6 Descripción general

6.1 Introducción

La seguridad en Internet y en el ciberespacio ha sido un tema de creciente

preocupación. Las partes interesadas han establecido su presencia en el ciberespacio a
través de sitios web y ahora están tratando de aprovechar aún más el mundo virtual
proporcionado por el ciberespacio.

EJEMPLO Cada vez más personas pasan más tiempo con sus avatares virtuales en
MMORPG.

Si bien algunas personas son cuidadosas al administrar su identidad en línea, la mayoría de

las personas están cargando detalles de sus perfiles personales para compartir con otros.
Los perfiles en muchos sitios, en particular los sitios de redes sociales y salas de chat,
pueden ser descargados y almacenados por otras partes. Esto puede conducir a la creación
de un dossier digital de datos personales que puede ser mal utilizado, divulgado a otras
partes o utilizado para la recopilación de datos secundarios. Si bien la precisión e integridad
de estos datos son cuestionables, crean vínculos con individuos y organizaciones que a
menudo no se pueden borrar por completo. Estos desarrollos en los dominios de
comunicación, entretenimiento, transporte, compras, finanzas, seguros y atención médica
crean nuevos riesgos para las partes interesadas en el ciberespacio. Por lo tanto, los
riesgos pueden estar asociados con la pérdida de privacidad.

La convergencia de las tecnologías de la información y la comunicación, la facilidad para

ingresar al ciberespacio y la reducción del espacio personal entre las personas están
atrayendo la atención de los delincuentes individuales y las organizaciones criminales.
Estas entidades están utilizando mecanismos existentes, como phishing, spam y spyware,
además de desarrollar nuevas técnicas de ataque, para explotar cualquier debilidad que
puedan descubrir en el ciberespacio. En los últimos años, los ataques de seguridad en el
ciberespacio han evolucionado desde la piratería de la fama personal hasta el crimen
organizado o el cibercrimen. Una gran cantidad de herramientas y procesos previamente
observados en incidentes de Ciberseguridad aislados ahora se están utilizando juntos en
ataques multimillonarios, a menudo con objetivos maliciosos de gran alcance. Estos
objetivos van desde ataques personales, robo de identidad, fraudes financieros o robos, al
activismo político. Los foros especializados para resaltar posibles problemas de seguridad
también han servido para mostrar técnicas de ataque y oportunidades criminales.

Los múltiples modos de transacciones comerciales que se llevan a cabo en el Ciberespacio

se están convirtiendo en el objetivo de los sindicatos de Cibercrimen. Desde los servicios de
empresa a empresa, de empresa a consumidor a consumidor a consumidor, los riesgos
planteados son intrínsecamente complejos. Conceptos como lo que constituye una
transacción o un acuerdo dependen de la interpretación de la ley y de cómo cada parte de
la relación gestiona su responsabilidad. A menudo, el problema del uso de los datos
recopilados durante la transacción o relación no se aborda adecuadamente. Esto puede
conducir a problemas de seguridad, como la filtración de información.
Los desafíos legales y técnicos planteados por estos problemas de Ciberseguridad son de
largo alcance y de naturaleza global. Los desafíos solo pueden abordarse haciendo que la
comunidad técnica de seguridad de la información, la comunidad legal, las naciones y la
comunidad de naciones se unan a través de una estrategia coherente. Esta estrategia debe
tener en cuenta el papel de cada parte interesada y las iniciativas existentes, dentro de un
marco de cooperación internacional.

EJEMPLO Un ejemplo de desafío surge del hecho de que el Ciberespacio ofrece anonimato
virtual y sigilo de ataque, lo que dificulta la detección. Esto hace que sea cada vez más
difícil para las personas y organizaciones establecer confianza y realizar transacciones, así
como para las agencias de aplicación de la ley para hacer cumplir las políticas relacionadas.
Incluso si se puede determinar la fuente del ataque, los problemas legales transfronterizos a
menudo impiden un mayor progreso en cualquier investigación o repatriación legal.

El progreso actual para abordar estos desafíos se ha visto obstaculizado por muchos
problemas, y los problemas de seguridad cibernética están aumentando y continúan
evolucionando.

Si bien no faltan las amenazas a la Ciberseguridad, y como muchas formas, aunque

no estandarizadas, de contrarrestarlas, el enfoque de esta

Norma Internacional se centra en los siguientes temas clave:

- ataques de software malicioso y potencialmente no deseado;

- ataques de ingeniería social; y

- intercambio de información y coordinación.

Además, algunas herramientas de Ciberseguridad se analizarán brevemente en

esta Norma Internacional. Estas herramientas y áreas se relacionan
estrechamente con la prevención, detección, respuesta e investigación de
delitos cibernéticos. Se pueden encontrar más detalles en el Anexo A.

6.2 La naturaleza del ciberespacio

El ciberespacio puede describirse como un entorno virtual, que no existe en ninguna

forma física, sino más bien como un entorno o espacio complejo resultante de la
aparición de Internet, además de las personas, organizaciones y actividades en
todo tipo de dispositivos tecnológicos y redes que están conectadas a él. La
seguridad del ciberespacio, o ciberseguridad, se trata de la seguridad de este
mundo virtual.

Muchos mundos virtuales tienen una moneda virtual, como la que se usa para
comprar artículos en el juego. Hay un valor real asociado a la moneda virtual e
incluso a los elementos del juego. Estos artículos virtuales se intercambian con
frecuencia por dinero real en sitios de subastas en línea y algunos juegos incluso
tienen un canal oficial con tipos de cambio de moneda virtual o real publicados para
la monetización de artículos virtuales. A menudo son estos canales de
monetización los que hacen de estos mundos virtuales un objetivo de ataque,
generalmente mediante phishing u otras técnicas para robar información de la
cuenta.
 6.3 La naturaleza de la ciberseguridad

Las partes interesadas en el ciberespacio deben desempeñar un papel activo, más

allá de proteger sus propios activos, para que prevalezca la utilidad del ciberespacio.
Las aplicaciones dentro del ciberespacio se están expandiendo más allá de los
modelos de empresa a consumidor y de consumidor a consumidor, a una forma de
interacciones y transacciones de muchos a muchos. Los requisitos se están
expandiendo para que las personas y organizaciones estén preparadas para abordar
los riesgos y desafíos de seguridad emergentes para prevenir y responder de
manera efectiva al mal uso y las explotaciones criminales.

La ciberseguridad se relaciona con las acciones que las partes interesadas deberían
tomar para establecer y mantener la seguridad en el ciberespacio.

La ciberseguridad se basa en la seguridad de la información, la seguridad de las

aplicaciones, la seguridad de la red y la seguridad de Internet como componentes
fundamentales. La ciberseguridad es una de las actividades necesarias para el
CIIP y, al mismo tiempo, la protección adecuada de los servicios de infraestructura
crítica contribuye a las necesidades básicas de seguridad (es decir, seguridad,
confiabilidad y disponibilidad de infraestructura crítica) para lograr los objetivos de
ciberseguridad.

Sin embargo, la ciberseguridad no es sinónimo de seguridad de Internet,

seguridad de red, seguridad de aplicaciones, seguridad de la información o CIIP.
Tiene un alcance único que requiere que las partes interesadas desempeñen un
papel activo para mantener, si no mejorar, la utilidad y la confiabilidad del
Ciberespacio. Esta Norma Internacional diferencia la Ciberseguridad y los otros
dominios de seguridad de la siguiente manera:

- La seguridad de la información se refiere a la protección de la confidencialidad,

integridad y disponibilidad de la información en general, para satisfacer las
necesidades del usuario de información aplicable.

- La seguridad de las aplicaciones es un proceso que se realiza para aplicar

controles y mediciones a las aplicaciones de una organización para administrar el
riesgo de usarlas. Se pueden aplicar controles y mediciones a la aplicación en sí
(sus procesos, componentes, software y resultados), a sus datos (datos de
configuración, datos de usuario, datos de la organización) y a toda la tecnología,
procesos y actores involucrados en el ciclo de vida de la aplicación.

La seguridad de la red se refiere al diseño, implementación y operación de redes para

lograr los propósitos de seguridad de la información en redes dentro de organizaciones,
entre organizaciones y entre organizaciones y usuarios.

- La seguridad de Internet se ocupa de proteger los servicios relacionados con Internet y

los sistemas y redes TIC relacionados como una extensión de la seguridad de la red en
las organizaciones y en el hogar, para lograr el propósito de la seguridad. La seguridad
de Internet también garantiza la disponibilidad y confiabilidad de los servicios de Internet.
- El CIIP se preocupa por proteger los sistemas que son provistos u operados por
proveedores de infraestructura crítica, como los departamentos de energía,
telecomunicaciones y agua. CIIP garantiza que esos sistemas y redes estén protegidos y
sean resistentes contra los riesgos de seguridad de la información, los riesgos de
seguridad de la red, los riesgos de seguridad de Internet y los riesgos de seguridad
cibernética.

La Figura 1 resume la relación entre la Ciberseguridad y otros dominios de seguridad. La

relación entre estos dominios de seguridad y la Ciberseguridad es compleja. Algunos de
los servicios de infraestructura críticos, como el agua y el transporte, no tienen por qué
afectar el estado de la Ciberseguridad directa o significativamente. Sin embargo, la falta
de ciberseguridad puede tener un impacto negativo en la disponibilidad de los sistemas
de infraestructura de información crítica proporcionados por los proveedores de
infraestructura crítica.

Cibercrimen Seguridad de la Ciberseguridad

información
 Aplicación de seguridad

La seguridad cibernética

Seguridad de seguridad
la red de Internet

Información Crónica Infraestructura Protecon

Figura 1 - Relación entre ciberseguridad y otros dominios de seguridad

Por otro lado, la disponibilidad y la confiabilidad del ciberespacio dependen en muchos

aspectos de la disponibilidad y confiabilidad de los servicios de infraestructura crítica
relacionados, como la infraestructura de la red de telecomunicaciones. La seguridad del
ciberespacio también está estrechamente relacionada con la seguridad de Internet, las
redes empresariales / domésticas y la seguridad de la información en general. Cabe
señalar que los dominios de seguridad identificados en esta sección tienen sus propios
objetivos y alcance. Para lidiar con los problemas de Ciberseguridad, por lo tanto, se
requieren comunicaciones y coordinación sustanciales entre diferentes entidades
privadas y públicas de diferentes países y organizaciones. Algunos gobiernos consideran
que los servicios de infraestructura crítica son servicios relacionados con la seguridad
nacional y, por lo tanto, no pueden ser discutidos o divulgados abiertamente. Además, El
conocimiento de las debilidades críticas de la infraestructura, si no se usa
adecuadamente, puede tener una implicación directa en la seguridad nacional. Por lo
tanto, es necesario un marco básico para el intercambio de información y la coordinación
de problemas o incidentes para cerrar las brechas y proporcionar una garantía adecuada
a las partes interesadas en el ciberespacio.

6.4 Modelo general

6.4.1 Introducción

Esta cláusula presenta un modelo general utilizado en toda esta Norma Internacional.
Esta cláusula supone cierto conocimiento de seguridad y no propone actuar como tutorial
en esta área.

Esta Norma Internacional analiza la seguridad utilizando un conjunto de conceptos

y terminología de seguridad. La comprensión de estos conceptos y la terminología
es un requisito previo para el uso efectivo de esta Norma Internacional. Sin
embargo, los conceptos en sí mismos son bastante generales y no están
destinados a restringir la clase de problemas de seguridad de TI a los que se
aplica esta Norma Internacional.
6.4.2 Contexto de seguridad general

La seguridad se refiere a la protección de los activos contra las amenazas, donde

las amenazas se clasifican como el potencial de abuso de los activos protegidos.
Deben considerarse todas las categorías de amenazas; pero en el dominio de la
seguridad se presta mayor atención a aquellas amenazas relacionadas con
actividades maliciosas u otras actividades humanas. La Figura 2 ilustra estos
conceptos y relaciones de alto nivel.

NOTA La Figura 2 está adaptada de ISO / IEC 15408-1: 2005, Tecnología de la

información. Técnicas de seguridad. Criterios de evaluación para la

seguridad informática. Parte 1: Introducción y modelo general.

La salvaguarda de los activos de interés es responsabilidad de las partes interesadas que
valoran esos activos. Los agentes de amenaza reales o presuntos también pueden valorar
los activos y tratar de abusar de los activos de una manera contraria a los intereses de las
partes interesadas aplicables. Las partes interesadas percibirán tales amenazas como un
potencial de deterioro de los activos de tal manera que el valor de los activos para las
partes interesadas se reduciría. El deterioro específico de la seguridad comúnmente
incluye, pero no se limita a, divulgación perjudicial del activo a destinatarios no
autorizados (pérdida de confidencialidad), daño al activo a través de modificación no
autorizada (pérdida de integridad) o privación no autorizada de acceso al activo (pérdida
de disponibilidad).

Las partes interesadas evalúan los riesgos teniendo en cuenta las amenazas que se
aplican a sus activos. Este análisis puede ayudar en la selección de controles para
contrarrestar los riesgos y reducirlo a un nivel aceptable.

Se imponen controles para reducir las vulnerabilidades o los impactos, y para cumplir con
los

requisitos de seguridad de las partes interesadas (ya sea directa o indirectamente,

proporcionando instrucciones a otras partes). Las vulnerabilidades residuales pueden
permanecer después de la imposición de controles. Dichas vulnerabilidades pueden ser
explotadas por agentes de amenaza que representan un nivel residual de riesgo para los
activos. Las partes interesadas buscarán minimizar ese riesgo dadas otras limitaciones.

Las partes interesadas deberán confiar en que los controles son adecuados para
contrarrestar las amenazas a los activos antes de permitir la exposición de los activos a
las amenazas especificadas. Las partes interesadas pueden no poseer la capacidad de
juzgar todos los aspectos de los controles y, por lo tanto, pueden buscar la evaluación
de los controles utilizando organizaciones externas.

6.5 Enfoque

Una forma efectiva de enfrentar los riesgos de Ciberseguridad implica una combinación
de múltiples estrategias, teniendo en cuenta a los diversos interesados. Estas
estrategias incluyen:

- mejores prácticas de la industria, con la colaboración de todas las partes interesadas

para identificar y abordar los problemas y riesgos de Ciberseguridad;

- educación amplia para consumidores y empleados, que proporciona un recurso

confiable sobre cómo identificar y abordar riesgos específicos de
Ciberseguridad dentro de la organización, así como en el Ciberespacio; y

- Soluciones tecnológicas innovadoras para ayudar a proteger a los consumidores

de ataques conocidos de ciberseguridad, mantenerse al día y estar preparados
contra nuevas explotaciones.

Esta directriz se centra en proporcionar las mejores prácticas de la industria y una amplia
educación del consumidor y de los empleados para ayudar a las partes interesadas en el
ciberespacio a desempeñar un papel activo para abordar los desafíos de seguridad
cibernética. Incluye orientación para:

- roles;

- políticas;

- métodos;

- procesos; y

- controles técnicos aplicables.

La Figura 3 proporciona una visión general de los puntos más destacados en el enfoque
adoptado en esta Norma Internacional. Este estándar internacional no está destinado a
ser utilizado directamente para proporcionar una educación amplia al consumidor. En
cambio, está destinado a ser utilizado por proveedores de servicios en el Ciberespacio,
así como por organizaciones que brindan educación relacionada con el Ciberespacio a
los consumidores, para preparar materiales para una amplia educación del consumidor.
7 partes interesadas en el ciberespacio

7.1 Descripción general

El ciberespacio no le pertenece a nadie; todos pueden participar y tienen interés en

ello.

A los fines de esta Norma Internacional, las partes interesadas en el ciberespacio

se clasifican en los siguientes grupos:

- consumidores, incluidos individuos y organizaciones privadas y públicas;

- proveedores incluidos, pero no limitado a servicio de Internet

7.2 Consumidores

Como se describe en la Figura 3, los consumidores se refieren a usuarios

individuales, así como a organizaciones públicas y privadas. Las organizaciones
privadas incluyen pequeñas y medianas empresas (PYME), así como grandes
empresas. El gobierno y otras agencias públicas se denominan colectivamente
organizaciones públicas. Un individuo o una organización se convierte en
consumidor cuando accede al Ciberespacio o cualquier servicio disponible en el
Ciberespacio.

Un consumidor también puede ser un proveedor si a su vez proporciona un

servicio en el Ciberespacio o permite que otro consumidor acceda al
Ciberespacio. Un consumidor de un servicio de mundo virtual puede convertirse
en proveedor al poner a disposición de otros consumidores productos y
servicios virtuales.

7.3 Proveedores

Los proveedores se refieren a proveedores de servicios en el Ciberespacio,

así como a proveedores de servicios de Internet que permiten a los
consumidores acceder al Ciberespacio y a los diversos servicios disponibles
en el Ciberespacio.

Los proveedores también pueden entenderse como operadores o mayoristas, en

comparación con los distribuidores y minoristas de servicios de acceso. Esta
distinción es importante desde el punto de vista de la seguridad y, especialmente,
de la aplicación de la ley, porque, en el caso de que un distribuidor o minorista no
pueda proporcionar seguridad adecuada o acceso legal, los servicios de soporte a
menudo volverán a ser el proveedor o el mayorista. Comprender la naturaleza de
 un proveedor de servicios dado es un elemento útil en la gestión de riesgos del
ciberespacio.

Los proveedores de servicios de aplicaciones ponen los servicios a disposición

de los consumidores a través de su software. Estos servicios toman muchas
formas e incluyen combinaciones de la siguiente lista no exhaustiva:

- edición de documentos, almacenamiento, distribución;

- entornos virtuales en línea para entretenimiento, comunicaciones e interacción

con otros usuarios;

- repositorios de medios digitales en línea con agregación, indexación, búsqueda,

escaparate, catálogo, carrito de compras y servicios de

pago; y

- funciones de gestión de recursos empresariales, como recursos humanos,

finanzas y nóminas, gestión de la cadena de suministro, relación con el
cliente, facturación.

8 activos en el ciberespacio

8.1 Descripción general

Un activo es cualquier cosa que tenga valor para un individuo o una organización. Existen
muchos tipos de activos, que incluyen, entre otros:

a) información;

b) software, como un programa de computadora;

c) físico, como una computadora;

d) servicios;

e) las personas, sus calificaciones, habilidades y experiencia; y

F) intangibles, como reputación e imagen.

NOTA 1: A menudo, los activos se ven de manera simplista solo como información o
recursos.

NOTA 2 ISO / IEC 15408-1: 2005 define un activo como información o recursos para ser
protegidos por los controles de un TOE (objetivo de evaluación).
NOTA 3 ISO / IEC 19770-1 se ha desarrollado para permitir que una organización
demuestre que está realizando Software Asset Management (SAM) con un estándar
suficiente para satisfacer los requisitos de gobierno corporativo y garantizar un soporte
efectivo para la gestión de servicios de TI en general. ISO / IEC 19770 está diseñado
para alinearse estrechamente con ISO / IEC 20000 y para soportarlo.

NOTA 4 ISO / IEC 20000-1 promueve la adopción de un enfoque de proceso integrado al

establecer, implementar, operar, monitorear, medir, revisar y mejorar un Sistema de
Gestión de Servicios (SMS) para diseñar y entregar servicios que satisfagan las
necesidades comerciales y los requisitos del cliente.

A los fines de esta Norma Internacional, los activos en el Ciberespacio se clasifican en los
siguientes

clases personal y organizativo.

Para ambas clases, un activo también puede clasificarse como

- un activo físico, cuya forma existe en el mundo real, o un activo virtual, que solo existe
en el Ciberespacio y no se puede ver ni tocar en el mundo real.

8.2 Bienes personales

Uno de los activos virtuales clave es la identidad en línea de un consumidor individual y

su información de crédito en línea. La identidad en línea se considera un activo, ya que
es el identificador clave para cualquier consumidor individual en el ciberespacio.