ISO/IEC 27033
El estándar ISO/IEC 27033 es derivado de varias partes del estándar existente ISO/IEC 18028. Esta norma da una guía detallada de seguridad de la administración, operación y uso de las redes. Se destina a la gestión de la seguridad, aplicaciones de servicios y/o redes, seguridad de los dispositivos de red y a la seguridad de información que se pasa mediante enlaces de comunicaciones.
Alcance y propósito
ISO/IEC 27033 proporciona una guía detallada sobre la implementación de los controles de seguridad de red que se introducen en ISO/IEC 27002. Se aplica a la seguridad de los dispositivos en red y la gestión de su seguridad, aplicaciones/servicios en red y usuarios de la red. Además, también se aplica a la seguridad de la información que se transfiere a través de enlaces de comunicaciones.
Este estándar es importante para cualquier persona involucrada en la propiedad, operación o uso de una red. Esto incluye gerentes senior y otros gerentes o usuarios no técnicos, además de gerentes y administradores que tienen responsabilidades específicas de seguridad de la información y/o seguridad de la red, operación de la red y el desarrollo de políticas de seguridad. También es relevante para cualquier persona involucrada en la planificación, diseño e implementación de los aspectos arquitectónicos de la seguridad de la red.
La norma ISO/IEC 27033 incluye ideas para:
- Dar el camino que hay que seguir sobre la forma de identificar y estudiar los riesgos de seguridad de red y el concepto de los requisitos de la seguridad de la red en relación con ese análisis.
- Proporcionar una visión total de los controles que la red técnica de arquitecturas, seguridad, controles técnicos asociados, controles no técnicos admiten.
- Proporcionar las pautas de conseguir una buena calidad en la arquitectura técnica de red, y el riesgo, control y diseño de los aspectos relacionados con los escenarios típicos de la red y las áreas “tecnológicas” de la red.
- Explicar de forma muy general los asuntos asociados con los controles de seguridad de la red de operaciones, con la aplicación, y con el seguimiento y evaluación de su aplicación.
Versiones del estándar
ISO/IEC 27033-1:2009 (Revisado y reemplazado en 2015)
La versión del estándar revisa y reemplaza a la parte 1 del estándar ISO/IEC 18028.
Proporciona una hoja de ruta y una visión general de los conceptos y principios que se abordan en el estándar. Además, se añade un glosario de términos de seguridad de la información específicos de las redes y un proceso para identificar y analizar los riesgos de seguridad de las redes.
En esta versión se abordan las buenas prácticas respecto a la arquitectura de seguridad de las redes, y los aspectos de riesgo, diseño y control asociados con los escenarios de las redes y las áreas tecnológicas relacionadas
ISO/IEC 27033-2:2012
La versión del estándar revisa y reemplaza a la parte 2 del estándar ISO/IEC 18028.
El objetivo es definir la forma en la que las organizaciones deben diseñar e implementar las técnicas de seguridad para garantizar la seguridad de la red, utilizando un enfoque coherente de la planificación, el diseño y la implementación de la seguridad en la red con ayuda de la utilización de modelos de referencia.
Además, define una arquitectura de seguridad de la red para proporcionar una seguridad de la red extremo a extremo. Esta seguridad puede aplicarse en diversas redes, donde la seguridad extremo a extremos sea una prioridad.
ISO/IEC 27033-3:2010
El objetivo es definir los riesgos específicos, las técnicas de diseño y las cuestiones de control del flujo de información asociados a los escenarios típicos de las redes. En particular, examina las amenazas de manera específicamente, pero no se centra en los elementos de riesgo.
Es relevante para todo el personal que participe en la planificación, diseño e implementación de los aspectos arquitectónicos de la seguridad de la red.
ISO/IEC 27033-4:2014
La versión del estándar revisa la parte 3 del estándar ISO/IEC 18028.
Proporciona una visión general de los portales de seguridad a través de la descripción de directrices sobre la seguridad entre redes (pasarelas, cortafuegos, sistemas de protección contra intrusos) y además incluye la identificación y el análisis de las amenazas a la seguridad de la red, la definición de los requisitos de control de la seguridad y el diseño, la aplicación, el funcionamiento y la supervisión y revisión de controles.
Además, guía la selección y configuración de las pasarelas de seguridad, abordando temas como el análisis o control de tráfico de la red.
ISO/IEC 27033-5:2013
La versión del estándar revisa la parte 5 del estándar ISO/IEC 18028.
El principal objetivo es ofrecer directrices para la selección, aplicación y supervisión de los controles técnicos necesarios para proporcionar seguridad a la red utilizando VPN (Red Privada Virtual) para interconectar redes y conectar usuarios remotos a las redes.
Además, amplía las directrices de gestión de la seguridad de la tecnología de la información de la norma ISO/CEI TR 13335, ya que detalla las operaciones y mecanismos específicos necesarios para aplicar salvaguardias y controles de seguridad de la red. También introduce las amenazas de la VPN: intrusión y denegación de servicio.
Por último, introduce diferentes tipos de acceso remoto, incluidos los protocolos, los problemas de autenticación y el apoyo a la hora de configurar el acceso remoto de forma segura.
ISO/IEC 27033-6:2016
El objetivo del estándar es definir los riesgos específicos, las técnicas de diseño y las cuestiones de control para asegurar las redes inalámbricas IP. Ofrece asesoramiento básico sobre WiFi, Bluetooth, 3G y otras redes inalámbricas.
Como curiosidad, la norma indica que el cifrado es un control de integridad, mientras que normalmente otros controles y protocolos criptográficos proporcionan las funciones de integridad, mientras que el encriptado proporciona confidencialidad.