Introducción a Estándares de

Ciberseguridad
Sesión N°1 – Introducción a los Estandares de
Ciberseguridad
Profesor
Carlos Lobos de Medina
 Agenda
Introducción a
Estándares de
Ciberseguridad
• Presentación del Programa del Curso
• Visión general de los estándares
• Estándares ISO
• Introducción a los sistemas de gestión – Anexo SL
• Organizaciones profesionales y estándares
• Estándares gubernamentales

2
Introducción a
Estándares de
Ciberseguridad

Presentación del Programa

3
 Características Generales
Introducción a
Estándares de
Ciberseguridad • Curso de 6 sesiones de formación introductoria a los principales
Estándares de Ciberseguridad.

• Inicio: 15 de febrero
• Término: 26 de febrero

• Horario: Lunes, Miércoles y Viernes de 19:30 a 22:00

• Break: 20 minutos de 20:30 a 20:50

• Duración: 30 horas (21 presenciales + 9 Actividades)

4
 Introducción a Estándares de Ciberseguridad
Introducción a
Estándares de
Ciberseguridad
• El curso es de nivel Introductorio y contempla el desarrollo
de las siguientes sesiones:

• Sesión 1: Introducción a los Estándares de Ciberseguridad

• Sesión 2: ISO 27.001 e ISO 27.002 – Gestión de la Seguridad de la
Información
• Sesión 3: ISO 22.301 – Gestión de la Continuidad del Negocio
• Sesión 4: ISO 27.035 – Gestión de Incidentes de Seguridad de la
Información
• Sesión 5: PCI/DSS – Estándares de Seguridad de Datos para la
Industria de Tarjeta de Pago

5
 Introducción a Estándares de Ciberseguridad
Introducción a
Estándares de
Ciberseguridad
• El curso es de nivel Introductorio y contempla el desarrollo
de las siguientes sesiones:

• Sesión 6: ISO 27.701 – Gestión de la privacidad de la información

• Sesión 7: ISO 20.000 – Gestión de Servicios de TI
• Sesión 8: COBIT – Un marco para Gobierno y Gestión de las TI
• Sesión 9: Framework de Ciberseguridad del NIST

La sesión N°9 se pondrá a disposición del alumno la evaluación final

del curso.

6
 Evaluación y criterios de aprobación
Introducción a
Estándares de
Ciberseguridad • Para aprobar el curso:
• Debe asistir a un 70% de las clases a lo menos.
• Debe aprobar la evaluación con nota superior o igual a 5,0.

• De cumplir con ambos requisitos se le proporcionará el certificado e insignia del

curso.

• La evaluación es de carácter formativo e introductorio, la cual es abierta y

asincrónica, pudiendo revisar su contenido las veces que estime necesario para su
resolución.

NOTA:
• Tenga cuidado con el nombre que emplea en la conexión de la clase a Zoom, ya que
a partir de este se realizará el calculo de asistencia.

7
 Certificación
Introducción a
Estándares de
Ciberseguridad • De cumplir con ambos requisitos se le proporcionará el certificado e insignia del
curso por parte de capacitación USACH.

• Si aprueba este más dos más de los cursos gratuitos que estaremos ofreciendo
podrá alcanzar la certificación de Herramientas Digitales de Ciberseguridad.

2 cursos Introductorios
de Seguridad de la
Información y/o
Ciberseguridad

• Si desea obtener mayor información de los cursos gratuitos, cursos certificados y

programas de diplomado visite: www.diplomadociberseguridad.com
8
 Diplomados de Ciberseguridad
Introducción a
Estándares de
Ciberseguridad • Actualmente son 4 los diplomados que estamos ofreciendo:
• Diplomado en Gobernanza, Gestión y Auditoria a la Ciberseguridad
• Diplomado en Implementación de Sistemas de Gobierno y Gestión de Ciberseguridad.
• Diplomado en Herramientas de Ciberseguridad
• Diplomado en Auditoría a la Ciberseguridad

• https://diplomadociberseguridad.com/diplomados/

• Son más 25 cursos que dictaremos en el año, cada diplomado tiene una estructura flexible, tu
escoges que cursos hacer y cuando.

• https://diplomadociberseguridad.com/proximos-cursos/

• Hasta el 15 de Marzo existe un precio promocional.

9
 Profesor del Curso
Introducción a
Estándares de
Ciberseguridad • Ingeniero Civil en Informática y Magister en Informática (c)
de la Universidad de Santiago de Chile, Diplomado en
Auditoría de Sistemas, Post-título en Seguridad
Computacional y Gestión de Procesos de Negocios de la
Universidad de Chile. Profesor de los cursos de
Introducción a la Criptografía y Taller de Aplicaciones
Criptográficas del Magíster en Seguridad, Peritaje y
Auditoría en Procesos Informáticos de la Universidad de
Santiago.

clobos

carlos.lobos@usach.cl

10
Introducción a
Estándares de
Ciberseguridad

Introducción a los estándares de ciberseguridad

11
 ¿Qué es un estándar o buena práctica?
Introducción a
Estándares de
Ciberseguridad ¿Cuál es su visión?

12
 ¿Qué es un estándar o buena práctica?
Introducción a
Estándares de
Ciberseguridad
Puede significar muchas cosas!!!!

Profesionalmente el conocimiento de herramientas muy

demandadas en el ámbito laboral.

Para el Auditor un criterio de auditoría para desarrollar su función.

Para la Gerencia una herramienta para demostrar su due deligence

en materias de ciberseguridad.

Para los Accionista mayor confianza de su inversión.

Para un Cliente mayor confianza en alguna institución.

13
 Cosas en común de los estándares
Introducción a
Estándares de
Ciberseguridad Establecen buenas prácticas
Son complementables con otros estándares
No son exclueyentes

Deben adecuarse en contexto

Salvo estándares de naturaleza sectorial

Son creados por grupos de expertos y validados

No todos y es por eso que se confía más en unos que otros

No todos son gratuitos

Pese a que la mayoría se pueden encontrar en la Web

14
 Cosas en común de los estándares
Introducción a
Estándares de
Ciberseguridad Establecen buenas prácticas
Son complementables con otros estándares
No son exclueyentes

Deben adecuarse en contexto

Salvo estándares de naturaleza sectorial

Son creados por grupos de expertos y validados

No todos y es por eso que se confía más en unos que otros

No todos son gratuitos

Pese a que la mayoría se pueden encontrar en la Web

15
 Problemas cuando trabajamos con estándares
Introducción a
Estándares de
Ciberseguridad Son demasiados
Ya veremos algunos

No se comprende muchas veces su alcance

Son guías, directrices, modelos de madurez, controles, procesos, referencia,
declaraciones, frameworks, marcos, etc.

No se comprende su uso
Menudo problema!!!

Se espera más de lo que son

Principalmente por desconocimiento de como trabajan y se integran

16
Introducción a
Estándares de
Ciberseguridad

Organización Internacional para la Estandarización - ISO

17
 International Organization for Standardization - ISO
Introducción a
Estándares de La Organización Internacional para la Estandarización es una organización
Ciberseguridad independiente, no gubernamental con presencia en 164 países.

En base a 784 comités técnicos y subcomité desarrollan buenas prácticas para

soportar la innovación y provee de soluciones para los desafíos globales.

Es conocida por la estandarización de normas y buenas prácticas en las más

amplias materias y alcances.

Las normas se crean en base a las necesidades globales, pudiendo estas ser una
estandarización de buenas prácticas existentes, una actualización de estas o
algo totalmente nuevo.

El acrónimo ISO proviene del vocablo griego ISO, el cual significa igual.

18
 Creación de un estándar ISO
Introducción a
Estándares de La creación de un estándar ISO busca satisfacer las necesidades del mercado
Ciberseguridad en un área especifica.

Algunos de sus principios son:

Responde a necesidades del mercado
Basados en la opinión de expertos
Desarrollados con partes interesadas multisectoriales
Basados en un consenso

Los diversos comités existentes coordinan la participación de actores

relevantes de la industria para participar en el desarrollo de los estándares.

En particular el estándar ISO 27001 es desarrollado por el Comité Técnico

ISO/IEC JTC 1/SC 27, el cual trabaja en conjunto con International
Electrotechnical Commission (IEC)

19
 Proceso de creación de una norma
Introducción a
Estándares de
Ciberseguridad
Obedece a un proceso estructurado de desarrollo, el cual esta establecido es
etapas y subetapas.

PWI – Objeto de Trabajo Preliminar

NP – Nueva Propuesta

WD – Borrador de Trabajo

FCD – Borrador Final de Comité

DIS – Borrador de Estándar Internacional

FDIS – Borrador Final de Estándar

CD – Borrador de Comité

https://www.iso.org/stages-and-resources-for-standards-development.html
20
 Estado de revisión de estándares ISO 27.000
Introducción a
Estándares de Cada 5 años los estándares deben ser revisados. Algunos de los estándares en
Ciberseguridad
proceso de revisión en el ámbito de las serie ISO 27.000.

https://www.iso.org/committee/45306/x/catalogue/p/0/u/1/w/0/d/0

21
 Pero… las normas no cambian tan rápidos
Introducción a
Estándares de
Ciberseguridad  Cada 5 años se revisa cada norma, no obstante que esto puede demorar algo más en desarrollarse.

 La transición de la ISO 27.001:2005 a la 27.001:2013 duro 8 años.

 La actualización de la ISO 9.001, el más popular de los estándares ISO tuvo una duración de 7
años.

 La actualización de la ISO 14.000, la segunda en popularidad, tomo 11 años en su revisión.

 Se espera al 2021 la publicación de la norma ISO 27.002.

22
 ISO Survey 2019 – Certificación por Sistema
Introducción a
Estándares de
Ciberseguridad
Estudio global realizado por la ISO

En Chile hay 77 empresas certificadas en ISO 27.001, 13 en ISO 20.000 y 15 en ISO 22.301.

• Fuente: ISO Survey 2019.

23
 INN – Instituto Nacional de Normalización
Introducción a
Estándares de
Ciberseguridad Es la entidad local representante en Chile de ISO, responsables de la
elaboración Normas Técnicas para los distintos sectores productivos.

Proporciona un servicio en línea para acceder a documentos técnicos, tanto

normas chilenas (NCh), como a normas de otros organismos internacionales.

Acredita en los siguientes esquemas de acreditación:

Organismos de certificación de sistemas
Organismos de certificación de productos
Organismos de certificación de personas
Laboratorios de ensayos, calibración y clínicos
Organismos de inspección
Entidades de verificación
Proveedores de ensayos de aptitud

24
Introducción a
Estándares de
Ciberseguridad

Introducción a los Sistemas de Gestión – Anexo SL

25
 Estructura de los Sistemas de Gestión
Introducción a
Estándares de
Ciberseguridad
Desde el año 2012 a la fecha la publicación de las normas ISOs que definen
Sistemas de Gestión presenta una estructura común definida en el Anexo SL.

26
 Modelo PDCA - PHVA
Introducción a
Estándares de Intrínsicamente todos los estándares ISO que definen Sistemas de Gestión poseen el
Ciberseguridad enfoque de mejora continua basado en el ciclo PDCA o circulo de calidad de Deming

El ciclo PDCA o PHVA en español se estructura en torno al planificar (plan), hacer

(do), verificar (check) y actuar (act).

27
 Ejemplo desde ISO 20.000, 27.001 y 22.301
Introducción a
Estándares de
Ciberseguridad Clausula ISO 20.000 ISO 22.301 ISO 27.001
1 Objeto y ámbito de aplicación.
2 Referencias normativas
3 Terminología ISO 20.000-1 Terminología ISO 22.300 Terminología ISO 27.000

4 Contexto Interno y Externo, Partes Interesadas y Alcance

5 Liderazgo, roles, responsabilidades y Política.
6 Gestión de Servicios, Análisis de Riesgos, Análisis Gestión de Riesgos.
Riesgos y Procesos. del Impacto en el Negocio y controles y plan de
Planes de Continuidad tratamiento
7 Recursos, Competencia, Concienciación, Comunicaciones y Gestión Documental
8 Operación del Sistema de Gestión (Implementación)
9 Revisión de Objetivos, Auditoría Interna y Revisión de la Dirección
10 Opciones de mejora, acciones correctivas  Mejora Continua

28
 Estructura general de la norma
Introducción a
Estándares de
Ciberseguridad

• Fuente: AENOR, 2018.

29
 Beneficios del Anexo SL
Introducción a
Estándares de
Ciberseguridad La estandarización que poseen los sistemas de gestión facilita su
adopción de manera integrada.

Muchos son los beneficios de estos:

Desarrollar una política general única
Emplear un único sistema de gestión documental
Establecer mecanismos de revisión de la dirección integrado
Realizar auditorías conjuntas a los sistemas de gestión
Establecer mecanismos de mejora continua integrados
…..

Hoy en día muchas organizaciones avanzan a:

ISO 9.000 + ISO 27.001
ISO 9.000 + ISO 20.000
ISO 9.000 + ISO 27.001 + ISO 22.301
ISO 9.000 + ISO 20.000 + ISO 27.001
30
Introducción a
Estándares de
Ciberseguridad

Organizaciones Profesionales y Estándares

31
 Regulaciones Sectoriales
Introducción a
Estándares de
Ciberseguridad A nivel global cada vez son más la regulaciones que se establecen a
nivel de sector industrial tendientes a fortalecer los mecanismos de
control y tener una gestión de riesgo más proactiva de los activos de
información.

El sector financiero en general es quien lleva la delantera, otros

sectores muy regulados son el sector eléctrico, telecomunicaciones y
salud.

A nivel global también muchas iniciativas gubernamentales han sido

desarrolladas.

32
 Serie de Normas ISO 27.000
Introducción a
Estándares de
Ciberseguridad La lista de estándares en la serie es considerable, analizaremos algunos
de los más relevantes.

De Línea Base
ISO 27.000:2018 – Vocabulario
ISO 27.003:2017 – Guía de Implementación
ISO 27.004:2016 – Métricas y monitoreo
ISO 27.005:2018 – Gestión de Riesgos Seguridad de la Información

Buenas Prácticas
ISO 27017:2015 – Controles para los servicios de Cloud
ISO 27018:2019 – Controles para la protección de PII en la nube
ISO 27032:2012 – Directrices de Ciberseguridad
ISO 27035:2016 – Gestión de Incidente en SI

33
 ISO 27.000:2016 – Vocabulario
Introducción a
Estándares de
Ciberseguridad

34
 ISO 27.003:2017 – Guía de Implementación
Introducción a
Estándares de
Ciberseguridad

35
 ISO 27.004:2018 – Métricas y Monitoreo
Introducción a
Estándares de
Ciberseguridad

36
 ISO 27.005:2018 – Gestión de Riesgos de Seg. Información
Introducción a
Estándares de
Ciberseguridad

Se basa en
ISO 31.000

Gran similitud en
etapas y gestión
requerida

Principales
diferencias en la
identificación y
estimación del
riesgo

37
 ISO 27.017:2015 – Controles para los servicios de Cloud
Introducción a
Estándares de ISO 27017 tiene como objetivo la implementación de controles para
Ciberseguridad organizaciones que emplean o proporcionan servicios en la nube.

Basada en la ISO 27002, amplía controles específicos para las necesidades de

las organizaciones de la nube y sus usuarios finales, actualiza 37 controles de la
ISO 27002, y propone 7 nuevos controles:
Responsable entre el proveedor del servicio y el cliente
La eliminación de activos cuando concluye un contrato
Protección y separación del entorno virtual del cliente
Configuración de una máquina virtual
Operaciones y procedimientos adm. en el entorno cloud
Seguimiento de la actividad de clientes en el cloud
Alineamiento del entorno de la red virtual y cloud

La norma se encuentra alineada a las prácticas establecidas en el CSA Star del

Cloud Security Alliance

38
 ISO 27.018:2019 – PII en la nube
Introducción a
Estándares de Tiene por objetivo proteger la Información de Identificación Personal (PII)
Ciberseguridad almacenada o procesada en servicios de cloud.

Basada en la ISO/IEC 27002 amplía con nuevos controles específicos para PII
(25) y refuerza los ya existentes orientados a PII (16).

ISO 27002 ISO 27018 – Controles adaptados

5. Política de Seguridad de la Inf. 5.1.1
6. Organización de la Seguridad de la Inf. 6.1.1
7. Seguridad de los Recursos Humanos 7.2.2
9. Control de acceso 9.2, 9.2.1, 9.4.2
10. Criptografía 10.1.1
11. Seguridad física y del entorno 11.2.7
12. Seguridad en la operaciones 12.1.4, 12.3.1, 12.4.1, 12.4.2
13. Seguridad de las comunicaciones 13.2.1
16. Gestión de incidentes 16.1, 16.1.1
18. Cumplimiento 18.2.1

39
 ISO 27.032:2012 – Directrices de Ciberseguridad
Introducción a
Estándares de
Ciberseguridad El foco de esta Norma es abordar los temas de la protección del Ciberespacio o
Ciberprotección
Cibercrimen Ciberseguridad
Protección de la Información

Protección de Aplicaciones

Ciberprotección

Protección Protección
de Red de Internet

Protección de la Infraestructura Critica

40
 ISO 27.035:2016 – Gestión de Incidente en SI
Introducción a
Describe en detalle el proceso de gestión de incidentes, proporcionando directrices especificas
Estándares de
Ciberseguridad
para su implementación:
Flujogramas y descripciones del proceso
Formularios para la gestión y categorización
Ejemplos detallados

Proceso de Gestión de Incidentes

Planificación y Detección y Evaluación y Lecciones

Respuesta
Preparación Reporte Decisión Aprendidas

Es guía esencial para la implementación de la gestión de incidentes en las organizaciones.

Provee mucha información práctica en la parte 2.

41
 Ecosistema de Normas para la Ciberseguridad
Introducción a
Estándares de
Ciberseguridad

ISO 27014
Gobierno de la
Ciberseguridad

ISO 27701
Gestión de la
Privacidad

ISO 27033
Seguridad en Redes

ISO 27034
Seguridad en
Aplicaciones

ISO 27037
Evidencia
Electrónica

42
 Qué es COBIT y Qué no es COBIT
Introducción a
Estándares de COBIT ES:
Ciberseguridad
Un framework de gobernanza y gestión de la información y tecnología
empresarial.
COBIT define las componentes para construir y soportar un sistema de
gobierno
COBIT define los factores de diseño que debería ser considerados por
las empresas para construir un sistema de gobierno
COBIT es flexible y permite su articulación con otras definiciones

COBIT NO ES:
Una descripción detallada de el entorno de TI de una empresa
Un framework para organizar los procesos de negocio.
Un modelo técnico de TI para gestionar todas las tecnologías
COBIT no toma ni prescribe ninguna decisión relacionada con TI

COBIT: Objetivos de Control para la información y tecnologías relacionadas

43
 Evolución de COBIT
Introducción a
Estándares de
Ciberseguridad

44
 Componentes del Sistema de Gobierno
Introducción a
Estándares de
Ciberseguridad
Con el objetivo de cumplir con los
objetivos de gobierno y gestión,
cada empresa debe establecer,
personalizar y sostener un sistema
de gobierno creado a partir de una
serie de componentes.

Estas componentes son factores

que, de forma individual y colectiva,
contribuyen al funcionamiento del
sistema de gobierno de la empresa
en cuanto a I&T.

Los componentes interactúan entre

sí, lo que da lugar a un sistema
holístico de gobierno de I&T.

45
 Objetivos de Gobierno y Gestión
Introducción a
Estándares de
Ciberseguridad

46
 Modelos de referencia considerados en COBIT
Introducción a
Estándares de
Ciberseguridad

 Los estándares referidos son en los cuales se basan principalmente los

objetivos de información y tecnologías.

47 Fuente: COBIT 2019 Executive Summary

 Publicaciones de COBIT 2019
Introducción a
Estándares de
Ciberseguridad El documento base del marco de COBIT, un resumen de todo.
Incorpora una definición general de gobernanza y actualiza los
principios de COBIT al tiempo que establece la estructura del
marco general.
Desarrolla a un nivel general cada una de las componentes de
COBIT, las cuales son desarrolladas en las otras publicaciones.
Es gratuito para miembros de ISACA.

El documento clave del marco de COBIT.

Esta publicación proporciona una descripción exhaustiva de los 40
objetivos de gobierno y gestión principales definidos en el modelo
Core de COBIT, los procesos incluidos en ella, otros componentes
relacionados, y referencias a guías relacionadas, como otros
estándares y marcos de referencia.
Es gratuito para miembros de ISACA.

48
 CIS Controls - Center for Internet Security
Introducción a
Estándares de  CIS Controls es un conjunto de acciones priorizadas que
Ciberseguridad
colectivamente forman un conjunto de mejores prácticas de defensa
que mitigan los ataques más comunes contra sistemas y redes

 Principios claves:
 La ofensa informa a la defensa
 Priorización
 Mediciones y métricas
 Diagnóstico y mitigación continuos
 Automatización

49
 Los controles del CIS
Introducción a
Estándares de
Ciberseguridad

50
 Estructura de los controles
Introducción a
Estándares de  Descripción de la importancia de cada control (¿Por qué es importante
Ciberseguridad
este control?) en cuanto al bloqueo o identificación de un ataque y una
explicación de cómo un atacante explota activamente la ausencia de
dicho control

 Una tabla de acciones específicas ("sub-controles") que una

organización debe tomar para implementar el control

 Procedimientos y herramientas que permiten la implementación y

automatización del control

 Ejemplo de diagramas de relaciones de entidades que muestran los

componentes de la implementación.

51
 Ejemplo de Control y subcontroles – Control Critico #2
Introducción a
Estándares de
Ciberseguridad

52
 Ejemplo de Diagrama de Entidad – Control
Introducción a
Critico #2
Estándares de
Ciberseguridad

53
 Framework de Ciberseguridad del NIST
Introducción a
Estándares de  Revisaremos desde el Framework
Ciberseguridad

54
Introducción a
Estándares de
Ciberseguridad

Estándares Gubernamentales y Sectoriales

55
 Regulaciones Sectoriales
Introducción a
Estándares de
Ciberseguridad A nivel global cada vez son más la regulaciones que se establecen a
nivel de sector industrial tendientes a fortalecer los mecanismos de
control y tener una gestión de riesgo más proactiva de los activos de
información.

El sector financiero en general es quien lleva la delantera, otros

sectores muy regulados son el sector eléctrico, telecomunicaciones y
salud.

A nivel global también muchas iniciativas gubernamentales han sido

desarrolladas.

56
 Sector Público en Chile
Introducción a
Estándares de
Ciberseguridad Desde el 2007 que se encuentra instaurado el proceso de gestión de
riesgos del Estado, liderado por el Consejo de Auditoría Interna
General de Gobierno (CAIGG), basado principalmente en ISO 31.000.

Desde el 2010 se comenzó a desarrollar un Programa de Seguridad de

la Información, el cual se basaba principalmente en la adopción de los
controles ISO 27.002. Desde el 2019 el programa ya no se realiza.

Existe una Política de Ciberseguridad, directrices para la gestión de

incidentes al interior del Estado y un CSIRT.

Diagnostico: Falta mucho por hacer!!!

57
 Sector Financiero
Introducción a
Estándares de
Ciberseguridad Desde el 2021 es obligatoria una normativa especial de
Ciberseguridad, la RAN 20-10

Tiene mucho alineamiento con ISO 27.002 y posee una visión bancaria.

De tiempo han establecido definiciones en materias de:

Continuidad Operacional (RAN 20-9)
Gestión de Incidentes (RAN 20-8)
Gestión de Proveedores (RAN 20-7)

https://www.cmfchile.cl/portal/principal/605/w3-propertyvalue-29580.html

58
 Otros sectores regulados
Introducción a
Estándares de
Ciberseguridad Ya definidos:
Financiero
Telecomunicaciones
Coordinador Eléctrico Nacional
Superintendencia de Pensiones

En Consulta:
Superintendencia de Casinos y Juegos

59
Introducción a
Estándares de
Ciberseguridad

Conclusiones

60
 Conclusiones
Introducción a
Estándares de
Ciberseguridad Cada vez son más las regulaciones en sectores industriales, las cuales
no hacen otra cosa más que responder a las necesidades de
ciberseguridad y establecer los mecanismos de control mínimos, si
como Ud. lee mínimos.

Sin duda que quienes se desempeñen en dichos sectores tienen y

tendrá importantes desafíos para su adopción, donde el uso de
estándares y buenas prácticas sin duda que les serán de gran ayuda.

Y que ocurre con los proveedores de empresas reguladas? Cada vez se

les hace más extensibles las regulaciones impuestas.

El uso de estándares no es algo EMIFERO!!!

61
Introducción a Estándares de
Ciberseguridad