Você está na página 1de 10

Quito – Ecuador

NORMA NTE INEN-ISO/IEC 27032


TÉCNICA Tercera edición

ECUATORIANA

TECNOLOGÍA DE LA INFORMACIÓN – TÉCNICAS DE


SEGURIDAD – DIRECTRICES PARA CIBERSEGURIDAD (ISO/IEC
27032:2012, IDT)

INFORMATION TECHNOLOGY — SECURITY TECHNIQUES — GUIDELINES


FORCYBERSECURITY (ISO/IEC27032:2012, IDT)

_____________________________________

Correspondencia:

Esta Norma Técnica Ecuatoriana es una traducción idéntica de la norma internacional ISO
27032:2012

DESCRIPTORES:Tecnología, información, técnicas , seguridad, guías , ciberseguridad, directrices 54


ICS:35.040 Páginas

© ISO/IEC2012− Todos los derechos reservados


© INEN 2014
NTE INEN-ISO/IEC 27032

Prólogo nacional

Esta Norma Técnica Ecuatoriana NTE INEN-ISO/IEC 27032, es una traducción idéntica de la
norma nacional ISO/IEC 27032:2012 “Information technology — Security techniques — Guidelines
for cybersecurity”, El Ministerio de Telecomunicaciones y sociedad de la Información MINTEL, es
el responsable de la traducción de esta Norma Técnica Ecuatoriana, y de su adopción es el
Comité Técnico de Normalización.

Para el propósito de esta Norma Técnica Ecuatoriana se han hecho los siguientes cambios
editoriales:

a) Las palabras “esta Norma Internacional” han sido reemplazadas por “esta norma
nacional”.

Para el propósito de esta Norma Técnica Ecuatoriana se enlista el documento normativo


internacional que se referencia en la Norma Internacional ISO/IEC 27032:2012 y el documento
normativo nacional correspondiente:

Documento Normativo Internacional Documento Normativo Nacional


ISO/IEC 27000, Information technology — NTE INEN-ISO/IEC 27000, Tecnología de la
Security techniques —Information security información — Técnicas de seguridad —
management systems — Overview and Sistema de gestión de seguridad de la
vocabulary información — Descripción general y
vocabulario

© ISO/IEC 2012− Todos los derechos reservados


© INEN 2014.
2014-xxx ii
NTE INEN-ISO/IEC 27032

Índice Página

Prólogo nacional .............................................................................................................................. ii


Prólogo .............................................................................................................................................. v
Introducción ..................................................................................................................................... vi
1. Objeto y campo de aplicación ............................................................................................. 1
2. Aplicabilidad.......................................................................................................................... 1
2.1 Audiencia .............................................................................................................................. 1
2.2 Limitaciones ......................................................................................................................... 1
3. Referencias Normativas ....................................................................................................... 2
4. Términos y definiciones ....................................................................................................... 2
1. Abreviaciones ....................................................................................................................... 8
5. Generalidades ....................................................................................................................... 9
6.1 Introducción .......................................................................................................................... 9
6.2 La naturaleza del Ciberespacio ........................................................................................ 10
6.3 La naturaleza de la Ciberseguridad .................................................................................. 10
6.4 Modelo general ................................................................................................................... 12
6.4.1 Introducción ........................................................................................................................ 12
6.4.2 Contexto general de la seguridad ..................................................................................... 12
6.5 Enfoque ................................................................................................................................ 14
6. Partes interesadas dentro del Ciberespacio..................................................................... 14
7.1 Generalidades ...................................................................................................................... 14
7.2 Consumidores ..................................................................................................................... 15
7.3 Proveedores ......................................................................................................................... 15
7. Activos en el Ciberespacio ................................................................................................. 15
8.1 Generalidades ...................................................................................................................... 15
8.2 Activos personales ............................................................................................................. 16
8.3 Activos organizacionales ................................................................................................... 16
8. Amenazas contra la seguridad en el Ciberespacio .......................................................... 17
9.1 Amenazas ............................................................................................................................. 17
9.2 Los agentes de amenazas .................................................................................................. 18
9.3 Vulnerabilidades .................................................................................................................. 18
9.4 Mecanismos de ataque ........................................................................................................ 19
9. Roles de las partes interesadas en la Ciberseguridad ..................................................... 21
10.1 Generalidades ....................................................................................................................... 21
10.2 Funciones de los consumidores ........................................................................................ 21
10.3 Funciones de los proveedores ........................................................................................... 23
10. Directrices para las partes interesadas ............................................................................. 23
11.1 Generalidades ....................................................................................................................... 23
11.2 Evaluación y tratamiento de riesgos .................................................................................. 24
11.3 Directrices para los consumidores .................................................................................... 25
11.4 Directrices para las organizaciones y proveedores de servicios ................................... 26
11. Controles de Ciberseguridad .............................................................................................. 31
12.1 Generalidades ....................................................................................................................... 31
12.2 Los controles a nivel de aplicación .................................................................................... 31
12.3 Protección del servidor ....................................................................................................... 31
12.4 Controles del usuario final .................................................................................................. 32
12.5 Controles contra ataques de ingeniería social ................................................................. 33
12.6 Disposición de la Ciberseguridad ...................................................................................... 36

© ISO/IEC 2012− Todos los derechos reservados


© INEN 2014.
2014-xxx iii
NTE INEN-ISO/IEC 27032

12.7 Otros controles ..................................................................................................................... 36


12. Marco de intercambio y coordinación de la información ................................................. 37
13.1 Generalidades ....................................................................................................................... 37
13.2 Políticas ................................................................................................................................. 37
13.3 Métodos y procesos............................................................................................................. 38
13.4 Personas y organizaciones ................................................................................................. 40
13.5 Técnica .................................................................................................................................. 41
13.6 Guía para la implementación .............................................................................................. 42

Anexo A (informativa) Disponibilidad de la Ciberseguridad………………………………………. 50


Anexo B (informativa) Recursos Adicionales………………………………………………………… 55
Anexo C (informativa) Ejemplos de documentos relacionados…………………………………… 58
Bibliografia…………………………………………………………………………………………………..62

© ISO/IEC 2012− Todos los derechos reservados


© INEN 2014.
2014-xxx iv
NTE INEN-ISO/IEC 27032

Prólogo

ISO (Organización Internacional de Normalización) e IEC (Comisión Electrotécnica Internacional)


forman el sistema especializado para la normalización mundial. Los organismos nacionales
miembros de ISO o IEC participan en el desarrollo de Normas Internacionales a través de comités
técnicos establecidos por la organización respectiva, para tratar los campos particulares de la
actividad técnica. Los comités técnicos de ISO e IEC colaboran en campos de interés mutuo.
Otras organizaciones internacionales, gubernamentales y no gubernamentales, en coordinación
con ISO e IEC, también participan en el trabajo. En el campo de la tecnología de la información, la
ISO y la IEC han establecido un comité técnico conjunto ISO/IEC JTC 1.

Las Normas Internacionales son redactadas de conformidad con las reglas establecidas en las
Directivas ISO/IEC, Parte 2.

La tarea principal del comité técnico conjunto es preparar Normas Internacionales. Los proyectos
de Normas Internacionales adoptados por el Comité Técnico Conjunto se presentan a los
organismos nacionales para votación. La publicación como una norma nacional requiere la
aprobación de al menos el 75% de los organismos nacionales con derecho a voto.

Se llama la atención sobre la posibilidad de que algunos de los elementos de este documento
puedan ser objeto de derechos de patente. ISO e IEC no deben ser responsables de la
identificación de cualquiera o todos los derechos de patentes.

ISO/IEC 27032 fue preparada por el Comité Técnico ISO/IEC JTC 1, Tecnología de la Información,
Subcomité SC 27, Técnicas de Seguridad Informática.

© ISO/IEC 2012− Todos los derechos reservados


© INEN 2014.
2014-xxx v
NTE INEN-ISO/IEC 27032

Introducción

El Ciberespacio es un ambiente complejo resultante de la interacción de la gente, el software y los


servicios en el Internet que se sustentan en los aparatos físicos y las redes interconectadas de
tecnología de la información y de comunicaciones (TIC) en todo el mundo. Sin embargo, hay
cuestiones con respecto a la seguridad que no se encuentran cubiertas por las mejores prácticas
actuales sobre la seguridad de la información, seguridad del internet, seguridad de redes y
seguridad de la tecnología de la información de las comunicaciones (TIC), así como hay vacíos
entre estos aspectos, como también una falta de comunicación entre las organizaciones y
proveedores en el Ciberespacio. Esto se debe a que los aparatos y redes interconectadas que se
sustentan en el Ciberespacio tienen propietarios múltiples, cada uno con su negocio propio y
preocupaciones propias tanto operativas como reguladoras. El diferente enfoque dado por cada
organización y proveedor en el Ciberespacio en relación a los aspectos de seguridad donde hay
poca o ninguna entrada proveniente de otra organización o proveedor ha ocasionado un estado
fragmentado de seguridad en el Ciberespacio.

Como tal, la primera área de enfoque de esta norma nacional es abordar la seguridad del
Ciberespacio o cuestiones de Ciberseguridad que se concentran en tender puentes entre los
diferentes vacíos del Ciberespacio. En particular, esta norma nacional proporciona una guía
técnica para abordar riesgos de Ciberseguridad comunes, tales como:

— los ataques de ingeniería social;


— el acceso secreto y no autorizado a sistemas informáticos (hacking);
— la proliferación de software malicioso (“malware”);
— el software espía (spyware), y
— otros tipos de software potencialmente no deseables.

La guía técnica proporciona controles para abordar estos riesgos, incluyendo controles para:

— prepararse para ataques de, por ejemplo, software malicioso, delincuentes aislados u
organizaciones criminales del Internet;
— detectar y monitorear ataques; y
— responder a los ataques.

La segunda área que se aborda en esta norma nacional es la colaboración, puesto que existe una
necesidad de compartir la información de manera eficiente y efectiva, y de coordinación y manejo
de incidentes entre las partes interesadas en el Ciberespacio. Esta colaboración debe hacerse de
manera segura y confiable y que también proteja la privacidad de los individuos involucrados.
Algunas de estas partes interesadas pueden residir en diferentes ubicaciones geográficas y husos
horarios, y probablemente estarán sujetas a diferentes requisitos reglamentarios. Las partes
interesadas consisten de:

— consumidores, que pueden corresponder a varios tipos de organizaciones o individuos; y


— proveedores, que incluye a los proveedores de servicios.

De esta manera, esta norma nacional proporciona un marco para

— el compartir información,
— la coordinación, y
— el manejo de incidentes.

El marco de referencia incluye

- elementos clave sobre consideraciones para establecer confianza,


- procesos necesarios para la colaboración e intercambio de información y compartirla, así
como
- requisitos técnicos para la integración de los sistemas e interoperabilidad entre las diferentes
partes interesadas.

© ISO/IEC 2012− Todos los derechos reservados


© INEN 2014.
2014-xxx vi
NTE INEN-ISO/IEC 27032

Dado el campo de aplicación de esta norma nacional, los controles provistos son necesariamente
de alto nivel. Para mayor orientación, se hacen referencia a las normas de especificaciones
técnicas detalladas y directrices aplicables a cada área dentro de esta norma nacional.

© ISO/IEC 2012− Todos los derechos reservados


© INEN 2014.
2014-xxx vii
NTE INEN-ISO/IEC 27032

Tecnología de la información – Técnicas de seguridad – Directrices para


ciberseguridad

1. Objeto y campo de aplicación

Esta norma nacional proporciona directrices para mejorar el estado de la Ciberseguridad,


destacando aspectos únicos de dicha actividad y su dependencia de otros ámbitos de seguridad,
en particular:

- la seguridad de la información,
- la seguridad de las redes,
- la seguridad del Internet, y
- la protección de la infraestructura crítica de información (PICI).

Se cubre el punto de partida en prácticas de seguridad para las partes interesadas del
Ciberespacio. Esta norma nacional proporciona:

- las generalidades de la Ciberseguridad,


- una explicación de la relación entre Ciberseguridad y otros tipos de seguridad,
- una definición de las partes interesadas y una descripción de sus roles en la
Ciberseguridad,
- una guía para abordar problemas comunes de la Ciberseguridad, y
- un marco de referencia que permite a las partes interesadas colaborar en la resolución de
problemas de Ciberseguridad.

2. Aplicabilidad

2.1 Audiencia

Esta norma nacional se aplica a proveedores de servicios en el Ciberespacio. La audiencia, sin


embargo, incluye a los consumidores que utilizan estos servicios. Si hay organizaciones que
proporcionan servicios en el Ciberespacio para que la gente los utilice desde sus hogares o en
otras organizaciones, entonces pudieran necesitar preparar una guía en base a esta norma
nacional que contenga explicaciones adicionales o ejemplos suficientes que permitan al lector
comprender y actuar en base a ello.

2.2 Limitaciones

En esta norma nacional no se incluye:

- La Ciberseguridad,
- El delito informático (cibercrimen),
- La protección de la infraestructura crítica de información (PICI),
- La seguridad en internet, y
- Los delitos relacionados con el internet.

Es reconocido que existen relaciones entre las áreas mencionadas y la Ciberseguridad. Sin
embargo, está más allá del alcance de esta norma nacional abordar estas relaciones y el compartir
los controles entre estos ámbitos.

Cabe recalcar que el concepto de delito informático, aunque mencionado, no es tratado. Esta
norma nacional no es una guía sobre la legislación relacionada a los aspectos del Ciberespacio, o
la reglamentación de la Ciberseguridad.

Las directrices de esta norma nacional se limitan a la comprensión de lo que constituye el


Ciberespacio en el Internet, incluyendo sus extremos. Sin embargo, la extensión del Ciberespacio
a otras representaciones espaciales a través de medios y plataformas de comunicación no se
abordan, tampoco los aspectos de seguridad física relacionados con ellos.

© ISO/IEC2003− Todos los derechos reservados


© INEN 2014.
2014-xxx 1 de 54
NTE INEN-ISO/IEC 27032

INFORMACIÓN COMPLEMENTARIA

Documento: TÍTULO: TECNOLOGÍA DE LA INFORMACIÓN – TÉCNICAS Código: ICS


NTE INEN- DE SEGURIDAD – DIRECTRICES PARA CIBERSEGURIDAD 35.040
ISO/IEC 27032 (ISO/IEC 27032:2012, IDT)

ORIGINAL: REVISIÓN:
Fecha de iniciación del estudio: La Subsecretaría de la Calidad del Ministerio de Industrias
y Productividad aprobó este proyecto de norma
Oficialización con el Carácter de Obligatorio
por Resolución No.
publicado en el Registro Oficial No.
Fecha de iniciación del estudio:

Fechas de consulta pública:

Comité Técnico de Normalización:


Fecha de iniciación: Fecha de aprobación:
Integrantes del comité:

NOMBRES: INSTITUCIÓN REPRESENTADA:

Ing. Dirección Ejecutiva

Ing. Dirección de Metrología

Ing. Dirección de Normalización

Ing. Dirección de Reglamentación

Ing. Dirección de Certificación y Validación

Otros trámites:

La Subsecretaría de la Calidad del Ministerio de Industrias y Productividad aprobó este proyecto de


norma

Oficializada como: Por Resolución No. Registro Oficial No.


Instituto Ecuatoriano de Normalización, INEN - Baquerizo Moreno E8-29 y Av. 6 de Diciembre
Casilla 17-01-3999 - Telfs: (593 2)2 501885 al 2 501891 - Fax: (593 2) 2 567815
Dirección General: E-Mail:direccion@inen.gob.ec
Área Técnica de Normalización: E-Mail:normalizacion@normalizacion.gob.ec
Área Técnica de Certificación: E-Mail:certificacion@normalizacion.gob.ec
Área Técnica de Verificación: E-Mail:verificacion@normalizacion.gob.ec
Área Técnica de Servicios Tecnológicos: E-Mail:inenlaboratorios@normalizacion.gob.ec
Regional Guayas: E-Mail:inenguayas@normalizacion.gob.ec
Regional Azuay: E-Mail:inencuenca@normalizacion.gob.ec
Regional Chimborazo: E-Mail:inenriobamba@normalizacion.gob.ec
URL: www.normalizacion.gob.ec

Você também pode gostar