Blog Gestión de Riesgos | Pirani

ISO 27032, el estándar enfocado en ciberseguridad

Escrito por Maria Camila Arévalo | octubre 05, 2022

La Organización Internacional de Normalización (ISO) creó el estándar 27032 enfocado en ciberseguridad, teniendo en cuenta que este es uno de los mayores riesgos a los que se enfrentan las empresas en la actualidad.

Con este estándar se pretende garantizar y velar por la seguridad de la información durante los intercambios, para evitar hackeos, sabotajes o alteraciones que puedan ponerla en riesgo.

Aunque existe la norma ISO 27001 la cual está enfocada en seguridad de la información, la Organización Internacional de Normalización decidió crear un principio enfocado en ciberseguridad para darle mayores garantías a las organizaciones.

La ISO 27032  ofrece el uso de buenas prácticas en materia de seguridad de la información. Además, brinda herramientas para gestionarla dentro de una organización, permite contar con procesos de protección de operaciones y de las actividades que se realicen en línea, de los software que se utilicen, manejo de datos, servicios, capacitar al personal que va a estar a cargo del manejo de estas herramientas. 

"El ciberespacio es un entorno complejo que consta de interacciones entre personas, software y servicios destinados a la distribución mundial de información y comunicación". Se trata de un contexto muy grande en el que "la colaboración es esencial para garantizar un entorno seguro", aseguró la ISO al momento de presentar este estándar.

Esta normativa se creó con dos fines: cubrir aspectos de ciberseguridad que no se habían tocado en versiones anteriores y promover la cooperación entre agentes como CSF, CyberSecurity Framework y el Marco de Ciberseguridad del NITS.

Por otro lado, se encuentra enfocado en cuatro ejes:

  1. Seguridad de la información.
  2. Seguridad de las redes.
  3. Seguridad en Internet.
  4. Protección de infraestructuras críticas para la información.

¿Qué incluye?

  • Tecnologías en las que se puede implementar.
  • Herramientas de seguridad.
  • Buenas prácticas.
  • Políticas.
  • Seguridad de los activos digitales.
  • Entrenamiento.
  • Gestión de riesgos.
  • Conceptos de seguridad.
  • Guías y estándares.

Objetivos

  • Ofrecer seguridad a todo el ciberespacio de la empresa.
  • Tener un plan de acción en caso de que se llegue a presentar una crisis.
  • Planificar la resolución de incidentes.
  • Brindar capacitaciones a los miembros de la organización en todo lo relacionado con ciberseguridad y sus riesgos.
  • Crear alertas que permitan identificar alguna amenaza que pueda poner en peligro los activos de la empresa.
  • Contar con una estrategia para combatir los riesgos que se puedan presentar o que se lleguen a materializar.
  • Identificar los riesgos que se puedan presentar en este aspecto.

Controles

Aplicaciones

  • Validación, códigos y cookies.
  • Sesiones, scripts, políticas y autenticación.

Personas

  • Campaña de seguridad.
  • Capacitación constante.

Servidores

  • Peches, backups, monitoreo, testing.
  • Estándares de instalación y configuración. 

Usuarios

  • Capacitación continúa, IPS personal y firewall.
  • Correos, seguridad web y antivirus.

Recomendaciones

  • Capacitaciones continuas a toda la organización para que estén atentos y sepan cómo actuar en caso de una eventualidad.
  • Seguir las buenas prácticas de la ISO 27032.
  • Revisión y monitoreo de la estrategia implementada para verificar si los controles que se están llevando a cabo son eficientes.
  • Contar con un programa de protección de datos e información. 

Una recomendación adicional es contar con un software de riesgos como Pirani, que te permite gestionar de manera eficaz los activos de información de tu organización y administrar fácilmente los riesgos en seguridad que pueden afectar tu compañía.

¿Qué te ha parecido el contenido sobre el estándar ISO 27032, enfocado en la ciberseguridad? Cuéntanos en los comentarios.