Estándares de ciberseguridad

Los estándares de ciber seguridad ^[1]​ son técnicas generalmente establecidas en materiales publicados que intentan proteger el entorno cibernético de un usuario u organización.^[2]​ Este entorno incluye a los propios usuarios, redes, dispositivos, todo el software, procesos, información en almacenamiento o tránsito, aplicaciones, servicios y sistemas que pueden conectarse directa o indirectamente a las redes.

El objetivo principal es para reducir los riesgos, incluyendo prevención o atenuación de cyber-ataques. Estos materiales publicados consisten en colecciones de herramientas, políticas seguridad, conceptos de seguridad, salvaguardas de seguridad, guías, enfoques de gestión de riesgos, acciones, capacitación, mejores, prácticas, aseguramiento y tecnologías.

Historia

Los estándares de ciberseguridad han existido durante varias décadas a medida que los usuarios y proveedores han colaborado en muchos foros nacionales e internaciones para lograr capacidades, políticas y prácticas que generalmente surgen del trabajo en el consorcio de Stanford para la investigación sobre la seguridad y política de la información en la década de 1990.^[3]​

Un estudio de adopción del marco de seguridad de EE. UU. de 2016 informó que el 70% de las organizaciones encuestadas consideraban el Marco de ciber seguridad de NIST como la mejor práctica más popular para la seguridad informática de la Tecnología de la información (TI), pero muchos señalan que requiere una inversión significativa.^[4]​

Estándares

Las subsecciones de abajo detallan los estándares más comunes.

ISO/IEC 27001 y 27002

ISO/IEC 27001, Parte de la creciente familia de estándares ISO / IEC 27000, es un estándar del sistema de gestión de seguridad de la información (SGSI), cuya última versión fue publicada en octubre de 2013 por la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC).Su nombre completo es ISO / IEC 27001: 2013 - Tecnología de la información - Técnicas de seguridad - Sistemas de gestión de seguridad de la información - Requisitos.

ISO / IEC 27001 especifica formalmente un sistema de gestión destinada a brindar seguridad de la información bajo control explícito de gestión.

ISO/IEC 27002 incorpora principalmente parte 1 del estándar de buenas prácticas de gestión de seguridad BS 7799. Las últimas versiones de BS 7799 es BS 7799-3. Por lo tanto, a veces ISO / IEC 27002 se conoce como ISO 17799 o BS 7799 parte 1 y a veces se refiere a parte 1 y parte 7. BS 7799 parte 1 proporciona un esquema o guía de buenas prácticas para la gestión de la seguridad cibernética; mientras que BS 7799 parte 2 e ISO / IEC 27001 son normativas y por lo tanto proporcionan un marco para la certificación. ISO / IEC 27002 es una guía de alto nivel para la ciberseguridad. Es más beneficioso como guía explicativa para la gestión de una organización para obtener la certificación de la norma ISO / IEC 27001. La certificación obtenida dura tres años.Dependiendo de la organización de auditoría, ninguna o algunas auditorías intermedias pueden llevarse a cabo durante los tres años.

ISO/IEC 27001 (ISMS) sustituye a BS 7799 parte 2, pero ya que es compatible con cualquier organización que trabaja hacia la BS 7799 parte 2 pueden fácilmente la transición a la norma ISO/IEC 27001 proceso de certificación. También hay una transición de auditoría disponibles para hacer más fácil una vez que una organización es de BS 7799 parte 2-certificado de la organización para convertirse en la norma ISO/IEC 27001-certificado. ISO/IEC 27002 proporciona recomendaciones de mejores prácticas en seguridad de la información de gestión para el uso por parte de los responsables de iniciar, implementar o mantener la seguridad de la información sistemas de gestión (SIGS). Estados de los sistemas de seguridad de información necesarios para implementar la norma ISO/IEC 27002 objetivos de control. Sin ISO/IEC 27001, ISO/IEC 27002 objetivos de control son ineficaces. ISO/IEC 27002 objetivos de control están incorporados en la norma ISO 27001 en el Anexo A.

ISO/IEC 21827 (SSE-CMM - ISO / IEC 21827) es un estándar internacional basado en el modelo de madurez de capacidad de ingeniería de seguridad de sistemas (SSE-CMM) que puede medir la madurez de los objetivos de los controles ISO.

NERC

Un intento inicial para crear estándares de seguridad de la información para la industria de la energía eléctrica fue creado por NERC en 2003 y fue conocido como NERC CSS (Cyber Security Standards).^[5]​ Después de las pautas de CSS, NERC evolucionó y mejoró esos requisitos. El estándar de seguridad NERC moderno más ampliamente reconocido es NERC 1300, que es una modificación/actualización de NERC 1200. La versión más nueva de NERC 1300 se llama CIP-002-3 a CIP-009-3 (CIP = Protección de infraestructura crítica). Estas normas se utilizan para asegurar sistemas eléctricos a granel, aunque NERC ha creado normas dentro de otras áreas. Los estándares del sistema eléctrico a granel también brindan administración de seguridad de la red y al mismo tiempo respaldan los procesos industriales de mejores prácticas.

NIST

1. El Marco de Seguridad Cibernética del NIST (NIST CSF) "proporciona una taxonomía de alto nivel de resultados de seguridad cibernética y una metodología para evaluar y gestionar esos resultados". Su objetivo es ayudar a las organizaciones del sector privado que proporcionan infraestructura crítica con orientación sobre cómo protegerla, junto con protecciones relevantes para la privacidad y las libertades civiles.^[6]​
2. La publicación especial 800-12 proporciona una visión general amplia de las áreas de control y seguridad informática. También enfatiza la importancia de los controles de seguridad y las formas de implementarlos. Inicialmente, este documento estaba dirigido al gobierno federal, aunque la mayoría de las prácticas en este documento también se pueden aplicar al sector privado. Específicamente, fue escrito para aquellas personas en el gobierno federal responsables del manejo de sistemas sensibles.
3. La publicación especial 800-14 describe los principios de seguridad comunes que son utilizados. Proporciona una descripción de alto nivel de lo que debe incorporarse dentro de una política de seguridad informática. Describe qué se puede hacer para mejorar la seguridad existente y cómo desarrollar una nueva práctica de seguridad. Ocho principios y catorce prácticas se describen en este documento.
4. La publicación especial 800-26 proporciona consejos sobre cómo administrar la seguridad de TI. Reemplazado por NIST SP 800-53 rev3. Este documento enfatiza la importancia de las autoevaluaciones, así como las evaluaciones de riesgos.
5. La publicación especial 800-37, actualizada en 2010, ofrece un nuevo enfoque de riesgos: "Guía para aplicar el marco de gestión de riesgos a los sistemas de información federales".
6. La publicación especial 800-53 rev4, "Controles de seguridad y privacidad para organizaciones y sistemas de información federales", publicada en abril de 2013 actualizada para incluir actualizaciones al 15 de enero de 2014, aborda específicamente los 194 controles de seguridad que se aplican a un sistema para hacerlo "más seguro".
7. La publicación especial 800-63-3, "Pautas de identidad digital", publicada en junio de 2017, actualizada para incluir actualizaciones a partir del 1 de diciembre de 2017, proporciona pautas para implementar servicios de identidad digital, incluidas pruebas de identidad, registro y autenticación de usuarios.
8. La publicación especial 800-82, Revisión 2, "Guía para la seguridad del sistema de control industrial (ICS)", revisada en mayo de 2015, describe cómo asegurar múltiples tipos de sistemas de control industrial contra ataques cibernéticos al tiempo que considera los requisitos de rendimiento, confiabilidad y seguridad específicos de ICS .

ISO 15408

Este estándar desarrolla lo que se llama los "Criterios comunes". Permite que muchos productos diferentes de software y hardware se integren y prueben de forma segura.

Referencias

1. «Guidelines for Smart Grid Cyber Security». National Institute of Standards and Technology. 1 de agosto de 2010. Consultado el 30 de marzo de 2014. 
2. http://www.itu.int/ITU-T/recommendations/rec.aspx?rec=9136
3. http://fsi.stanford.edu/research/consortium_for_research_on_information_security_and_policy
4. «NIST Cybersecurity Framework Adoption Hampered By Costs, Survey Finds». Consultado el 2 de agosto de 2016. 
5. Symantec Control Compliance Suite - NERC and FERC Regulation Archivado el 22 de octubre de 2016 en Wayback Machine. Subsection: History of NERC Standards
6. «NIST Cybersecurity Framework». Consultado el 2 de agosto de 2016.