Las organizaciones se enfrentan a múltiples desafíos de ciberseguridad, como ciberataques y brechas de seguridad continuas que comprometen la integridad, confidencialidad y disponibilidad de sus activos digitales. Por tanto, resulta crucial que las organizaciones adopten una actitud proactiva y vigilante para garantizar la continuidad y seguridad de sus operaciones en el ciberespacio. De esta manera interviene la norma ISO 27032:2023 Ciberseguridad– Directrices para la seguridad de Internet y se abordará su actualización en este artículo.
Desafíos de la ciberseguridad: Guía para la Seguridad Digital
En el contexto actual, donde la seguridad digital es una prioridad fundamental, interviene la norma ISO 27032:2023 Ciberseguridad– Directrices para la seguridad de Internet, que se destaca como una guía para abordar los desafíos en este ámbito. Esta norma se centra en la relación entre la seguridad en Internet, la seguridad web, la seguridad de redes y la ciberseguridad en general.
¿Qué es la norma ISO 27032:2023?
La nueva versión de esta norma, sucesora de la última actualización realizada hace 12 años, amplía los términos y principios relacionados con la ciberseguridad y seguridad en Internet. Desde la definición de roles y responsabilidades hasta la gestión de riesgos y la respuesta a incidentes cibernéticos. La norma destaca la importancia de la colaboración entre todas las partes involucradas. Además, se hace hincapié en la necesidad de alinear las prácticas de seguridad con las últimas tendencias y tecnologías emergentes, como la inteligencia artificial (IA) y el Internet de las cosas (IoT).
La norma promueve la adopción e implementación de tecnologías avanzadas, herramientas de seguridad y políticas efectivas, todo ello respaldado por un enfoque proactivo en la formación y concienciación del personal. En conjunto, estas medidas y controles ayudan a las organizaciones a fortalecer sus defensas y a estar mejor preparadas para proteger sus activos digitales.
Áreas de enfoque de la norma ISO 27032:2023
- Problemas de Seguridad en Internet:
• Aborda ataques de ingeniería social.
• Mitigación de ataques de día cero.
• Proteger contra violaciones de privacidad.
• Combatir el hacking y la proliferación de malware. - Controles:
• Preparación para ataques.
• Prevención de ataques.
• Detección y monitoreo de ataques.
• Respuesta a ataques. - Buenas Prácticas:
• Implementar buenas prácticas de seguridad de Internet para mejorar la resiliencia y eficacia dentro las organizaciones.
Mapeo entre controles para seguridad en Internet
La norma se ha reestructurado, para mejorar su compresión, incluyendo un mapeo entre los controles de la ISO 27032:2023 e ISO/IEC 27002:2022 que se presenta a continuación en la siguiente tabla:
| ISO/IEC 27032:2023 | ISOI/IEC 27002:2022 |
|---|---|
| 9.2.2 Políticas de seguridad en Internet | 5.1 Políticas de seguridad de la información 5.4 Responsabilidades de gestión |
| 9.2.3 Control de acceso | 5.15 Control de acceso 5.16 Gestión de identidad 5.18 Derechos de acceso 8.2 Derechos de acceso privilegiado 8.18 Uso de programas de utilidad privilegiados |
| 9.2.4 Educación, sensibilización y formación | 6.3 Concientización, educación y capacitación sobre seguridad de la información |
| 9.2.5 Gestión de incidentes de seguridad | 5.7 Inteligencia sobre amenazas 5.24 Planificación y preparación de la gestión de incidentes de seguridad de la información 5.25 Evaluación y decisión sobre eventos de seguridad de la información 5.26 Respuesta a incidentes de seguridad de la información 5.27 Aprender de los incidentes de seguridad de la información 5.28 Recolección de pruebas 6.8 Notificación de eventos de seguridad de la información |
| 9.2.6 Gestión de activos | 5.9 Inventario de información y otros activos asociados 5.10 Uso aceptable de la información y otros activos asociados 5.11 Devolución de activos 5.12 Clasificación de la información |
| 9.2.7 Gestión de proveedores | 5.19 Seguridad de la información en las relaciones con proveedores 5.20 Abordar la seguridad de la información en los acuerdos con proveedores 5.21 Gestión de la seguridad de la información en la cadena de suministro de TIC 5.22 Seguimiento, revisión y gestión de cambios de los servicios de proveedores 5.23 Seguridad de la información para el uso de servicios en la nube |
| 9.2.8 Continuidad del negocio a través de Internet | 5.29 Seguridad de la información durante la interrupción 5.30 Preparación de las TIC para la continuidad del negocio 8.13 Copia de seguridad de la información 8.14 Redundancia de las instalaciones de procesamiento de información |
| 9.2.9 Protección de la privacidad en Internet | 5.34 Privacidad y protección de la PII 8.11 Enmascaramiento de datos |
| 9.2.10 Gestión de vulnerabilidades | 8.8 Gestión de vulnerabilidades técnicas 8.9 Gestión de configuración 8.19 Instalación de software en sistemas operativos |
| 9.2.11 Gestión de red | 8.16 Actividades de seguimiento 8.20 Seguridad de redes 8.21 Seguridad de los servicios de red 8.22 Segregación de redes |
| 9.2.12 Protección contra malware | 8.7 Protección contra malware |
| 9.2.13 Gestión de cambios | 8.32 Gestión de cambios |
| 9.2.14 Identificación de la legislación aplicable y requisitos de cumplimiento | 5.28 Recolección de pruebas 5.31 Requisitos legales, estatutarios, reglamentarios y contractuales 5.33 Protección de registros |
| 9.2.15 Uso de criptografía | 8.24 Uso de criptografía |
| 9.2.16 Seguridad de aplicaciones para Internet | 8.23 Filtrado web 8.24 Uso de criptografía 8.25 Ciclo de vida de desarrollo seguro 8.26 Requisitos de seguridad de la aplicación 8.27 Principios de ingeniería y arquitectura de sistemas seguros 8.28 Codificación segura 8.29 Pruebas de seguridad en desarrollo y aceptación. |
| 9.2.17 Gestión de dispositivos terminales | 8.1 Dispositivos terminales de usuario 8.9 Gestión de configuración |
| 9.2.18 Monitoreo | 8.15 Registro 8.16 Actividades de seguimiento |
En conclusión, la norma ISO 27032:2023 desempeña un papel fundamental en el fortalecimiento de la seguridad en internet, proporcionando directrices claras y actualizadas, por ello se convierte en una herramienta invaluable para las organizaciones.
