Iso Iec 27032 2023
Iso Iec 27032 2023
Iso Iec 27032 2023
INTERNACIONAL ISO/CEI
ESTÁNDAR 27032
Segunda edicion
202306
Número de referencia
ISO/IEC 27032:2023(E)
©ISO/CEI 2023
Machine Translated by Google
ISO/IEC 27032:2023(E)
©ISO/CEI 2023
Reservados todos los derechos. A menos que se especifique lo contrario o se requiera en el contexto de su implementación, ninguna parte de esta publicación puede
reproducirse o utilizarse de otra manera de ninguna forma o por ningún medio, electrónico o mecánico, incluida la fotocopia, o la publicación en Internet o una intranet,
sin previa autorización. permiso escrito. El permiso se puede solicitar a ISO en la dirección que figura a continuación o al organismo miembro de ISO en el país del
solicitante.
Oficina de derechos de autor ISO
CP 401 • Cap. de Blandonnet 8
CH1214 Vernier, Ginebra
Teléfono: +41 22 749 01 11
Correo electrónico: [email protected]
Sitio web: www.iso.org
Publicado en Suiza
ISO/IEC 27032:2023(E)
Contenido Página
8.2
VISTA PREVIA DEL ESTÁNDAR iTeh
8.1 Generalidades................................................ ................................................. ................................................. ................................................. ..11
Amenazas ................................................ ................................................. ................................................. ................................................. 11
8.3 Vulnerabilidades................................................ ................................................. ................................................. ................................12
(estándares.iteh.ai)
8.4 Vectores de ataque ................................................ ................................................. ................................................. ................................12
ISO/IEC 27032:2023(E)
Prefacio
ISO (la Organización Internacional de Normalización) e IEC (la Comisión Electrotécnica Internacional) forman el sistema especializado
para la normalización mundial. Los organismos nacionales que son miembros de ISO o IEC participan en el desarrollo de normas
internacionales a través de comités técnicos establecidos por la organización respectiva para abordar campos particulares de actividad
técnica. Los comités técnicos de ISO e IEC colaboran en campos de interés mutuo. También participan en el trabajo otras
organizaciones internacionales, gubernamentales y no gubernamentales, en colaboración con ISO e IEC.
Los procedimientos utilizados para desarrollar este documento y aquellos destinados a su mantenimiento posterior se describen en las
Directivas ISO/IEC, Parte 1. En particular, se deben tener en cuenta los diferentes criterios de aprobación necesarios para los diferentes
tipos de documento. Este documento fue redactado de acuerdo con las reglas editoriales de las Directivas ISO/IEC, Parte 2 (ver
www.iso.org/directives o www.iec.ch/members_experts/refdocs).
ISO e IEC llaman la atención sobre la posibilidad de que la implementación de este documento pueda implicar el uso de (una)
patente(s). ISO e IEC no adoptan ninguna posición con respecto a la evidencia, validez o aplicabilidad de cualquier derecho de patente
reivindicado con respecto a los mismos. A la fecha de publicación de este documento, ISO e IEC no habían recibido notificación de
(una) patente(s) que puedan ser necesarias para implementar este documento. Sin embargo, se advierte a los implementadores que
esto puede no representar la información más reciente, que puede obtenerse de la base de datos de patentes disponible en www.iso.org/
patents y https://patents.iec.ch. ISO e IEC no serán responsables de identificar cualquiera o todos estos derechos de patente.
(estándares.iteh.ai)
Para obtener una explicación de la naturaleza voluntaria de las normas, el significado de los términos y expresiones específicos de ISO
relacionados con la evaluación de la conformidad, así como información sobre la adhesión de ISO a los principios de la Organización
Mundial del Comercio (OMC) en las Obstáculos Técnicos al Comercio (OTC), consulte ISO. /CEI 27032:2023
www.iso.org/iso/foreword.html. En IEC, consulte www.iec.ch/understandingstandards.
https://standards.iteh.ai/catalog/standards/sist/
2d12469a69be436588bb05df3b0212db/isoiec270322023
Este documento fue preparado por el Comité Técnico Conjunto ISO/IEC JTC 1, Tecnología de la información, Subcomité SC 27,
Seguridad de la información, ciberseguridad y protección de la privacidad.
Esta segunda edición anula y reemplaza la primera edición (ISO/IEC 27032:2012) que ha sido revisada técnicamente.
— se ha modificado el título;
— se ha cambiado el enfoque de evaluación y tratamiento de riesgos, con la adición de contenido sobre amenazas, vulnerabilidades y
vectores de ataque para identificar y gestionar los riesgos de seguridad en Internet;
— se ha agregado al Anexo A una correspondencia entre los controles para la seguridad de Internet citados en 9.2 y los controles
contenidos en ISO/IEC 27002.
Cualquier comentario o pregunta sobre este documento debe dirigirse al organismo de normalización nacional del usuario. Puede
encontrar una lista completa de estos organismos en www.iso.org/members.html y www.iec.ch/nationalcommittees.
ISO/IEC 27032:2023(E)
Introducción
El objetivo de este documento es abordar los problemas de seguridad de Internet y proporcionar orientación para abordar las
amenazas comunes a la seguridad de Internet, como:
— ataques a la privacidad;
hackear; y
La orientación contenida en este documento proporciona controles técnicos y no técnicos para abordar los
Riesgos de seguridad en Internet, incluidos controles para:
— prevenir ataques;
— políticas;
métodos;
— procesos; y
Dado el alcance de este documento, los controles previstos son necesariamente de alto nivel. En el documento se hace
referencia a las normas y directrices de especificaciones técnicas detalladas aplicables a cada área para obtener más
orientación. Consulte el Anexo A para conocer la correspondencia entre los controles citados en este documento y los de ISO/
IEC 27002.
Este documento no aborda específicamente los controles que las organizaciones pueden requerir para los sistemas que
respaldan la infraestructura crítica o la seguridad nacional. Sin embargo, la mayoría de los controles mencionados en este
documento se pueden aplicar a dichos sistemas.
Este documento utiliza conceptos existentes de ISO/IEC 27002, la serie ISO/IEC 27033, ISO/IEC TS 27100 e ISO/IEC 27701,
para ilustrar:
— orientación detallada sobre los controles de seguridad de Internet citados en 9.2, que aborda la preparación en materia de seguridad cibernética para
Sistemas orientados a Internet.
ISO/IEC 27032:2023(E)
Como se menciona en ISO/IEC TS 27100, Internet es una red global, utilizada por las organizaciones para todas
las comunicaciones, tanto digitales como de voz. Dado que algunos usuarios dirigen ataques hacia estas redes, es
fundamental abordar los riesgos de seguridad relevantes.
1 Alcance
Este documento proporciona:
— una explicación de la relación entre la seguridad de Internet, la seguridad web, la seguridad de la red y
la seguridad cibernética;
2 Referencias normativas
Los siguientes documentos se mencionan en el texto de tal manera que parte o todo su contenido constituye requisitos de
VISTA PREVIA DEL ESTÁNDAR iTeh
este documento. Para las referencias con fecha, sólo se aplica la edición citada. Para referencias sin fecha, se aplica la
última edición del documento de referencia (incluidas las modificaciones).
(estándares.iteh.ai)
ISO/IEC 27000, Tecnología de la información. Técnicas de seguridad. Sistemas de gestión de seguridad de la información.
Visión general y vocabulario.
ISO/CEI 27032:2023
3Términos https://standards.iteh.ai/catalog/standards/sist/
y definiciones
2d12469a69be436588bb05df3b0212db/isoiec270322023
Para los fines de este documento, se aplican los términos y definiciones proporcionados en ISO/IEC 27000 y lo siguiente.
ISO e IEC mantienen bases de datos terminológicas para su uso en la estandarización en las siguientes direcciones:
3.2
agresor
Persona que explota deliberadamente vulnerabilidades en los controles de seguridad técnicos y no técnicos para robar o
comprometer sistemas y redes de información, o para comprometer la disponibilidad para los usuarios legítimos de los
recursos del sistema de información y de la red.
ISO/IEC 27032:2023(E)
3.3
ataque combinado
que busca maximizar la gravedad del daño y la velocidad de contagio combinando múltiples vectores de ataque (3.1)
3.4
Nota 1 a la entrada: Esta palabra se usa a menudo para describir programas, generalmente ejecutados en un servidor, que automatizan tareas
como reenviar u ordenar el correo electrónico.
Nota 2 a la entrada: Un bot también se describe como un programa que opera como agente para un usuario u otro programa o simula una actividad
humana. En Internet, los bots más omnipresentes son los programas, también llamados arañas o rastreadores, que acceden a sitios web y recopilan
su contenido para los índices de los motores de búsqueda.
3.5
colección
de botnets maliciosos controlados remotamente que se ejecutan de forma autónoma o automática en computadoras
comprometidas
EJEMPLO Nodos distribuidos de denegación de servicio (DDoS), donde el controlador de la botnet puede dirigir la computadora del usuario para
generar tráfico a un sitio de terceros como parte de un ataque DDoS coordinado.
3.6
Ciberseguridad:
VISTA PREVIA DEL ESTÁNDAR iTeh
salvaguardia de las personas, la sociedad, las organizaciones y las naciones frente a los riesgos cibernéticos
(estándares.iteh.ai)
Nota 1 a la entrada: Salvaguardar significa mantener el riesgo cibernético en un nivel tolerable.
3.8
software engañoso que
realiza actividades en la computadora de un usuario sin notificar primero al usuario exactamente qué hará el software en la
computadora, o sin pedirle consentimiento para estas acciones
EJEMPLO 2 Un programa que genera anuncios emergentes interminables que el usuario no puede detener fácilmente.
3.9
hackear
acceder intencionalmente a un sistema informático sin la autorización del usuario o del propietario
3.10
hacktivismo
piratería (3.9) con un propósito motivado política o socialmente
3.11Internet
sistema global de redes interconectadas en el dominio público
ISO/IEC 27032:2023(E)
3.12
Seguridad de Internet
preservación de la confidencialidad, integridad y disponibilidad de la información a través de Internet (3.11)
Nota 1 a la entrada: Además, también pueden estar involucradas otras propiedades, como autenticidad, responsabilidad, no repudio y
confiabilidad.
Nota 2 a la entrada: Consulte las definiciones de confidencialidad, integridad, disponibilidad, autenticidad, responsabilidad, no repudio y
confiabilidad en ISO/IEC 27000:2018, Cláusula 3.
3.13
proveedor de servicios de Internet
ISP
Organización que proporciona servicios de Internet a un usuario y permite a sus clientes acceder a Internet.
(3.11)
3.14
contenido malicioso
Aplicaciones, documentos, archivos, datos u otros recursos que tienen características o capacidades maliciosas incrustadas,
disfrazadas u ocultas.
3.15
malware
software malicioso
VISTA PREVIA DEL ESTÁNDAR iTeh
Software diseñado con intenciones maliciosas que contiene características o capacidades que potencialmente pueden causar
daño directa o indirectamente al usuario y/o al sistema informático del usuario.
Nota 2 a la entrada: En general, un gobierno también es una organización. En el contexto de este documento, los gobiernos pueden
considerarse por separado de otras organizaciones para mayor claridad.
[FUENTE: ISO 9000:2015, 3.2.1, modificada — La Nota 1 a la entrada y la Nota 2 a la entrada han sido reemplazadas.]
3.17
suplantación de identidad
proceso fraudulento de intentar adquirir información privada o confidencial haciéndose pasar por una entidad confiable en una
comunicación electrónica
Nota 1 a la entrada: El phishing se puede lograr mediante ingeniería social o engaño técnico.
3.18
software potencialmente no deseado
Software engañoso (3.8), incluido software malicioso (3.15) y no malicioso, que presenta las características de software engañoso.
3.19
correo basura
Correos electrónicos no solicitados que pueden contener contenido malicioso y/o mensajes fraudulentos.
Nota 1 a la entrada: Si bien la forma más reconocida de spam es el spam de correo electrónico, el término se aplica a abusos similares en
otros medios: spam de mensajería instantánea, spam de grupos de noticias de Usenet, spam de motores de búsqueda web, spam en
blogs, spam de wikis, Spam de mensajes de teléfonos móviles, spam de foros de Internet y transmisiones de fax no deseado.
ISO/IEC 27032:2023(E)
3.20
software espía
Software engañoso (3.8), que recopila información privada o confidencial de un usuario de computadora.
Nota 1 a la entrada: La información puede incluir asuntos como los sitios web visitados con mayor frecuencia o información más confidencial,
como contraseñas.
3.21
amenaza
Causa potencial de un incidente no deseado, que puede resultar en daño a un sistema, individuo u organización.
(3.16)
3.22
troyano
malware (3.15) que parece realizar una función deseable para el usuario pero que lo engaña sobre su verdadera intención
3.23
vistiendo
phishing de voz realizado para adquirir información privada o confidencial haciéndose pasar por una entidad confiable
Nota 1 a la entrada: El vishing se puede realizar mediante correo electrónico de voz, VoIP (voz sobre IP) o teléfono fijo o celular.
4 términos abreviados
En este documento se utilizan los siguientes términos abreviados.
AI inteligencia artificial
CERTIFICADO
equipo de respuesta a emergencias informáticas
ISO/IEC 27032:2023(E)
identificación
sistema de detección de intrusos
IP Protocolo de Internet
ISV
(estándares.iteh.ai)
proveedor de software independiente
ISO/IEC 27032:2023(E)
(estándares.iteh.ai)
Internet es un sistema global de redes digitales interconectadas de dominio público. El intercambio de información en Internet
también utiliza la red de telefonía móvil, que por tanto forma parte de Internet. Esta red global conecta miles de millones de
ISO/CEI 27032:2023
servidores, computadoras y otros dispositivos de hardware. Cada dispositivo está conectado con cualquier otro dispositivo a través
https://standards.iteh.ai/catalog/standards/sist/
de su conexión a Internet. Internet crea un entorno propicio para compartir información.
2d12469a69be436588bb05df3b0212db/isoiec270322023
La seguridad de Internet se ocupa de proteger los servicios relacionados con Internet y los sistemas y redes de TIC relacionados
como una extensión de la seguridad de la red. Estos esfuerzos tienen como objetivo reducir los riesgos de seguridad relacionados
con Internet para las organizaciones, los clientes y otras partes interesadas relevantes.
La seguridad de Internet también garantiza la disponibilidad y confiabilidad de los servicios de Internet. A través de Internet se
ofrecen diversos servicios, como servicios de transferencia de archivos, servicios de correo o cualquier servicio que pueda
compartirse públicamente con los usuarios finales. En este contexto, la seguridad en Internet se ocupa de la prestación segura de
estos servicios a través de la red pública.
La web es una de las formas en que se comparte información en Internet [otras incluyen el correo electrónico, el protocolo de
transferencia de archivos (FTP) y los servicios de mensajería instantánea]. La web está compuesta por miles de millones de
documentos digitales conectados que se pueden ver mediante un navegador web. Un sitio web es un conjunto de páginas web
relacionadas que se preparan y mantienen como una colección para respaldar un único propósito.
La seguridad web se ocupa de la seguridad de la información en el contexto de la World Wide Web (WWW) y de los servicios web
a los que se accede a través de la red pública. El servicio web se habilita mediante el uso del protocolo HTTP en el que se puede
acceder a cualquier URL registrada disponible públicamente. La seguridad web también se ocupa de la seguridad de esta conexión
HTTP utilizada para el intercambio de información.
Una red puede incluir componentes como enrutadores, concentradores, cableado, controladores de telecomunicaciones, centros
de distribución clave y dispositivos de control técnico. La seguridad de la red cubre ampliamente todo tipo de redes que existen
dentro de una organización, desde redes de área local, redes de área amplia, redes de área personal y redes inalámbricas.