Saltar la navegación

Directrices para Implementar controles de Ciberproteccion

12.2 Controles a nivel de aplicación

Controles Aplicacion

  • Exponer notificaciones cortas de las políticas online esenciales de la compañía (información recopilada)
  • Asegurar el manejo de sesiones para las aplicaciones web (Cookies)
  • Asegurar la validación y manejo de las entradas para prevenir ataques comunes (SQL Injection)
  • Asegurar el scripting de la pagina web para prevenir ataques comunes (Cross-Site-Scripting)
  • Revisar y testear la seguridad de los códigos por medio de entidades cualificadas
  • Autenticar los servicios de la organización (sub-dominio, credenciales https registradas a nombre de la organización)

ISO 27032:2015 Clausula 12.2 Controles a Nivel de Aplicación

Los controles a nivel de aplicación incluyen los siguientes:

  1. Exponer notificaciones cortas con resúmenes claros, concisos y de una sola pagina (con n lenguaje simple) de las políticas online esenciales de la compañía. Mediante estas notificaciones, los usuarios pueden tomar decisiones mas informadas acerca de compartir su información online. Estas notificaciones cortas deberían estar en conformidad con todos los requisitos normativos y proveer links a declaraciones completas y otra información relevante, para que los consumidores que quieran mas detalles puedan hacer click fácilmente para leer la versión completa. Con una sola notificación, los consumidores pueden tener un acercamiento mas consistente acerca de los bienes de la compañía, con los mismos estándares y expectativas de privacidad, que se extienden a numerosos sitios.
  2. Asegurar el manejo de sesiones para las aplicaciones Web. Esto puede incluir mecanismos online como cookies
  3. Asegurar la validación y manejo de las entradas para prevenir ataques comunes, tales como la Inyección SQL. En base a que los sitios Web, en general se consideran como confiables, se esta usando cada vez mas para la distribución de códigos maliciosos, la validación de entrada y salida se debe realizar mediante un contenido activo y mediante un contenido dinámico.
  4. Asegurar el scripting de la pagina Web para prevenir ataques comunes como las Secuencias de Ordenes en Sitios Cruzados o Cross-Sire Scripting.
  5. Revisar y testear la seguridad de los códigos por medio de entidades cualificadas apropiadamente.
  6. El servicio de la organización, ya sea provisto por la organización o por un aparte que represente a la organización, se debería proveer de manera que el consumidor pueda autenticar dicho servicio. Esto puede incluir haciendo que el proveedor use un sub-dominio desde un nombre de dominio con marca registrada de la organización y posiblemente el uso de credenciales HTTPS registradas a nombre de la organización. El servicio debería evitar el uso de métodos engañosos donde los consumidores tengan dificultades para determinar con quien se están relacionando.

12.3 Protección del Servidor

  • Configurar los servidores (sistemas operativos, baseline)
  • Proc. Probar e Implementar actualizaciones de seguridad
  • Realizar el seguimiento del desempeño de seguridad del servidor (registros de auditoria)
  • Revisar la configuración de seguridad
  • Ejecutar controles anti software malicioso en el servidor
  • Escanear todo el contenido alojado y subido
  • Realizar evaluaciones de vulnerabilidades y pruebas de seguridad (Apps y sitios online)
  • Hacer escaneos constante en busca de compromisos

ISO 27032:2015 Clausula 12.3 Protección del Servidor

Los controles siguientes se pueden usar para proteger a los servidores contra accesos no autorizados y el hosting de contenido malicioso en dichos servidores:

  1. Configurar los servidores, incluyendo los sistemas operativos subyacentes, de acuerdo a una guía de configuración de seguridad base. Esta guía debería incluir una definición apropiada de los usuarios de los servidores versus los administradores, reforzar los controles de acceso en los directorios y archivos de programa y sistema y habilitar el registro de auditoria de la seguridad y otros eventos de fallas en el sistema. Se recomienda instalar un sistema mínimo en un servidor para reducir el vector de ataque.
  2. Implementar un Procedimiento o sistema para probar e instalar las actualizaciones de seguridad y asegurarse de que el sistema operativo y las aplicaciones del servidor se mantengan actualizadas cuando estén disponibles nuevas actualizaciones de seguridad.
  3. Realizar el seguimiento del desempeño de seguridad del servidor a través de revisiones constantes de los registros de auditoría.
  4. Revisar la configuración de seguridad
  5. Ejecutar controles anti software malicioso (como spyware o malware) en el servidor
  6. Escanear todo el contenido alojado y subido, de manera regular, usando controles actualizados anti software malicioso. Reconocer que un archivo puede, por ejemplo, aun ser un spyware o malware sino se detecta con los controles actuales debido a limitaciones o a información incorrecta.
  7. Realizar evaluaciones de vulnerabilidades y pruebas de seguridad de manera constante para aplicaciones y sitios online para asegurarse de que se mantiene su seguridad de manera adecuada.
  8. Hacer escaneos constantes en busca de compromisos.

12.4 Controles para los usuarios finales

  • Usar sistemas operativos compatibles con los parches de seguridad mas actualizados que han sido instalados
  • Usar las ultimas aplicaciones de software compatibles con los parches mas actualizados
  • Usar herramientas antivirus y anti-spyware (ISP)
  • Implementar dispositivos de seguridad antivirus EndPoint y anti-spyware (herramientas de los navegadores web)
  • Habilitar bloqueadores de script (Configuración de seguridad alta)
  • Usar filtros de suplantación de identidad (Analizar sitios web de suplantación de identidad)
  • Usar otros elementos de seguridad disponibles (navegadores web actualizados)
  • Habilitar un firewall y un HIDS personal
  • Habilitar actualizaciones automaticas


ISO 27032:2015 Clausula 12.4 Controles para los usuarios finales

La siguiente es una lista incompleta de controles que los usuarios finales pueden usar para proteger sus sistemas contra ataques y abusos conocidos:

  1. Usar sistemas operativos compatibles con los parches de seguridad mas actualizados que han sido instalados. Los consumidores organizacionales tienen una responsabilidad de estar consientes de una política organizacional relacionada a los sistemas operativos compatibles. Los consumidores individuales deberían estar consientes del uso de sistemas operativos recomendados por el proveedor. En todos los casos, el sistema operativo se debería actualizar con respecto a los parches de seguridad
  2. Usar las ultimas aplicaciones de software compatibles con los parches mas actualizados instalados. Los consumidores organizacionales tienen una responsabilidad de estar consiente de una política organización relacionada a las aplicaciones de software compatibles. Los consumidores individuales deberían estar consientes del uso de aplicaciones de software recomendados por el proveedor. En todos los casos, el software de aplicación se debería actualizar con respecto a los parches de seguridad.
  3. Usar herramientas anti-virus y anti-spywares. Si es factible, un proveedor de servicios como un ISP debería considerar trabajar en conjunto con vendedores de seguridad confiables, para ofrecer a los usuarios finales dichas herramientas como parte del paquete de suscripción del servicio, para que los controles de seguridad estén disponibles luego de registrar la suscripción o luego de su renovación. Los consumidores organizacionales tienen la responsabilidad de estar consientes de una política organizacional relacionada al uso de herramientas de software de seguridad. Los consumidores individuales deberían usar las herramientas de software de seguridad. Estos se deberían dirigir al proveedor por cualquier software de seguridad recomendado, provisto o discontinuado. En todos los casos, el software de seguridad se debería actualizar con respecto a los parches de seguridad y a las bases de datos de firmas.
  4. Implementar dispositivos de seguridad antivirus y anti-spywares apropiados. Los navegadores Web y las barras de herramientas comunes del navegador, incorporan actualmente capacidades como bloqueadores de pop-ups que evitan que sitios Web maliciosos muestren ventanas que contienen spywares o software engañoso que puedan abusar de las debilidades del sistema o navegador o usar la ingeniería social para engañar a los usuarios para que los descarguen e instalen en sus sistemas. Las organizaciones deberían establecer una política para habilitar el uso de dichas herramientas. Las organizaciones proveedoras de servicios deberían recopilar una lista de herramientas recomendadas y se debe fomentar su uso entre los usuarios finales, con una orientación sobre sus habilitaciones y permisos concedidos para los sitios Web a los que los usuarios desearían acceder.
  5. Habilitar bloqueadores de script o una configuración de seguridad Web mas alta para asegurarse de que solo se ejecuten en un computador local los scripts que provengan de fuentes confiables.
  6. Usar filtros de suplantación de identidad. Los navegadores Web y las barras de herramientas comunes del navegador suelen incorporar esta capacidad , la que podría determinar si el sitio que esta visitando el usuario se encuentra en una base de datos de sitios Web de suplantación de identidad conocidos, o si contiene patrones de script que sean similares a aquellos que se consideren como típicos sitios de suplantación de identidad. El navegador podría proveer alertas, normalmente en forma de resaltos codificados con color, para advertir a los usuarios del potencial riesgo. Las organizaciones deberían establecer una política para habilitar el uso de dicha herramienta.
  7. Usar otros elementos de seguridad disponible, para los navegadores Web. Constantemente, a medida que surgen nuevos riesgos de Ciberprotección, los proveedores de navegadores Web y de barras de herramientas de navegador, agregan nuevas capacidades de seguridad para proteger a los usuarios en contra de riesgos. Los usuarios finales se deberían mantener actualizados acerca de estos desarrollos, al aprender acerca de dichas actualizaciones que son provistas normalmente por los proveedores de herramientas. Las organizaciones y proveedores de servicios deberían revisar de manera similar estas nuevas capacidades y actualizar las políticas y servicios pertinentes para cumplir de mejor manera las necesidades de sus organizaciones y consumidores, así como abordar los riesgos relacionados a la ciberprotección.
  8. Habilitar un firewall y un HIDS personal. Los firewall y HIDS personales son herramientas importantes para controlar los servicios de red que acceden al sistema de un usuario. Varios sistemas operativos nuevos tienen firewalls y HIDS personales incorporados. Si bien estos elementos están habilitados de manera predeterminada, los usuarios o aplicaciones pueden inhabilitarlos, lo que conlleva a exposiciones no deseadas de la seguridad de la red. Las organizaciones deberían adoptar una política sobre el uso de firewall y HIDS personales y evaluar herramientas y productos adecuados para implementar que se habilite su uso por defecto a todos los empleados. Los proveedores de servicios deberían fomentar el uso de funciones de firewall y HIDS personales y/o sugerir otros productos similares de terceros que han sido evaluados y considerados como confiables, además de educar y ayudar a los usuarios a habilitar una seguridad de red básica a nivel de sistema de usuario final.
  9. Habilitar actualizaciones automáticas. Si bien los controles de seguridad técnicos descritos anteriormente son capaces de lidiar con la mayoría de los software maliciosos en sus respectivos niveles operacionales, estos no son muy efectivos en contra del abuso de vulnerabilidades que existen en los productos de sistemas operativos y aplicaciones. Para prevenir dichos abusos, la función de actualización disponible en los sistemas operativos, así como aquellas provistas por las aplicaciones en las que confían los usuarios (por ejemplo, productos anti-spyware y antivirus evaluados por terceros confiables) se deberían habilitar para que realicen actualizaciones automáticas. Esto asegurará que los sistemas se actualicen con los últimos parches de seguridad cada vez que estén disponibles, cerrando la brecha de tiempo para que se lleven a cabo los abusos.

12.5 Controles contra los ataques de Ingeniería Social

Esta clausula provee un marco de controles aplicables para gestionar y minimizar los riesgo de Ciberprotección en relación a los ataques de ingeniería social.

La única forma eficaz de mitigar la amenaza de ingeniería social es a través de la combinación de:

  • Tecnología de Seguridad
  • Políticas de seguridad
  • Educación y formación apropiada

Por lo tanto el marco abarca:

  • Políticas de Seguridad
  • Métodos y procesos
  • Personas y organización
  • Controles técnicos aplicables


ISO 27032:2015 Clausula 12.5 Controles contra los ataques de ingeniería social

12.5.1 Visión General
Los cibercriminales recurren cada vez mas a tácticas psicológicas o de ingeniería social para tener éxito.

Ejemplo 1: El uso de correos electrónicos que contienen una URL que dirige a los usuarios desprevenidos a sitios Web de Suplantación de identidad

Ejemplo 2: Correos electrónicos fraudulentos que le piden a los usuarios dar su información de identificación personal o información relacionada a propiedad intelectual corporativa

La proliferación de las redes sociales y lo sitios de comunidad provee nuevos vehículos que habilitan aun mas la realicen de fraudes y estafas insólitas. De manera creciente, dichos ataques también están trascendiendo la tecnología, mas allá de los sistemas de PC y de la conectividad de red tradicional, aprovechando el uso de teléfonos móviles, redes inalámbricas (incluyendo bluetooth) y Voz sobre IP (VoIP)

12.5.2 Políticas de Seguridad

Se deberían determinar y documentar políticas básicas que gobiernen la creación, recopilación, almacenamiento, transmisión, intercambio, procesamiento y uso general de la información personal, organizacional y de la Propiedad intelectual en Internet.

Esto se relaciona con las Aplicaciones:

  • Mensajería instantánea
  • Blogging
  • Intercambio de Archivos P2P
  • Redes Sociales

Como parte de las políticas corporativas se deberían también incorporar declaraciones y sanciones relacionadas al mal uso de las aplicaciones en el Ciberespacio, para disuadir las practicas de mal uso por parte de los empleados y terceros en las redes corporativas o sistemas que acceden al Ciberespacio.


ISO 27032:2015 Clausula 12.5 Controles contra los ataques de ingeniería social
Los cibercriminales recurren cada vez mas a tácticas psicológicas o de ingeniería social para tener éxito.

Ejemplo 1: El uso de correos electrónicos que contienen una URL que dirige a los usuarios desprevenidos a sitios Web de Suplantación de identidad

Ejemplo 2: Correos electrónicos fraudulentos que le piden a los usuarios dar su información de identificación personal o información relacionada a propiedad intelectual corporativa

La proliferación de las redes sociales y lo sitios de comunidad provee nuevos vehículos que habilitan aun mas la realicen de fraudes y estafas insólitas. De manera creciente, dichos ataques también están trascendiendo la tecnología, mas allá de los sistemas de PC y de la conectividad de red tradicional, aprovechando el uso de teléfonos móviles, redes inalámbricas (incluyendo bluetooth) y Voz sobre IP (VoIP)

Ejemplos de Políticas:

  • Política de Gestión y Clasificación de Activos
  • Política de Gestión de Desarrollo Seguro de Software
  • Política de Gestión de Riesgos
  • Política de Gestión y Respuesta a Incidentes de Ciberseguridad
  • Política de Gestión de Continuidad del Negocio

Modelo de Política de Ciberseguridad

Algunas de las preguntas que pueden hacerse son:

  • ¿Comprendemos las amenazas a las que nos enfrentamos?
  • ¿Estamos familiarizados con el riesgo que estamos tomando?
  • ¿Conocemos que incluye el portafolio de activos?


Fuente: ISO 27003, Anexo D, Estructura de una Política

La norma ISO 27003 Anexo D propone la siguiente estructura de una política

  • Resumen de la Política: Resumido en una o dos frases (puede sr incorporado dentro de la introducción)
  • Introducción: una breve explicación de los temas de la política y el contexto de la publicación
  • Alcance: Describe el alcance de la política indicando que esta cubierto por dicha política. Esto puede ser una actividad (informática, ventas, recursos humanos, etc.), un tipo de servicio (Administrador de la Red, Programadores, Agentes de Servicio al Cliente, etc.) o un status o cargo de usuario (empleados, entidades, clientes, proveedores, etc.) o todos los usuarios de la organización. Además, en su caso, el alcance también enumera otra políticas gestionadas por esta política.
  • Objetivos: describe la intención de la política
  • Principios: describe las normas relativas (Marco de referencia) a las acciones y decisiones para alcanzar los objetivos. En algunos casos puede ser útil identificar los procesos claves relacionados con el tema de la política y las normas para el funcionamiento de los procesos (alineación con la gestión de riesgos).
  • Responsabilidades: describe quien es el responsable de las acciones para cumplir los requisitos de la política
  • Principales resultados: describe los resultados de negocio si se cumplen los objetivos (Criterios para evaluar los riesgos de Ciberseguridad)
  • Políticas relacionadas: describe otras políticas relevantes para el logro de los objetivos, por lo general, proporcionando detalles adicionales sobre temas específicos., Otros temas pueden añadirse al modelo de la política de la organización

Al redactar una política de Ciberseguridad, se debe considerar el valor de los activos de información y su relación con la implicación de cualquier perdida en el negocio. La política de ciberseguridad necesita priorizar las inversiones en áreas importantes y hacer un balance entre las áreas requeridas y todos los tipos de riesgos

Proceso de redacción de una Política

ISO 27002: Clausula 5.1.1
Un conjunto de políticas para Ciberseguridad deberá estar definido, aprobado por la dirección, publicado y comunicado a los empleados y a las partes externas relevantes.


Fuente: PECB, 2016, Lead Cibersecurity Manager

  1. Designar a un apersona responsable: Una persona debería ser designada como responsable y facultada por la Dirección para Desarrollar, revisar y evaluar la política que será publicada. Normalmente, es el Gerente del programa de Ciberseguridad quien es el responsable de la gestión y supervisión de la Política de Ciberseguridad
  2. Definir los componentes de la política: El equipo encargado de redactar la política proporciona una lista de todos los temas que se abordaran en la política
  3. Escribir las secciones: El equipo encargado de redactar la política escribe las diferentes secciones. Debemos asegurarnos de que las declaraciones se escriben en un lenguaje sencillo pero preciso para que la política sea entendida por todas las partes afectadas por su publicación. Además, debemos evitar la inclusión de especificaciones operativas o referencias a productos específicos en la política. L apolítica deber abordar el “Por qué” y especialmente el “Qué” y no el “Cómo”, el cual se detallara en los procedimientos.
  4. Validación el contenido y forma: El responsable de la política tiene que validar los contenidos para asegurarse de que la política cumple con los requisitos legales y de la norma ISO, y también de otras políticas de la organización. Por ejemplo, seria contradictorio publicar una política que permita el monitoreo y revisión de todas las comunicaciones de los empleados si, a su vez, existe una política organizacional en relación con la privacidad que lo prohíbe; también puede ser una violación a las leyes del país. En términos del formato, se deberá cerciorar que el documento cumple con la política de documentación en relación con su gestión de ciclo de vida.
  5. Validación por parte de las partes interesadas: Para garantizar el apoyo y la comprensión de la política, es común recoger los comentarios de los empleados, gerentes y otros interesados en la política. La experiencia demuestra que la etapa de validación puede ser larga, dependiendo del tamaño de la organización, su estructura organizacional y la diversidad de actores involucrados. La inclusión de estos elementos tiene un impacto directo en el momento de la validación que puede representar una razón de una a seis veces el tiempo necesario para el desarrollo de la política misma
  6. Aprobación por la dirección, Publicación y Divulgación: La política de Ciberseguridad deberá demostrar el compromiso de la dirección y ser aprobada por la dirección. La política debe ser firmada por la mas alta autoridad (gerente general, presidente), pero el proceso de aprobación puede pertenecer a un comité (Junta de directores, consejo de administradores, comité de Seguridad)
  • Intranet
  • Distribución de copias impresas
  • Reunión de Presentación
  • Sesión de orientación
  • Capacitar/Concientizar

12.5.3 Métodos y Procesos

  • 12.5.3.1 Categorización y clasificación de la información
    Información corporativa sensible, personal, Propiedad Intelectual
    Desarrollar y documentar controles de seguridad específicos
  • 12.5.3.2 Conciencia y Formación
    Actualización constante de conocimientos
  • 12.5.3.3 Pruebas
    Los empleados deberían firmar una aceptación de que ellos aceptan y entienden los contenidos de la política de seguridad (Declaración de obligaciones de Seguridad)


ISO 27032:2015 Clausula 12.5.3 Métodos y Procesos

12.5.3.1 Categorización y Clasificación de la información
Para apoyar las políticas para promover una conciencia y protección de la información corporativa clasificada y sensible personal, incluyendo las propiedades intelectuales, se deberían implementar procesos para la categorización y clasificación de la información.
Para cada categoría y clasificación de la información involucrada, se deberían desarrollar y documentar controles de seguridad específicos para la protección contra la exposición accidental y el acceso no autorizado intencional
Los usuarios en las organizaciones podrían de esta manera hacer la diferencia entre las diferentes categorías y clasificación de la información que generan, recolectan y manejan. Los usuarios pueden así ejercer la precaución necesaria y hacer uso de los controles protectores cuando utilicen el Ciberespacio
También se deberían desarrollar y publicar procedimientos de como manejar las propiedades intelectuales de una compañía, los datos personales y otra información confidencial.

12.5.3.2 Conciencia y formación
La conciencia y formación de seguridad, incluyendo la actualización constante de conocimientos y aprendizajes pertinentes, son elementos importantes para contrarrestar ataques de ingeniería social.
Como parte del programa de Ciberprotección de una organización, a los empleados y subcontratistas se les debería requerir que cursen un numero mínimo de horas de formación para asegurar que estén consientes de sus roles y responsabilidades en el ciberespacio, además de los controles técnicos que estos deberían implementar como individuos al usar el ciberespacio, además como parte del programa para contrarrestar los ataques de ingeniería social, dicha formación debería incluir contenidos como los siguientes:
Las ultimas amenazas y formas de ataques de ingeniería social, por ejemplo, como ha evolucionado la suplantación de identidad desde os sitios web falsos hasta una combinación de Spams, Cross Site Scripting y ataques de Inyección SQL.
Como la información individual y corporativa se puede robar y manipular a través de ataques de ingeniería social, otorgando un entendimiento de como los atacantes se pueden aprovechar de la naturaleza humana, como lo es la tendencia de estar de acuerdo con las peticiones hechas con autoridad (aunque esta puede ser falsa), conductas amigables, presentarse como victima y la reciprocidad entregando algo de valor o prestar ayuda.
Que información necesita estar protegida y como protegerla, de acuerdo con la política de seguridad de la información
Cuando informar o escalar un evento sospechoso o aplicación maliciosa para dirigirse a las autoridades u organismo de respuesta, y la información disponible sobre estos contactos.
Las organizaciones que proveen aplicaciones y servicios online en el ciberespacio deberían proveer materiales que cubran los contenidos anteriores dentro del contexto de sus aplicaciones o servicios, para promover la conciencia entre los suscriptores o consumidores.

12.5.3.3 Pruebas
Los empleados deberían firmar una aceptación de que ellos aceptan y entienden los contenidos de la política de seguridad de la organización. Como parte del proceso para mejorar la conciencia y asegurar que se preste atención a los riesgos, una organización debería considerar la ejecución de pruebas periódicas para determinar el nivel de conciencia y conformidad con las políticas y practicas pertinentes. Los empleados pueden contestar una prueba escrita o cursar una CBT (computer-based training) para determinar si entienden los contenidos de las políticas de seguridad dela organización. Dichas pruebas pueden incluir, pero no se limitan a, la creación de sitios dirigidos y controlados de suplantación de identidad, Spams y correos electrónicos fraudulentos, usando contenidos de ingeniería social. Al conducir dichas pruebas, es importante asegurarse que:
Los servidores y contenidos de pruebas estén todos dentro del control y comando del equipo de prueba
Se involucren, si es posible, a profesionales que tienen experiencia previa en la conducción de dichas pruebas
Los usuarios estén preparados para dichas pruebas por medio de programas de conciencia y formación
Se presenten todos los resultados en un formato global, para proteger la privacidad de un individuo, puesto que el contenido presentado en dichas pruebas puede avergonzar a los individuos y causar preocupaciones sobre la privacidad, si es que no se maneja adecuadamente.

Nota: Se puede tener en consideración la ética y la legislación de cada país.

12.5.4 Personas y Organización

  • Los individuos son los primeros blancos de los ataques de ingeniería social, una organización también puede ser una potencial victima.
  • Las personas siguen siendo el punto de entrada principal para los ataques de ingeniería social, deberían estar consientes de los riesgos relacionados con el ciberespacio
  • Las organizaciones deberían establecer políticas pertinentes y dar pasos proactivos para patrocinar programas relacionados para asegurar la conciencia y competencia de las personas

ISO 27032:2015 Clausula 12.5.4 Personas y organización
Como guía general, todas las organizaciones (incluyendo empresas, proveedores de servicios y gobiernos) deberían motivar a los consumidores en el ciberespacio a aprender y entender los riesgos de ingeniería social en el Ciberespacio y los pasos que deberían dar para protegerse a si mismo contra ataques potenciales

12.5.5 Controles técnicos aplicables contra ataques de ingeniería social:

  • Para la información sensible personal o corporativa involucrada en aplicaciones online, se debe considerar la provisión de soluciones de autenticación robustas, ya sea como parte de la autenticación de acceso y/o cuando se ejecuten transacciones criticas (2FA, MFA).
  • Para los servicios basados en la Web, las organizaciones deberían considerar usar un “Certificado de alta seguridad” para proporcionar una seguridad adicional a los usuarios online. Reducir la amenaza de ataques de suplantación de identidad.
  • Para los computadores de los usuarios, se deberían considerar asegurar un nivel mínimo de seguridad, tales como la instalación de las ultimas actualizaciones de seguridad.
    Otros controles relacionados son la alerta y cuarentena de dispositivos que están comprometidos en actividades sospechosas u observadas


ISO 27032:2015 Clausula 12.5.5 Controles técnicos aplicables

Además de establecer políticas y prácticas en contra de ataques de ingeniería social, se deberían considerar también controles técnicos y, donde sea posible, adoptarlos para minimizar la exposición y potencial de abusos por parte de los ciber criminales.
En el nivel del personal, los usuarios del ciberespacio deberían adoptar la guía 11.3
Las organizaciones y los proveedores de servicios deberían dar los pasos relevantes descritos en 11.4.4 para facilitar la adopción y uso, por parte de los usuarios, de los controles técnicos de seguridad.
Las organizaciones y proveedores de servicios también deberían adoptar las guías provistas en 11.4 las que son importantes como controles básicos en contra de los ataques de ingeniería social en el ciberespacio.
Además, se deberían considerar los siguientes controles técnicos, útiles en contra de ataques específicos de ingeriría social:

  1. Cuando hay información sensible personal o corporativa involucrada en aplicaciones online, se debe considerar la provisión de soluciones de autenticación robustas, ya sea como parte de la autenticación de acceso y/o cuando se ejecuten transacciones criticas. Una solida autenticación se refiere al uso de dos o mas factores adicionales de verificación de identidad sobre o mas allá del uso del ID y contraseña de un usuario. El segundo factor y los factores adicionales pueden ser provistos utilizando una tarjeta inteligente, token biométricos u otros tokens de seguridad de mano.
  2. Para los servicios basados en Web, las organizaciones deberían considerar usar un “Certificado de alta seguridad” para proporcionar una seguridad adicional a los usuarios online. Muchas autoridades de certificación (CA) y navegadores de internet son capaces de soportar el uso de dichos certificados, lo que reduce la amenaza de ataques de suplantación de identidad
  3. Para asegurar la seguridad de los computadores de los usuarios que se conectan al sitio o aplicación de la organización, o del proveedor de servicios en el ciberespacio, se deberían considerar controles adicionales para asegurar un nivel mínimo de seguridad, tales como la instalación de las ultimas actualizaciones de seguridad. El uso de dichos controles se debería publicar en el acuerdo de Servicios de los usuarios finales y/o en la Política de seguridad y Privacidad del sitio, según proceda.

Creado con eXeLearning (Ventana nueva)