Estándares Relacionados

Esquemas con relación directa con los SGSI


Introducción

Aquellas organizaciones que ya empleen algún estándar o conjunto de buenas prácticas en seguridad de la información en base a otros modelos de gestión, obtendrán el beneficio de una adaptación y certificación en la norma ISO 27001 con un menor esfuerzo.

Además de los aquí resumidos, existen muchos otros estándares, guías, metodologías y buenas prácticas dedicados a distintos aspectos de la seguridad de la información, publicados por prestigiosas instituciones en todo el mundo con diferentes alcances a nivel local, regional y/o internacional y que tratamos de incorporar y actualizar en la sección de enlaces y herramientas.



ISO 31000 está destinada a ser una familia de normas relativas a la gestión de riesgos.

El propósito de la norma ISO 31000 es proporcionar principios y directrices genéricas sobre la gestión de riesgos.

Todos los sistemas de gestión en normas ISO hacen referencia a esta norma como documento que identifica y define todas las actividades relevantes típìcas a considerar cuando definimos nuestra propio proceso de evaluación y gestión de riesgos.

Por tanto, ISO 31000 tiene por objeto proporcionar un paradigma universalmente reconocido por los profesionales y las organizaciones que emplean procesos de gestión de riesgos para sustituir a la miríada de las actuales normas, métodos y paradigmas que difieren entre industrias, temas y regiones.

En la actualidad, la familia ISO 31000 incluye:

- ISO 31000:2018: Principios y Directrices para la implantación

- ISO/TR 31004:2013: Guía para la implementación de ISO 31000

- ISO/IEC 31010:2019: Gestión del riesgo - Técnicas de evaluación de riesgos

. ISO/FDIS 31022: Guía para la gestión de los riesgos legales

- Guía ISO 73:2009: Gestión del riesgo - Vocabulario

Todas ellas pueden ser previsualizadas parcialmente antes de su adquisición desde el enlace al publicador ISO con traducciones a otros idiomas a discrección de cada entidad nacional de normalización.

La nueva representación del proceso de gestión de riesgos en ISO 31000:2018 (edición v2) es similar al enfoque adoptado por la publicación COSO de 2004 Enterprise Risk Management - Integrated Framework (cubo COSO ERM).

ISO 31000 reconoce esta similitud al afirmar: "Aunque el proceso de gestión de riesgos a menudo se presenta como secuencial, en la práctica es iterativo" y que, queda representado en la típica figura de representación de los procesos de gestión de los riesgos, como un conjunto de pasos iterativos que se realizan de manera coordinada, pero no necesariamente en una secuencia estricta.

A grandes rasgos se refuerzo adicionalmente la idea de que los procesos de gestión de los riesgos se deben repetir de manera continua con el liderazgo determinante y directo de la alta dirección (desarrollado en el marco) y en base a unos principios fundamentales:

1. El marco y procesos deben ser personalizados y proporcionados

2. Es necesaria la participación adecuada y oportuna de las partes interesadas

3. Se requiere un enfoque estructurado e integral

4. La gestión de riesgos es una parte integral de todas las actividades de la organización

5. La gestión de riesgos anticipa, detecta, reconoce y responde a los cambios

6. La gestión de riesgos considera explícitamente cualquier limitación de la información disponible

7. Los factores humanos y culturales influyen en todos los aspectos de la gestión de riesgos

8. La gestión de riesgos se mejora continuamente a través del aprendizaje y la experiencia

El estándar ISO 31000:2009 no es susceptible de ser certificable ya que, por sí misma, no establece requisitos básicos de referencia y suficientes por sí mismos.

Por otra parte, ha sustituido otros estándares relevantes y de referencia en la gestión de los riesgos como AS/NZS 4360:2004 (referencia internacional inicial que ISO 31000 evolucionó y actualizó inicilmente en 2009) y que ha sido redenominada actualmente como AS/NZS ISO 31000.

Está disponible una guía útil de descarga directa sobre ISO 31000:2018 desarrollada por IRM (The Institute of Risk Management), AIRMIC y Alarm como documento útil para la comprensión adecuada e implantación de este estándar.

ISO 27005 sería el documento que proporciona una ayuda y referencias más directa para la definición de una metodología de análisis de riesgos que cumpla con las recomendaciones de la guía ISO 31000 al mismo tiempo que se orienta a los requisitos de norma ISO 27001.

De forma similar, BS7799-3 profundiza aunque desde una perspectiva particular como estándar británico en estos aspectos con directrices sobre evaluación de riesgos, tratamiento de riesgos, toma de decisiones por parte de la Dirección, re-evaluación de riesgos, monitorización y revisión del perfil de riesgo, riesgos de seguridad de la información en el contexto del gobierno corporativo y conformidad con otros estándares y regulaciones sobre el riesgo.

Recientemente publicada, "IWA 31:2020  Risk management — Guidelines on using ISO 31000 in management systems" que como indica en su introducción, proporciona pautas para la integración y el uso de ISO 31000 en organizaciones que han implementado uno o más estándares de sistemas de gestión ISO e IEC (MSS), o que han decidido emprender un proyecto que implementa uno o más MSS que incorporan ISO 31000. Este documento explica cómo las cláusulas de ISO 31000 se refieren a la estructura de alto nivel (HLS) para MSS. 

 



El Committee of Sponsoring Organizations of Treadway Commission (COSO) es una iniciativa del sector privado estadounidense formada en 1985.

COSO está patrocinado y financiado por cinco de las principales asociaciones e institutos profesionales de contabilidad: American Institute of Certified Public Accountants (AICPA), American Accounting Association (AAA), Financial Executives Institute (FEI), The Institute of Internal Auditors (IIA) y The Institute of Management Accountants (IMA).

Su objetivo principal es identificar los factores que causan informes financieros fraudulentos y hacer recomendaciones para reducir su incidencia.

COSO ha establecido una definición común de controles internos, normas y criterios contra los cuales las empresas y organizaciones pueden evaluar sus sistemas de control..

El modelo COSO ERM-Framework de 2004 introdujo nuevos elementos a modelos anteriores (CoCo de 1995 y COSO de 1992/94) que han sido revisados y ampliados en la versión de 2017 para tratar de ampliar el alcance original del riesgo al que iba dirigido originalmente para:

- Tratamiento de la proliferación de datos

- Aprovechamiento de la inteligencia artificial y la automatización

- Gestionar el coste de la gestión de riesgos

- Construcción de organizaciones más fuertes

COSO se puede combinar con CobiT o con ITIL como modelo de control para procesos y gestión TI, así como, utilizar para el cumplimiento de SOX.

Sarbanes-Oxley Act of 2002 (SOX) se introdujo en EEUU como ley para proteger a los inversores frente a una falsa presentación de la situación de las empresas. Entró en vigor el 30 de julio de 2002 y tiene validez tanto para empresas nacionales estadounidenses como para extranjeras que coticen en las bolsas de aquel país.

Además del registro en un servicio de inspección pública, SOX exige el establecimiento de un sistema de control interno para la elaboración de informes financieros. La ley requiere una mayor transparencia de información, amplía los deberes de publicación y formaliza los procesos que preceden a la elaboración de un informe de la empresa.

Es la ya famosa Sección 404 la que establece que la gerencia debe generar un informe anual de control interno, en el cual se confirme la responsabilidad de la dirección en la implantación y mantenimiento de unos procedimientos y una estructura de control interno adecuados para la información financiera. El marco más empleado por las empresas para cumplir con esta obligación es, precisamente, el de gestión del riesgo empresarial de COSO. 

Este sistema de control tiene también un importante reflejo en el área de seguridad de la información. Uno de los marcos que más se utilizan para implantar el sistema en esta área es CobiT. Más específicamente, ISACA tiene publicado un documento de controles TI para Sarbanes-Oxley, basado en directrices de COSO, con referencias cruzadas a CobiT.

Existe un mapeo de COBIT respecto a los controles del Anexo A de ISO/IEC 27001 para facilitar la integración de los dos esquemas.


OCEG (Open Ethics and Compliance Group) es una organización sin ánimo de lucro qué creó la metodología GRC –Government, Risk and Compliance, como un sistema integrado que permite el aprovechamiento de las sinergias que se derivan de la interactuación de las áreas de Corporate Governance, Risk Management y Compliance and Ethics.

Esta metodología pretende escapar del sesgo financiero que caracteriza a COSO y ayudar a las compañías a gestionar homogénea y centralizadamente la relación entre los objetivos y estrategias con los riesgos a los que están expuestas de cara a minimizar los posibles impactos y asegurar el cumplimiento tanto normativo como ético. 

El eje principal de la metodología defendida por la OCEG y utilizada por multitud de empresas es el aprovechamiento de sinergias y la minimización de recursos.

GRC además de ayudar a asegurar un buen gobierno y cumplimiento ayuda también a reducir el esfuerzo necesario para poder centrarse en el negocio ya que, actualmente los resultados financieros ya no son la única base del éxito de la compañía.

Los accionistas ahora quieren evidencias de que sus organizaciones llevan sus operaciones de forma eficiente, rentable y responsable. 

Impulsado por regulaciones y nuevos métodos para medir la sustentabilidad o la salud de las empresas, GRC ayuda a las organizaciones a maximizar la estrategia y el rendimiento operacional que les permitirá evaluar y administrar los riesgos de negocio, implementar eficientemente controles financieros y operacionales junto con los procesos de negocio y así crear una trasparencia a través de reportes confiables para los accionistas. 

Entre los beneficios destacables se incluyen:

- Mejor alineación de los objetivos con la misión, la visión y los valores de la organización

- Mejor agilidad y confianza en la toma de decisiones

- Rendimiento y entrega de valor confiable y sostenido

- Asignación de capital a las iniciativas adecuadas en el momento adecuado 

- Responsabilidad desde la dirección en los objetivos clave, riesgos, requisitos e iniciativas relacionadas

- Ahorros de costos significativos por capacidades integradas

Estándares como ISO 27001 pueden integrarse fácilmente en estos marcos de gobierno que típicamente se establecen en las empresas más grandes en la búsqueda de mecanismos que consoliden la toma de decisiones desde un punto de vista integral del riesgo.

ISO es la Organización Internacional para la Estandarización, creada en Febrero de 1947 y con sede en Ginebra, que cuenta con la representación de 153 países con el objetivo de lograr la coordinación internacional y la unificación de estándares en la industria.

ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission) han establecido un comité técnico conjunto específico para las Tecnologías de la Información denominado JTC1 (Joint Technical Committee). 

Dentro de dicho comité, el subcomité SC27 es el encargado del desarrollo de proyectos en técnicas de seguridad, labor que realiza a través de cinco grupos de trabajo (WG1, WG2, WG3, WG4 y WG5) y dispone de una página web donde se puede acceder a información sobre su ámbito, organización, agenda de reuniones y temas de trabajo.

Cada país miembro establece subcomités espejo que coordinan los trabajos a nivel nacional. En España, es AENOR quien tiene dicha responsabilidad. Lo hace a través del subcomité AEN/CTN 71/SC "Técnicas de Seguridad - Tecnología de la Información" y de sus correspondientes grupos de trabajo GT1, GT2, GT3, GT4 y GT5.

El Ministerio de Administraciones Públicas español ofrece en su página web una información detallada sobre todos estos aspectos, en especial de las aportaciones españolas realizadas a través del GT1.

Es el primer estándar internacional certificable para la gestión de servicios TI o que necesitan de una gestión para su provisión donde existe un número elevado de infraestructuras y/o configuraciones a gestionar de un modo controlado para beneficio de la prestación de los servicios.

Proviene del estándar británico BS 15000 que ha quedado derogado tras las publicación del estándar ISO/IEC 20000 por primera vez en 2005 a nivel internacional.

ISO 20000-1 en su última revisión (año 2018) incorpora el esquema de alto nivel denominado "Anexo SL" común a todos los sistemas de gestión en marcos ISO que faclita la integración de normas, especialmente oportuno para aquellas orgnizaciones más pequeñas-

También, se marcan diferencias sobre las mejores prácticas de marco ITIL y la prestación de servicios TI típicos que marcaron la primera versión de publicación en 2005.

Los servicios de un Sistema de Gestión de Servicios (SMS por sus sigls en inglés) pueden ser TI o cualquier otro servicio de cualquier industria que requiera esencialmente el control de los activos esenciales (tangibles o intangibles) que componen el servicio prestado/entregado a clientes (internos o externos) y que es importante controlar por la organizacion en todo su ciclo de vida.

Esto quiere decir que, aunque los procesos de ITIL siguen siendo totalmente válidos para un SMS en entornos TIC, al ampliarse las indusrias (no TIC) donde son aplicables los SMS pueden utilizarse otros marcos o metodologías igualmente válidos aportando, en definitiva, total libertad a las organizaciones sobre cómo les es más conveniente cumplir con los requisitos especificados en la norma.

Existen en este sentido procesos relacionados con la seguridad de la información en el cuerpo de ITIL con relación a ISO 20000 y consecuentemente con ISO 27001.

Por último destacar que las certificaciones en este esquema pueden ir avaladas por entidades nacionales de acreditación (p.ej. UKAS) pero, adicionalmente y para este esquema en particular, se pueden encontrar de forma generalizada certificaciones acreditadas por el organimo itSMF.

Del mismo modo que en la "serie 27000", existe una "serie 20000" que ha desarrollado normas de apoyo y guía sobre cómo cumplir con los requisitos (p.ej. ISO 20000-2) o integrar la norma con otros sistemas de gestión (ISO/IEC TR 20000-7:2019: Information technology — Service management — Part 7: Guidance on the integration and correlation of ISO/IEC 20000-1:2018 to ISO 9001:2015 and ISO/IEC 27001:2013).

Los requisitos de ISO 20000-1 en su cláusula "8.7.3 - Gestión de la seguridad de la información" están relacionados con ISO 27001 en aspectos claros y directos como la necesidad de una política de seguridad de la información, la evaluaicón de los riesgos de seguridad, aplicación de medidas necesarios para el control de los riesgos al nivel aceptable por la organización y la gestión de incidentes de seguridad.


Cada vez resulta más importante para las empresas el disponer de planes de continuidad de negocio que minimicen la inactividad de la organización en caso de cualquier tipo de interrupción.

En este sentido, es uno de los sistemas de gestión que mayor porcentaje de crecimiento ha registrado en los últimos años.

BSI (British Standards Institution) publicó en 2006 el estándar británico BS25999-1, que es un código de buenas prácticas con origen en la especificación pública PAS 56:2003 y muy alineada con buenas prácticas profesionales ya existentes desde finales del siglo XX por parte del del Business Continuity Institute (BCI) británico o DRI International de EEUU.

En 2007, fue publicada BS 25999-2, que especifica los requisitos para establecer, implementar, operar, supervisar, revisar, probar, mantener y mejorar un sistema de gestión de continuidad de negocio documentado en el contexto de la gestión global de riesgos de una organización. En base a esta norma pueden ser certificados los sistemas de gestión de continuidad de negocio. 

De forma similar a la publicación de normas como ISO 27001, ambas partes de estos estándares británicos con denominación 25999 fueron derogados dando paso desde el 31 de Mayo de 2012 al estándar internacional denominado ISO 22301 "Societal security. Business continuity management systems. Requirements" que proporciona los requisitos para un Sistemas de Gestión de Continuidad de Negocio basado en las mejores prácticas de gestión de continuidad de negocio y con ámbito de reconocimiento a nivel internacional.

Existe una revisión y segunda publicación ISO 22301:2019 con modificaciones y actualizaciones menores ya que la publicación del año 2012 ya contemplaba el Anexo SL de alto nivel que adoptaron posteriormente el resto de norma ISO para sistemas de gestión.

Del mismo modo que en la "serie 27000", existe una "serie 22300" que ha desarrollado normas de apoyo y guía sobre cómo cumplir con los requisitos.

Destacamos el estándar ISO 22313 como documento de ayuda genérico y aplicable a todos los tipos y tamaños de organizaciones, incluyendo las organizaciones grandes, medianas y pequeñas empresas que operan en los sectores industrial, comercial, público y sin fines de lucro que desean: 

La relación de la norma ISO 27001 con ISO 22301 puede observarse en los requisitos relacionados con los aspectos de disponibilidad requeridos por las organizaciones, siendo el Anexo 17 el más directamente relacionado.

La integración de la gestión de la continuidad del negocio en entornos TI se realizó a partir del estándar británico BS25777 y que dió lugar al estándar ISO 27031 dentro de la serie 27000.

El ENS en su artículo 41 sobre ‘Publicación de conformidad’ señala que los órganos y Entidades de Derecho Público darán publicidad en las correspondientes sedes electrónicas a las declaraciones de conformidad, y a los distintivos de seguridad de los que sean acreedores, obtenidos respecto al cumplimiento del ENS.

Tras la entrada en vigor de las leyes 39/2015 y 40/2015 afecta a todas las entidades del Sector Público en España, así como a los operadores del Sector Privado que les prestan soluciones y servicios, no solo de seguridad, o que estén interesadas en la certificación de la conformidad con el ENS.

El ENS fue establecido anteriormente por el artículo 42 de la Ley 11/2007 y está regulado por el Real Decreto 3/2010, de 8 de enero, que fue modificado por el Real Decreto 951/2015 para actualizarlo a la luz de la experiencia obtenida en su implantación, de la evolución de la tecnología y las ciberamenazas y del contexto regulatorio internacional y europeo.

La «Instrucción Técnica de Seguridad de Conformidad con el ENS» establece los criterios y procedimientos para la determinación de la conformidad, así como para la publicidad de dicha conformidad. Precisa los mecanismos de obtención y publicidad de las declaraciones de conformidad y de los distintivos de seguridad obtenidos respecto al cumplimiento del ENS.

Aunque el Esquema Nacional de Seguridad y la  norma ISO/IEC 27001 difieren en su naturaleza, en su ámbito de aplicación, en su obligatoriedad y en los objetivos que persiguen:

- El ENS es una norma jurídica que se encuentra al servicio de la realización de derechos de los ciudadanos, de aplicación obligatoria a todas las Administraciones Públicas, y que trata la ‘protección’ de la información y los servicios.

- La norma UNE ISO/IEC 27001, de carácter voluntario, es una norma de ‘gestión’ que contiene los requisitos para la construcción de un sistema de gestión de seguridad de la información, contra la que puede, en su caso, de forma voluntaria, certificarse una entidad.

Sin embargo, cabe precisar que aquellas organizaciones que se encuentren certificadas contra ISO 27001 tienen una buena parte del camino recorrido para lograr su conformidad con el ENS, toda vez que las medidas de protección que señala el ENS coinciden, en lo sustancial, con los controles que prevé la norma internacional.

Del mismo modo, se pueden visitar los recursos disponibles para el ENS como referencias útiles, destacando el recientemente publicado "Entorno de Validación del ENS" (EVENS) como espacio colaborativo en el que se integran todos los recursos disponibles relacionados.



En la década de 1990, el Information Swecurity Forum (ISF) publicó una lista completa de las mejores prácticas para la seguridad de la información, publicados en la Norma de Buenas Prácticas (SoGP).

La última edición del Estándar de Buenas Prácticas para la Seguridad de la Información (2018) proporciona un enfoque orientado a los negocios en temas de seguridad de la información actuales y emergentes. Esto incluye una cobertura mejorada de los siguientes temas candentes: desarrollo de sistemas ágiles (Agile), alineación del riesgo de información con el riesgo operativo, plataformas de colaboración, sistemas de control industrial (ICS), privacidad de la información e inteligencia de amenazas.

El estándar, junto con el ISF Benchmark (herramienta integral de evaluación de control de seguridad), proporcionan una cobertura completa de los temas establecidos en ISO/IEC 27002:2013, NIST Cybersecurity Framework, CIS Top 20, PCI DSS y COBIT 5 para seguridad de la información.


La ciberseguridad se relaciona frecuentemente con el concepto de ciberguerra considerando el ciberespacio como el quinto dominio de la guerra junto a la tierra, mar, aire y espacio.

En esta línea, la publicación por parte de OTAN de CCDCOE - National Cyber Security Framework Manual por parte del Cooperative Cyber Defence Centre of Excelence procura tomar en consideración todas las facetas que deben tenerse en cuenta en la elaboración de una estrategia nacional de seguridad cibernética, así como herramientas genuinas y asesoramiento altamente competente en este proceso para fomentar un mayor nivel de seguridad informática a nivel nacional y de cooperación internacional..

ISA99 es el comité "Industrial Automation and Control System Security Committee" de la asociación International Society for Automation (ISA).

El comité desarrolla una serie de varios capítulos de normas e informes técnicos sobre en éste área, varios de los cuales han sido publicados como documentos ANSI (American National Standards Institute).

Como producto del trabajo de la comisión ISA99 también se presentan a la Comisión Electrotécnica Internacional (IEC) bajo denominación de estándares y especificaciones de la serie de normas IEC 62443.

ISA Security Compliance Institute (ISCI) ha desarrollado especificaciones de cumplimiento de prueba para ISA99 entre otras normas para la seguridad de sistemas de control. También han creado un programa de certificación acreditada por ANSI llamado ISASecure™ para la certificación de equipos utilizandos en la automatización industrial, como controladores lógicos programables (PLC), sistemas de control distribuido (DCS) y los sistemas instrumentados de seguridad (SIS). Estos tipos de dispositivos proporcionan control automático de procesos industriales, como las que se encuentran en el petróleo y gas, química, servicios eléctricos, elaboración de alimentos y bebidas, tratamiento de agua/aguas residuales e industrias de transformación varias.

Estándar internacional basado en un Modelo de Madurez de Capacidades (CMM) para la Ingeniería de Seguridad de Sistemas (SSE) y desarrollado por la Asociación Internacional de Ingeniería de Seguridad de la Información (ISSEA).

ISO/IEC 21827 especifica el SSE-CMM mediante la descripción de las características esenciales para alcanzar el éxito en el desarrollo del proceso de ingeniería en seguridad de una organización, incluyendo aquellas gubernamentales como comerciales o académicas.

ISO/IEC 21827 no prescribe una secuencia o proceso particular, pero sí captura las prácticas que se observan en la industria.


El modelo es una métrica estándar para las prácticas de la ingeniería de seguridad, que cubre: 

- Ciclo de vida del proyecto: incluyendo actividades de desarrollo, operación, mantenimiento y desmantelamiento  

- Ámbitos de la organización: incluyendo actividades de gestión, organizacionales y de ingeniería.  

- Interacciones concurrentes con otras disciplinas: como software y hardware de sistemas, recursos humanos, pruebas de ingeniería, gestión de sistemas, operación y mantenimiento.  

- Interacciones con otras organizaciones: incluyendo adquisición, gestión de sistemas, certificación, acreditación y evaluación.  

Aunque es un marco poco común es interesante tener en cuenta el modo en aborda la "seguridad por defecto". Existe un antiguo (en base a la versión de norma de 2005) pero ilustrativo artículo de José Antonio Calvo-Manzano y Ana de las Heras con las sinergias de SGSI y de ISO/IEC 21827 publicado y disponible en abierto para consulta por la revista SIC.

El objetivo de la norma es gestionar las amenazas de ciberseguridad de los sistemas eléctricos y electrónicos en los vehículos de carretera, de forma similar a cómo ISO 26262 gestiona los requisitos de seguridad funcional.

Las consideraciones generales se abordan en primera instancia, lo que proporciona una visión general del ecosistema del vehículo, el panorama de amenazas y las interfaces de ecosistemas vulnerables y el razonamiento detrás de la necesidad de la implementación de la seguridad cibernética.

Actualmente cuenta con la participación de más de 80 empresas relevantes del sector automoción.

La iniciativa parte de una publicación inicial de mejores prácticas "Cybersecurity Guidebook for Cyber-Physical Vehicle Systems” (SAE, 14 de Enero 2016) a la que se incorpora ISO con la idea de que la ciberseguridad se convierta en un requisito obligatorio en todas las organizaciones involucradas en el ciclo de vida de los vehículos de carretera.

Esto incluye varios pasos, como definir objetivos y una estrategia (a través de la gobernanza), crear reglas y procesos para implementar una estrategia de ciberseguridad (incluida la identificación de vulnerabilidades), asignar responsabilidades, proporcionar recursos, fomentar una cultura de ciberseguridad de forma continua, gestionar competencias y conciencia, aplicando mejoras continuas, realizando auditorías y gestionando interacciones entre procesos.

El estándar no prescribe tecnología o soluciones específicas relacionadas con la ciberseguridad; se divide en varias secciones, actualmente en estado de desarrollo previo a la publicación:

- Gestión de la ciberseguridad: Detalle de los objetivos y las metas de la gestión de la ciberseguridad con detalles sobre la gestión de la ciberseguridad específicamente durante la fase de concepto y el desarrollo del producto, así como durante la producción, las operaciones y el mantenimiento.  

Métodos de evaluación de riesgos: Pasos para realizar una evaluación integral de riesgos que incluyen análisis de vulnerabilidad y análisis de ataque que formarán parte de la evaluación de viabilidad del ataque. Todos estos se proporcionan como entradas para el cálculo del riesgo (evaluación del riesgo), que luego se alimenta para seleccionar las opciones de categoría de tratamiento adecuadas para abordar ese riesgo (tratamiento del riesgo). 

Fase conceptual: determinar la exposición a riesgos de ciberseguridad durante la fase conceptual de un elemento de vehículo específico. Esto incluye adaptar actividades de ciberseguridad en caso de que ese artículo se reutilice más tarde.

Desarrollo de productos: orientación sobre cómo especificar los requisitos de ciberseguridad para el diseño de sistemas, hardware y software. Las funcionalidades, dependencias, restricciones y propiedades de los componentes del sistema y las interfaces tienen que alinearse con los requisitos específicos de ciberseguridad. La idea es verificar que el diseño del sistema y las especificaciones de ciberseguridad cumplan con el concepto de ciberseguridad. Una subsección final se ocupa de especificar versiones para los criterios de post-desarrollo (producción y post-producción) una vez que se completa el desarrollo del sistema y proporciona evidencia del cumplimiento de todos los requisitos previos para la producción en serie (después de completar con éxito las actividades de ciberseguridad anteriores). 

Producción, operaciones y mantenimiento: Garantizar que las especificaciones de seguridad cibernética del desarrollo se implementen en el artículo producido e implementar procesos adicionales para evitar la introducción de procesos de seguridad cibernética adicionales causados ​​por la producción. Se extiende a las actualizaciones y cómo definir los requisitos básicos de seguridad cibernética y los atributos de las actualizaciones, así como también cómo aplicarlas de manera segura. 

Procesos de soporte: Detalles sobre la operación

El público principal de este esquema son las empresas que necesitan o desean demostrar un nivel definido de gestión de seguridad de la información de acuerdo con los requisitos de la "Evaluación de seguridad de la información de VDA" (VDA ISA), principalmente sector automovilístico (VDA: Verband der Automobilindustrie).

Desde 2017, TISAX ha establecido un mecanismo común de evaluación e intercambio para auditorías de seguridad de la información de acuerdo con VDA ISA, que ya está siendo utilizado por más de 2.500 empresas en más de 40 países.

El reconocimiento de las evaluaciones TISAX y su validez regular de tres años ayudan a evitar esfuerzos, así como las evaluaciones duplicadas. 

Cada participante registrado decide por sí mismo a qué otros participantes registrados se revelarán los resultados (informes TISAX) y con qué grado de detalle. Al mismo tiempo, la empresa participante también puede usar sus propios resultados para su propia gestión de riesgos.

TISAX permite que los proveedores que realizan las auditorías ofrezcan evaluaciones mutuamente aceptadas basadas en el catálogo VDA ISA competente. Esto significa que cada participante en el esquema pueda seleccionar un proveedor de servicios de auditoría y esperar resultados de evaluación estandarizados que sean aceptados por otros participantes en toda la industria.

ENX mantiene los criterios y requisitos (ENX TISAX ACAR), aprueba a los proveedores de auditoría y monitorea la calidad de la implementación, así como los resultados de la evaluación.

ENX cuenta con el apoyo del Comité TISAX, compuesto por representantes de fabricantes, proveedores y asociaciones. Legalmente, la función de control está protegida por una estructura de contrato en la que ENX mantiene contratos con todas las partes interesadas, incluidos los proveedores de auditoría y los participantes.

Esto asegura que los resultados correspondan a la objetividad y calidad deseadas y se respetan los derechos y deberes de todos los participantes, pequeños o grandes.

Fundado en 1901, es un organismo federal no regulador que forma parte de la Administración de Tecnología (Technology Administration) del Departamento de Comercio (Department of Commerce) de los EE.UU.

El Marco es una guía voluntaria, basada en estándares, pautas y prácticas existentes para que las organizaciones administren y reduzcan mejor el riesgo de ciberseguridad. Además de ayudar a las organizaciones a gestionar y reducir los riesgos, fue diseñado para fomentar las comunicaciones de gestión de riesgos y ciberseguridad entre las partes interesadas de las organizaciones internas y externas.

Distintos principios y prácticas en seguridad comunes y de aplicación tanto en agencias gubernamentales como en corporaciones privadas están recogidos en una larga lista de publicaciones identificadas bajo la Serie 800 y disponibles para su libre consulta y descarga.

Estas guías y directrices son documentos muy elaborados y de reconocido prestigio, que cubren múltiples aspectos relacionados con la seguridad de la información y que pueden servir de apoyo a la hora de desarrollar políticas, procedimientos y controles.

Avisado desde 2019 pero anunciado a inicios del 2020, se publicó el Cybersecurity Maturity Model Certification (CMMC) como procedimiento de certificación desarrollado por el Departamento de Defensa (DoD) que aplica a los contratistas y como garantía de que disponen los controles necesarios para proteger los datos confidenciales.

Existe un mapeo de los controles del CMMC con los controles del Anexo A de ISO/IEC 27001, entre otros marcos relacionados.


Data Center

En la actualidad, tan sólo pocos minutos de tiempo de interrupción en un Data Center (Centro de datos o de cómputo indistintamente) se pueden traducir en pérdidas catastróficas para la producción y para la imagen pública de las organizaciones.
La fiabilidad es un factor clave en todas aquellas instalaciones de alta prioridad que funcionan 24 horas al día, los 7 días de la semana.

A continuación se indican algunos esquemas de referencia a controles relacionados en ISO 27001 con las instalaciones (Anexo 11) y la redundancia (Anexo 17).

1

ASHRAE (American Society of Heating, Refrigeration and Air-conditioning Engineers) 

La guía "TC9.9 Guidelines for Mission Critical Facilities" ha sido desarrollada por algunos de los representantes más relevantes en la fabricación de equipos TIC y determina información relevante a los equipos como:

- Rangos de temperatura (recomendados y permitidos ante una exposición prolongada)

- Valores recomendados frente a valores permitidos

- Velocidad de cambio en la temperatura

- El factor “X” de la fiabilidad de los equipos

2

ANSI/BICSI 002

Recopila las mejores prácticas tanto en implantación como en diseño de los Data Center. Además del documento ANSI/BICSI 002-2019, se ha extendido la publicación a aspectos de gestión operativa y mantenimiento con BICSI 009-2019, Data Center Operations and Maintenance Best Practices.

3

Código de Conducta de la Unión Europea

El código fue creado como respuesta al creciente consumo de energía y emisiones de carbono por parte de los Data Center para reducir el impacto asociado sobre el medio ambiente, la economía y el suministro energético, a través de la mejora del conocimiento de la demanda de energía, la sensibilización y el detalle y la recomendación de las mejores prácticas y objetivos en materia de eficiencia energética. Es de libre adopción y descarga y existen esquemas de certificación asociados complementarios a nivel internacional como CEEDA (Certificación de Eficiencia Energética para Data Centers).

4

Uptime Institute

Es conocido por su sistema propio de certificación de TIER de los Data Center en función de los niveles de redundancia de la parte electromecánica (E&M) que da soporte a las salas de TI.

-Nivel IV: Instalación tolerante a fallos (doble camino y componentes/sistemas críticos redundados adicionalmente)

-Nivel III: Instalación con manteniniento en paralelo (doble camino y componentes)

-Nivel II: Instalación sólo con redundancia en ciertos componentes/sistemas críticos

-Nivel I: Instalación Básica (no redundante en ningún componente necesario)

La independencia cada vez mayor de los elementos de computación de las partes físicas TI y, por extensión, de la importancia de la redundancia en sistemas E&M ha provocado el incremento de la importancia en las operaciones de mantenimiento de las instalaciones.

También son conocidos estándares similares al de Uptime como ANSI/TIA 942 que detalla en sus contenidos las mejores prácticas específicas para infraestructuras de Data Center y telecomunicaciones.

© 2005 Aviso Legal - Términos de uso información iso27000.es