ISO 27001
Norma internacionalmente reconocida en materia de Seguridad de la Información. Con su cumplimiento las organizaciones consiguen llevar a cabo las mejores prácticas para mantener la información protegida y en un entorno seguro.
Ventajas:
- Reduce el riesgo de que se produzcan pérdidas de información, robos y corrupciones en su manipulación dentro de las organizaciones.
- Revisión continua y controles periódicos de los riesgos a los que están expuestos los clientes. Los riesgos se identifican según norma ISO.
- Se establece una metodología gracias a la cual se puede gestionar la seguridad de la información de forma clara y concisa.
- Se implantan medidas de seguridad para que los propios clientes, colaboradores y proveedores puedan acceder a la información de forma segura y controlada.
- Obliga a que se realicen auditorías externas de manera periódica. Este hecho permite identificar las incidencias que pudiera haber en el Sistema de Gestión de Seguridad de la Información, fomentando de este modo la mejora continua en la organización. La empresa es un ser vivo que evoluciona, y, por lo tanto, año tras año, los sistemas de información, las tecnologías, las personas y todo tipo de activos se actualizan para adaptarse a las necesidades actuales y futuras de la empresa.
- Contar un SGSI otorga a la organización una garantía frente a clientes y socios estratégicos y proveedores, ya que muestra a la empresa como un organismo preocupado por la confidencialidad, la integridad y la seguridad de la información que es depositada y gestionada en la misma.
- Ofrece continuidad de operación y servicio con normalidad o en el menor tiempo posible en el caso de producirse problemas importantes, tales como ataques de ransomware, phishing, exploits, etc. De forma que la empresa puede volver a operar sin pérdidas de información o con las mínimas posibles y aceptables.
- Se puede integrar de forma conjunta con otros Sistemas de Gestión Normalizados tales como ISO 9001, ISO 14001, ISO 45001, entre otros.
- Garantiza que la organización cumpla con la legislación vigente en materia de tratamiento de los datos y la información personal y la propiedad intelectual.
- Optimiza el funcionamiento de los procesos de información, y, por lo tanto, su cumplimiento implica una reducción de costes.
- Genera procesos y procedimientos óptimos, ofreciendo garantías sobre aquello que se debe realizar, de qué forma y quién interactúa en cada situación.
- Formar parte de una organización comprometida con la seguridad de la información contribuye a la mejora de la motivación del personal.
- Se trata de una inversión a futuro que implica una ventaja competitiva y un poder de distinción para la empresa frente a la competencia, pues el contar con un SGSI da mayor reputación e imagen a nivel nacional e internacional que aumentará la confianza en clientes y proveedores.
ENS
El Esquema Nacional de Seguridad, establece la política de seguridad para la protección adecuada de la información tratada y los servicios prestados a través de un planteamiento común de principios básicos, requisitos mínimos, medidas de protección y mecanismos de conformidad y monitorización para el sector público, así como los proveedores tecnológicos del sector privado que colaboran con la Administración.
Su implantación es un requisito establecido por la Ley 11/2007 de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos, y regulado por el Real Decreto 3/2018, de 8 de enero.
Objetivos del ENS
El Esquema Nacional de Seguridad de España tiene seis objetivos principales:
- Crear las condiciones necesarias de confianza para el uso de los medios electrónicos por parte de los ciudadanos en su relación con las Administraciones Públicas.
- Introducir elementos y metodologías comunes en materia de seguridad de las tecnologías de la información para las Administraciones Públicas.
- Aportar un lenguaje común para facilitar la interacción entre las diferentes Administraciones, así como la comunicación de los requisitos de seguridad de la información a la Industria.
- Promover la gestión continua de la seguridad.
- Promover la prevención, detección y corrección para mejorar la resiliencia ante ciberamenazas y ciberataques.
- Servir como modelo de buenas prácticas.
¿Qué organizaciones, públicas o privadas, están obligadas a cumplir con este Esquema?
Están obligadas a cumplir con el Esquema Nacional de Seguridad la Administración General del Estado, las Administraciones de las Comunidades Autónomas, las Entidades que integran la Administración Local y las entidades de derecho público vinculadas o dependientes de las mismas (universidades, hospitales, órganos colegiados…).
Así mismo, también deben contemplar el cumplimiento del ENS aquellas empresas que contraten o subcontraten con las AA.PP. para la prestación de servicios relacionados con el ámbito de aplicación de la normativa, es decir, todo lo relacionado con el ejercicio o cumplimiento de los derechos y deberes de los cuidadnos a través de medios electrónicos o el acceso a la información a través de ellos.
ISO 22301
La ISO 22301 es el Estándar reconocido internacionalmente que determina los requisitos para implementar, operar, monitorizar, revisar, mantener y mejorar un Sistema de Gestión de Continuidad de Negocio (SGCN), que garantice la continuidad de las actividades y la recuperación de los procesos de negocio ante un evento disruptivo, mejorando la capacidad de resiliencia y minimizando las consecuencias de dichos eventos.
Entre los muchos beneficios que aporta cumplir con la norma, podemos destacar que, en caso de un evento que paralice la operativa de una organización, contar con un SGCN acorde a la ISO 22301, la organización dispone de las siguientes ventajas:
- Evitar improvisaciones, actuar según planes y estrategia prestablecida.
- Minimizar el período de interrupción de procesos, servicios y sistemas.
- Controlar impactos financieros, legales, operativos y de imagen.
- Planificar recursos y establecer prioridades y objetivos realistas.
- Construir resiliencia organizacional para una respuesta efectiva.
- Preparar al personal y garantir mantenimiento de los planes.
ISO 20000
La Norma ISO 20000, un estándar de calidad que garantiza que los sistemas de gestión y soporte TI (Tecnologías de la Información) de una empresa siguen las mejores prácticas.
Ha sido publicada por la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (ICE), por lo que es aceptada en la mayoría de países del mundo.
El objetivo de la norma ISO es ofrecer a las empresas una certificación que garantiza que la metodología y buenas prácticas están correctamente establecidas en sus procesos de gestión de la información.
Al implantar ISO 20000 las empresas conseguirán una integración de sus procesos que incluye un sistema de mejora continuo en la calidad de sus servicios, tanto a sus clientes como de forma interna.
Beneficios:
- Mejora la reputación. La certificación ISO 20000 es un diferenciador dentro del sector TI porque garantiza calidad en el servicio y en la atención al cliente.
- Aumenta la productividad. Al implantar ISO 20000 la empresa optimiza sus procesos y servicios mejorando en rapidez, reduciendo costes y mejorando la calidad, lo que la hará mucho más productiva.
- Garantiza cumplir con el nivel exigido. Obtener ISO 20000 exige cumplir con una serie de requisitos exigentes, por lo que las empresas que se certifiquen garantizan calidad en sus servicios.
- Disminuye el coste. El servicio se optimiza porque se utilizan procesos más simples y, como resultado se gana en rapidez y reducción de los recursos y tiempo necesarios.
- Dinamismo y rapidez. Los nuevos procesos permiten adaptarse fácilmente a los cambios y responder con mayor rapidez a las demandas. Los servicios se agilizan, aumentando la habilidad y la velocidad con los procesos que se realizan.
- Ventajas ante la competencia. Todas las ventajas comentadas consiguen que la empresa sea más competitiva y que disponga de unas características diferenciadoras.
COMMON CRITERIA
Common Criteria es un estándar con reconocimiento internacional para evaluar las funciones de seguridad y el nivel de confianza de un producto IT. Este estándar está basado en siete niveles de garantía (EAL) de severidad creciente. En función del nivel de evaluación (EAL) los requisitos exigidos por la norma aumentan, así como el potencial de ataque supuesto a los atacantes que pretenden vulnerar el producto evaluado (TOE).
Esta certificación tiene como finalidad otorgar a un producto de seguridad la confiabilidad que sus futuros usuarios necesitan para mantener sus redes protegidas. Añade un valor diferencial que resulta ser determinante en la cualificación de la eficiencia y la eficacia de una solución de ciberseguridad. Todo esto en el marco de los estándares mundiales de seguridad.
Teniendo validez internacional gracias al Acuerdo de Reconocimiento de Criterios Comunes (CCRA). Así como también a nivel europeo gracias al acuerdo SOGIS.
SOC
¿Qué es un SOC?
El Centro de Operaciones de Seguridad, SOC, se refiere al equipo responsable de garantizar la seguridad de la información.
El SOC es una plataforma que permite la supervisión y administración de la seguridad del sistema de información a través de herramientas de recogida, correlación de eventos e intervención remota.
La finalidad de un SOC es prestar servicios horizontales en el ámbito de la ciberseguridad.
Sus objetivos son:
- Incrementar la capacidad de vigilancia y detección de amenazas en las actividades diarias de los sistemas de información y comunicaciones de una empresa.
Analizar los ataques o posibles amenazas. - Recuperar información perdida o dañada que una empresa haya podido tener por consecuencia de dichos ataques.
- Mejorar la capacidad de respuesta ante cualquier ataque.
- La principal ventaja de disponer de un centro de operaciones de seguridad es la mejora de la detección de incidentes de seguridad mediante la supervisión y el análisis continuos de la actividad de los datos.
LEET
Certificación LEET Security es la calificación específica del nivel de seguridad de los servicios TIC.
El sello LEET otorga una «puntuación» a las medidas de seguridad integradas por el proveedor en la construcción y operación de dicho servicio a diferencia de otros mecanismos que únicamente corroboran la existencia y cumplimiento de procedimientos de gestión
El sello LEET otorga una puntuación a las medidas de seguridad integradas por el proveedor en la construcción y operación de dicho servicio en tres dimensiones: Confidencialidad, Integridad y Disponibilidad, mostrando la valoración obtenida por el servicio calificado en cada una de ellas en función de las medidas de seguridad y continuidad implementadas, expresada mediante tres letras, de la A+ (correspondiente al nivel más elevado) a la D (el nivel más básico).
Ventajas:
- Fomenta la transparencia: Todos los usuarios pueden conocer los niveles de calificación de un servicio y disponer de un mecanismo de denuncia en caso de incumplimiento de las condiciones necesarias.
- Limita el conflicto de intereses habitual en terceros de confianza: El sistema de LEET Security, basado en la autoevaluación tutelada, reduce la posibilidad de conflicto de intereses y fija la responsabilidad en el lado del proveedor de servicios.
- Simplifica el entendimiento del nivel de seguridad: No se precisa un experto para evaluar si el servicio a contratar es el adecuado al propio perfil de riesgo.
- Reduce los costes de implantación: El modelo de autoevaluación tutelada permite a los proveedores su adscripción sin tener que hacer frente a grandes costes de adaptación.
- Racionaliza el proceso de auditorías: Al utilizar el sistema de calificación que incorpora los controles de las normativas y estándares más difundidos, los proveedores de servicios TIC pueden simplificar los procesos de auditoría al evitar pruebas repetitivas de los mismos controles (principio «audita una vez y utiliza varias veces»).
Pinakes
Pinales es una plataforma de calificación, gestión y monitorización de servicios de proveedores del sector financiero. Este conjunto de acciones permite a las entidades participantes en la plataforma, conocer los niveles de ciberseguridad de los servicios que los proveedores tienen contratados con ellas y, desde el lado de proveedor, exponer al sector las fortalezas en materia de ciberseguridad de sus servicios de cara a posibles contrataciones futuras. A su vez, las entidades, en el supuesto de tener una relación contractual, cumplen con los requisitos emanados de las directrices de la EBA, para dar cumplimiento a sus obligaciones de evaluación de los controles y medidas de seguridad de sus proveedores.
Calificación Pinakes
La certificación Pinakes es una etiqueta que materializa y muestra el nivel de ciberseguridad que tiene un proveedor en el servicio calificado. La calificación otorga una «puntuación» a las medidas de seguridad integradas por el proveedor en la construcción y operación del servicio evaluado.
Esta calificación, se compone de 3 apartados (Confidencialidad, Integridad y Disponibilidad de la información), que a su vez, tienen cinco niveles que van desde la más alta «A+», dónde están implementadas las medidas y controles más exigentes para el manejo de información muy sensible, hasta la más baja «D» en la que se cumplen unas medidas de seguridad mínimas.
SAMA (Saudi Arabian Monetary Authority)
La SAMA estableció un Marco de Ciberseguridad («el Marco») para permitir a las Instituciones Financieras reguladas por la SAMA («las Organizaciones Miembros») identificar y abordar eficazmente los riesgos relacionados con la ciberseguridad. Para mantener la protección de los activos de información y los servicios en línea, las Organizaciones Miembros deben adoptar este Marco.
El Marco define principios y objetivos para iniciar, implantar, mantener, supervisar y mejorar los controles de ciberseguridad en las Organizaciones Miembros.
El Marco proporciona controles de ciberseguridad que son aplicables a los activos de información de la Organización Miembro, incluyendo:
- Información electrónica.
- Información física (impresa).
- Aplicaciones, software, servicios electrónicos y bases de datos.
- Ordenadores y máquinas electrónicas (por ejemplo, cajeros automáticos).
Dispositivos de almacenamiento de información (por ejemplo, disco duro, memoria USB). - Locales, equipos y redes de comunicación (infraestructura técnica).
El Marco orienta sobre los requisitos de ciberseguridad para las Organizaciones Miembros y sus filiales, personal, terceros y clientes.
Para los requisitos relacionados con la continuidad del negocio, consulte los Requisitos Mínimos de Continuidad del Negocio del SAMA.
El Marco está interrelacionado con otras políticas corporativas para áreas relacionadas, como la seguridad física y la gestión del fraude. Este marco no aborda los requisitos de seguridad no cibernética para esas áreas.