ISO 27032, el estándar enfocado en ciberseguridad

Por María Camila Arévalo J., el 20 de diciembre, 2019

iso_27032_estandares_de_ciber_seguridad

La Organización Internacional de Normalización ISO creó el estándar 27032 enfocado en ciberseguridad, teniendo en cuenta que este es uno de los mayores riesgos a los que se enfrentan las empresas en la actualidad.

Con este estándar se pretende garantizar y velar por la seguridad de la información durante los intercambios, para evitar hackeos, sabotajes o alteraciones que puedan ponerla en riesgo.

Aunque existe la ISO 27001 la cual está enfocada en seguridad de la información, la Organización Internacional de Normalización decidió crear un principio enfocado en ciberseguridad para darle mayores garantías a las organizaciones.

La ISO 27032  ofrece el uso de buenas prácticas en materia de seguridad de la información. Además, brinda herramientas para gestionarla dentro de una organización, permite contar con procesos de protección de operaciones y de las actividades que se realicen en línea, de los softwares que se utilicen, manejo de datos, servicios, capacitar al personal que va estar a cargo del manejo de estas herramientas. 

"El ciberespacio es un entorno complejo que consta de interacciones entre personas, software y servicios destinados a la distribución mundial de información y comunicación". Se trata de un contexto muy grande en el que "la colaboración es esencial para garantizar un entorno seguro", aseguró la ISO al momento de presentar este estándar.

Esta normativa se creó con dos fines: cubrir aspectos de ciberseguridad que no se habían tocado en versiones anteriores y promover la cooperación entre agentes como CSF, CyberSecurity Framework y Marco de Ciberseguridad.

Por otro lado se encuentra enfocado en cuatro ejes:

  1. 1. Seguridad de la información.
  2. 2. Seguridad de las redes.
  3. 3. Seguridad en Internet.
  4. 4. Protección de infraestructuras críticas para la información.

¿Qué incluye?

  • Tecnologías en las que se puede implementar.
  • Herramientas de seguridad.
  • Buenas prácticas.
  • Políticas.
  • Seguridad de los activos digitales.
  • Entrenamiento.
  • Gestión de riesgos.
  • Conceptos de seguridad.
  • Guías y estándares.

Objetivos

  • Ofrecer seguridad a todo el ciberespacio de la empresa.
  • Tener un plan de acción en caso de que se llegue a presentar una crisis.
  • Planificar la resolución de incidentes.
  • Brindar capacitaciones a los miembros de la organización en todo lo relacionado a ciberseguridad y sus riesgos.
  • Crear alertas que permitan identificar alguna amenaza que pueda poner en peligro los activos de la empresa.
  • Contar con una estrategia para combatir los riesgos que se puedan presentar o que se lleguen a materializar.
  • Identificar los riesgos que se puedan presentar en este aspecto.

Controles

Aplicaciones

  • Validación, códigos y cookies.
  • Sesiones, scripts, políticas y autenticación.

Personas

  • Campaña de seguridad.
  • Capacitación constante.

Servidores

  • Peches, backups, monitoreo, testing.
  • Estándares de instalación y configuración. 

Usuarios

  • Capacitación continúa, IPS personal y firewall.
  • Correos, seguridad web y antivirus.

Recomendaciones

  • Capacitaciones continuas a toda la organización para que estén atentos y sepan cómo actuar en caso de una eventualidad.
  • Seguir las buenas prácticas de la ISO 27032.
  • Revisión y monitoreo de la estrategia implementada para verificar si los controles que se están llevando a cabo son eficientes.
  • Contar con un programa de protección de datos e información. 

Descargue el eBook gratuito sobre seguridad de la información de acuerdo a ISO 27001

Comentarios