales meca- nismos de ataque, los cuales pueden originarse tanto en el interior de un red pri- vadas por individuos que pertenecen a la organización, como en forma externa a una red privada como por ejemplo los ataques que se realizan a través del Internet. Los roles de las partes interesadas o stakeholders, es decir de los consumido- res sean estos personas naturales u organizaciones y de los proveedores, básica- mente se enfocan a su participación activa o pasiva para contribuir a la seguridad cibernética, están claramente estipulados en la sección 10 de la norma motivo del presente estudio. La sección 11 de la norma internacional se enfoca a la evaluación y trata- miento de los riesgos; considerándose aspectos fundamentales como la identifica- ción de activos críticos y los riesgos inherentes a dichos activos, para identificarlos y evaluarlos claramente. También se establecen las directrices de seguridad para consumidores y proveedores de servicios que intervienen activamente en el ci- berespacio, complementadas con una serie de buenas prácticas que permitirán garantizar la seguridad de la información dentro de las organizaciones. En la sección 12 de la ISO/ECT 27032, se trata como elemento clave de la aplicabilidad de esta norma los controles para una efectiva y eficiente seguridad cibernética; tanto a nivel de aplicaciones, de servidores (hardware) y de usuario final. También se establecen en forma explícita los controles en caso de ataques de ingeniería social y otros controles adicionales para fortalecer la ciberseguirdad. Considerando que los incidentes cibernéticos pueden originarse en cualquier lugar del planeta, sin importar fronteras geográficas, sin que importe el tipo de amenazas y atacantes, las organizaciones y los individuos deben establecer nor- mas y regulaciones para compartir la información que les permita responder efec- tivamente a cualquier evento o incidente que ponga en riesgo la seguridad de su información; en tal virtud, como en la sección 13 de esta norma se establecen las políticas generales y el marco de coordinación a todo nivel para crear un sistema global de ciberseguirdad, seguro, confiable y transparente. Finalmente la norma ISO/ECT 27032 incluye tres anexos; el Anexo A, orien- tado a mejorar los controles para detectar y responder ante amenazas emergentes. Mientras tanto el Anexo B incluye fuentes adicionales en las cuales se pueden
  • 12. Estudios en Seguridad y Defensa • 2017 • diciembre, volumen 12 • número 24 • 99-111 110 Humberto Parra Cárdenas, PH.d. - angie Fernández Lorenzo, PH.d. - Luis reCaLde Herrera, mgs. ampliar aspectos técnicos y metodológicos para fortalecer la seguridad cibernética y el reporte de incidentes. El Anexo C incluye una serie de normas e informes téc- nicos que podrán ser de gran utilidad para la gestión integral de la ciberseguridad. Conclusiones El estándar o norma ISO/ECT 27032, como parte de la familia ISO 27000, propo- ne un enfoque sistemático para la gestión de la ciberseguridad, considerando que en el ciberespacio no solo interactúan organizaciones para intercambiar informa- ción en forma lícita, sino que también conviven en este ecosistema virtual ame- nazas tanto internas como externas que potencialmente podrían dañar, sustraer, destruir o incluso usar con fines políticos, económicos y delictivos los activos de estas organizaciones y los bienes de las personas en general. Esta norma proporciona directrices para que las partes interesadas evalúen los riesgos por el potencial deterioro o pérdida de sus activos e implementen con- troles efectivos tanto para las aplicaciones, como para los usuarios finales y los servidores de una organización. También proporciona lineamientos para la pro- tección de la información contra ataques de ingeniería social, proveyendo estra- tegias, políticas, métodos y procesos para mitigarlos, además de una adecuada capacitación y entrenamiento de los usuarios y consumidores que interactúan en el ciberespacio. Los incidentes que afectan la ciberseguridad traspasan las fronteras geográfi- cas y las redes internas de las organizaciones lo cual limita la respuesta en forma individual ante estos incidentes, por lo que se plantea la necesidad de establecer directrices generales para compartir información acerca de las amenazas con el fin de ejecutar acciones coordinadas para responder adecuadamente ante cual- quier tipo de amenaza a la ciberseguridad, por lo que esta norma proporciona un marco de referencia para implementar un sistema de información coordinado y compartido para un eficiente y efectivo control del espacio cibernético. La norma ISO/ECT 27032 por sí sola no es certificable y constituye una di- rectriz de buenas prácticas para la gestión de la ciberseguirdad en todo tipo de organizaciones, sean estás públicas o privadas e inclusive de las personas que in- teractúan permanentemente en el ciberespacio.
  • 13. Estudios en Seguridad y Defensa • 2017 • diciembre, volumen 12 • número 24 • 99-111 111 Directrices para la gestión De la ciberseguriDaD utilizanDo el estánDar iso/ect 27032 Referencias Aguirre, J. (2010). Ciberespacio y Comunicación: Nuevas formas de vertebración social en el siglo XXI. Madrid: Biblioteca Virtual Universal CISCO. (2014). Informe anual de seguridad. San José, CA: Cisco Systems, Inc. IBM Global Business Service (2010). Cyber defense: Understanding and combating the threat. IBM Global Bussines Services, p.5 INEN (2014). Tecnología de la información – Técnicas de seguridad – Directrices para ciber- seguridad (ISO/IEC 27032:2012, IDT), NTE INEN-ISO/IEC 27032 Instituto Español de Estudios Estratégicos (2010). Ciberseguridad. Retos y Amenazas a la Seguridad Nacional en el Ciberespacios. Madrid: Ministerio de Defensa. ISACA (2012). Information technology — Security techniques — Guidelines for cyberse- curity. Genova: ISO/IEC 27032 ISACA (2013). Transforming Cybersecurity: Using COBIT. Illinois: ISACA org. ITU (2008). Recommendaion IUT-T X 1025. Section 3.2.5 - Overview of cybersecu- rity. Recuperado de: http://icto.dost.gov.ph/wp-content/uploads/2014/07/T- REC-X.1205_April2008.pdf Klimburg, A. (2012). National Cyber Security Framework Manual. Tallinn: NATO Coope- rative Cyber Defence Centre of Excellence Kissel, R. (2013). Glossary of Key Information Security Terms. National Institute of Stan- dards and Technology NIST NICCS - National Initiative for Cybersecurity Carriers and Studies (2015). Recuperado de: http://niccs.us-cert.gov/glossary Rattray, G. (2001, p.17, 65). Strategic Warfare in Cyberspace. Massachusetts: MITT Press Ventre, D. (2012). Cyber Conflic: Competing National Perpectives. Engelska: Wiley-ISTE