P

Las clausulas principales en que está basada :
Cláusula 9.4: Mecanismos de ataque
10. Roles de las partes interesadas

Cláusula 6, 6.1, 6.2, 6.3
Cláusula 11
Cláusula 12
12.3 Controlar las actualizaciones de seguridad, supervisar la seguridad, Revisar la configuración
del servidor de manera periódica, ejecutar controles antimalware, analizar periódicamente el
contenido del server, realizar periódicamente revisiones de vulnerabilidad, escanear
periódicamente el server
12.4 Usuarios finales

Uso de SO soportados, uso de las ultimas aplicaciones de software actualizadas, herramientas
antimalware actualizadas, habilitar que estén bloqueadas las secuencias de comando, habilitar
filtros de pishing, aplicar características, habilidar firewall, habilitar HDS
12.5 en el círculo azul es iprotección contra ataques de Ingeniería Social)

Políticas que promuevan la concentización, la capacitación, métodos y procesos que tengan en
cuenta la incentivación para que puedadn tomar capacitaciones, a las personas y las org q puedan
tomar capacitaciones y los controles técnicos
CLÁUSULA 13.
https://www.youtube.com/watch?v=4Qoqcz9ojrw
1 Scope
2 Applicability
2.1 Audience
2.2 Limitations
3 Normative references
4 Terms and definitions
5 Abbreviated terms
6 Overview
6.1 Introduction
6.2 The nature of the Cyberspace
6.3 The nature of Cybersecurity
6.4 General model
6.5 Approach
7 Stakeholders in the Cyberspace
7.1 Overview
7.2 Consumers
7.3 Providers
8 Assets in the Cyberspace

8.1 Overview
8.2 Personal assets
8.3 Organizational assets
9 Threats against the security of the Cyberspace
9.1 Threats
9.1.1 Overview
9.1.2 Threats to personal assets
9.1.3 Threats to organizational assets
9.2 Threat agents
9.3 Vulnerabilities
9.4 Attack mechanisms
9.4.1 Introduction
9.4.2 Attacks from inside the private network
9.4.3 Attacks from Outside the Private Network (e.g. Internet)
10 Roles of stakeholders in Cybersecurity
10.1 Overview
10.2 Roles of consumers
10.2.1 Introduction
10.2.2 Roles of individuals
10.2.3 Roles of organizations
10.3 Roles of providers
11 Guidelines for stakeholders
11.1 Overview
11.2 Risk assessment and treatment
11.3 Guidelines for consumers
11.4 Guidelines for organizations and service providers
11.4.1 Overview
11.4.2 Manage information security risk in the business
11.4.3 Security requirements for hosting web and other cyber-application services
11.4.4 Security guidance for consumers
12 Cybersecurity controls
12.1 Overview
12.2 Application level controls
12.3 Server protection

12.4 End-user controls
12.5 Controls against social engineering attacks
12.5.1 Overview
12.5.2 Policies
12.5.3 Methods and processes
12.5.3.1 Categorization and classification of information
12.5.3.2 Awareness and training
12.5.3.3 Testing
12.5.4 People and organization
12.5.5 Technical
12.6 Cybersecurity readiness
12.7 Other controls
13 Framework of information sharing and coordination
13.1 General
13.1 General
13.2 Policies
13.3 Methods and processes
13.4 People and organizations
13.5 Technical
13.6 Implementation guidance
Annex A Cybersecurity readiness
A.1 Overview
A.2 Darknet monitoring
A.2.1 Introduction
A.2.2 Black hole monitoring
A.2.3 Low interaction monitoring
A.2.4 High interaction monitoring
A.3 Sinkhole operation
A.4 Traceback
Annex B Additional resources
B.1 Online security and anti-spyware references
B.2 Sample list of incident escalation contacts
Annex C Examples of related docume
Contenido norma ISO 27032
1 Alcance
2 Aplicabilidad
2.1 audiencia
2.2 Limitaciones
3 referencias normativas
4 Términos y definiciones
5 términos abreviados
6 Descripción general
6.1 Introducción
6.2 La naturaleza del ciberespacio
6.3 La naturaleza de la ciberseguridad
6.4 Modelo general
6.5 Enfoque
7 partes interesadas en el ciberespacio
7.1 Descripción general
7.2 Consumidores
7.3 Proveedores
8 activos en el ciberespacio
8.2 Bienes personales
8.3 Activos organizacionales
9 amenazas contra la seguridad del ciberespacio
9.1 Amenazas
9.1.1 Descripción general
9.1.2 Amenazas a bienes personales
9.1.3 Amenazas a los activos de la organización.
9.2 Agentes de amenaza

9.3 Vulnerabilidades
9.4 Mecanismos de ataque
9.4.1 Introducción
9.4.2 Ataques desde dentro de la red privada
9.4.3 Ataques desde fuera de la red privada (por ejemplo, Internet)
10 roles de las partes interesadas en ciberseguridad
10.2 Roles de los consumidores
10.2.1 Introducción
10.2.2 Roles de los individuos
10.2.3 Roles de las organizaciones
10.3 Roles de los proveedores
11 Directrices para las partes interesadas
11.2 Evaluación y tratamiento de riesgos.
11.3 Pautas para consumidores
11.4 Directrices para organizaciones y proveedores de servicios.
11.4.2 Administrar el riesgo de seguridad de la información en el negocio
11.4.3 Requisitos de seguridad para alojar web y otros servicios de aplicaciones cibernéticas
11.4.4 Guía de seguridad para consumidores
12 controles de ciberseguridad
12.2 Controles de nivel de aplicación
12.3 Protección del servidor
12.4 Controles del usuario final
12.5 Controles contra ataques de ingeniería social.

12.5.2 Políticas
12.5.3 Métodos y procesos.
12.5.3.1 Categorización y clasificación de la información.
12.5.3.2 Conciencia y formación.
12.5.3.3 Pruebas
12.5.4 Personas y organización
12.5.5 Técnico
12.6 Disponibilidad de ciberseguridad
12.7 Otros controles
13 Marco de intercambio de información y coordinación
13.1 General
13.1 General
13.2 Políticas
13.3 Métodos y procesos
13.4 Personas y organizaciones.
13.5 Técnico
13.6 Guía de implementación
Anexo A Disponibilidad de seguridad cibernética
A.1 Descripción general
A.2 Monitoreo de Darknet
A.2.1 Introducción
A.2.2 Monitoreo de agujeros negros
A.2.3 Monitoreo de baja interacción
A.2.4 Monitoreo de alta interacción
A.3 Operación de sumidero
A.4 Traceback
Anexo B Recursos adicionales
B.1 Seguridad en línea y referencias anti-spyware

B.2 Lista de muestra de contactos de escalada de incidentes
Anexo C Ejemplos de documentos relacionados
Cláusula 12.3 SERVER PROTECCIÖN
1. Configure los servidores, incluidos los sistemas operativos subyacentes de acuerdo con una guía
de configuración de seguridad básica. 2. Implemente un sistema para probar e 3. Implemente un
sistema para probar e implementar actualizaciones de seguridad, y asegúrese de que el sistema
operativo y la aplicación del servidor se mantengan actualizados rápidamente cuando haya nuevas
actualizaciones de seguridad disponibles. 4. Supervise el rendimiento de seguridad del servidor a
través de revisiones periódicas de las pistas de auditoría. 5. Revise la configuración de seguridad.
6. Ejecute controles de software antimalware con licencia (como antispyware y antivirus) en el
servidor. 7. Tenga un buen sistema de administración de vulnerabilidades para todas las
aplicaciones en línea. r-r
• Endurecimiento • Implemente un sistema para probar e implementar parches de seguridad •

Monitorear el rendimiento de seguridad • Revisar la configuración de seguridad • Ejecutar
controles de software antimalico (antivirus, antimalware) • Analizar todos los contenidos alojados
y cargados regularmente • Realizar vulnerabilidad regular evaluación • Escanee regularmente en
busca de compromisos
12.2
1. Visualización de avisos breves, que proporcionan resúmenes claros y concisos de una página
(usando un lenguaje simple de las políticas esenciales de la compañía. 2. Manejo seguro de la
sesión para aplicaciones web. 3. Validación y manejo seguro de entradas para prevenir ataques
comunes como SOL -Inyección 4. Asegure la creación de secuencias de comandos de páginas web
para evitar ataques comunes, como la creación de secuencias de comandos entre sitios .. 5. Revise
la seguridad del código y las pruebas por parte de entidades debidamente capacitadas 6.
Autenticación del servicio: mediante el uso de subdominios por parte de los proveedores y
posiblemente el uso de credenciales HTTPS registradas en la 1 organización
• Mostrar aviso breve de los servicios en línea esenciales de la compañía • Seguro • Manejo de
sesiones para aplicaciones web (Cookies, Fijación de sesión,.) • Validación y manejo de entradas
para prevenir ataques (inyección SQL) • Scripting de página web para prevenir XSS • (Ver Owasp ,
150 27034, CWE, SANS) • Revisión de seguridad de código • HTTPS- SSL
12.4 USUARIO FINaL
1. Uso de sistemas operativos compatibles, con los parches de seguridad más actualizados
instalados. 2. Uso de las últimas aplicaciones de software compatibles, con la mayoría de los
parches instalados.
3. Utilice herramientas antivirus y antispyware: puede utilizar herramientas de seguridad como un

servicio del proveedor de servicios 4. Habilite bloqueadores de guiones, filtros de phishing y otras
funciones de seguridad disponibles del navegador web. 5. Habilite un firewall personal y HIPS 6.
Habilite las notificaciones de actualizaciones automáticas
• Uso del sistema operativo compatible • Uso de las últimas aplicaciones de software compatibles
• Uso de antivirus y antispyware • Habilitar bloqueadores de scripts • Usar filtros de phishing •
Usar otras funciones de seguridad del navegador web disponibles • Habilitar FW y HIDS personales
• Habilitar actualizaciones automáticas
12.5
1. Establecer políticas apropiadas 2. Categorización y clasificación de información 3. Conocimiento

y capacitación 4. Prueba de conocimiento de seguridad cibernética
• Políticas • Métodos y procesos • Categorización y clasificación de información • Conocimiento y

capacitación • Pruebas • Personas y Organización • Técnico
13.2 POLÍTICAS
• Deben definirse políticas para abordar el ciclo de vida de la información sobre incidentes de
seguridad cibernética desde la creación hasta la transferencia y destrucción para garantizar que se
mantenga C.I.A
• Clasificación y categorización de la información • Minimización de la información • Audiencia

limitada • Protocolo de coordinación
13.3 MÉTODOS Y PROCESOS
• Clasificación y categorización de la información • NDA • Código de prácticas • Pruebas y

simulacros • Calendario y programación del intercambio de información
13.4 personas y organizaciones
*Contactos *alianzas *conciencia y capacitaciones
49/5000
• contactos • Alianzas • Conciencia y capacitación
13.5 TÉCNICO
• Estandarización de datos para sistemas automatizados.
• Visualización de datos
• Intercambio de claves criptográficas y copias de seguridad de software / hardware.

• Uso compartido seguro de archivos, mensajería instantánea, portal web y
foro de discusion
• Sistemas de prueba
CONCLUSIÓN
3 La seguridad cibernética es asunto de todos, los impactos podrían ser catastróficos Los riesgos
de ciberseguridad implican una combinación de estrategias múltiples, teniendo en cuenta las
diversas partes interesadas (consumidor, empleado, socio, tercero, ...) 90 Es necesario identificar y
abordar los riesgos 90 Necesidad de conciencia y Comunicación sobre cómo informar: detectar
posibles riesgos e incidentes de seguridad Vigile las nuevas tecnologías emergentes (por ejemplo:
loT)
Norma 27032:
Estado y Aplicabilidad de controles de Seguridad de la Información
Sección Controles de Seguridad de la Información Estado
1 Programa de gestión de InfoSec Column1
[ISMP.01] Security strategy and planning Administrado
[ISMP.02] Responsibilities assignment Administrado
[ISMP.03] Risk management Administrado
[ISMP.04] Resource allocation Administrado
[ISMP.05] Infosec policies and standards Administrado
[ISMP.06] Testing security, processes, and Administrado
performance
2 Operación de sistemas
[SO.01] Change management Administrado
[SO.02] Asset identification and management Administrado
[SO.03] Information / knowledge management and Administrado
handling procedures
[SO.04] Security of system documentation Administrado
[SO.05] Security requirements of information systems Administrado
[SO.06] Control of operational software Administrado
[SO.07] Teleworking Definido
[SO.08] Legacy technologies Administrado
[SO.09] Correct processing in applications Administrado
3 Personal de seguridad
[PS.01] User responsibilities Administrado
[PS.02] Training and awareness Definido
[PS.03] People security Administrado
4 Seguridad de las instalaciones
[FS.01] Physical security perimeter Administrado
[FS.02] Physical entry controls Administrado
[FS.03] Equipment location and protection Administrado
[FS.04] Off-premises equipment security Administrado
[FS.05] Physical media in transit protection Definido
[FS.06] Secure disposal of equipment Administrado
[FS.07] Management of removable media No aplicable
[FS.08] Disposal of media No aplicable
[FS.09] Clear desk and clear screen policy No aplicable
5 Procesamiento de terceros
[TPP.01] Shared processing Administrado
[TPP.02] Supply-chain assurance Administrado
[TPP.03] Data & Service portability No aplicable
[TPP.04] Termination guarantees Administrado
6 Resiliencia
[RE.01] Back-up media encryption Administrado
[RE.02] Protecting against external and Administrado
environmental threats
[RE.03] Capacity management Administrado
[RE.04] Information back-up Administrado
[RE.05] Availability of information stored on media Administrado
[RE.06] Information security aspects of BCM Administrado
[RE.07] Systems maintenance Administrado
[RE.08] Operational resilience Definido
7 Conformidad
[CO.01] With legal requirements Administrado
[CO.02] With security policies and standards, and Administrado
technical compliance
[CO.03] Compliance audit Definido
[CO.04] Legal non-disclosure agreements Administrado
8 Protección de código malicioso
[MCP.01] Malware protection Administrado
9 Controles de red
[NC.01] Network management Administrado
[NC.02] Network routing controls Administrado
[NC.03] Segregation in networks Administrado
[NC.04] User authentication for external connections Administrado
[NC.05] Safeguard confidentiality over public Administrado
networks
[NC.06] Controls to safeguard integrity over public Administrado
networks
[NC.07] Availability of network services Administrado
10 Monitoreo
[MO.01] Audit logging Administrado
[MO.02] Monitoring system use Administrado
[MO.03] Protection of log information Administrado
[MO.04] Information leakage Administrado
[MO.05] Threat Intelligence and Information Sharing Definido
11 Control de Acceso
[AC.01] Business requirements for access control Administrado
[AC.02] Secure log-on procedures Administrado
[AC.03] User identification and authentication Administrado
[AC.04] Password management system (if applicable) Administrado
[AC.05] Use of system utilities Administrado
[AC.06] Session time-out Administrado
[AC.07] Limitation of connection time Administrado
[AC.08] User access management Administrado
[AC.09] Information access restriction Administrado
[AC.10] Privilege management Administrado
12 Desarrollo Seguro
[SD.01] Access control to program source code Administrado
[SD.02] Change control procedures ? Desconocido
[SD.03] Security by Default (Develop secure systems ? Desconocido
and applications )
[SD.04] Outsourced software development Administrado
[SD.05] Control of technical vulnerabilities Administrado
[SD.06] Environment segregation Administrado
[SD.07] Protection of systems test data ? Desconocido
13 Manejo de incidentes
[IH.01] Reporting infosec events and weaknesses Administrado
[IH.02] Management of infosec incidents and Administrado
improvements
14 Criptografía
[CR.01] Key management Administrado
Graficas 27032:
Estado Significado Proporción

No se tiene
Desconocido conocimiento
Manejan
Administrado documentación 6
Maneja
documentación y
Definido se evalúa los
procesos
No Aplicable No aplica
Programa de gestión de InfoSec
Desconocido
Administrado
Definido
No Aplicable
100%

No se tiene
Manejan
Administrado documentación
8
Maneja
Definido documentación y se 1
evalúa los procesos
Operación de sistemas
11%
Desconocido
Administrado
Definido
No Aplicable
89%

No se tiene
Manejan
2
Maneja
Personal de seguridad
33%
Desconocido
Administrado
Definido
No Aplicable
67%

No se tiene
Manejan
Maneja
No Aplicable No aplica 3
Seguridad de las instalaciones
33%
Desconocido
Administrado
Definido
56%
No Aplicable
11%

No se tiene
Manejan
Maneja
Definido documentación y se
Procesamiento de terceros
11%
Desconocido
Administrado
Definido
No Aplicable
89%

No se tiene
Manejan
Maneja
Resiliencia
13%
Desconocido
Administrado
Definido
No Aplicable
87%

No se tiene
Manejan
3
Maneja
Conformidad
25%
Desconocido
Administrado
Definido
No Aplicable
75%

No se tiene
Manejan
Maneja
Protección de código malicioso
Desconocido
Administrado
Definido
No Aplicable
100%

No se tiene
Manejan
7
Maneja
Controles de red
Desconocido
Administrado
Definido
No Aplicable
100%

No se tiene
Manejan
4
Maneja
Monitoreo
20%
Desconocido
Administrado
Definido
No Aplicable
80%

No se tiene
Manejan
4
Maneja
Control de Acceso
20%
Desconocido
Administrado
Definido
No Aplicable
80%

No se tiene
3
Manejan
Maneja
Desarrollo Seguro
Desconocido
43%
Administrado
Definido
57%
No Aplicable

No se tiene
Manejan
Maneja
Manejo de incidentes
Desconocido
Administrado
Definido
No Aplicable
100%
No se tiene
Manejan
Administrado documentación,
1
Maneja
Criptografía
Desconocido
Administrado
Definido
No Aplicable
100%
Grafica General de Norma 27032

No se tiene
3
Manejan
Administrado documentación,
57
Maneja
Estado de controles ISO 270032
6% 4%
10%
Desconocido
Administrado
Definido
No Aplicable
80%

P

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

P

Caricato da

Copyright:

Formati disponibili

Las clausulas principales en que está basada :

Cláusula 9.4: Mecanismos de ataque

10. Roles de las partes interesadas

12.4 Usuarios finales

12.5 en el círculo azul es iprotección contra ataques de Ingeniería Social)

8 Assets in the Cyberspace

12.3 Server protection

6.2 La naturaleza del ciberespacio

6.3 La naturaleza de la ciberseguridad

6.4 Modelo general

7 partes interesadas en el ciberespacio

7.1 Descripción general

8.1 Descripción general

8.2 Bienes personales

8.3 Activos organizacionales

9 amenazas contra la seguridad del ciberespacio

9.1.1 Descripción general

9.1.2 Amenazas a bienes personales

9.1.3 Amenazas a los activos de la organización.

9.2 Agentes de amenaza

9.4 Mecanismos de ataque

9.4.2 Ataques desde dentro de la red privada

9.4.3 Ataques desde fuera de la red privada (por ejemplo, Internet)

10 roles de las partes interesadas en ciberseguridad

10.1 Descripción general

10.2 Roles de los consumidores

10.2.2 Roles de los individuos

10.2.3 Roles de las organizaciones

10.3 Roles de los proveedores

11 Directrices para las partes interesadas

11.1 Descripción general

11.2 Evaluación y tratamiento de riesgos.

11.3 Pautas para consumidores

11.4 Directrices para organizaciones y proveedores de servicios.

11.4.1 Descripción general

11.4.2 Administrar el riesgo de seguridad de la información en el negocio

11.4.4 Guía de seguridad para consumidores

12.1 Descripción general

12.2 Controles de nivel de aplicación

12.3 Protección del servidor

12.4 Controles del usuario final

12.5 Controles contra ataques de ingeniería social.

12.5.3 Métodos y procesos.

12.5.3.1 Categorización y clasificación de la información.

12.5.3.2 Conciencia y formación.

12.5.4 Personas y organización

12.6 Disponibilidad de ciberseguridad

12.7 Otros controles

13 Marco de intercambio de información y coordinación

13.3 Métodos y procesos

13.4 Personas y organizaciones.

13.6 Guía de implementación

Anexo A Disponibilidad de seguridad cibernética

A.1 Descripción general

A.2 Monitoreo de Darknet

A.2.2 Monitoreo de agujeros negros

A.2.3 Monitoreo de baja interacción

A.2.4 Monitoreo de alta interacción

A.3 Operación de sumidero

Anexo B Recursos adicionales

B.1 Seguridad en línea y referencias anti-spyware

Anexo C Ejemplos de documentos relacionados

Cláusula 12.3 SERVER PROTECCIÖN

Contactos alianzas *conciencia y capacitaciones