ISO 27032, el estándar enfocado en ciberseguridad

El estándar ISO / IEC 27032 se refiere a ‘Ciberseguridad’ o ‘Seguridad del ciberespacio’, que se define como la protección de la privacidad, integridad y accesibilidad de la información de datos en el Ciberespacio. Por lo tanto, el ciberespacio es reconocido como una interacción de personas, software y servicios tecnológicos mundiales.

El estándar internacional ISO / IEC 27032 está destinado a enfatizar el papel de los diferentes valores en el ciberespacio, con respecto a la seguridad de la información, la seguridad de la red y de Internet, y la protección de la infraestructura de información crítica (CIIP). ISO / IEC 27032 como estándar internacional proporciona un marco de políticas para abordar el establecimiento de confiabilidad, colaboración, intercambio de información y orientación técnica para la integración del sistema entre las partes interesadas en el ciberespacio.

Proporcionará una colaboración general entre las múltiples partes interesadas para reducir riesgos en Internet. La norma facilita la colaboración segura y fiable para proteger la privacidad de las personas en todo el mundo. De esta manera, puede ayudar a prepararse, detectar, monitorizar y responder a los ataques.

La norma ISO/IEC 27032:2012 proporciona un marco de orientación para mejorar el estado de la Ciberseguridad, usando para ello los aspectos estratégicos y técnicos relevantes para esa actividad, y sus dependencias con otros dominios de seguridad, en particular:

  • Seguridad de la información (considerando que la información es el activo mas relevante de cualquier organización)
  • Seguridad en redes locales
  • Seguridad en la red Internet
  • La protección de infraestructuras críticas de información.

El concepto del Ciberespacio exige tener una visión más amplia de conceptos de la seguridad de la información. Este nuevo concepto aúna aspectos relacionados con la interacción de personas, software y servicios en Internet, soportados por entornos TIC distribuidos por todo el mundo con una complejidad y particularidad que hace unos años no era imaginable.

Para abordar los retos de la Ciberseguridad, que consiste en la seguridad en el Ciberespacio, surge la norma ISO/IEC 27032, que define las Guías en este ámbito y se centra en dos áreas: por un lado, en cubrir los espacios o huecos no cubiertos por normas anteriores de seguridad en este ámbito conceptual más amplio, en el que aparecen nuevos ataques y los riesgos asociados a éstos; y, por otro lado, el proceso de colaboración entre los agentes que operan en el entorno actual, en lo que se denomina comúnmente un Marco de Ciberseguridad o CSF (CyberSecurity Framework).

Partes interesadas en el Ciberespacio

El Ciberespacio no pertenece a ninguna persona o empresa, todo el mundo participa y tiene participación en él, para los fines del ISO 27032, las partes interesadas en el Ciberespacio se clasifican en los siguientes grupos:

  • los consumidores, incluyendo personas; y organizaciones privadas y públicas;
  • los proveedores, incluyendo, pero sin limitarse a los proveedores de servicios de Internet, y los proveedores de servicio de aplicaciones

Activos en el Ciberespacio

Un activo se define como algo que tiene valor para la organización. Hay muchos tipos de activos, incluyendo los siguientes:

  1. la información;
  2. software, como un programa o software;
  3. hardware, tal como un computador;
  4. servicios, como la electricidad;
  5. las personas, sus habilidades y experiencia, y
  6. los activos intangibles, como la reputación y la imagen ante los clientes.

Protección de los activos en el Ciberespacio

En sus marcos de ciberseguridad, tanto el Instituto Nacional de Estándares y Tecnología (NIST), la Agencia Europea de Red y Seguridad de la Información (ENISA) e ISO han identificado cinco funciones clave necesarias para la protección de los activos digitales. Estas funciones coinciden con las metodologías de gestión de incidentes e incluyen las siguientes actividades:

  1. Identificar: Utilice la comprensión de la organización para minimizar el riesgo de los sistemas, activos, datos y capacidades.
  2. Proteger: Diseño salvaguardias para limitar el impacto de los eventos potenciales sobre los servicios y las infraestructuras críticas.
  3. Detectar: Ejecutar actividades para identificar la ocurrencia de un evento de ciberseguridad.
  4. Responder: Tomar las medidas apropiadas después de enterarse de un evento de seguridad.
  5. Recuperar: Planificar la capacidad de recuperación y la reparación oportuna de capacidades y servicios comprometidos.

Gestión de riesgos, amenazas y vulnerabilidades

Como en cualquier tipo de norma que ayuda a implementar un Sistema de Gestión, el Análisis y Gestión de riesgos es un pilar fundamental, ya que nos permite tener un panorama claro de las amenazas, vulnerabilidades, zonas de riesgos y criterios de aceptación, todo ello con la finalidad de poder optimizar la inversión en seguridad y priorizar la implementación de controles o salvaguardas.

Diferencias entre ISO 27001 e ISO 27032

ISO 27032 no es un estándar que se pueda certificar, quizás esta es una de las diferencias más importantes con respecto a ISO 27001, que permite que su institución pueda certificar un Sistema de Gestión de Seguridad de la Información (SGSI) . La norma ISO 27032 apunta principalmente a proporcionar una guía de seguridad cibernética a través de recomendaciones específicas, mientras que la norma ISO 27001 establece los requisitos para establecer un SGSI. Por lo tanto, el enfoque de ISO 27001 es su organización y su SGSI, mientras que ISO 27032 se centra en el ciberespacio y es un marco para la colaboración para abordar los problemas centrados en diferentes dominios de seguridad en el ciberespacio.

Por otro lado, en el Anexo A ISO 27001: 2013 hay 114 controles, no todos relacionados con las tecnologías. Muchos están relacionados con la gestión de proveedores, la gestión de recursos humanos, etc. Sin embargo, los controles que se pueden encontrar en ISO 27032: 2012 son más específicos para la ciberseguridad (control de nivel de aplicación, protección de servidor, usuario final, control de ataque de ingeniería social, etc.) La forma más fácil de comprender esta diferencia es la siguiente:

SEGURIDAD DE LA INFORMACIÓN (ISO 27001)CIBERSEGURIDAD (ISO 27032)
Trata con la información, independientemente de su formato – abarca los documentos impresos, digitales y propiedad intelectual en la mente de las personas y las comunicaciones verbales o visuales.Se refiere a la protección de los activos digitales – todo desde las redes hasta el hardware y la información que es procesada, almacenada o transportada por sistemas de información interconectados.

Por lo tanto, ambas normas tienen objetivos diferentes, algo como esto:

  • ISO27001: Si nuestro objetivo es certificar la organización y contar con un marco amplio de trabajo en Seguridad de la información
  • ISO 27032: Si nuestro objetivo es comenzar a trabajar en los riesgos asociados a Ciberseguridad