Les organisations sont confrontées à de multiples défis en matière de cybersécurité, tels que les cyberattaques et les failles de sécurité continues qui compromettent l’intégrité, la confidentialité et la disponibilité de leurs actifs numériques. Par conséquent, il est crucial que les organisations adoptent une attitude proactive et vigilante pour assurer la continuité et la sécurité de leurs opérations dans le cyberespace. C’est ainsi qu’intervient la norme ISO 27032:2023 Cybersécurité – Lignes directrices pour la sécurité Internet et sa mise à jour sera abordée dans cet article.
Défis de la cybersécurité : un guide sur la sécurité numérique
Dans le contexte actuel, où la sécurité numérique est une priorité fondamentale, la norme ISO 27032:2023 Cybersécurité – Lignes directrices pour la sécurité sur Internet est impliquée, qui se distingue comme un guide pour relever les défis dans ce domaine. Cette norme se concentre sur la relation entre la sécurité Internet, la sécurité Web, la sécurité réseau et la cybersécurité en général.
Qu’est-ce que la norme ISO 27032:2023 ?
La nouvelle version de cette norme, qui succède à la dernière mise à jour effectuée il y a 12 ans, élargit les termes et principes liés à la cybersécurité et à la sécurité sur Internet. De la définition des rôles et responsabilités à la gestion des risques et à l’intervention en cas de cyberincidents. Le règlement souligne l’importance de la collaboration entre toutes les parties concernées. En outre, la nécessité d’aligner les pratiques de sécurité sur les dernières tendances et les technologies émergentes, telles que l’intelligence artificielle (IA) et l’Internet des objets (IoT), est soulignée.
La norme favorise l’adoption et la mise en œuvre de technologies avancées, d’outils de sécurité et de politiques efficaces, le tout soutenu par une approche proactive de la formation et de la sensibilisation du personnel. Ensemble, ces mesures et contrôles aident les organisations à renforcer leurs défenses et à être mieux préparées à protéger leurs actifs numériques.
ISO 27032:2023 Domaines d’intérêt
- Problèmes de sécurité sur Internet :
• Traite les attaques d’ingénierie sociale.
• Atténuation des attaques zero-day.
• Protégez-vous contre les atteintes à la vie privée.
• Lutter contre le piratage et la prolifération des logiciels malveillants. - Contrôles:
• Préparation aux attaques.
• Prévention des attaques.
• Détection et surveillance des attaques.
• Réponse aux attaques. - Bonnes pratiques :
• Mettre en œuvre de bonnes pratiques de sécurité sur Internet pour améliorer la résilience et l’efficacité au sein des organisations.
Mappage entre les contrôles pour la sécurité Internet
La norme a été restructurée, afin d’améliorer sa compression, y compris une correspondance entre les contrôles ISO 27032:2023 et ISO/IEC 27002:2022 qui est présentée ci-dessous dans le tableau ci-dessous :
| ISO/IEC 27032:2023 | ISOI/IEC 27002:2022 |
|---|---|
| 9.2.2 Políticas de seguridad en Internet | 5.1 Políticas de seguridad de la información 5.4 Responsabilidades de gestión |
| 9.2.3 Control de acceso | 5.15 Control de acceso 5.16 Gestión de identidad 5.18 Derechos de acceso 8.2 Derechos de acceso privilegiado 8.18 Uso de programas de utilidad privilegiados |
| 9.2.4 Educación, sensibilización y formación | 6.3 Concientización, educación y capacitación sobre seguridad de la información |
| 9.2.5 Gestión de incidentes de seguridad | 5.7 Inteligencia sobre amenazas 5.24 Planificación y preparación de la gestión de incidentes de seguridad de la información 5.25 Evaluación y decisión sobre eventos de seguridad de la información 5.26 Respuesta a incidentes de seguridad de la información 5.27 Aprender de los incidentes de seguridad de la información 5.28 Recolección de pruebas 6.8 Notificación de eventos de seguridad de la información |
| 9.2.6 Gestión de activos | 5.9 Inventario de información y otros activos asociados 5.10 Uso aceptable de la información y otros activos asociados 5.11 Devolución de activos 5.12 Clasificación de la información |
| 9.2.7 Gestión de proveedores | 5.19 Seguridad de la información en las relaciones con proveedores 5.20 Abordar la seguridad de la información en los acuerdos con proveedores 5.21 Gestión de la seguridad de la información en la cadena de suministro de TIC 5.22 Seguimiento, revisión y gestión de cambios de los servicios de proveedores 5.23 Seguridad de la información para el uso de servicios en la nube |
| 9.2.8 Continuidad del negocio a través de Internet | 5.29 Seguridad de la información durante la interrupción 5.30 Preparación de las TIC para la continuidad del negocio 8.13 Copia de seguridad de la información 8.14 Redundancia de las instalaciones de procesamiento de información |
| 9.2.9 Protección de la privacidad en Internet | 5.34 Privacidad y protección de la PII 8.11 Enmascaramiento de datos |
| 9.2.10 Gestión de vulnerabilidades | 8.8 Gestión de vulnerabilidades técnicas 8.9 Gestión de configuración 8.19 Instalación de software en sistemas operativos |
| 9.2.11 Gestión de red | 8.16 Actividades de seguimiento 8.20 Seguridad de redes 8.21 Seguridad de los servicios de red 8.22 Segregación de redes |
| 9.2.12 Protección contra malware | 8.7 Protección contra malware |
| 9.2.13 Gestión de cambios | 8.32 Gestión de cambios |
| 9.2.14 Identificación de la legislación aplicable y requisitos de cumplimiento | 5.28 Recolección de pruebas 5.31 Requisitos legales, estatutarios, reglamentarios y contractuales 5.33 Protección de registros |
| 9.2.15 Uso de criptografía | 8.24 Uso de criptografía |
| 9.2.16 Seguridad de aplicaciones para Internet | 8.23 Filtrado web 8.24 Uso de criptografía 8.25 Ciclo de vida de desarrollo seguro 8.26 Requisitos de seguridad de la aplicación 8.27 Principios de ingeniería y arquitectura de sistemas seguros 8.28 Codificación segura 8.29 Pruebas de seguridad en desarrollo y aceptación. |
| 9.2.17 Gestión de dispositivos terminales | 8.1 Dispositivos terminales de usuario 8.9 Gestión de configuración |
| 9.2.18 Monitoreo | 8.15 Registro 8.16 Actividades de seguimiento |
En conclusion, ISO 27032:2023 joue un rôle fondamental dans le renforcement de la sécurité sur Internet, en fournissant des lignes directrices claires et actualisées, ce qui en fait un outil inestimable pour les organisations.
