El concepto del Ciberespacio exige tener una visión más amplia de conceptos de la seguridad de la información que hasta el momento se estaban teniendo en cuenta. Este nuevo concepto aúna aspectos relacionados con la interacción de personas, software y servicios en Internet, soportados por entornos TIC distribuidos por todo el mundo con una complejidad y particularidad que hace unos años no era imaginable.
Para abordar los retos de la Ciberseguridad, que consiste en la seguridad en el Ciberespacio, surge la norma ISO/IEC 27032, que define las Guías en este ámbito y se centra en dos áreas: por un lado, en cubrir los espacios o huecos no cubiertos por normas anteriores de seguridad en este ámbito conceptual más amplio, en el que aparecen nuevos ataques y los riesgos asociados a éstos; y, por otro lado, el proceso de colaboración entre los agentes que operan en el entorno actual, en lo que se denomina comúnmente un Marco de Ciberseguridad o CSF, CyberSecurity Framework.
Atendiendo al reto de los escenarios actuales de la Ciberseguridad y gracias a la amplia experiencia del equipo de Internet Security Auditors, diseñamos una metodología que permite implementar CSF basado en el estándar ISO/IEC 27032:2012 que incluye cuatro focos de trabajo o dominios:
El Marco de Ciberseguridad que se desarrollará tendrá un acercamiento en la gestión de riesgos en 4 áreas:
El proceso seguido en nuestra metodología se desarrolla en cinco fases.
- Controles a nivel de aplicación: gestión de sesiones, validación de datos, protección ante ataques, procesos de autenticación, etc.
- Controles a nivel de servidores: configuraciones seguras, gestión de parches, monitorización., revisiones periódicas, etc.
- Controles para los usuarios finales: Actualizaciones de SO, uso de aplicaciones, antivirus, herramientas y configuraciones de seguridad, etc.
- Controles contra ataques de Ingeniería social: Programas de concienciación, pruebas regulares, controles de seguridad, etc.