El 14 de septiembre de 2017, publicamos una versión revisada de nuestra Política de privacidad. Tu uso continuado de video2brain.com significa que aceptas este documento revisado, por lo que te recomendamos que dediques unos minutos a leerlo y comprenderlo.

Fundamentos de la ciberseguridad para profesionales IT

Estándares y frameworks de ciberseguridad

Prueba ahora LinkedIn Learning sin cargo y sin compromiso.

Prueba gratis Mostrar modalidades de suscripción
Explicaremos en qué consiste un framework o marco de ciberseguridad, enumeraremos algunos de los más extendidos e interesantes, su origen y sus puntos clave y, sobre todo, dejaremos clara su importancia y necesidad.

Transcripción

La ciberseguridad es una gran parte de la seguridad de la información, concretamente, la parte relacionada con todos aquellos recursos esencialmente técnicos relacionados con el tratamiento, almacenamiento y transmisión informática o telemática de la información de la que nuestra organización es dueña o responsable, aunque no debemos olvidar que las personas interactúan con esa información y recursos. La ciberseguridad afecta a equipos informáticos de red, sistemas operativos, aplicaciones, servicios y procedimientos involucrados con el almacenamiento, tratamiento o transmisión de información. Su objetivo es eliminar de la ecuación tantas amenazas como sea posible, minimizar el impacto y la probabilidad de las que sean inevitables, y definir protocolos de actuación para prevenir, en la medida de lo posible, los daños causados por las amenazas materializadas. Todos los Frameworks y estándares de ciberseguridad son conjuntos de ideas, definiciones, guías, sistemas organizativos de evaluación y de clasificación y procedimientos destinados a construir planes de seguridad adaptados a la medida de cada organización, basándose en plantillas genéricas ampliamente configurables, estableciendo un lenguaje común para que profesionales de distintos sectores puedan consensuar sus trabajos de forma que el riesgo de perder personal especializado no implique un problema, ya que el nuevo personal puede estar ya familiarizado con el framework en base al cual se rijan los procedimientos de ciberseguridad de una organización. Como organismo de estandarización por excelencia, tenemos en primer lugar la ISO, siglas de Organización Internacional para la Estandarización. Este organismo propone estándares para gran variedad de ámbitos como los controles de calidad de la serie 9000, o la gestión medioambiental en la 14000, que son dos de sus series de estándares más populares. Para seguridad de la información está la serie ISO 27000. En el documento inicial, el ISO 27000 da la visión general de la idea y el glosario de términos, El 27001 es el estándar principal de sistemas de gestión de seguridad de la información, también conocidos por sus siglas SGSI. Los principales estándares efectivos de la serie son el 27002, que establece los mecanismos de control de seguridad, el 27003 que es la guía de implementación del SGSI y el 27005 sobre gestión de riesgos. Otro organismo con mucho peso en seguridad de la información es ISACA, acrónimo de Asociación de Auditoría y Control de Sistemas de Información. También se trata de una organización internacional sin ánimo de lucro, pero a diferencia de ISO centrada solo en seguridad de la información. El principal recurso que pone a disposición de la organizaciones públicas y privadas es COBIT. Un framework cuyas siglas significan Objetivos de Control para IT. Actualmente está disponible la versión 5 de COBIT, que se lleva desarrollando desde 2012. La ventaja de este framework es, por un lado, que está muy especializado en la seguridad de la información, y por otro, que se nutre tanto de versiones anteriores del mismo como de los recursos ITIL e ISO entre otros. Según la propia ISACA, COBIT es un marco de trabajo para gobernar la tecnología de la empresa. Es decir, que no plantean la seguridad como un tratamiento paralelo a la actividad productiva de organizaciones, sino como parte de esa actividad para que sea más eficiente y, como se dice en seguridad, resiliente. Otra entidad a considerar por aportaciones al mundo de la seguridad en información es el NIST o Instituto Nacional de Estándares y Tecnología de EE. UU., especialmente en lo concerniente al Centro de Recursos de Seguridad Informática o CSRC que, en sus propias palabras, facilita un intercambio de herramientas y prácticas de seguridad en información, proporciona recursos para estándares y directrices de seguridad en información e identifica los recursos clave de seguridad web para apoyar a los usuarios en la industria, el gobierno y el entorno académico. Los estándares y guías de buenas prácticas, así como las instituciones que los desarrollan, tienen que pensar y diseñar su trabajo de forma global, que sea aplicable a cualquier tipo de organización sean cuales sean sus dimensiones. Pero, por importancia, los planes generales abarcan demasiado para organizaciones pequeñas como ayuntamientos y la pequeña y mediana empresa. Por este motivo, hay instituciones que han hecho un esfuerzo por hacer accesible esa estandarización en criterios de seguridad en información a estos colectivos que, aunque menos destacados, suponen una masa productiva, incluso mayor que la de grandes empresas e instituciones. De entre estos trabajos cabe destacar, por un lado, el proyecto Cyber Essentials del gobierno británico, que simplifica mucho estándares, como ISO 27000 o COBIT, para hacerlos asumibles a la pequeña y mediana empresa. Y por otro lado, el Instituto nacional de ciberseguridad de España, INCIBE, dependiente del ministerio de Energía, Turismo y Agenda Digital, cuyo principal propósito es asistir a la industria y los organismos públicos para implementar lo que han dado en llamar Planes directores de seguridad, que a grandes rasgos consisten en aplicar lo que los estándares promulgan. Como hemos dicho, estas instituciones, sus guías y estándares están enfocados a que toda organización disponga de herramientas para que la seguridad de información sea parte intrínseca de su cadena de valor. Hay estándares y guías que pueden adaptarse mejor a unos tipos de organización o a otros. Pero la clave de todos está en ser plantillas con las que poder dibujar nuestro propio esquema. Y no menos importante, desarrollar un lenguaje común, que es la herramienta más importante a la hora de estudiar, enseñar, colaborar e implementar procesos, minimizando períodos de adaptación de nuevos miembros o técnicos.

Fundamentos de la ciberseguridad para profesionales IT

Descubre distintos métodos de evaluación de riesgos y de gestión de incidentes basados en frameworks o marcos de trabajo preestablecidos de alto reconocimiento a nivel mundial.

2:58 horas (27 Videos)
Actualmente no hay comentarios.
 
Temas:
IT
Seguridad IT
Fecha de publicación:29/08/2017

Este curso video2brain está disponible como descarga y para ser visualizado online. ¡Pero no hace falta que decidas entre las dos opciones! Al comprar el curso, disfrutarás de ambas posibilidades.

La descarga te permite ver las lecciones sin estar conectado/a a internet y supone una navegación fácil y ágil entre capítulo y capítulo. Si vas a trabajar en diferentes ordenadores o si no quieres descargarte el curso completo, entra en la web con tus datos de acceso y disfruta directamente de tus vídeos online. Te deseamos que disfrutes de este curso y te resulte de mucha utilidad.

Estamos a tu disposición si tienes cualquier tipo de duda o pregunta.