Post on 15-Jan-2017
transcript
Aspectos sobre CiberseguridadISO/IEC 27032
El ciberespacio es un ambiente complejo resultado de la interacción entre personas, software y servicios en internet, soportado por información, tecnologías de la comunicación, dispositivos y redes interconectadas de manera distribuida a nivel global
h t t p : / / w w w . g t d i . p e - i n f o @ g t d i . p e
Terminología aplicable
• ISO/IC 27032 incluye un conjunto de 53 términos y definiciones que considera necesarias para una comprensión homogénea de la norma y sus acciones.
• De estas 53, revisaremos brevemente solo 17.
h t t p : / / w w w . g t d i . p e - i n f o @ g t d i . p e
• Activo
• Activo virtual
• Ataque
• Ataque potencial
• Vector de ataque
• Botnet
• Control
• Cibercrimen
• Cibersalubridad (Cybersafety)
• Ciberseguridad (Seguridad en el ciberespacio)
• Ciberespacio
• Hacking
• Hacktivismo
• El Internet
• Crimen por internet
• Salubridad en internet
• Contenido malicioso
Fuente: ISO/IEC 27032
h t t p : / / w w w . g t d i . p e - i n f o @ g t d i . p e
Naturaleza de la Ciberseguridad
• Los interesados en el ciberespacio juegan un rol activo, no solo protegiendo sus propios activos, también aportan a la supervivencia del ciberespacio.
• El ciberespacio se extiende a un modelo muchos-muchos en interacciones y transacciones.
• Ciberseguridad relaciona las actividades de los interesados para establecer y mantener la seguridad en el Ciberespacio.
h t t p : / / w w w . g t d i . p e - i n f o @ g t d i . p e
Seguridad de la Información
Protección de Infraestructuras Críticas de Información
Seguridad de las Redes
Seguridad de Internet
Seguridad en las aplicaciones
Ciberseguridad
Cibercrimen Cibersalubridad
Relación entre ciberseguridad y otros dominios de seguridadFuente: ISO/IEC 27032
h t t p : / / w w w . g t d i . p e - i n f o @ g t d i . p e
Los interesados
ISO/IEC 27032 - Los interesados en ciberseguridad pueden ser:
– Clientes• Individuos
• Organizaciones (publicas o privadas)
– Proveedores (Incluyendo pero no limitado a)• Proveedores de servicios de internet
• Proveedores de servicios de aplicación
h t t p : / / w w w . g t d i . p e - i n f o @ g t d i . p e
Enfoque
• Un forma efectiva de confrontar los riesgos a la ciberseguridad involucran una combinación de múltiples estrategias, tomando en consideración los múltiples interesados.
La estrategias incluyen:– Mejores prácticas de la industria– Educación amplia, proporcionando recursos
confiables sobre ciberseguridad y el ciberespacio.– Orientación en cuanto a roles, políticas, métodos,
procesos y aplicación de controles técnicos.
h t t p : / / w w w . g t d i . p e - i n f o @ g t d i . p e
Clientes Individuos Organizaciones
Privadas Públicas
Proveedores Proveedores de
servicios de internet Proveedores de
servicios de aplicación
Personales Activos físicos Activos virtuales
Organizacionales Activos físicos Activos virtuales
Mejores prácticas Preventivas De detección Reactivas
Coordinar y compartir información
Interesados Activos Medidas
Overview y enfoqueFuente: ISO/IEC 27032
h t t p : / / w w w . g t d i . p e - i n f o @ g t d i . p e
Amenazas
ISO/IEC 27032 las amenazas en el ciberespacio pueden ser:
– Amenazas a activos personales (referidos a las personas)
– Amenazas a activos organizacionales.
h t t p : / / w w w . g t d i . p e - i n f o @ g t d i . p e
Rol de los interesadosClientes
Proveedores Proporcionar acceso al ciberespacio a sus empleados y socios de negocios
Proporcionar servicios a clientes en el ciberespacio
Cuando sean asociaciones de consumidores:
Proporcionar servicios y productos seguros
Proporcionar guías de seguridad a sus usuarios finales
Individuos Usuario de aplicación, juego online, web surfer, etc
Vendedor/comprador de bienes o servicios
Blogger y otros generadores de contenidos
Miembro de una organización, etc.
Organizaciones Publicidad e información de la compañía.
Parte de una red de entrega y recepción de mensajes
Proactividad en la extensión de sus compromisos de
responsabilidad al Ciberespacio (incluir el ciberespacio)
h t t p : / / w w w . g t d i . p e - i n f o @ g t d i . p e
Coordinación e información
Los incidentes de ciberseguridad desbordan los límites tanto geográficos como organizacionales, la velocidad con la cual fluye lay cambia información solo proporciona un tiempo limitado para que los individuos u organizaciones puedan actuar (reaccionar, corregir, etc).
h t t p : / / w w w . g t d i . p e - i n f o @ g t d i . p e
Áreas a considerar
Políticas Información recibida / brindada a organizaciones
Clasificación y categorización de la información
Minimizar la información
Reducción de la audiencia
Protocolo de coordinación
Personas y organizaciones Contactos
Alianzas
Educación y entrenamiento
Métodos y procesos Clasificar y categorizar la información
Acuerdos de no divulgación
Código de práctica
Pruebas y ejercicios (simulacros)
Tiempos y calendario de información conpartida
Técnico Estandarizar datos para sistemas automatizados
Visualización de datos
Intercambio de claves criptográficas y respaldo de
software/hardware
Seguridad en archivos compartidos, mensajería
instantánea, portal web y foros de discusión
Sistemas de prueba
h t t p : / / w w w . g t d i . p e - i n f o @ g t d i . p e
Referencias Onlinesobre
Seguridad y anti-spyware
Anti-spyware Coalition (http://www.antispywarecoalition.org/)
APWG (http://www.antiphishing.org)
Be Web Aware (http://www.bewebaware.ca)
Centre for safe and Resposible Internet Use (http://csriu.org)
Childnet International (http://www.childnet-int.org)
ECPAT (http://www.ecpat.net)
GetNetWise (http://www.getnetwise.org)
Global Infraestructure Alliance for Internet Safety (GIAIS)
(http://www.microsoft.com/security/msra/default.mspx)
INHOPE (http://inhope.org)
Internet Safety Group (www.netsafe.org.nz)
Interpol (http://www.interpol.int)
iSafe (http://www.isafe.org)
Fragmento del Anexo B ISO/IEC 27032
h t t p : / / w w w . g t d i . p e - i n f o @ g t d i . p e
Gracias por su atenciónCarlos A. Horna Vallejos
carlos@gtdi.pe@the_ska
h t t p : / / w w w . g t d i . p e - i n f o @ g t d i . p e