Usuario:MichaelAlx/Taller

Estándares de ciber seguridad[editar]

De Wikipedia, la enciclopedia libre

Estándares de ciber seguridad son técnicas generalmente establecidas en materiales publicados que intentan proteger el entorno cibernético de un usuario u organización. Este ambiente incluye usuarios mismos, redes, dispositivos, todo el software, procesos, información en almacenamiento o en tránsito, aplicaciones, servicios y sistemas que pueden conectarse directamente o indirectamente a redes.

El principal objetivo es reducir los riesgos, incluyendo prevención o mitigación de ciberataques. Estos materiales publicados consisten en colecciones de herramientas, políticas seguridad, conceptos de seguridad, salvaguardas de seguridad, guías, enfoques de gestión de riesgos, acciones, capacitación, mejores, prácticas, aseguramiento y tecnologías.

Historia[editar]

Estándares de ciberseguridad han existido durante varias décadas, los usuarios y proveedores han colaborado en muchos foros nacionales e internaciones para lograr capacidades, políticas y practicas que generalmente surgen del trabajo en el consorcio de Stanford para la investigación sobre la seguridad y política de la información en la década de 1990.

Un estudio de adopción del marco de seguridad de EE.UU. De 2016 informo que el 70% de las organizaciones encuestadas consideraban el marco de seguridad NIST como la mejor practica mas popular para la seguridad informática de la Tecnología de la información (TI), pero muchos señalan que requiere una inversión significativa.  

Estándares[editar]

Las subsecciones de abajo detallan los estándares mas comunes.uy

ISO/IEC 27001 and 27002[editar]

ISO/IEC 27001, Parte de la creciente familia de estándares ISO / IEC 27000, es un estándar del sistema de gestión de seguridad de la información (SGSI), cuya última versión fue publicada en octubre de 2013 por la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC). Su nombre completo es ISO / IEC 27001: 2013 - Tecnología de la información - Técnicas de seguridad - Sistemas de gestión de seguridad de la información - Requisitos.

ISO / IEC 27001 especifica formalmente un sistema de gestión destinado a brindar seguridad de la información bajo control explícito de gestión.

ISO / IEC 27002 incorpora principalmente la parte 1 del estándar de buenas prácticas de gestión de seguridad BS 7799. Las últimas versiones de BS 7799 es BS 7799-3. Por lo tanto, a veces ISO / IEC 27002 se conoce como ISO 17799 o BS 7799 parte 1 y a veces se refiere a parte 1 y parte 7. BS 7799 parte 1 proporciona un esquema o guía de buenas prácticas para la gestión de la seguridad cibernética; mientras que BS 7799 parte 2 e ISO / IEC 27001 son normativas y por lo tanto proporcionan un marco para la certificación. ISO / IEC 27002 es una guía de alto nivel para la ciberseguridad. Es más beneficioso como guía explicativa para la gestión de una organización para obtener la certificación de la norma ISO / IEC 27001. La certificación obtenida dura tres años. Dependiendo de la organización de auditoría, ninguna o algunas auditorías intermedias pueden llevarse a cabo durante los tres años.

ISO / IEC 27001 (ISMS) reemplaza BS 7799 parte 2, pero dado que es compatible con versiones anteriores, cualquier organización que trabaje hacia BS 7799 parte 2 puede pasar fácilmente al proceso de certificación ISO / IEC 27001. También hay una auditoría de transición disponible para facilitar una vez que una organización tiene la certificación BS 7799 parte 2 para que la organización obtenga la certificación ISO / IEC 27001. ISO / IEC 27002 proporciona recomendaciones de mejores prácticas sobre gestión de seguridad de la información para uso de los responsables de iniciar, implementar o mantener sistemas de gestión de seguridad de la información (SGSI). Establece los sistemas de seguridad de la información necesarios para implementar los objetivos de control ISO / IEC 27002. Sin ISO / IEC 27001, los objetivos de control de ISO / IEC 27002 son ineficaces. Los objetivos de los controles ISO / IEC 27002 están incorporados en ISO 27001 en el Anexo A.

ISO / IEC 21827 (SSE-CMM - ISO / IEC 21827) es un estándar internacional basado en el modelo de madurez de capacidad de ingeniería de seguridad de sistemas (SSE-CMM) que puede medir la madurez de los objetivos de los controles ISO.

NERC[editar]

Un intento inicial para crear para crear estándares de seguridad de la información para la industria de la energía eléctrica fue creado por NERC en 2003 y fue conocido como NERC CSS (Cyber Security Standards) Después de las pautas de CSS, NERC evolucionó y mejoró esos requisitos. El estándar de seguridad NERC moderno más ampliamente reconocido es NERC 1300, que es una modificación / actualización de NERC 1200. La versión más nueva de NERC 1300 se llama CIP-002-3 a CIP-009-3 (CIP = Protección de infraestructura crítica). Estas normas se utilizan para asegurar sistemas eléctricos a granel, aunque NERC ha creado normas dentro de otras áreas. Los estándares del sistema eléctrico a granel también brindan administración de seguridad de la red y al mismo tiempo respaldan los procesos industriales de mejores prácticas.

NIST[editar]

Artículo principal: Instituto Nacional de Estándares y Tecnología

1. El Marco de Seguridad Cibernética del NIST (NIST CSF) "proporciona una taxonomía de alto nivel de resultados de seguridad cibernética y una metodología para evaluar y gestionar esos resultados". Su objetivo es ayudar a las organizaciones del sector privado que brindan infraestructura crítica con orientación sobre cómo protegerla, junto con protecciones relevantes para la privacidad y las libertades civiles.
2. La publicación especial 800-12 proporciona una visión general amplia de las áreas de control y seguridad informática. También enfatiza la importancia de los controles de seguridad y las formas de implementarlos. Inicialmente, este documento estaba dirigido al gobierno federal, aunque la mayoría de las prácticas en este documento también se pueden aplicar al sector privado. Específicamente, fue escrito para aquellas personas en el gobierno federal responsables del manejo de sistemas sensibles.
3. La publicación especial 800-14 describe los principios de seguridad comunes que son utilizados. Proporciona una descripción de alto nivel de lo que debe incorporarse dentro de una política de seguridad informática. Describe qué se puede hacer para mejorar la seguridad existente y cómo desarrollar una nueva práctica de seguridad. Ocho principios y catorce prácticas se describen en este documento.
4. La publicación especial 800-26 proporciona consejos sobre cómo administrar la seguridad de TI. Reemplazado por NIST SP 800-53 rev3. Este documento enfatiza la importancia de las autoevaluaciones, así como las evaluaciones de riesgos.
5. La publicación especial 800-37, actualizada en 2010, ofrece un nuevo enfoque de riesgos: "Guía para aplicar el marco de gestión de riesgos a los sistemas de información federales".
6. La publicación especial 800-53 rev4, "Controles de seguridad y privacidad para organizaciones y sistemas de información federales", publicada en abril de 2013 actualizada para incluir actualizaciones al 15 de enero de 2014, aborda específicamente los 194 controles de seguridad que se aplican a un sistema para hacerlo " más seguro".
7. La publicación especial 800-63-3, "Pautas de identidad digital", publicada en junio de 2017, actualizada para incluir actualizaciones a partir del 1 de diciembre de 2017, proporciona pautas para implementar servicios de identidad digital, incluidas pruebas de identidad, registro y autenticación de usuarios.
8. La publicación especial 800-82, Revisión 2, "Guía para la seguridad del sistema de control industrial (ICS)", revisada en mayo de 2015, describe cómo asegurar múltiples tipos de sistemas de control industrial contra ataques cibernéticos al tiempo que considera los requisitos de rendimiento, confiabilidad y seguridad específicos de ICS .