ING. PATRICIA ALDERETE F.

ISO/IEC 27000 ES UN CONJUNTO DE

ESTÁNDARES DESARROLLADOS -O EN
FASE DE DESARROLLO.

INTERNATIONAL ORGANIZATION FOR

STANDARDIZATION E IEC (INTERNATIONAL
ELECTROTECHNICAL COMMISSION).

MARCO DE GESTIÓN DE LA SEGURIDAD

DE LA INFORMACIÓN UTILIZABLE POR
CUALQUIER TIPO DE ORGANIZACIÓN,
PÚBLICA O PRIVADA, GRANDE O
PEQUEÑA.
 3

 Los rangos de numeración reservados por ISO van de 27000 a 27019 y

de 27030 a 27044 con 27799 finalizando la serie formalmente en estos
momentos.
 Las normas completas, no son de libre difusión sino que han de ser
adquiridas.
 Las entidades de normalización son las que elaboran y publican
normas. (IBNORCA- Instituto Boliviano de Normalización y Calidad)
 Las entidades de acreditación son las que acreditan, entre otras, a las
entidades de certificación (que son las que, a su vez, certifican los
sistemas de gestión de las organizaciones). (DTA del IBMETRO Dirección
Técnica de Acreditación – DTA del IBMETRO de Bolivia.)
 4

 Otorga una descripción de la seguridad de la red y las definiciones

relacionadas.
 Define y describe los conceptos asociados, y proporciona orientación sobre
la gestión de la seguridad de la red.
 La seguridad de la red se aplica a la seguridad de los dispositivos, la
seguridad de las actividades de gestión relacionadas con los dispositivos,
aplicaciones/servicios y los usuarios finales, además de la seguridad de la
información que se transfiere a través de los enlaces de comunicación.
 Se enfatiza que ISO/IEC 27033 proporciona una guía más detallada sobre la
aplicación de los controles de seguridad de red que se describen en un
nivel básico estandarizado en ISO/IEC 27002.
 La serie de normas de referencia y su estado de aprobación de
Ediciones (entre paréntesis) a lo largo del tiempo se indican a 5
continuación:
 6

Aquellos individuos dentro de una organización que son

responsables de la seguridad de la información en general, y de la
seguridad de la red en particular, deberían poder adaptar el material
de esta norma para cumplir con sus requisitos específicos.
 Parte 1: Descripción general y conceptos
7

Parte 2: Directrices para el diseño e implementación

de la seguridad de la red.

Parte 3: Escenarios de redes de referencia -

PARTES: Amenazas, técnicas de diseño y problemas de

ISO/IEC
control

27033 Parte 4: Asegurar las comunicaciones entre redes

utilizando pasarelas de seguridad

Parte 5: Asegurar las comunicaciones a través de

redes utilizando redes privadas virtuales (VPN)

Parte 6: Asegurar el acceso a la red IP inalámbrica

 8
EVOLUCIÓN DE PARTES: ISO/IEC
27033

Publicada el 15 Directrices de Escenarios de Aseguramiento Aseguramiento Securización de

de Diciembre de diseño e referencia de de las de redes IP Wireless.
2009 y revisada implementación redes. comunicaciones comunicaciones (Publicada en
el 10 de Octubre de seguridad en entre redes mediante VPNs Junio de 2016).
de 2015 redes mediante (Publicada el 29
(Publicada el 3 gateways de
(Publicada el 27 de Diciembre de de Julio de
de Julio de 2012) seguridad 2013);
2010); (Publicada el 21
de Febrero de
2014);
 9
Objetivos Parte 1: ISO 27033-1

 Proporcionar orientación de gestión sobre la seguridad de la red.

 Cómo identificar y analizar los riesgos de seguridad de la red y luego
definir los requisitos de seguridad de la red.
 También presenta cómo lograr arquitecturas de seguridad técnica de
buena calidad, y los aspectos de riesgo, diseño y control asociados con
escenarios de red típicos y áreas de "tecnología" de red (que se tratan
en detalle en partes posteriores de ISO / IEC 27033).
 10
ISO 27033-1

 Parte 1: Guías para la seguridad de la red

 Parte 2: Guías para el diseño e implementación de la seguridad en la red
 Parte 3: Escenarios de redes de referencia - Riesgos, técnicas de diseño y problemas
de control
 Los riesgos, técnicas de diseño y problemas de control para asegurar las
comunicaciones entre redes que utilizan puertas de enlace de seguridad,
 asegurar las redes privadas virtuales,
 Convergencia IP, y
 redes inalámbricas
 formarán el objeto de partes futuras.
 11

Cualquier persona Altos directivos y

involucrada que otros
posee, opera o administradores no
Campo de utiliza una red. técnicos o usuarios

aplicación:
ISO 27033 Además de los gerentes
y administradores que
tienen responsabilidades
O que
responsables
programa general de
son
del
específicas para la
seguridad de la
seguridad de la
información o seguridad organización y del
de la red, el desarrollo de políticas
funcionamiento de la red de seguridad.

También es útil para cualquier persona involucrada

en la planificación, diseño e implementación de los
aspectos arquitectónicos de la seguridad de red.
 12
Los siguientes documentos de referencia son
indispensables para la aplicación de esta ISO.

Referencias ISO/IEC
7498
ISO/IEC
27000:2009
ISO/IEC
27001:2005
normativas (todas las partes),
Tecnología de la
Tecnología de la
información - Técnicas
Tecnología de la
información - Técnicas

ISO 27033
de seguridad – de seguridad - Sistemas
información - Sistemas de gestión de de gestión de
Interconexión de seguridad de la seguridad de la
sistemas abiertos - información - información – Requisitos
Información general y
Modelo de vocabulario
referencia básico.
 ISO / IEC 27033-2: 2012: Directrices para el 13
diseño e implementación de seguridad de
red.
 Alcance: planificación, diseño, implementación y documentación de la
seguridad de la red;
 Objetivo: "definir cómo las organizaciones deben lograr arquitecturas,
diseños e implementaciones de seguridad técnica de red de calidad
que garanticen la seguridad de la red adecuada a sus entornos
empresariales, utilizando un enfoque coherente para la planificación,
diseño e implementación de la seguridad de la red, según sea relevante
con la ayuda del uso de modelos / marcos. (En este contexto, se usa un
modelo / marco para delinear una representación o descripción que
muestra la estructura y el funcionamiento de alto nivel de un tipo de
arquitectura / diseño de seguridad técnica.
 ISO / IEC 27033-3: 2010 Escenarios de redes 14
de referencia: amenazas, técnicas de
diseño y problemas de control.

 El objetivo es "definir los riesgos específicos , las técnicas de diseño

y los problemas de control asociados con los escenarios de red
típicos"
 Discute las amenazas, específicamente, en lugar de todos los
elementos de riesgo;
 Se refiere a otras partes de ISO / IEC 27033 para una orientación
más específica;
 Estado: la parte 3 se publicó en 2010 . Ahora está siendo revisado.
 ISO / IEC 27033-4: 2014 : Asegurar las 15
comunicaciones entre redes
utilizando pasarelas de seguridad
 Proporciona una descripción general de las puertas de enlace de seguridad
a través de una descripción de diferentes arquitecturas;
 Describe cómo las puertas de enlace de seguridad analizan y controlan el
tráfico de red a través de:
 Filtrado de paquetes;
 Inspección de paquetes con estado;
 Proxy de aplicación (firewalls de aplicación);
 Traducción de direcciones de red NAT;
 Análisis de contenido y filtrado;
 ISO / IEC 27033-5: 2013 : Asegurando las 16
comunicaciones a través de redes usando
Redes Privadas Virtuales (VPN)
 Objetivo: proporcionar "pautas para la selección, implementación y monitoreo de los controles
técnicos necesarios para proporcionar seguridad de red utilizando conexiones de Red Privada
Virtual (VPN) para interconectar redes y conectar usuarios remotos a redes“.
 Brinda una evaluación incompleta de alto nivel de las amenazas a las VPN ( es decir ,
menciona las amenazas de intrusión y denegación de servicio, pero no la supervisión /
intercepción no autorizada, análisis de tráfico, corrupción de datos, inserción de tráfico falso,
varios ataques en puntos finales de VPN, malware, enmascaramiento / robo de identidad,
amenazas internas, etc. , aunque estos se mencionan o al menos se insinúan más adelante
según los requisitos de seguridad);
 Presenta diferentes tipos de acceso remoto, incluidos protocolos, problemas de autenticación
y soporte al configurar el acceso remoto de forma segura;
 Estado: la parte 5 se publicó en 2013
 17
ISO / IEC 27033-6: 2016 Asegurando el
acceso a la red IP inalámbrica

 Objetivo: “definir los riesgos específicos, las técnicas de diseño y los problemas de control
para proteger las redes inalámbricas IP . [Esta parte] es relevante para todo el personal
involucrado en la planificación detallada, el diseño y la implementación de seguridad para
redes inalámbricas.
 Este es un estándar de seguridad de red inalámbrica genérico que ofrece consejos básicos
para WiFi, Bluetooth, 3G y otras redes inalámbricas;
 El estándar enumera una serie de "amenazas" que son, de hecho, modos de ataque,
escenarios o riesgos.
 Estado: la parte 6 se publicó en 2016.