Riesgo de TI

Cualquier riesgo relacionado con la tecnología de la información

El riesgo de la tecnología de la información , riesgo de TI , riesgo relacionado con TI o riesgo cibernético es cualquier riesgo relacionado con la tecnología de la información . ^[1] Si bien la información ha sido valorada durante mucho tiempo como un activo valioso e importante, el auge de la economía del conocimiento y la revolución digital han llevado a que las organizaciones se vuelvan cada vez más dependientes de la información, el procesamiento de la información y, especialmente, de la TI. Por lo tanto, varios eventos o incidentes que comprometen la TI de alguna manera pueden causar impactos adversos en los procesos comerciales o la misión de la organización, que van desde intrascendentes hasta catastróficos en escala.

La evaluación de la probabilidad o posibilidad de varios tipos de eventos/incidentes con sus impactos o consecuencias previstos, en caso de que ocurran, es una forma común de evaluar y medir los riesgos de TI. ^[2] Los métodos alternativos para medir el riesgo de TI generalmente implican la evaluación de otros factores contribuyentes, como las amenazas , las vulnerabilidades, las exposiciones y los valores de los activos. ^[3]^[4]

Definiciones

YO ASI

Riesgo de TI : la posibilidad de que una determinada amenaza aproveche las vulnerabilidades de un activo o grupo de activos y, por lo tanto, cause daño a la organización. Se mide en términos de una combinación de la probabilidad de ocurrencia de un evento y sus consecuencias. ^[5]

Comité de Sistemas de Seguridad Nacional

El Comité de Sistemas de Seguridad Nacional de Estados Unidos de América definió el riesgo en diferentes documentos:

De la Instrucción CNSS nº 4009 del 26 de abril de 2010 ^[6] la definición básica y más técnica:
Riesgo: Posibilidad de que una amenaza particular afecte negativamente a un SI al explotar una vulnerabilidad particular.
La Instrucción de Seguridad de los Sistemas de Información y Telecomunicaciones de Seguridad Nacional (NSTISSI) N.º 1000, ^[7] introduce un aspecto de probabilidad, bastante similar al de NIST SP 800-30:
Riesgo: una combinación de la probabilidad de que ocurra una amenaza, la probabilidad de que la ocurrencia de una amenaza resulte en un impacto adverso y la gravedad del impacto resultante.

El Centro Nacional de Capacitación y Educación en Seguridad de la Información define el riesgo en el campo de TI como: ^[8]

El potencial de pérdida que existe como resultado de pares de amenazas y vulnerabilidades. Al reducir la amenaza o la vulnerabilidad se reduce el riesgo.
La incertidumbre de la pérdida expresada en términos de probabilidad de dicha pérdida.
La probabilidad de que una entidad hostil explote con éxito un sistema particular de telecomunicaciones o COMSEC para fines de inteligencia; sus factores son la amenaza y la vulnerabilidad.
Una combinación de la probabilidad de que ocurra una amenaza, la probabilidad de que la ocurrencia de una amenaza resulte en un impacto adverso y la gravedad del impacto adverso resultante.
la probabilidad de que una amenaza particular explote una vulnerabilidad particular del sistema.

Instituto Nacional de Estándares y Tecnología (NIST)

Muchas publicaciones del NIST definen el riesgo en el contexto de TI en diferentes publicaciones: FISMApedia ^[9] y los términos ^[10] proporcionan una lista. Entre ellos:

Según NIST SP 800-30: ^[11]
El riesgo es una función de la probabilidad de que una fuente de amenaza determinada ejerza una vulnerabilidad potencial particular y el impacto resultante de ese evento adverso en la organización.
De NIST FIPS 200 ^[12]
Riesgo: El nivel de impacto en las operaciones de la organización (incluyendo la misión, las funciones, la imagen o la reputación), los activos de la organización o los individuos como resultado de la operación de un sistema de información dado el impacto potencial de una amenaza y la probabilidad de que esa amenaza ocurra.

NIST SP 800-30 ^[11] define:

Riesgo relacionado con TI

El impacto neto de la misión considerando:

la probabilidad de que una fuente de amenaza particular ejerza (activación accidental o explotación intencional) una vulnerabilidad particular del sistema de información y
El impacto resultante si esto ocurriera. Los riesgos relacionados con TI surgen de la responsabilidad legal o la pérdida de la misión debido a:
1. Divulgación, modificación o destrucción no autorizada (maliciosa o accidental) de información
2. Errores y omisiones involuntarias
3. Interrupciones de TI debido a desastres naturales o provocados por el hombre
4. No ejercer el debido cuidado y diligencia en la implementación y operación del sistema de TI.

Perspectiva de gestión de riesgos

El riesgo de TI es la frecuencia probable y la magnitud probable de pérdidas futuras. ^[13]

ISACA

ISACA publicó el Marco de Riesgo de TI con el fin de proporcionar una visión integral de todos los riesgos relacionados con el uso de TI. Allí, ^[14] el riesgo de TI se define como:

El riesgo empresarial asociado con el uso, la propiedad, la operación, la participación, la influencia y la adopción de TI dentro de una empresa.

Según Risk IT , ^[14] el riesgo de TI tiene un significado más amplio: abarca no solo el impacto negativo de las operaciones y la entrega de servicios que puede traer destrucción o reducción del valor de la organización, sino también el riesgo de habilitación de beneficios/valores asociado a la pérdida de oportunidades de usar la tecnología para habilitar o mejorar el negocio o la gestión de proyectos de TI por aspectos como el gasto excesivo o la entrega tardía con un impacto comercial adverso.

Medición del riesgo de TI

No se puede gestionar de forma eficaz y consistente lo que no se puede medir, y no se puede medir lo que no se ha definido. ^[13]^[15]

La medición del riesgo informático (o cibernético) puede realizarse en muchos niveles. A nivel empresarial, los riesgos se gestionan de forma categórica. Los departamentos de TI de primera línea y los NOC tienden a medir riesgos más discretos e individuales. Gestionar el nexo entre ellos es una función clave para los CISO modernos .

Al medir el riesgo de cualquier tipo, seleccionar la ecuación correcta para una amenaza, un activo y los datos disponibles determinados es un paso importante. Hacerlo es un proceso en sí mismo, pero existen componentes comunes de las ecuaciones de riesgo que es útil comprender.

Hay cuatro fuerzas fundamentales involucradas en la gestión de riesgos, que también se aplican a la ciberseguridad. Son los activos, el impacto, las amenazas y la probabilidad. Tienes conocimiento interno y una buena cantidad de control sobre los activos , que son cosas tangibles e intangibles que tienen valor. También tienes cierto control sobre el impacto , que se refiere a la pérdida o daño de un activo. Sin embargo, las amenazas que representan adversarios y sus métodos de ataque son externas a tu control. La probabilidad es el comodín del grupo. Las probabilidades determinan si una amenaza se materializará, tendrá éxito y causará daño y cuándo. Si bien nunca están completamente bajo tu control, las probabilidades se pueden moldear e influenciar para gestionar el riesgo. ^[16]

Matemáticamente, las fuerzas se pueden representar en una fórmula como: donde p() es la probabilidad de que una Amenaza se materialice/tenga éxito contra un Activo, y d() es la probabilidad de varios niveles de daño que pueden ocurrir. ^[17] ${\textstyle Riesgo=p(Activo,Amenaza)\times d(Activo,Amenaza)}$

El campo de la gestión de riesgos de TI ha generado una serie de términos y técnicas que son exclusivos de la industria. Algunos términos de la industria aún no se han reconciliado. Por ejemplo, el término vulnerabilidad se usa a menudo indistintamente con probabilidad de ocurrencia, lo que puede ser problemático. Los términos y técnicas de gestión de riesgos de TI que se encuentran con frecuencia incluyen:

Evento de seguridad de la información

Una ocurrencia identificada de un estado de un sistema, servicio o red que indica una posible violación de la política de seguridad de la información o una falla de las salvaguardas, o una situación previamente desconocida que puede ser relevante para la seguridad. ^[5]

Ocurrencia de un conjunto particular de circunstancias ^[18]

El acontecimiento puede ser cierto o incierto.
El evento puede ser una ocurrencia única o una serie de ocurrencias. :(Guía ISO/IEC 73)

Incidente de seguridad de la información

Se indica mediante uno o una serie de eventos de seguridad de la información no deseados que tienen una probabilidad significativa de comprometer las operaciones comerciales y amenazar la seguridad de la información ^[5]

Un evento [G.11] que se ha evaluado como que tiene un efecto real o potencialmente adverso sobre la seguridad o el rendimiento de un sistema. ^[19]

Impacto ^[20]

El resultado de un incidente no deseado [G.17].(ISO/IEC PDTR 13335-1)

Consecuencia ^[21]

Resultado de un acontecimiento [G.11]

Puede haber más de una consecuencia de un evento.
Las consecuencias pueden variar de positivas a negativas.
Las consecuencias pueden expresarse cualitativa o cuantitativamente (Guía ISO/IEC 73)

El riesgo R es el producto de la probabilidad L de que ocurra un incidente de seguridad por el impacto I que sufrirá la organización debido al incidente, es decir: ^[22]

R = L × I

La probabilidad de que ocurra un incidente de seguridad es una función de la probabilidad de que aparezca una amenaza y de la probabilidad de que la amenaza pueda explotar con éxito las vulnerabilidades relevantes del sistema.

Las consecuencias de la ocurrencia de un incidente de seguridad son una función del impacto probable que el incidente tendrá en la organización como resultado del daño que sufrirán los activos de la organización. El daño está relacionado con el valor de los activos para la organización; el mismo activo puede tener diferentes valores para diferentes organizaciones.

Entonces R puede ser función de cuatro factores :

A = Valor de los activos
T = la probabilidad de la amenaza
V = la naturaleza de la vulnerabilidad , es decir, la probabilidad de que pueda ser explotada (proporcional al beneficio potencial para el atacante e inversamente proporcional al costo de explotación)
I = el impacto probable, la magnitud del daño

Si se utilizan valores numéricos (dinero para el impacto y probabilidades para los demás factores), el riesgo se puede expresar en términos monetarios y comparar con el costo de las contramedidas y el riesgo residual después de aplicar el control de seguridad. No siempre es práctico expresar estos valores, por lo que en el primer paso de la evaluación de riesgos, los riesgos se califican de forma adimensional en escalas de tres o cinco pasos.

OWASP propone una guía práctica de medición de riesgos ^[22] basada en:

Estimación de verosimilitud como media entre diferentes factores en una escala de 0 a 9:
- Factores del agente amenazante
  - Nivel de habilidad: ¿Qué nivel de habilidad técnica tiene este grupo de agentes de amenazas? Sin habilidades técnicas (1), algunas habilidades técnicas (3), usuario avanzado de computadoras (4), habilidades de redes y programación (6), habilidades de penetración de seguridad (9)
  - Motivo: ¿Qué grado de motivación tiene este grupo de agentes de amenazas para encontrar y explotar esta vulnerabilidad? Recompensa baja o nula (1), recompensa posible (4), recompensa alta (9)
  - Oportunidad: ¿Qué recursos y oportunidades se requieren para que este grupo de agentes de amenaza encuentre y explote esta vulnerabilidad? Se requiere acceso total o recursos costosos (0), se requiere acceso o recursos especiales (4), se requiere algún acceso o recursos (7), no se requiere acceso ni recursos (9)
  - Tamaño: ¿Qué tamaño tiene este grupo de agentes de amenazas? Desarrolladores (2), administradores de sistemas (2), usuarios de intranet (4), socios (5), usuarios autenticados (6), usuarios anónimos de Internet (9)
- Factores de vulnerabilidad : el siguiente conjunto de factores está relacionado con la vulnerabilidad en cuestión. El objetivo aquí es estimar la probabilidad de que se descubra y explote la vulnerabilidad en cuestión. Supongamos que se selecciona el agente de amenaza anteriormente.
  - Facilidad de descubrimiento: ¿Qué tan fácil es para este grupo de agentes de amenazas descubrir esta vulnerabilidad? Prácticamente imposible (1), difícil (3), fácil (7), herramientas automatizadas disponibles (9)
  - Facilidad de explotación : ¿Qué tan fácil es para este grupo de agentes de amenazas explotar esta vulnerabilidad? Teórico (1), difícil (3), fácil (5), herramientas automatizadas disponibles (9)
  - Conciencia: ¿Qué tan conocida es esta vulnerabilidad para este grupo de agentes de amenaza? Desconocida (1), oculta (4), obvia (6), de conocimiento público (9)
  - Detección de intrusiones: ¿Qué probabilidad hay de que se detecte un exploit? Detección activa en la aplicación (1), registrada y revisada (3), registrada sin revisión (8), no registrada (9)
Estimación del Impacto como media entre diferentes factores en una escala de 0 a 9
- Factores de impacto técnico: el impacto técnico se puede desglosar en factores alineados con las áreas de seguridad tradicionales de preocupación: confidencialidad, integridad, disponibilidad y responsabilidad. El objetivo es estimar la magnitud del impacto en el sistema si se explotara la vulnerabilidad.
  - Pérdida de confidencialidad : ¿Cuántos datos podrían divulgarse y qué tan sensibles son? Divulgación de datos no sensibles mínima (2), divulgación de datos críticos mínima (6), divulgación de datos no sensibles extensa (6), divulgación de datos críticos extensa (7), divulgación de todos los datos (9)
  - Pérdida de integridad : ¿Cuántos datos podrían corromperse y qué tan dañados están? Mínimos datos ligeramente corruptos (1), mínimos datos gravemente corruptos (3), muchos datos ligeramente corruptos (5), muchos datos gravemente corruptos (7), todos los datos totalmente corruptos (9)
  - Pérdida de disponibilidad ¿Cuánto servicio podría perderse y qué tan vital es? Interrupción mínima de servicios secundarios (1), interrupción mínima de servicios primarios (5), interrupción extensa de servicios secundarios (5), interrupción extensa de servicios primarios (7), pérdida total de todos los servicios (9)
  - Pérdida de responsabilidad: ¿Se pueden rastrear las acciones de los agentes amenazantes hasta llegar a un individuo? Totalmente rastreables (1), posiblemente rastreables (7), completamente anónimos (9)
- Factores de impacto empresarial: el impacto empresarial surge del impacto técnico, pero requiere una comprensión profunda de lo que es importante para la empresa que ejecuta la aplicación. En general, debe intentar respaldar sus riesgos con el impacto empresarial, en particular si su audiencia es de nivel ejecutivo. El riesgo empresarial es lo que justifica la inversión en la solución de problemas de seguridad.
  - Daño financiero: ¿Cuánto daño financiero resultará de un exploit? Menos que el costo de reparar la vulnerabilidad (1), efecto menor en las ganancias anuales (3), efecto significativo en las ganancias anuales (7), quiebra (9)
  - Daño a la reputación: ¿Un exploit podría causar un daño a la reputación que perjudicaría a la empresa? Daño mínimo (1), pérdida de cuentas importantes (4), pérdida de prestigio (5), daño a la marca (9)
  - Incumplimiento: ¿Cuánta exposición genera el incumplimiento? Infracción leve (2), infracción clara (5), infracción de alto perfil (7)
  - Violación de la privacidad : ¿Cuánta información personal identificable podría divulgarse? Una persona (3), cientos de personas (5), miles de personas (7), millones de personas (9)
- Si el impacto comercial se calcula con precisión, utilícelo en lo siguiente; de lo contrario, utilice el Impacto técnico.
Califique la probabilidad y el impacto en una escala BAJA, MEDIA, ALTA asumiendo que menos de 3 es BAJO, de 3 a menos de 6 es MEDIO y de 6 a 9 es ALTO.
Calcule el riesgo utilizando la siguiente tabla

Gravedad general del riesgo
Impacto	ALTO	Medio	Alto	Crítico
	MEDIO	Bajo	Medio	Alto
	BAJO	Ninguno	Bajo	Medio
		BAJO	MEDIO	ALTO
	Probabilidad

Gestión de riesgos de TI

Un sistema de gestión de riesgos de TI (ITRMS) es un componente de un sistema más amplio de gestión de riesgos empresariales (ERM). ^[23] Los ITRMS también están integrados en sistemas más amplios de gestión de seguridad de la información (ISMS). La actualización y el mantenimiento continuos de un ISMS son a su vez parte del enfoque sistemático de una organización para identificar, evaluar y gestionar los riesgos de seguridad de la información. ^[24] El Manual de Revisión del Auditor Certificado de Sistemas de Información 2006 de ISACA proporciona esta definición de gestión de riesgos: " La gestión de riesgos es el proceso de identificar vulnerabilidades y amenazas a los recursos de información utilizados por una organización para lograr los objetivos comerciales y decidir qué contramedidas , si las hubiera, tomar para reducir el riesgo a un nivel aceptable, en función del valor del recurso de información para la organización " . ^[25] El Marco de Ciberseguridad del NIST alienta a las organizaciones a gestionar el riesgo de TI como parte de la función de Identificación (ID): ^[26]^[27]

Evaluación de riesgos (ID.RA) : La organización comprende el riesgo de ciberseguridad para las operaciones organizacionales (incluida la misión, las funciones, la imagen o la reputación), los activos organizacionales y las personas.

ID.RA-1: Se identifican y documentan las vulnerabilidades de los activos
ID.RA-2: La información sobre amenazas cibernéticas y vulnerabilidades se recibe de foros y fuentes de intercambio de información.
ID.RA-3: Se identifican y documentan las amenazas, tanto internas como externas
ID.RA-4: Se identifican los posibles impactos y probabilidades comerciales
ID.RA-5: Las amenazas, vulnerabilidades, probabilidades e impactos se utilizan para determinar el riesgo.
ID.RA-6: Se identifican y priorizan las respuestas al riesgo

Estrategia de Gestión de Riesgos (ID.RM) : Se establecen las prioridades, restricciones, tolerancias de riesgo y suposiciones de la organización y se utilizan para respaldar las decisiones de riesgo operacional.

ID.RM-1: Los procesos de gestión de riesgos son establecidos, gestionados y acordados por las partes interesadas de la organización.
ID.RM-2: La tolerancia al riesgo organizacional está determinada y expresada claramente
ID.RM-3: La determinación de la tolerancia al riesgo por parte de la organización se basa en su papel en el análisis de riesgos específicos del sector y de la infraestructura crítica.

Leyes y regulaciones sobre riesgos de TI

A continuación se presenta una breve descripción de las normas aplicables organizadas por fuente. ^[28]

OCDE

La OCDE emitió el siguiente comunicado:

Recomendación del Consejo de la Organización para la Cooperación y el Desarrollo Económicos (OCDE) relativa a las directrices que rigen la protección de la privacidad y los flujos transfronterizos de datos personales (23 de septiembre de 1980)
Directrices de la OCDE para la seguridad de los sistemas y redes de información: Hacia una cultura de seguridad (25 de julio de 2002). Tema: Seguridad de la información en general. Ámbito de aplicación: Directrices no vinculantes para ninguna entidad de la OCDE (gobiernos, empresas, otras organizaciones y usuarios individuales que desarrollan, poseen, proporcionan, gestionan, dan servicio y utilizan sistemas y redes de información). Las Directrices de la OCDE establecen los principios básicos que sustentan las prácticas de gestión de riesgos y seguridad de la información. Si bien ninguna parte del texto es vinculante como tal, el incumplimiento de cualquiera de los principios es indicativo de una infracción grave de las buenas prácticas de gestión de riesgos y seguridad de la información que puede dar lugar a responsabilidad.

unión Europea

La Unión Europea emitió lo siguiente, dividido por temas:

Privacidad
- El Reglamento (CE) nº 45/2001 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos establece una normativa interna que supone la aplicación práctica de los principios de la Directiva sobre la privacidad que se describen a continuación. Además, el artículo 35 del Reglamento exige a las instituciones y organismos comunitarios que adopten precauciones similares en lo que respecta a sus infraestructuras de telecomunicaciones y que informen adecuadamente a los usuarios de los riesgos específicos de vulneración de la seguridad.
- La Directiva 95/46/CE relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos exige que toda actividad de tratamiento de datos personales se someta a un análisis previo de riesgos para determinar las implicaciones de la actividad en materia de privacidad y para determinar las medidas jurídicas, técnicas y organizativas adecuadas para proteger dichas actividades; que esté efectivamente protegida por dichas medidas, que deben ser las más modernas teniendo en cuenta la sensibilidad y las implicaciones de la actividad en materia de privacidad (incluso cuando se encargue la tarea de tratamiento a un tercero); que se notifique a una autoridad nacional de protección de datos, incluidas las medidas adoptadas para garantizar la seguridad de la actividad. Además, el artículo 25 y siguientes de la Directiva exigen a los Estados miembros que prohíban la transferencia de datos personales a Estados no miembros, a menos que dichos países hayan proporcionado una protección jurídica adecuada para dichos datos personales, o salvo determinadas otras excepciones.
- Decisión 2001/497/CE de la Comisión, de 15 de junio de 2001, relativa a las cláusulas contractuales tipo para la transferencia de datos personales a terceros países, de conformidad con la Directiva 95/46/CE; y Decisión 2004/915/CE de la Comisión, de 27 de diciembre de 2004, por la que se modifica la Decisión 2001/497/CE en lo que respecta a la introducción de un conjunto alternativo de cláusulas contractuales tipo para la transferencia de datos personales a terceros países. Tema: Exportación de datos personales a terceros países, en concreto a países no pertenecientes a la UE que no hayan sido reconocidos como poseedores de un nivel de protección de datos adecuado (es decir, equivalente al de la UE). Ambas Decisiones de la Comisión establecen un conjunto de cláusulas modelo voluntarias que pueden utilizarse para exportar datos personales desde un responsable del tratamiento de datos (que esté sujeto a las normas de protección de datos de la UE) a un encargado del tratamiento de datos fuera de la UE que no esté sujeto a dichas normas o a un conjunto similar de normas adecuadas.
- Principios de privacidad de Safe Harbor internacionales (ver a continuación los Principios de privacidad de Safe Harbor internacionales y de EE. UU. )
- Directiva 2002/58/CE, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas
Seguridad nacional
- Directiva 2006/24/CE, de 15 de marzo de 2006, sobre la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones y por la que se modifica la Directiva 2002/58/CE (« Directiva sobre conservación de datos »). Tema: Obligación de los proveedores de servicios públicos de telecomunicaciones electrónicas de conservar determinada información a efectos de investigación, detección y enjuiciamiento de delitos graves
- Directiva 2008/114/CE del Consejo, de 8 de diciembre de 2008, relativa a la identificación y designación de infraestructuras críticas europeas y a la evaluación de la necesidad de mejorar su protección. Tema: Identificación y protección de infraestructuras críticas europeas. Ámbito de aplicación: Aplicable a los Estados miembros y a los operadores de infraestructuras críticas europeas (definidas por el proyecto de directiva como «infraestructuras críticas cuya interrupción o destrucción afectaría significativamente a dos o más Estados miembros, o a un solo Estado miembro si la infraestructura crítica está ubicada en otro Estado miembro. Esto incluye los efectos resultantes de dependencias intersectoriales de otros tipos de infraestructuras»). Requiere que los Estados miembros identifiquen las infraestructuras críticas en sus territorios y las designen como ICE. Tras esta designación, los propietarios/operadores de ICE deben crear Planes de Seguridad del Operador (OSP), que deben establecer soluciones de seguridad pertinentes para su protección.
Derecho civil y penal
- Decisión marco 2005/222/JAI del Consejo, de 24 de febrero de 2005, relativa a los ataques contra los sistemas de información. Tema: Decisión general destinada a armonizar las disposiciones nacionales en el ámbito de la ciberdelincuencia, que abarca el derecho penal material (es decir, las definiciones de delitos específicos), el derecho penal procesal (incluidas las medidas de investigación y la cooperación internacional) y las cuestiones de responsabilidad. Ámbito de aplicación: Requiere que los Estados miembros apliquen las disposiciones de la Decisión marco en sus marcos jurídicos nacionales. La Decisión marco es pertinente para la RM/RA porque contiene las condiciones en las que se puede imponer responsabilidad legal a las entidades jurídicas por la conducta de determinadas personas físicas con autoridad dentro de la entidad jurídica. Por tanto, la Decisión marco exige que se controle adecuadamente la conducta de dichas figuras dentro de una organización, también porque la Decisión establece que una entidad jurídica puede ser considerada responsable de actos de omisión a este respecto.

Consejo de Europa

Convenio del Consejo de Europa sobre la Ciberdelincuencia, Budapest, 23.XI.2001, Serie de Tratados Europeos-Nº 185. Tema: Tratado general cuyo objetivo es armonizar las disposiciones nacionales en materia de ciberdelincuencia, que abarca el derecho penal material (es decir, las definiciones de delitos específicos), el derecho penal procesal (incluidas las medidas de investigación y la cooperación internacional), las cuestiones de responsabilidad y la conservación de datos. Aparte de las definiciones de una serie de delitos penales en los artículos 2 a 10, el Convenio es pertinente para RM/RA porque establece las condiciones en las que se puede imponer responsabilidad legal a las entidades jurídicas por la conducta de ciertas personas físicas con autoridad dentro de la entidad jurídica. Por tanto, el Convenio exige que se controle adecuadamente la conducta de dichas figuras dentro de una organización, también porque el Convenio establece que una entidad jurídica puede ser considerada responsable de actos de omisión a este respecto.

Estados Unidos

Estados Unidos emitió lo siguiente, dividido por tema:

Derecho civil y penal
- Enmiendas a las Reglas Federales de Procedimiento Civil en relación con el descubrimiento electrónico. Tema: Reglas federales de los Estados Unidos en relación con la producción de documentos electrónicos en procedimientos civiles. Las reglas de descubrimiento permiten a una parte en un procedimiento civil exigir a la parte contraria que presente toda la documentación pertinente (a definir por la parte solicitante) que esté en su poder, de modo que las partes y el tribunal puedan evaluar correctamente el asunto. Mediante la enmienda sobre el descubrimiento electrónico, que entró en vigor el 1 de diciembre de 2006, dicha información puede incluir ahora información electrónica. Esto implica que a cualquier parte que comparezca ante un tribunal estadounidense en un procedimiento civil se le puede pedir que presente dichos documentos, que incluyen informes finalizados, documentos de trabajo, memorandos internos y correos electrónicos con respecto a un tema específico, que puede o no estar específicamente delineado. Cualquier parte cuyas actividades impliquen un riesgo de verse involucrada en tales procedimientos debe, por lo tanto, tomar las precauciones adecuadas para la gestión de dicha información, incluido el almacenamiento seguro. En concreto: la parte debe ser capaz de iniciar una "retención de litigio", una medida técnica/organizativa que debe garantizar que no se pueda modificar de ningún modo la información pertinente. Las políticas de almacenamiento deben ser responsables: si bien la eliminación de información específica sigue estando permitida cuando forma parte de las políticas generales de gestión de la información ("operación rutinaria y de buena fe del sistema de información", Regla 37 (f)), la destrucción deliberada de información potencialmente pertinente puede ser castigada con multas extremadamente altas (en un caso específico de 1.600 millones de dólares estadounidenses). Por lo tanto, en la práctica, cualquier empresa que se arriesgue a un litigio civil ante los tribunales estadounidenses debe implementar políticas adecuadas de gestión de la información y debe implementar las medidas necesarias para iniciar una retención de litigio.
Privacidad
- Ley de Privacidad del Consumidor de California (CCPA)
- Ley de Derechos de Privacidad de California (CPRA)
- Ley Gramm-Leach-Bliley (GLBA)
- Ley Patriota de los Estados Unidos, Título III
- Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) Desde una perspectiva de RM/RA, la Ley es particularmente conocida por sus disposiciones con respecto a la Simplificación Administrativa (Título II de HIPAA). Este título requería que el Departamento de Salud y Servicios Humanos de los EE. UU. (HHS) redactara conjuntos de reglas específicas, cada una de las cuales proporcionaría estándares específicos que mejorarían la eficiencia del sistema de atención médica y evitarían el abuso. Como resultado, el HHS ha adoptado cinco reglas principales: la Regla de Privacidad, la Regla de Transacciones y Conjuntos de Códigos, la Regla de Identificadores Únicos, la Regla de Cumplimiento y la Regla de Seguridad. Esta última, publicada en el Registro Federal el 20 de febrero de 2003 (ver: http://www.cms.hhs.gov/SecurityStandard/Downloads/securityfinalrule.pdf Archivado el 29 de diciembre de 2009 en Wayback Machine ), es específicamente relevante, ya que especifica una serie de procedimientos de seguridad administrativa, técnica y física para asegurar la confidencialidad de la información médica electrónica protegida. Estos aspectos se han delineado con más detalle en un conjunto de Estándares de Seguridad sobre Salvaguardias Administrativas, Físicas, Organizativas y Técnicas, todos los cuales han sido publicados, junto con un documento de orientación sobre los conceptos básicos de la gestión de riesgos y la evaluación de riesgos de la HIPAA <http://www.cms.hhs.gov/EducationMaterials/04_SecurityMaterials.asp Archivado el 23 de enero de 2010 en Wayback Machine >. Los proveedores de servicios de atención médica de países europeos o de otros países generalmente no se verán afectados por las obligaciones de la HIPAA si no están activos en el mercado estadounidense. Sin embargo, dado que sus actividades de procesamiento de datos están sujetas a obligaciones similares según la ley europea general (incluida la Directiva de Privacidad), y dado que las tendencias subyacentes de modernización y evolución hacia los archivos de salud electrónicos son las mismas, las salvaguardias del HHS pueden ser útiles como un criterio inicial para medir las estrategias de RM/RA implementadas por los proveedores de servicios de atención médica europeos, específicamente con respecto al procesamiento de información de salud electrónica. Los estándares de seguridad de la HIPAA incluyen lo siguiente:
  - Garantías administrativas:
    - Proceso de gestión de seguridad
    - Responsabilidad de seguridad asignada
    - Seguridad de la fuerza laboral
    - Gestión de acceso a la información
    - Concientización y capacitación en seguridad
    - Procedimientos en caso de incidentes de seguridad
    - Plan de contingencia
    - Evaluación
    - Contratos de socios comerciales y otros acuerdos
  - Medidas de seguridad físicas
    - Controles de acceso a instalaciones
    - Uso de la estación de trabajo
    - Seguridad de la estación de trabajo
    - Controles de dispositivos y medios
  - Salvaguardias técnicas
    - Control de acceso
    - Controles de auditoría
    - Integridad
    - Autenticación de persona o entidad
    - Seguridad de la transmisión
  - Requisitos organizativos
    - Contratos de socios comerciales y otros acuerdos
    - Requisitos para los planes de salud grupales
- Principios de privacidad de Safe Harbor internacionales emitidos por el Departamento de Comercio de los EE. UU. el 21 de julio de 2000 Exportación de datos personales desde un controlador de datos que está sujeto a las regulaciones de privacidad de la UE a un destino con sede en los EE. UU.; antes de que los datos personales puedan exportarse desde una entidad sujeta a las regulaciones de privacidad de la UE a un destino sujeto a la ley de los EE. UU., la entidad europea debe asegurarse de que la entidad receptora proporcione salvaguardas adecuadas para proteger dichos datos contra una serie de contratiempos. Una forma de cumplir con esta obligación es exigir a la entidad receptora que se una al Safe Harbor, exigiendo que la entidad certifique por sí misma su cumplimiento de los llamados Principios de Safe Harbor. Si se elige esta vía, el controlador de datos que exporta los datos debe verificar que el destino de los EE. UU. esté efectivamente en la lista de Safe Harbor (consulte la lista de Safe Harbor)
- El Departamento de Seguridad Nacional de los Estados Unidos también utiliza la Evaluación de Impacto sobre la Privacidad (PIA) como herramienta de toma de decisiones para identificar y mitigar los riesgos de violaciones a la privacidad. ^[29]
Ley Sarbanes-Oxley
FISMA
Gestión de riesgos de ciberseguridad, estrategia, gobernanza y divulgación de incidentes de la SEC ^[30]

A medida que la legislación evoluciona, se ha puesto cada vez más énfasis en exigir una "seguridad razonable" para la gestión de la información. La CCPA establece que "los fabricantes de dispositivos conectados deben equipar el dispositivo con una seguridad razonable". ^[31] La Ley SHIELD de Nueva York exige que las organizaciones que gestionan la información de los residentes de Nueva York "desarrollen, implementen y mantengan salvaguardas razonables para proteger la seguridad, la confidencialidad y la integridad de la información privada, incluida, entre otras, la eliminación de datos". Este concepto influirá en la forma en que las empresas gestionen su plan de gestión de riesgos a medida que se desarrollen los requisitos de cumplimiento.

Organizaciones de normalización y normas

Organismos internacionales de normalización:
Organismos de normalización de los Estados Unidos:
- Instituto Nacional de Estándares y Tecnología – NIST
- Estándares federales de procesamiento de información (FIPS) del NIST, dedicados al gobierno federal y a sus agencias
Organismos de normalización del Reino Unido
- Instituto Británico de Normalización

Breve descripción de las normas

La lista se basa principalmente en: ^[28]

YO ASI

ISO/IEC 13335-1:2004 – Tecnología de la información—Técnicas de seguridad—Gestión de la seguridad de las tecnologías de la información y las comunicaciones—Parte 1: Conceptos y modelos para la gestión de la seguridad de las tecnologías de la información y las comunicaciones http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=39066. Norma que contiene descripciones generalmente aceptadas de conceptos y modelos para la gestión de la seguridad de las tecnologías de la información y las comunicaciones. La norma es un código de prácticas de uso común y sirve como recurso para la implementación de prácticas de gestión de la seguridad y como criterio para la auditoría de dichas prácticas. (Véase también http://csrc.nist.gov/publications/secpubs/otherpubs/reviso-faq.pdf Archivado el 6 de diciembre de 2010 en Wayback Machine )
ISO/IEC TR 15443-1:2005 – Tecnología de la información—Técnicas de seguridad—Un marco para la garantía de seguridad de TI referencia: http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=39733 (Nota: esta es una referencia a la página ISO donde se puede adquirir la norma. Sin embargo, la norma no es gratuita y sus disposiciones no están disponibles públicamente. Por este motivo, no se pueden citar disposiciones específicas). Tema: Garantía de seguridad: el Informe técnico (TR) contiene directrices generalmente aceptadas que se pueden utilizar para determinar un método de garantía adecuado para evaluar un servicio, producto o factor ambiental de seguridad.
ISO/IEC 15816:2002 – Tecnología de la información—Técnicas de seguridad—Objetos de información de seguridad para control de acceso Referencia: http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=29139 (Nota: esta es una referencia a la página ISO donde se puede adquirir la norma. Sin embargo, la norma no es gratuita y sus disposiciones no están disponibles públicamente. Por esta razón, no se pueden citar disposiciones específicas). Tema: Gestión de la seguridad – Control de acceso. La norma permite a los profesionales de la seguridad confiar en un conjunto específico de definiciones y explicaciones sintácticas con respecto a los SIO, evitando así la duplicación o divergencia en otros esfuerzos de estandarización.
ISO/IEC TR 15947:2002 – Tecnología de la información—Técnicas de seguridad—Marco de referencia para la detección de intrusiones en TI: http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=29580 (Nota: esta es una referencia a la página ISO donde se puede adquirir la norma. Sin embargo, la norma no es gratuita y sus disposiciones no están disponibles públicamente. Por este motivo, no se pueden citar disposiciones específicas). Tema: Gestión de la seguridad – Detección de intrusiones en sistemas de TI. La norma permite a los profesionales de la seguridad confiar en un conjunto específico de conceptos y metodologías para describir y evaluar los riesgos de seguridad con respecto a posibles intrusiones en los sistemas de TI. No contiene ninguna obligación de RM/RA como tal, sino que es más bien una herramienta para facilitar las actividades de RM/RA en el campo afectado.
ISO/IEC 15408 -1/2/3:2005 – Tecnología de la información — Técnicas de seguridad — Criterios de evaluación para la seguridad de TI — Parte 1: Introducción y modelo general (15408-1) Parte 2: Requisitos funcionales de seguridad (15408-2) Parte 3: Requisitos de garantía de seguridad (15408-3) referencia: http://isotc.iso.org/livelink/livelink/fetch/2000/2489/Ittf_Home/PubliclyAvailableStandards.htm Tema: Norma que contiene un conjunto común de requisitos para las funciones de seguridad de los productos y sistemas de TI y para las medidas de garantía que se les aplican durante una evaluación de seguridad. Alcance: Norma ISO disponible públicamente, que puede implementarse voluntariamente. El texto es un recurso para la evaluación de la seguridad de los productos y sistemas de TI y, por lo tanto, puede usarse como una herramienta para RM/RA. La norma se usa comúnmente como un recurso para la evaluación de la seguridad de los productos y sistemas de TI; incluidas (si no se especifican específicamente) las decisiones de adquisición con respecto a dichos productos. Por lo tanto, la norma puede utilizarse como una herramienta de gestión de riesgos y evaluación para determinar la seguridad de un producto o sistema de TI durante su diseño, fabricación o comercialización, o antes de su adquisición.
ISO/IEC 17799 :2005 – Tecnología de la información—Técnicas de seguridad—Código de prácticas para la gestión de la seguridad de la información. Referencia: http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=39612&ICS1=35&ICS2=40&ICS3= (Nota: esta es una referencia a la página de ISO donde se puede adquirir la norma. Sin embargo, la norma no es gratuita y sus disposiciones no están disponibles públicamente. Por esta razón, no se pueden citar disposiciones específicas). Tema: Norma que contiene directrices generalmente aceptadas y principios generales para iniciar, implementar, mantener y mejorar la gestión de la seguridad de la información en una organización, incluida la gestión de la continuidad del negocio. La norma es un código de prácticas de uso común y sirve como recurso para la implementación de prácticas de gestión de la seguridad de la información y como criterio para auditar dichas prácticas. (Véase también ISO/IEC 17799 )
ISO/IEC TR 15446:2004 – Tecnología de la información—Técnicas de seguridad—Guía para la producción de perfiles de protección y objetivos de seguridad. Referencia: http://isotc.iso.org/livelink/livelink/fetch/2000/2489/Ittf_Home/PubliclyAvailableStandards.htm Tema: Informe técnico (TR) que contiene directrices para la construcción de perfiles de protección (PP) y objetivos de seguridad (ST) que se pretende que cumplan con la norma ISO/IEC 15408 (los "Criterios comunes"). La norma se utiliza predominantemente como una herramienta para que los profesionales de la seguridad desarrollen PP y ST, pero también se puede utilizar para evaluar la validez de los mismos (utilizando el TR como criterio para determinar si se han respetado sus estándares). Por lo tanto, es una herramienta normativa (no vinculante) para la creación y evaluación de prácticas de RM/RA.
ISO/IEC 18028 :2006 – Tecnología de la información—Técnicas de seguridad—Seguridad de redes de TI Referencia: http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=40008 (Nota: esta es una referencia a la página ISO donde se puede adquirir la norma. Sin embargo, la norma no es gratuita y sus disposiciones no están disponibles públicamente. Por esta razón, no se pueden citar disposiciones específicas). Tema: Norma de cinco partes (ISO/IEC 18028-1 a 18028-5) que contiene directrices generalmente aceptadas sobre los aspectos de seguridad de la gestión, operación y uso de redes de tecnología de la información. La norma se considera una extensión de las directrices proporcionadas en ISO/IEC 13335 e ISO/IEC 17799, centrándose específicamente en los riesgos de seguridad de la red. La norma es un código de práctica de uso común y sirve como recurso para la implementación de prácticas de gestión de seguridad y como criterio para auditar dichas prácticas.
ISO/IEC 27001 :2005 – Tecnología de la información—Técnicas de seguridad—Sistemas de gestión de seguridad de la información—Requisitos Referencia: http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=42103 (Nota: esta es una referencia a la página ISO donde se puede adquirir la norma. Sin embargo, la norma no es gratuita y sus disposiciones no están disponibles públicamente. Por esta razón, no se pueden citar disposiciones específicas). Tema: Norma que contiene directrices generalmente aceptadas para la implementación de un Sistema de Gestión de Seguridad de la Información dentro de una organización determinada. Alcance: No es una norma ISO disponible públicamente, que se puede implementar de forma voluntaria. Aunque no es legalmente vinculante, el texto contiene directrices directas para la creación de prácticas sólidas de seguridad de la información. La norma es un código de prácticas muy utilizado y sirve como recurso para la implementación de sistemas de gestión de seguridad de la información y como criterio para auditar dichos sistemas y/o las prácticas relacionadas. Su aplicación en la práctica se combina a menudo con normas relacionadas, como la BS 7799-3:2006, que proporciona orientación adicional para respaldar los requisitos establecidos en la ISO/IEC 27001:2005 <http://www.bsiglobal.com/en/Shop/Publication-Detail/?pid=000000000030125022&recid=2491 ^{[ enlace muerto permanente ]} >
ISO/IEC 27001:2013 , el estándar actualizado para sistemas de gestión de seguridad de la información.
ISO/IEC TR 18044:2004 – Tecnología de la información—Técnicas de seguridad—Gestión de incidentes de seguridad de la información Referencia: http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=35396 (Nota: esta es una referencia a la página ISO donde se puede adquirir la norma. Sin embargo, la norma no es gratuita y sus disposiciones no están disponibles públicamente. Por esta razón, no se pueden citar disposiciones específicas). Tema: Informe técnico (TR) que contiene directrices generalmente aceptadas y principios generales para la gestión de incidentes de seguridad de la información en una organización. Alcance: No es un ISO TR disponible públicamente, que se puede utilizar de forma voluntaria. Si bien no es legalmente vinculante, el texto contiene directrices directas para la gestión de incidentes. La norma es un recurso de alto nivel que presenta conceptos y consideraciones básicas en el campo de la respuesta a incidentes. Como tal, es principalmente útil como catalizador para iniciativas de concienciación en este sentido.
ISO/IEC 18045:2005 – Tecnología de la información—Técnicas de seguridad—Metodología para la evaluación de la seguridad de TI referencia: http://isotc.iso.org/livelink/livelink/fetch/2000/2489/Ittf_Home/PubliclyAvailableStandards.htm Tema: Norma que contiene directrices de auditoría para la evaluación del cumplimiento de la norma ISO/IEC 15408 (Tecnología de la información—Técnicas de seguridad—Criterios de evaluación para la seguridad de TI) Alcance Norma ISO disponible al público, que se debe seguir al evaluar el cumplimiento de la norma ISO/IEC 15408 (Tecnología de la información—Técnicas de seguridad—Criterios de evaluación para la seguridad de TI). La norma es un "documento complementario", que por lo tanto se utiliza principalmente para profesionales de la seguridad involucrados en la evaluación del cumplimiento de la norma ISO/IEC 15408 (Tecnología de la información—Técnicas de seguridad—Criterios de evaluación para la seguridad de TI). Dado que describe las acciones mínimas que deben realizar dichos auditores, el cumplimiento de la norma ISO/IEC 15408 es imposible si no se ha tenido en cuenta la norma ISO/IEC 18045.
ISO/TR 13569:2005 – Servicios financieros—Directrices de seguridad de la información Referencia: http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=37245 (Nota: esta es una referencia a la página de ISO donde se puede adquirir la norma. Sin embargo, la norma no es gratuita y sus disposiciones no están disponibles públicamente. Por esta razón, no se pueden citar disposiciones específicas). Tema: Norma que contiene directrices para la implementación y evaluación de políticas de seguridad de la información en instituciones de servicios financieros. La norma es una directriz de referencia común y sirve como recurso para la implementación de programas de gestión de seguridad de la información en instituciones del sector financiero y como criterio para la auditoría de dichos programas. (Véase también http://csrc.nist.gov/publications/secpubs/otherpubs/reviso-faq.pdf Archivado el 6 de diciembre de 2010 en Wayback Machine )
ISO/IEC 21827:2008 – Tecnología de la información—Técnicas de seguridad—Ingeniería de seguridad de sistemas—Modelo de madurez de capacidad (SSE-CMM): ISO/IEC 21827:2008 especifica el Modelo de madurez de capacidad de ingeniería de seguridad de sistemas (SSE-CMM), que describe las características esenciales del proceso de ingeniería de seguridad de una organización que deben existir para garantizar una buena ingeniería de seguridad. ISO/IEC 21827:2008 no prescribe un proceso o secuencia en particular, sino que captura prácticas que se observan generalmente en la industria. El modelo es una métrica estándar para las prácticas de ingeniería de seguridad.

BSI

BS 25999 -1:2006 – Gestión de la continuidad empresarial Parte 1: Código de prácticas Nota: esta es solo la primera parte de la norma BS 25999, que se publicó en noviembre de 2006. La segunda parte (que debería contener criterios más específicos con vistas a una posible acreditación) aún no se ha publicado. Referencia: http://www.bsi-global.com/en/Shop/Publication-Detail/?pid=000000000030157563 Archivado el 27 de agosto de 2009 en Wayback Machine . Tema: Norma que contiene un código de prácticas de continuidad empresarial. La norma está pensada como un código de prácticas para la gestión de la continuidad empresarial y se ampliará con una segunda parte que debería permitir la acreditación para la adhesión a la norma. Dada su relativa novedad, el impacto potencial de la norma es difícil de evaluar, aunque podría ser muy influyente en las prácticas de gestión de la continuidad del negocio y la gestión de la continuidad del servicio, dada la falta general de normas de aplicación universal en este sentido y la creciente atención a la continuidad del negocio y la planificación de contingencias en las iniciativas regulatorias. La aplicación de esta norma se puede complementar con otras normas, en particular PAS 77:2006 – Código de prácticas de gestión de la continuidad del servicio de TI <http://www.bsi-global.com/en/Shop/Publication-Detail/?pid=000000000030141858>. La TR ^{[ enlace muerto permanente ]} permite a los profesionales de seguridad determinar una metodología adecuada para evaluar un servicio, producto o factor ambiental de seguridad (un entregable). Siguiendo esta TR, se puede determinar qué nivel de garantía de seguridad se pretende que cumpla un entregable, y si este umbral se cumple realmente con el entregable.
BS 7799 -3:2006 – Sistemas de gestión de seguridad de la información: Directrices para la gestión de riesgos de seguridad de la información Referencia: http://www.bsi-global.com/en/Shop/Publication-Detail/?pid=000000000030125022&recid=2491 ^{[ enlace permanente ]} (Nota: esta es una referencia a la página de BSI donde se puede adquirir la norma. Sin embargo, la norma no es gratuita y sus disposiciones no están disponibles públicamente. Por este motivo, no se pueden citar disposiciones específicas). Tema: Norma que contiene directrices generales para la gestión de riesgos de seguridad de la información. Alcance: No es una norma de BSI disponible públicamente, que se puede implementar de forma voluntaria. Si bien no es legalmente vinculante, el texto contiene directrices directas para la creación de prácticas sólidas de seguridad de la información. La norma está pensada principalmente como un documento complementario de orientación para la aplicación de la norma ISO 27001:2005 antes mencionada y, por lo tanto, se aplica normalmente junto con esta norma en las prácticas de evaluación de riesgos.

Foro de Seguridad de la Información

Norma de buenas prácticas en materia de seguridad de la información

Véase también

Referencias

^ "¿Qué es el riesgo informático? | nibusinessinfo.co.uk". www.nibusinessinfo.co.uk . Consultado el 4 de septiembre de 2021 .
^ "El riesgo es una combinación de la probabilidad de que ocurra un evento o exposición peligrosos y la gravedad de la lesión o la mala salud que puede ser causada por el evento o la exposición" (OHSAS 18001:2007)
^ "3 tipos de evaluaciones de ciberseguridad: bosquejo de amenazas". Bosquejo de amenazas . 2016-05-16. Archivado desde el original el 2018-11-07 . Consultado el 2017-10-07 .
^ "Tipos de evaluación de seguridad de la información". danielmiessler.com . Consultado el 7 de octubre de 2017 .
^ abc ISO/IEC, "Tecnología de la información - Técnicas de seguridad - Gestión de riesgos de seguridad de la información" ISO/IEC FIDIS 27005:2008
^ Instrucción CNSS N° 4009 Archivada el 27 de febrero de 2012 en Wayback Machine con fecha del 26 de abril de 2010
^ Proceso de Certificación y Acreditación de Garantía Nacional de la Información (NIACAP) por el Comité de Seguridad de Sistemas de Información y Telecomunicaciones de Seguridad Nacional
^ "Glosario de términos" . Consultado el 23 de mayo de 2016 .
^ un proyecto wiki Archivado el 26 de septiembre de 2011 en Wayback Machine dedicado a FISMA
^ Término de riesgo de FISMApedia
^ ab NIST SP 800-30 Guía de gestión de riesgos para sistemas de tecnología de la información
^ Publicación FIPS 200 Requisitos mínimos de seguridad para la información y los sistemas de información federales
^ ab FAIR: Análisis factorial de los riesgos de la información Archivado el 18 de noviembre de 2014 en Wayback Machine.
^ ab ISACA THE RISK IT FRAMEWORK Archivado el 5 de julio de 2010 en Wayback Machine ISBN 978-1-60420-111-6 (se requiere registro)
^ Norma técnica Taxonomía de riesgos ISBN 1-931624-77-1 Número de documento: C081 Publicado por The Open Group, enero de 2009.
^ Arnold, Rob (2017). Ciberseguridad: una solución empresarial: una perspectiva ejecutiva sobre la gestión del riesgo cibernético. Threat Sketch, LLC. ISBN 9780692944158.
^ Arnold, Rob (2017). Ciberseguridad: una solución empresarial. Threat Sketch, LLC. pág. 22. ISBN 978-0692944158.
^ "Glosario". Archivado desde el original el 29 de febrero de 2012 . Consultado el 23 de mayo de 2016 .
^ "Glosario". Archivado desde el original el 29 de febrero de 2012 . Consultado el 23 de mayo de 2016 .
^ "Glosario". Archivado desde el original el 29 de febrero de 2012 . Consultado el 23 de mayo de 2016 .
^ "Glosario". Archivado desde el original el 29 de febrero de 2012 . Consultado el 23 de mayo de 2016 .
^ ab "Metodología de calificación de riesgos de OWASP" . Consultado el 23 de mayo de 2016 .
^ "ISACA THE RISK IT FRAMEWORK (requiere registro)" (PDF) . Archivado desde el original (PDF) el 2010-07-05 . Consultado el 2010-12-14 .
^ Gestión de riesgos de Enisa, Inventario de evaluación de riesgos, página 46
^ ISACA (2006). Manual de revisión CISA 2006. Asociación de auditoría y control de sistemas de información. p. 85. ISBN 978-1-933284-15-6.
^ Keller, Nicole (12 de noviembre de 2013). "Marco de ciberseguridad". NIST . Consultado el 7 de octubre de 2017 .
^ Arnold, Rob. "Una guía de 10 minutos sobre el marco de ciberseguridad del NIST". Threat Sketch . Archivado desde el original el 2021-04-14 . Consultado el 2018-02-14 .
^ ab Gestión de riesgos / Evaluación de riesgos en la reglamentación europea, directrices internacionales y códigos de práctica Archivado el 23 de julio de 2011 en Wayback Machine Realizado por el Departamento Técnico de ENISA Sección de Gestión de Riesgos en cooperación con: Prof. J. Dumortier y Hans Graux www.lawfort.be Junio de 2007
^ "Evaluaciones del impacto de la privacidad". Departamento de Seguridad Nacional . 2009-07-06 . Consultado el 2020-12-12 .
^ "Comisión de Bolsa y Valores (SEC)" (PDF) . Comisión de Bolsa y Valores (SEC) .
^ IAPP. "La evolución del estándar de 'seguridad razonable' en el contexto estadounidense".

Enlaces externos

Guía de seguridad de la información de Internet2: prácticas y soluciones eficaces para la educación superior Archivado el 12 de junio de 2010 en Wayback Machine
Gestión de riesgos – Principios e inventarios para la gestión de riesgos / Métodos y herramientas de evaluación de riesgos Archivado el 13 de noviembre de 2010 en Wayback Machine , Fecha de publicación: 1 de junio de 2006 Autores: Realizado por el Departamento Técnico de ENISA Sección de Gestión de Riesgos
Clusif Club de la Seguridad de la Información Francesa
Guía de gestión de riesgos del NIST 800-30
800-39 BORRADOR DEL NIST Gestión del riesgo de los sistemas de información: una perspectiva organizacional
Publicación FIPS 199, Normas para la categorización de seguridad de la información federal y la información
Publicación FIPS 200 Requisitos mínimos de seguridad para la información y los sistemas de información federales
800-37 Guía del NIST para la aplicación del marco de gestión de riesgos a los sistemas de información federales: un enfoque del ciclo de vida de la seguridad
FISMApedia es una colección de documentos y debates centrados en la seguridad informática federal de EE. UU.
Norma de análisis de riesgos del deber de cuidado (DoCRA)

[1] "¿Qué es el riesgo informático? | nibusinessinfo.co.uk". www.nibusinessinfo.co.uk . Consultado el 4 de septiembre de 2021 .

[2] "El riesgo es una combinación de la probabilidad de que ocurra un evento o exposición peligrosos y la gravedad de la lesión o la mala salud que puede ser causada por el evento o la exposición" (OHSAS 18001:2007)

[3] "3 tipos de evaluaciones de ciberseguridad: bosquejo de amenazas". Bosquejo de amenazas . 2016-05-16. Archivado desde el original el 2018-11-07 . Consultado el 2017-10-07 .

[4] "Tipos de evaluación de seguridad de la información". danielmiessler.com . Consultado el 7 de octubre de 2017 .

[ISO27005-5] ISO/IEC, "Tecnología de la información - Técnicas de seguridad - Gestión de riesgos de seguridad de la información" ISO/IEC FIDIS 27005:2008

[CNSSI4009-6] Instrucción CNSS N° 4009 Archivada el 27 de febrero de 2012 en Wayback Machine con fecha del 26 de abril de 2010

[7] Proceso de Certificación y Acreditación de Garantía Nacional de la Información (NIACAP) por el Comité de Seguridad de Sistemas de Información y Telecomunicaciones de Seguridad Nacional

[8] "Glosario de términos" . Consultado el 23 de mayo de 2016 .

[9] un proyecto wiki Archivado el 26 de septiembre de 2011 en Wayback Machine dedicado a FISMA

[10] Término de riesgo de FISMApedia

[SP80030-11] NIST SP 800-30 Guía de gestión de riesgos para sistemas de tecnología de la información

[12] Publicación FIPS 200 Requisitos mínimos de seguridad para la información y los sistemas de información federales

[riskmanagementinsight.com-13] FAIR: Análisis factorial de los riesgos de la información Archivado el 18 de noviembre de 2014 en Wayback Machine.

[riskit-14] ISACA THE RISK IT FRAMEWORK Archivado el 5 de julio de 2010 en Wayback Machine ISBN 978-1-60420-111-6 (se requiere registro)

[15] Norma técnica Taxonomía de riesgos ISBN 1-931624-77-1 Número de documento: C081 Publicado por The Open Group, enero de 2009.

[16] Arnold, Rob (2017). Ciberseguridad: una solución empresarial: una perspectiva ejecutiva sobre la gestión del riesgo cibernético. Threat Sketch, LLC. ISBN 9780692944158.

[17] Arnold, Rob (2017). Ciberseguridad: una solución empresarial. Threat Sketch, LLC. pág. 22. ISBN 978-0692944158.

[18] "Glosario". Archivado desde el original el 29 de febrero de 2012 . Consultado el 23 de mayo de 2016 .

[19] "Glosario". Archivado desde el original el 29 de febrero de 2012 . Consultado el 23 de mayo de 2016 .

[ENISA_Glossary_Impact-20] "Glosario". Archivado desde el original el 29 de febrero de 2012 . Consultado el 23 de mayo de 2016 .

[ENISA_Glossary_Consequence-21] "Glosario". Archivado desde el original el 29 de febrero de 2012 . Consultado el 23 de mayo de 2016 .

[OWASP-22] "Metodología de calificación de riesgos de OWASP" . Consultado el 23 de mayo de 2016 .

[RISKITW-23] "ISACA THE RISK IT FRAMEWORK (requiere registro)" (PDF) . Archivado desde el original (PDF) el 2010-07-05 . Consultado el 2010-12-14 .

[ENISAFULL-24] Gestión de riesgos de Enisa, Inventario de evaluación de riesgos, página 46

[25] ISACA (2006). Manual de revisión CISA 2006. Asociación de auditoría y control de sistemas de información. p. 85. ISBN 978-1-933284-15-6.

[26] Keller, Nicole (12 de noviembre de 2013). "Marco de ciberseguridad". NIST . Consultado el 7 de octubre de 2017 .

[27] Arnold, Rob. "Una guía de 10 minutos sobre el marco de ciberseguridad del NIST". Threat Sketch . Archivado desde el original el 2021-04-14 . Consultado el 2018-02-14 .

[ENISALAW-28] Gestión de riesgos / Evaluación de riesgos en la reglamentación europea, directrices internacionales y códigos de práctica Archivado el 23 de julio de 2011 en Wayback Machine Realizado por el Departamento Técnico de ENISA Sección de Gestión de Riesgos en cooperación con: Prof. J. Dumortier y Hans Graux www.lawfort.be Junio de 2007

[29] "Evaluaciones del impacto de la privacidad". Departamento de Seguridad Nacional . 2009-07-06 . Consultado el 2020-12-12 .

[30] "Comisión de Bolsa y Valores (SEC)" (PDF) . Comisión de Bolsa y Valores (SEC) .

[31] IAPP. "La evolución del estándar de 'seguridad razonable' en el contexto estadounidense".