SlideShare una empresa de Scribd logo

Nte inen iso_iec_27032_ecuador

S
ssuserb87508

27032

Tecnología
1 de 9
Descargar para leer sin conexión
© ISO/IEC 2012  Todos los derechos reservados © INEN 2015 Quito – Ecuador NORMA TÉCNICA ECUATORIANA NTE INEN-ISO/IEC 27032 Tercera edición 2015-10 TECNOLOGÍAS DE LA INFORMACIÓN – TÉCNICAS DE SEGURIDAD – DIRECTRICES PARA CIBERSEGURIDAD (ISO/IEC 27032:2012, IDT) INFORMATION TECHNOLOGY — SECURITY TECHNIQUES — GUIDELINES FOR CYBERSECURITY (ISO/IEC 27032:2012, IDT) _____________________________________ Correspondencia: Esta Norma Técnica Ecuatoriana es una traducción idéntica de la Norma Internacional ISO/IEC 27032:2012. DESCRIPTORES: Tecnologías de la información, técnicas de seguridad, guías , ciberprotección, ciberespacio, directrices ICS: 35.040 56 Páginas E X T R A C T O
NTE INEN-ISO/IEC 27032 2015-10 © ISO/IEC 2012  Todos los derechos reservados © INEN 2015 2015-0379 i Prólogo nacional Esta Norma Técnica Ecuatoriana NTE INEN-ISO/IEC 27032, es una traducción idéntica de la Norma Internacional ISO/IEC 27032:2012 Information technology — Security techniques — Guidelines for cybersecurity. El Ministerio de Telecomunicaciones y Sociedad de la Información, MINTEL, es el responsable de la traducción de esta Norma Técnica Ecuatoriana, y de su adopción es el Comité Técnico de Normalización del INEN. Para el propósito de esta Norma Técnica Ecuatoriana se ha hecho el siguiente cambio editorial: a) Las palabras “esta Norma Internacional” ha sido reemplazada por “esta norma nacional”. Para el propósito de esta Norma Técnica Ecuatoriana se enlista el documento normativo internacional que se referencia en la Norma Internacional ISO/IEC 27032:2012 y el documento normativo nacional correspondiente: Documento Normativo Internacional Documento Normativo Nacional ISO/IEC 27000, Information technology — Security techniques — Information security management systems — Overview and vocabulary NTE INEN-ISO/IEC 27000:2012, Tecnología de la información — Técnicas de seguridad — Sistema de gestión de seguridad de la información — Descripción general y vocabulario (ISO/IEC 27000:2012, IDT) E X T R A C T O
NTE INEN-ISO/IEC 27032 2015-10 © ISO/IEC 2012  Todos los derechos reservados © INEN 2015 2015-0379 ii Índice Pág. Prólogo ...............................................................................................................................................iv Introducción ........................................................................................................................................ v 1. Objeto y campo de aplicación .................................................................................................. 1 2. Aplicabilidad ............................................................................................................................. 1 2.1 Audiencia.................................................................................................................................. 1 2.2 Limitaciones ............................................................................................................................. 1 3. Referencias normativas............................................................................................................ 2 4. Términos y definiciones............................................................................................................ 2 5. Abreviaturas ............................................................................................................................. 8 6. Generalidades .......................................................................................................................... 9 6.1 Introducción.............................................................................................................................. 9 6.2 La naturaleza del Ciberespacio.............................................................................................. 10 6.3 La naturaleza de la Ciberseguridad ....................................................................................... 11 6.4 Modelo general....................................................................................................................... 12 6.5 Enfoque .................................................................................................................................. 14 7. Partes interesadas dentro del Ciberespacio .......................................................................... 14 7.1 Generalidades ........................................................................................................................ 14 7.2 Consumidores ........................................................................................................................ 15 7.3 Proveedores ........................................................................................................................... 15 8. Activos en el Ciberespacio..................................................................................................... 16 8.1 Generalidades ........................................................................................................................ 16 8.2 Activos personales ................................................................................................................. 16 8.3 Activos organizacionales........................................................................................................ 17 9. Amenazas contra la seguridad en el Ciberespacio................................................................ 17 9.1 Amenazas .............................................................................................................................. 17 9.2 Los agentes de amenazas ..................................................................................................... 19 9.3 Vulnerabilidades..................................................................................................................... 19 9.4 Mecanismos de ataque .......................................................................................................... 19 10. Roles de las partes interesadas en la Ciberprotección.......................................................... 21 10.1 Generalidades ........................................................................................................................ 21 10.2 Rolesde los consumidores ..................................................................................................... 22 10.3 Rolesde los proveedores ....................................................................................................... 23 11. Directrices para las partes interesadas.................................................................................. 24 11.1 Generalidades ........................................................................................................................ 24 11.2 Evaluación y tratamiento de riesgos ...................................................................................... 24 11.3 Directrices para los consumidores......................................................................................... 26 11.4 Directrices para las organizaciones y proveedores de servicios ........................................... 27 12. Controles de Ciberseguridad ................................................................................................. 32 12.1 Generalidades ........................................................................................................................ 32 12.2 Controles a nivel de aplicación .............................................................................................. 32 12.3 Protección del servidor........................................................................................................... 32 12.4 Controles del usuario final...................................................................................................... 33 12.5 Controles contra ataques de ingeniería social....................................................................... 34 12.6 Disposición de la Ciberseguridad........................................................................................... 38 12.7 Otros controles ....................................................................................................................... 38 E X T R A C T O
NTE INEN-ISO/IEC 27032 2015-10 © ISO/IEC 2012  Todos los derechos reservados © INEN 2015 2015-0379 iii 13. Marco de intercambio y coordinación de la información........................................................ 38 13.1 Generalidades ........................................................................................................................ 38 13.2 Políticas.................................................................................................................................. 38 13.3 Métodos y procesos ............................................................................................................... 39 13.4 Personas y organizaciones .................................................................................................... 41 13.5 Técnica................................................................................................................................... 42 13.6 Guía para la implementación ................................................................................................. 43 Anexo A (informativo) Disponibilidad de la Ciberseguridad...................................................... 45 Anexo B (informativo) Recursos adicionales............................................................................. 49 Anexo C (informativo) Ejemplos de documentos relacionados................................................ 52 Bibliografia...................................................................................................................................... 56 E X T R A C T O
NTE INEN-ISO/IEC 27032 2015-10 © ISO/IEC 2012  Todos los derechos reservados © INEN 2015 2015-0379 iv Prólogo ISO (Organización Internacional de Normalización) e IEC (Comisión Electrotécnica Internacional) forman el sistema especializado para la normalización mundial. Los organismos nacionales miembros de ISO o IEC participan en el desarrollo de Normas Internacionales a través de comités técnicos establecidos por la organización respectiva, para tratar los campos particulares de la actividad técnica. Los comités técnicos de ISO e IEC colaboran en campos de interés mutuo. Otras organizaciones internacionales, públicas y privadas, en coordinación con ISO e IEC, también participan en el trabajo. En el campo de la tecnología de la información, la ISO y la IEC han establecido un comité técnico conjunto ISO/IEC JTC 1. Las Normas Internacionales son redactadas de conformidad con las reglas establecidas en las Directivas ISO/IEC, Parte 2. La tarea principal del comité técnico conjunto es preparar Normas Internacionales. Los proyectos de Normas Internacionales adoptados por el Comité Técnico Conjunto se envían a los organismos nacionales para votación. La publicación como una norma nacional requiere la aprobación de al menos el 75 % de los organismos miembros con derecho a voto. Se llama la atención sobre la posibilidad de que algunos de los elementos de este documento puedan ser objeto de derechos de patente. ISO e IEC no asumen la responsabilidad por la identificación de cualquiera o todos los derechos de patente. ISO/IEC 27032 fue preparada por el Comité Técnico Conjunto ISO/IEC JTC 1, Tecnologías de la Información, Subcomité SC 27, Técnicas de Seguridad TI. E X T R A C T O
NTE INEN-ISO/IEC 27032 2015-10 © ISO/IEC 2012  Todos los derechos reservados © INEN 2015 2015-0379 v Introducción El ciberespacio es un ambiente complejo resultante de la interacción de la gente, el software y los servicios en Internet que se sustentan en los aparatos físicos y las redes interconectadas de tecnología de la información y de comunicaciones (TIC) en todo el mundo. Sin embargo, hay cuestiones con respecto a la seguridad que no se encuentran cubiertas por las mejores prácticas actuales sobre la seguridad de la información, seguridad del internet, seguridad de redes y seguridad de la tecnología de la información de las comunicaciones (TIC), así como hay vacíos entre estos aspectos, como también una falta de comunicación entre las organizaciones y proveedores en el ciberespacio. Esto se debe a que los aparatos y redes interconectadas que se sustentan en el Ciberespacio tienen propietarios múltiples, cada uno con su negocio propio y preocupaciones propias tanto operativas como reguladoras. El diferente enfoque dado por cada organización y proveedor en el Ciberespacio en relación a los aspectos de seguridad donde hay poca o ninguna entrada proveniente de otra organización o proveedor ha ocasionado un estado fragmentado de seguridad en el Ciberespacio. Como tal, la primera área de enfoque de esta norma nacional es abordar la seguridad del Ciberespacio o cuestiones de Ciberseguridad en el ciberespacio que se concentran en tender puentes entre los diferentes vacíos del Ciberespacio. En particular, esta norma nacional proporciona una guía técnica para abordar riesgos de Ciberprotección en el ciberespacio comunes, tales como: — los ataques de ingeniería social; — el acceso secreto y no autorizado a sistemas informáticos (hacking); — la proliferación de software malicioso (“malware”); — el spyware, y — otros tipos de software potencialmente no deseables. La guía técnica proporciona controles para abordar estos riesgos, incluyendo controles para: — prepararse para ataques de, por ejemplo, malware, delincuentes aislados u organizaciones criminales de Internet; — detectar y monitorear ataques; y — responder a los ataques. La segunda área que se aborda en esta norma nacional es la colaboración, puesto que existe una necesidad de compartir la información de manera eficiente y efectiva, y de coordinación y manejo de incidentes entre las partes interesadas en el Ciberespacio. Esta colaboración debe hacerse de manera segura y confiable y que también proteja la privacidad de los individuos involucrados. Algunas de estas partes interesadas pueden residir en diferentes ubicaciones geográficas y husos horarios, y probablemente estarán sujetas a diferentes requisitos reglamentarios. Las partes interesadas incluyen a: — consumidores, que pueden corresponder a varios tipos de organizaciones o individuos; y — proveedores, que incluye a los proveedores de servicios. De esta manera, esta norma nacional proporciona un marco para: — compartir información, — coordinar, y — manejo de incidentes. E X T R A C T O
NTE INEN-ISO/IEC 27032 2015-10 © ISO/IEC 2012  Todos los derechos reservados © INEN 2015 2015-0379 vi El marco de referencia incluye: — elementos clave sobre consideraciones para establecer confianza, — procesos necesarios para la colaboración e intercambio y difusión de información, así como — requisitos técnicos para la integración de los sistemas e interoperabilidad entre las diferentes partes interesadas. Dado el campo de aplicación de esta norma nacional, los controles provistos son necesariamente de alto nivel. Para mayor orientación, se hacen referencia a las normas de especificaciones técnicas detalladas y directrices aplicables a cada área dentro de esta norma nacional. E X T R A C T O
NTE INEN-ISO/IEC 27032 2015-10 © ISO/IEC 2012  Todos los derechos reservados © INEN 2015 2015-0379 1 de 56 Tecnologías de la información ̶ Técnicas de seguridad ̶ Directrices para Ciberseguridad 1 Objeto y campo de aplicación Esta norma nacional proporciona una guía para mejorar el estado de la Ciberseguridad, destacando aspectos únicos de dicha actividad y su dependencia de otros ámbitos de seguridad, en particular: — la seguridad de la información, — la seguridad de las redes, — la seguridad de internet, y — la protección de la infraestructura crítica de información (CIIP). Se cubre el punto partida en prácticas de seguridad para las partes interesadas del Ciberespacio. Esta norma nacional proporciona: — las generalidades de la Ciberseguridad, — una explicación de la relación entre Ciberseguridad y otros tipos de seguridad, — una definición de las partes interesadas y una descripción de sus roles en la Ciberseguridad, — una guía para abordar problemas comunes de la Ciberprotección, y — un marco de referencia que permite a las partes interesadas colaborar en la resolución de problemas de Ciberseguridad. 2 Aplicabilidad 2.1 Audiencia Esta norma nacional se aplica a proveedores de servicios en el Ciberespacio. La audiencia, sin embargo, incluye a los consumidores que utilizan estos servicios. Si hay organizaciones que proporcionan servicios en el Ciberespacio para que la gente los utilice desde sus hogares o en otras organizaciones, entonces podrían necesitar preparar una guía en base a esta norma nacional que contenga explicaciones adicionales o ejemplos suficientes que permitan al lector comprender y actuar en base a ello. 2.2 Limitaciones Esta norma nacional no incluye: — La ciberprotección, — El delito informático (cibercrimen), — La protección de la infraestructura crítica de información (CIIP), — La seguridad en internet, y — Los delitos relacionados con internet. Es reconocido que existen relaciones entre las áreas mencionadas y la Ciberseguridad. Sin embargo, está más allá del alcance de esta norma nacional abordar estas relaciones y el compartir los controles entre estos ámbitos. E X T R A C T O
INFORMACIÓN COMPLEMENTARIA Documento: NTE INEN- ISO/IEC 27032 TÍTULO: TECNOLOGÍAS DE LA INFORMACIÓN ̶ TÉCNICAS DE SEGURIDAD – DIRECTRICES PARA CIBERSEGURIDAD (ISO/IEC 27032:2012, IDT) Código ICS: 35.040 ORIGINAL: Fecha de iniciación del estudio: 2014-09-26 REVISIÓN: La Subsecretaría de la Calidad del Ministerio de Industrias y Productividad aprobó este proyecto de norma Oficialización con el Carácter de por Resolución No. publicado en el Registro Oficial No. Fecha de iniciación del estudio: Fechas de consulta pública: 2014-11-20 hasta 2015-01-19 Comité Técnico de: Tecnologías de la información Fecha de iniciación: 2015-03-19 Fecha de aprobación: 2015-04-20 Integrantes del Comité: NOMBRES: INSTITUCIÓN REPRESENTADA: Ing. Esteban Hidalgo (Presidente) MINTEL Ing. Oswaldo Rivera MINTEL Ing. Marco Torres Andrade TELCORP Ing. Carlos Castro S.I.N Ing. Pablo Sosa INFORC Ing. Evelyn Arias CNT Ing. Norma Zambrano CFN Ing. José León (Secretario Técnico) INEN - Dirección de Normalización Otros trámites: La Subsecretaría de la Calidad del Ministerio de Industrias y Productividad aprobó este proyecto de norma Oficializada como: Voluntaria Por Resolución No. 15285 de 2015-09-18 Registro Oficial No. 606 de 2015-10-13 E X T R A C T O

Recomendados

Revista de los Smartwatch
Revista de los SmartwatchRevista de los Smartwatch
Revista de los Smartwatch
Daniel Rendón
 
norma 10
norma 10norma 10
norma 10
Javier Sánchez Rátiva
 
X bee guia-usuario
X bee guia-usuarioX bee guia-usuario
X bee guia-usuario
Gabriel Llagua Guato
 
Manual instruccions comptador 219774145-sl7000-iec7-manual-del-usuario-esp
Manual instruccions comptador 219774145-sl7000-iec7-manual-del-usuario-espManual instruccions comptador 219774145-sl7000-iec7-manual-del-usuario-esp
Manual instruccions comptador 219774145-sl7000-iec7-manual-del-usuario-esp
David Vellet
 
NORMA DE CALIDAD GESTION INEN 2001
NORMA DE CALIDAD GESTION INEN 2001NORMA DE CALIDAD GESTION INEN 2001
NORMA DE CALIDAD GESTION INEN 2001
paulminiguano
 
Termodinámica 2.2
Termodinámica 2.2Termodinámica 2.2
Termodinámica 2.2
Nguyen Tran
 
une-en_iso-iec_27001.pdf
une-en_iso-iec_27001.pdfune-en_iso-iec_27001.pdf
une-en_iso-iec_27001.pdf
Hansel Rodriguez
 
ii
iiii
ii
Vero Gonzalez
 

Recomendados

Revista de los Smartwatch
Revista de los SmartwatchRevista de los Smartwatch
Revista de los Smartwatch
Daniel Rendón
 
norma 10
norma 10norma 10
norma 10
Javier Sánchez Rátiva
 
X bee guia-usuario
X bee guia-usuarioX bee guia-usuario
X bee guia-usuario
Gabriel Llagua Guato
 
Manual instruccions comptador 219774145-sl7000-iec7-manual-del-usuario-esp
Manual instruccions comptador 219774145-sl7000-iec7-manual-del-usuario-espManual instruccions comptador 219774145-sl7000-iec7-manual-del-usuario-esp
Manual instruccions comptador 219774145-sl7000-iec7-manual-del-usuario-esp
David Vellet
 
NORMA DE CALIDAD GESTION INEN 2001
NORMA DE CALIDAD GESTION INEN 2001NORMA DE CALIDAD GESTION INEN 2001
NORMA DE CALIDAD GESTION INEN 2001
paulminiguano
 
Termodinámica 2.2
Termodinámica 2.2Termodinámica 2.2
Termodinámica 2.2
Nguyen Tran
 
une-en_iso-iec_27001.pdf
une-en_iso-iec_27001.pdfune-en_iso-iec_27001.pdf
une-en_iso-iec_27001.pdf
Hansel Rodriguez
 
ii
iiii
ii
Vero Gonzalez
 
Iso 27005-espanol
Iso 27005-espanolIso 27005-espanol
Iso 27005-espanol
Daniel Arevalo
 
Iso 27005-espanol
Iso 27005-espanolIso 27005-espanol
Iso 27005-espanol
Daniel Arevalo
 
ISO 9001-2015 Castellano.PDF
ISO 9001-2015 Castellano.PDFISO 9001-2015 Castellano.PDF
ISO 9001-2015 Castellano.PDF
Asencio Edson
 
Neo60 2007
Neo60 2007Neo60 2007
Neo60 2007
Raul Berrios
 
ISO17025
ISO17025ISO17025
ISO17025
egrandam
 
Tesis
TesisTesis
Tesis
Rodolfo Edison Ccuno
 
NORMA_ISO_9000-2015_FyV - copia.pdf
NORMA_ISO_9000-2015_FyV - copia.pdfNORMA_ISO_9000-2015_FyV - copia.pdf
NORMA_ISO_9000-2015_FyV - copia.pdf
GnesisSerrano3
 
Manual usuario ce3
Manual usuario ce3Manual usuario ce3
Manual usuario ce3
Daniel Aranda Benítez
 
ISO20000_GuiaCompletadeAplicacion_LuisMoran.pdf
ISO20000_GuiaCompletadeAplicacion_LuisMoran.pdfISO20000_GuiaCompletadeAplicacion_LuisMoran.pdf
ISO20000_GuiaCompletadeAplicacion_LuisMoran.pdf
Marcos Pabel Alegre Fernández
 
Manual es termica
Manual es termicaManual es termica
Manual es termica
Jose Eulogio Llanos
 
2013 04 consenso semicyuc 2012
2013 04 consenso semicyuc 20122013 04 consenso semicyuc 2012
2013 04 consenso semicyuc 2012
Laura Carolina Tenorio Castillo
 
Luminotecnia carrion
Luminotecnia carrionLuminotecnia carrion
Luminotecnia carrion
Leonardo Torres Ludeña
 
Pla sst-002 plan estrategico de seguridad vial pesv.docx
Pla sst-002 plan estrategico de seguridad vial pesv.docxPla sst-002 plan estrategico de seguridad vial pesv.docx
Pla sst-002 plan estrategico de seguridad vial pesv.docx
NAYIB ERNESTO DIAZ GOMEZ
 
iso2000065
iso2000065iso2000065
iso2000065
Klin Kz Zk
 
Libro ISO 20000 Telefonica 65 pag muestra
Libro ISO 20000 Telefonica 65 pag muestraLibro ISO 20000 Telefonica 65 pag muestra
Libro ISO 20000 Telefonica 65 pag muestra
Luis Moran Abad
 
Iso90012008
Iso90012008Iso90012008
Iso90012008
Marisol Lagos Ascanio
 
2016davidbenitez.pdf
2016davidbenitez.pdf2016davidbenitez.pdf
2016davidbenitez.pdf
RonnyAlexandersSanch
 
Manual de multímetro egatronik
Manual de multímetro egatronikManual de multímetro egatronik
Manual de multímetro egatronik
ghildamm
 
2016 Fabián Descalzo | Experiencia profesional
2016 Fabián Descalzo | Experiencia profesional2016 Fabián Descalzo | Experiencia profesional
2016 Fabián Descalzo | Experiencia profesional
Fabián Descalzo
 
NORMA ISO 17025:2017
NORMA ISO 17025:2017NORMA ISO 17025:2017
NORMA ISO 17025:2017
Frank Alfaro Bermudez
 
Ejercicio 1 periodo 2 de Tecnología 2024
Ejercicio 1 periodo 2 de Tecnología 2024Ejercicio 1 periodo 2 de Tecnología 2024
Ejercicio 1 periodo 2 de Tecnología 2024
NicolleAndrade7
 
10°8 - Avances tecnologicos del siglo XXI 10-8
10°8 - Avances tecnologicos del siglo XXI 10-810°8 - Avances tecnologicos del siglo XXI 10-8
10°8 - Avances tecnologicos del siglo XXI 10-8
antoniopalmieriluna
 

Más contenido relacionado

Similar a Nte inen iso_iec_27032_ecuador

ISO 9001-2015 Castellano.PDF
ISO 9001-2015 Castellano.PDFISO 9001-2015 Castellano.PDF
ISO 9001-2015 Castellano.PDF
Asencio Edson
 
NORMA_ISO_9000-2015_FyV - copia.pdf
NORMA_ISO_9000-2015_FyV - copia.pdfNORMA_ISO_9000-2015_FyV - copia.pdf
NORMA_ISO_9000-2015_FyV - copia.pdf
GnesisSerrano3
 

Similar a Nte inen iso_iec_27032_ecuador (20)

Iso 27005-espanol
Iso 27005-espanolIso 27005-espanol
Iso 27005-espanol
 
Iso 27005-espanol
Iso 27005-espanolIso 27005-espanol
Iso 27005-espanol
 
ISO 9001-2015 Castellano.PDF
ISO 9001-2015 Castellano.PDFISO 9001-2015 Castellano.PDF
ISO 9001-2015 Castellano.PDF
 
Neo60 2007
Neo60 2007Neo60 2007
Neo60 2007
 
ISO17025
ISO17025ISO17025
ISO17025
 
Tesis
TesisTesis
Tesis
 
NORMA_ISO_9000-2015_FyV - copia.pdf
NORMA_ISO_9000-2015_FyV - copia.pdfNORMA_ISO_9000-2015_FyV - copia.pdf
NORMA_ISO_9000-2015_FyV - copia.pdf
 
Manual usuario ce3
Manual usuario ce3Manual usuario ce3
Manual usuario ce3
 
ISO20000_GuiaCompletadeAplicacion_LuisMoran.pdf
ISO20000_GuiaCompletadeAplicacion_LuisMoran.pdfISO20000_GuiaCompletadeAplicacion_LuisMoran.pdf
ISO20000_GuiaCompletadeAplicacion_LuisMoran.pdf
 
Manual es termica
Manual es termicaManual es termica
Manual es termica
 
2013 04 consenso semicyuc 2012
2013 04 consenso semicyuc 20122013 04 consenso semicyuc 2012
2013 04 consenso semicyuc 2012
 
Luminotecnia carrion
Luminotecnia carrionLuminotecnia carrion
Luminotecnia carrion
 
Pla sst-002 plan estrategico de seguridad vial pesv.docx
Pla sst-002 plan estrategico de seguridad vial pesv.docxPla sst-002 plan estrategico de seguridad vial pesv.docx
Pla sst-002 plan estrategico de seguridad vial pesv.docx
 
iso2000065
iso2000065iso2000065
iso2000065
 
Libro ISO 20000 Telefonica 65 pag muestra
Libro ISO 20000 Telefonica 65 pag muestraLibro ISO 20000 Telefonica 65 pag muestra
Libro ISO 20000 Telefonica 65 pag muestra
 
Iso90012008
Iso90012008Iso90012008
Iso90012008
 
2016davidbenitez.pdf
2016davidbenitez.pdf2016davidbenitez.pdf
2016davidbenitez.pdf
 
Manual de multímetro egatronik
Manual de multímetro egatronikManual de multímetro egatronik
Manual de multímetro egatronik
 
2016 Fabián Descalzo | Experiencia profesional
2016 Fabián Descalzo | Experiencia profesional2016 Fabián Descalzo | Experiencia profesional
2016 Fabián Descalzo | Experiencia profesional
 
NORMA ISO 17025:2017
NORMA ISO 17025:2017NORMA ISO 17025:2017
NORMA ISO 17025:2017
 

Último

Imágenes digitales: Calidad de la información
Imágenes digitales: Calidad de la informaciónImágenes digitales: Calidad de la información
Imágenes digitales: Calidad de la información
Universidad de Sonora
 
microsoft word manuales para todos tipos de estudiamte
microsoft word manuales para todos tipos de estudiamtemicrosoft word manuales para todos tipos de estudiamte
microsoft word manuales para todos tipos de estudiamte
2024020140
 

Último (20)

Ejercicio 1 periodo 2 de Tecnología 2024
Ejercicio 1 periodo 2 de Tecnología 2024Ejercicio 1 periodo 2 de Tecnología 2024
Ejercicio 1 periodo 2 de Tecnología 2024
 
10°8 - Avances tecnologicos del siglo XXI 10-8
10°8 - Avances tecnologicos del siglo XXI 10-810°8 - Avances tecnologicos del siglo XXI 10-8
10°8 - Avances tecnologicos del siglo XXI 10-8
 
De Olmos Santiago_Dolores _ M1S3AI6.pptx
De Olmos Santiago_Dolores _ M1S3AI6.pptxDe Olmos Santiago_Dolores _ M1S3AI6.pptx
De Olmos Santiago_Dolores _ M1S3AI6.pptx
 
herramientas web para estudiantes interesados en el tema
herramientas web para estudiantes interesados en el temaherramientas web para estudiantes interesados en el tema
herramientas web para estudiantes interesados en el tema
 
infor expo AVANCES TECNOLOGICOS DEL SIGLO 21.pptx
infor expo AVANCES TECNOLOGICOS DEL SIGLO 21.pptxinfor expo AVANCES TECNOLOGICOS DEL SIGLO 21.pptx
infor expo AVANCES TECNOLOGICOS DEL SIGLO 21.pptx
 
Desarrollo del Dominio del Internet - Estrada
Desarrollo del Dominio del Internet - EstradaDesarrollo del Dominio del Internet - Estrada
Desarrollo del Dominio del Internet - Estrada
 
presentación del desensamble y ensamble del equipo de computo en base a las n...
presentación del desensamble y ensamble del equipo de computo en base a las n...presentación del desensamble y ensamble del equipo de computo en base a las n...
presentación del desensamble y ensamble del equipo de computo en base a las n...
 
Imágenes digitales: Calidad de la información
Imágenes digitales: Calidad de la informaciónImágenes digitales: Calidad de la información
Imágenes digitales: Calidad de la información
 
Función del analizador léxico.pdf presentacion
Función del analizador léxico.pdf presentacionFunción del analizador léxico.pdf presentacion
Función del analizador léxico.pdf presentacion
 
Editorial. Grupo de 12B. La Salle Margarita.pdf
Editorial. Grupo de 12B. La Salle Margarita.pdfEditorial. Grupo de 12B. La Salle Margarita.pdf
Editorial. Grupo de 12B. La Salle Margarita.pdf
 
PRÁCTICA Nº 4: “Análisis de secuencias del ADN con el software BioEdit y uso ...
PRÁCTICA Nº 4: “Análisis de secuencias del ADN con el software BioEdit y uso ...PRÁCTICA Nº 4: “Análisis de secuencias del ADN con el software BioEdit y uso ...
PRÁCTICA Nº 4: “Análisis de secuencias del ADN con el software BioEdit y uso ...
 
AVANCES TECNOLOGICOS DEL SIGLO XXI. 10-08..pptx
AVANCES TECNOLOGICOS DEL SIGLO XXI. 10-08..pptxAVANCES TECNOLOGICOS DEL SIGLO XXI. 10-08..pptx
AVANCES TECNOLOGICOS DEL SIGLO XXI. 10-08..pptx
 
Actividad 6/Las TIC en la Vida Cotidiana.
Actividad 6/Las TIC en la Vida Cotidiana.Actividad 6/Las TIC en la Vida Cotidiana.
Actividad 6/Las TIC en la Vida Cotidiana.
 
Tipos de datos en Microsoft Access de Base de Datos
Tipos de datos en Microsoft Access de Base de DatosTipos de datos en Microsoft Access de Base de Datos
Tipos de datos en Microsoft Access de Base de Datos
 
BUSCADORES DE INTERNET (Universidad de Sonora).
BUSCADORES DE INTERNET (Universidad de Sonora).BUSCADORES DE INTERNET (Universidad de Sonora).
BUSCADORES DE INTERNET (Universidad de Sonora).
 
microsoft word manuales para todos tipos de estudiamte
microsoft word manuales para todos tipos de estudiamtemicrosoft word manuales para todos tipos de estudiamte
microsoft word manuales para todos tipos de estudiamte
 
Tarea_sesion_15_Reportes Maestro - Detalle con el uso de AJAX.pptx
Tarea_sesion_15_Reportes Maestro - Detalle con el uso de AJAX.pptxTarea_sesion_15_Reportes Maestro - Detalle con el uso de AJAX.pptx
Tarea_sesion_15_Reportes Maestro - Detalle con el uso de AJAX.pptx
 
Navegadores de internet - Nuevas Tecnologías de la Información y la Comunicación
Navegadores de internet - Nuevas Tecnologías de la Información y la ComunicaciónNavegadores de internet - Nuevas Tecnologías de la Información y la Comunicación
Navegadores de internet - Nuevas Tecnologías de la Información y la Comunicación
 
el uso de las TIC en la vida cotidiana.pptx
el uso de las TIC en la vida cotidiana.pptxel uso de las TIC en la vida cotidiana.pptx
el uso de las TIC en la vida cotidiana.pptx
 
Introduccion-a-la-electronica-industrial.pptx
Introduccion-a-la-electronica-industrial.pptxIntroduccion-a-la-electronica-industrial.pptx
Introduccion-a-la-electronica-industrial.pptx
 

Nte inen iso_iec_27032_ecuador

  • 1. © ISO/IEC 2012  Todos los derechos reservados © INEN 2015 Quito – Ecuador NORMA TÉCNICA ECUATORIANA NTE INEN-ISO/IEC 27032 Tercera edición 2015-10 TECNOLOGÍAS DE LA INFORMACIÓN – TÉCNICAS DE SEGURIDAD – DIRECTRICES PARA CIBERSEGURIDAD (ISO/IEC 27032:2012, IDT) INFORMATION TECHNOLOGY — SECURITY TECHNIQUES — GUIDELINES FOR CYBERSECURITY (ISO/IEC 27032:2012, IDT) _____________________________________ Correspondencia: Esta Norma Técnica Ecuatoriana es una traducción idéntica de la Norma Internacional ISO/IEC 27032:2012. DESCRIPTORES: Tecnologías de la información, técnicas de seguridad, guías , ciberprotección, ciberespacio, directrices ICS: 35.040 56 Páginas E X T R A C T O
  • 2. NTE INEN-ISO/IEC 27032 2015-10 © ISO/IEC 2012  Todos los derechos reservados © INEN 2015 2015-0379 i Prólogo nacional Esta Norma Técnica Ecuatoriana NTE INEN-ISO/IEC 27032, es una traducción idéntica de la Norma Internacional ISO/IEC 27032:2012 Information technology — Security techniques — Guidelines for cybersecurity. El Ministerio de Telecomunicaciones y Sociedad de la Información, MINTEL, es el responsable de la traducción de esta Norma Técnica Ecuatoriana, y de su adopción es el Comité Técnico de Normalización del INEN. Para el propósito de esta Norma Técnica Ecuatoriana se ha hecho el siguiente cambio editorial: a) Las palabras “esta Norma Internacional” ha sido reemplazada por “esta norma nacional”. Para el propósito de esta Norma Técnica Ecuatoriana se enlista el documento normativo internacional que se referencia en la Norma Internacional ISO/IEC 27032:2012 y el documento normativo nacional correspondiente: Documento Normativo Internacional Documento Normativo Nacional ISO/IEC 27000, Information technology — Security techniques — Information security management systems — Overview and vocabulary NTE INEN-ISO/IEC 27000:2012, Tecnología de la información — Técnicas de seguridad — Sistema de gestión de seguridad de la información — Descripción general y vocabulario (ISO/IEC 27000:2012, IDT) E X T R A C T O
  • 3. NTE INEN-ISO/IEC 27032 2015-10 © ISO/IEC 2012  Todos los derechos reservados © INEN 2015 2015-0379 ii Índice Pág. Prólogo ...............................................................................................................................................iv Introducción ........................................................................................................................................ v 1. Objeto y campo de aplicación .................................................................................................. 1 2. Aplicabilidad ............................................................................................................................. 1 2.1 Audiencia.................................................................................................................................. 1 2.2 Limitaciones ............................................................................................................................. 1 3. Referencias normativas............................................................................................................ 2 4. Términos y definiciones............................................................................................................ 2 5. Abreviaturas ............................................................................................................................. 8 6. Generalidades .......................................................................................................................... 9 6.1 Introducción.............................................................................................................................. 9 6.2 La naturaleza del Ciberespacio.............................................................................................. 10 6.3 La naturaleza de la Ciberseguridad ....................................................................................... 11 6.4 Modelo general....................................................................................................................... 12 6.5 Enfoque .................................................................................................................................. 14 7. Partes interesadas dentro del Ciberespacio .......................................................................... 14 7.1 Generalidades ........................................................................................................................ 14 7.2 Consumidores ........................................................................................................................ 15 7.3 Proveedores ........................................................................................................................... 15 8. Activos en el Ciberespacio..................................................................................................... 16 8.1 Generalidades ........................................................................................................................ 16 8.2 Activos personales ................................................................................................................. 16 8.3 Activos organizacionales........................................................................................................ 17 9. Amenazas contra la seguridad en el Ciberespacio................................................................ 17 9.1 Amenazas .............................................................................................................................. 17 9.2 Los agentes de amenazas ..................................................................................................... 19 9.3 Vulnerabilidades..................................................................................................................... 19 9.4 Mecanismos de ataque .......................................................................................................... 19 10. Roles de las partes interesadas en la Ciberprotección.......................................................... 21 10.1 Generalidades ........................................................................................................................ 21 10.2 Rolesde los consumidores ..................................................................................................... 22 10.3 Rolesde los proveedores ....................................................................................................... 23 11. Directrices para las partes interesadas.................................................................................. 24 11.1 Generalidades ........................................................................................................................ 24 11.2 Evaluación y tratamiento de riesgos ...................................................................................... 24 11.3 Directrices para los consumidores......................................................................................... 26 11.4 Directrices para las organizaciones y proveedores de servicios ........................................... 27 12. Controles de Ciberseguridad ................................................................................................. 32 12.1 Generalidades ........................................................................................................................ 32 12.2 Controles a nivel de aplicación .............................................................................................. 32 12.3 Protección del servidor........................................................................................................... 32 12.4 Controles del usuario final...................................................................................................... 33 12.5 Controles contra ataques de ingeniería social....................................................................... 34 12.6 Disposición de la Ciberseguridad........................................................................................... 38 12.7 Otros controles ....................................................................................................................... 38 E X T R A C T O
  • 4. NTE INEN-ISO/IEC 27032 2015-10 © ISO/IEC 2012  Todos los derechos reservados © INEN 2015 2015-0379 iii 13. Marco de intercambio y coordinación de la información........................................................ 38 13.1 Generalidades ........................................................................................................................ 38 13.2 Políticas.................................................................................................................................. 38 13.3 Métodos y procesos ............................................................................................................... 39 13.4 Personas y organizaciones .................................................................................................... 41 13.5 Técnica................................................................................................................................... 42 13.6 Guía para la implementación ................................................................................................. 43 Anexo A (informativo) Disponibilidad de la Ciberseguridad...................................................... 45 Anexo B (informativo) Recursos adicionales............................................................................. 49 Anexo C (informativo) Ejemplos de documentos relacionados................................................ 52 Bibliografia...................................................................................................................................... 56 E X T R A C T O
  • 5. NTE INEN-ISO/IEC 27032 2015-10 © ISO/IEC 2012  Todos los derechos reservados © INEN 2015 2015-0379 iv Prólogo ISO (Organización Internacional de Normalización) e IEC (Comisión Electrotécnica Internacional) forman el sistema especializado para la normalización mundial. Los organismos nacionales miembros de ISO o IEC participan en el desarrollo de Normas Internacionales a través de comités técnicos establecidos por la organización respectiva, para tratar los campos particulares de la actividad técnica. Los comités técnicos de ISO e IEC colaboran en campos de interés mutuo. Otras organizaciones internacionales, públicas y privadas, en coordinación con ISO e IEC, también participan en el trabajo. En el campo de la tecnología de la información, la ISO y la IEC han establecido un comité técnico conjunto ISO/IEC JTC 1. Las Normas Internacionales son redactadas de conformidad con las reglas establecidas en las Directivas ISO/IEC, Parte 2. La tarea principal del comité técnico conjunto es preparar Normas Internacionales. Los proyectos de Normas Internacionales adoptados por el Comité Técnico Conjunto se envían a los organismos nacionales para votación. La publicación como una norma nacional requiere la aprobación de al menos el 75 % de los organismos miembros con derecho a voto. Se llama la atención sobre la posibilidad de que algunos de los elementos de este documento puedan ser objeto de derechos de patente. ISO e IEC no asumen la responsabilidad por la identificación de cualquiera o todos los derechos de patente. ISO/IEC 27032 fue preparada por el Comité Técnico Conjunto ISO/IEC JTC 1, Tecnologías de la Información, Subcomité SC 27, Técnicas de Seguridad TI. E X T R A C T O
  • 6. NTE INEN-ISO/IEC 27032 2015-10 © ISO/IEC 2012  Todos los derechos reservados © INEN 2015 2015-0379 v Introducción El ciberespacio es un ambiente complejo resultante de la interacción de la gente, el software y los servicios en Internet que se sustentan en los aparatos físicos y las redes interconectadas de tecnología de la información y de comunicaciones (TIC) en todo el mundo. Sin embargo, hay cuestiones con respecto a la seguridad que no se encuentran cubiertas por las mejores prácticas actuales sobre la seguridad de la información, seguridad del internet, seguridad de redes y seguridad de la tecnología de la información de las comunicaciones (TIC), así como hay vacíos entre estos aspectos, como también una falta de comunicación entre las organizaciones y proveedores en el ciberespacio. Esto se debe a que los aparatos y redes interconectadas que se sustentan en el Ciberespacio tienen propietarios múltiples, cada uno con su negocio propio y preocupaciones propias tanto operativas como reguladoras. El diferente enfoque dado por cada organización y proveedor en el Ciberespacio en relación a los aspectos de seguridad donde hay poca o ninguna entrada proveniente de otra organización o proveedor ha ocasionado un estado fragmentado de seguridad en el Ciberespacio. Como tal, la primera área de enfoque de esta norma nacional es abordar la seguridad del Ciberespacio o cuestiones de Ciberseguridad en el ciberespacio que se concentran en tender puentes entre los diferentes vacíos del Ciberespacio. En particular, esta norma nacional proporciona una guía técnica para abordar riesgos de Ciberprotección en el ciberespacio comunes, tales como: — los ataques de ingeniería social; — el acceso secreto y no autorizado a sistemas informáticos (hacking); — la proliferación de software malicioso (“malware”); — el spyware, y — otros tipos de software potencialmente no deseables. La guía técnica proporciona controles para abordar estos riesgos, incluyendo controles para: — prepararse para ataques de, por ejemplo, malware, delincuentes aislados u organizaciones criminales de Internet; — detectar y monitorear ataques; y — responder a los ataques. La segunda área que se aborda en esta norma nacional es la colaboración, puesto que existe una necesidad de compartir la información de manera eficiente y efectiva, y de coordinación y manejo de incidentes entre las partes interesadas en el Ciberespacio. Esta colaboración debe hacerse de manera segura y confiable y que también proteja la privacidad de los individuos involucrados. Algunas de estas partes interesadas pueden residir en diferentes ubicaciones geográficas y husos horarios, y probablemente estarán sujetas a diferentes requisitos reglamentarios. Las partes interesadas incluyen a: — consumidores, que pueden corresponder a varios tipos de organizaciones o individuos; y — proveedores, que incluye a los proveedores de servicios. De esta manera, esta norma nacional proporciona un marco para: — compartir información, — coordinar, y — manejo de incidentes. E X T R A C T O
  • 7. NTE INEN-ISO/IEC 27032 2015-10 © ISO/IEC 2012  Todos los derechos reservados © INEN 2015 2015-0379 vi El marco de referencia incluye: — elementos clave sobre consideraciones para establecer confianza, — procesos necesarios para la colaboración e intercambio y difusión de información, así como — requisitos técnicos para la integración de los sistemas e interoperabilidad entre las diferentes partes interesadas. Dado el campo de aplicación de esta norma nacional, los controles provistos son necesariamente de alto nivel. Para mayor orientación, se hacen referencia a las normas de especificaciones técnicas detalladas y directrices aplicables a cada área dentro de esta norma nacional. E X T R A C T O
  • 8. NTE INEN-ISO/IEC 27032 2015-10 © ISO/IEC 2012  Todos los derechos reservados © INEN 2015 2015-0379 1 de 56 Tecnologías de la información ̶ Técnicas de seguridad ̶ Directrices para Ciberseguridad 1 Objeto y campo de aplicación Esta norma nacional proporciona una guía para mejorar el estado de la Ciberseguridad, destacando aspectos únicos de dicha actividad y su dependencia de otros ámbitos de seguridad, en particular: — la seguridad de la información, — la seguridad de las redes, — la seguridad de internet, y — la protección de la infraestructura crítica de información (CIIP). Se cubre el punto partida en prácticas de seguridad para las partes interesadas del Ciberespacio. Esta norma nacional proporciona: — las generalidades de la Ciberseguridad, — una explicación de la relación entre Ciberseguridad y otros tipos de seguridad, — una definición de las partes interesadas y una descripción de sus roles en la Ciberseguridad, — una guía para abordar problemas comunes de la Ciberprotección, y — un marco de referencia que permite a las partes interesadas colaborar en la resolución de problemas de Ciberseguridad. 2 Aplicabilidad 2.1 Audiencia Esta norma nacional se aplica a proveedores de servicios en el Ciberespacio. La audiencia, sin embargo, incluye a los consumidores que utilizan estos servicios. Si hay organizaciones que proporcionan servicios en el Ciberespacio para que la gente los utilice desde sus hogares o en otras organizaciones, entonces podrían necesitar preparar una guía en base a esta norma nacional que contenga explicaciones adicionales o ejemplos suficientes que permitan al lector comprender y actuar en base a ello. 2.2 Limitaciones Esta norma nacional no incluye: — La ciberprotección, — El delito informático (cibercrimen), — La protección de la infraestructura crítica de información (CIIP), — La seguridad en internet, y — Los delitos relacionados con internet. Es reconocido que existen relaciones entre las áreas mencionadas y la Ciberseguridad. Sin embargo, está más allá del alcance de esta norma nacional abordar estas relaciones y el compartir los controles entre estos ámbitos. E X T R A C T O
  • 9. INFORMACIÓN COMPLEMENTARIA Documento: NTE INEN- ISO/IEC 27032 TÍTULO: TECNOLOGÍAS DE LA INFORMACIÓN ̶ TÉCNICAS DE SEGURIDAD – DIRECTRICES PARA CIBERSEGURIDAD (ISO/IEC 27032:2012, IDT) Código ICS: 35.040 ORIGINAL: Fecha de iniciación del estudio: 2014-09-26 REVISIÓN: La Subsecretaría de la Calidad del Ministerio de Industrias y Productividad aprobó este proyecto de norma Oficialización con el Carácter de por Resolución No. publicado en el Registro Oficial No. Fecha de iniciación del estudio: Fechas de consulta pública: 2014-11-20 hasta 2015-01-19 Comité Técnico de: Tecnologías de la información Fecha de iniciación: 2015-03-19 Fecha de aprobación: 2015-04-20 Integrantes del Comité: NOMBRES: INSTITUCIÓN REPRESENTADA: Ing. Esteban Hidalgo (Presidente) MINTEL Ing. Oswaldo Rivera MINTEL Ing. Marco Torres Andrade TELCORP Ing. Carlos Castro S.I.N Ing. Pablo Sosa INFORC Ing. Evelyn Arias CNT Ing. Norma Zambrano CFN Ing. José León (Secretario Técnico) INEN - Dirección de Normalización Otros trámites: La Subsecretaría de la Calidad del Ministerio de Industrias y Productividad aprobó este proyecto de norma Oficializada como: Voluntaria Por Resolución No. 15285 de 2015-09-18 Registro Oficial No. 606 de 2015-10-13 E X T R A C T O