Estándares de seguridad
En este documento se van a tratar de forma más detallada conceptos que se han incluido en los videos del nivel, como las distintas “erres” que amplían la visión clásica del “reducir, reutilizar, reciclar” como propuesta clásica del ambientalismo.
Veremos cómo la ampliación conceptual ligada a las nuevas “erres” a través de términos como Reevaluar, Reparar, Reestructurar, Redistribuir o Relocalizar está relacionada con las propuestas teóricas que se vinculan con el concepto de “decrecimiento”, como una alternativa de aproximación a las problemáticas ambientales actuales ligadas al modelo de producción y consumo.
Y precisamente como propuesta de modelo económico alternativo que busca aumentar los niveles de sostenibilidad social y ambiental, nos aproximaremos a la economía circular. Esta propuesta se trata de implementar una nueva economía, basada en el principio de cerrar el ciclo de vida de los productos, los servicios, los residuos, los materiales, el agua y la energía.
Además de presentar los fundamentos de la economía circular, presentaremos ejemplos concretos de productos y servicios relacionados con las tecnologías digitales que se acogen a una reconceptualización que parte de su propio diseño, para minimizar sus impactos ambientales y sociales.
Un estándar de seguridad es un conjunto de normas y mejores prácticas establecidas para garantizar la seguridad y protección de los sistemas, datos, infraestructuras o procesos. Estos estándares se desarrollan con el objetivo de mitigar los riesgos y amenazas que podrían comprometer la integridad, confidencialidad y disponibilidad de la información.
Los estándares de seguridad pueden abarcar diferentes áreas, como la seguridad informática, la seguridad de la información, la seguridad de redes, la seguridad física y la seguridad en el desarrollo de software. Estos estándares definen los requisitos técnicos, controles, políticas y procedimientos que deben implementarse para asegurar que los sistemas y datos estén protegidos de manera efectiva.
Saber más
Cumplir con los estándares de seguridad adecuados ayuda a garantizar la confianza de los usuarios, clientes y socios comerciales, y reduce los riesgos asociados con incidentes de seguridad, como el acceso no autorizado, el robo de datos o las interrupciones del sistema.
Existen numerosos estándares de seguridad en el mundo por lo que hablar de cuáles o cuántos son resulta muy complicado, pero sí podemos afirmar que los más conocidos o extendidos son los siguientes:
- ISO/IEC Familia 27K: estándar internacional para la gestión de la seguridad de la información.
- NIST SP 800 : marco de seguridad desarrollado por el Instituto Nacional de Estándares y Tecnología de los Estados Unidos (NIST).
- PCI DSS: estándar de seguridad de datos para la industria de tarjetas de pago.
- HIPAA: Ley de Portabilidad y Responsabilidad de Seguro Médico en los Estados Unidos, que establece requisitos de seguridad y privacidad de la información médica.
- GDPR: Reglamento General de Protección de Datos de la Unión Europea, que establece normas de protección de datos y privacidad para los ciudadanos de la UE.
- CIS Controls: conjunto de controles de seguridad desarrollados por el Centro de Seguridad de Internet (CIS) para ayudar a proteger los sistemas de información.
La forma de demostrar el cumplimiento de estándares de seguridad radica en la obtención de una certificación donde se evalúa y certifica que se cumple dicho estándar. Es importante resaltar que no todos los estándares son susceptibles de ser certificados.
El proceso de certificación de seguridad generalmente implica las siguientes etapas:
1 | Evaluación inicial: se realiza una evaluación exhaustiva de la organización, sistema o proceso de seguridad para determinar si ya se cumple con los estándares y requisitos establecidos.
2 | Implementación de controles: si se identifican deficiencias o áreas de mejora durante la evaluación inicial, la organización debe implementar controles y medidas de seguridad adicionales para cumplir con los requisitos.
3 | Auditoría: un auditor externo o un organismo de certificación independiente realiza una revisión detallada y exhaustiva del sistema de seguridad para verificar el cumplimiento de los estándares y criterios establecidos.
4 | Emisión de certificación: si la organización o sistema cumple con éxito los requisitos de seguridad, se emite una certificación oficial que valida que se ha cumplido con los estándares de seguridad establecidos.
A continuación, se revisan algunos de estos estándares por ser los más extendidos.
ISO/IEC Familia ISO27k
La familia ISO 27k, también conocida como la serie ISO/IEC 27000, se refiere a un conjunto de estándares internacionales que abordan la gestión de la seguridad de la información. Estos estándares son desarrollados por la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC) con el objetivo de establecer un marco de buenas prácticas para la seguridad de la información en organizaciones de cualquier tamaño y sector.
La serie ISO/IEC 27000 proporciona directrices y recomendaciones para la gestión de la seguridad de la información, y está compuesta por varios estándares interrelacionados, siendo los más conocidos:
- ISO/IEC 27001: es el estándar principal de la familia y especifica los requisitos para establecer, implementar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI) dentro de una organización.
- ISO/IEC 27002: proporciona un conjunto de controles y buenas prácticas de seguridad de la información que pueden ser utilizados para implementar los requisitos del SGSI descritos en el ISO/IEC 27001.
- ISO/IEC 27005: se centra en la gestión de riesgos de seguridad de la información, proporcionando pautas para identificar y evaluar los riesgos, así como para seleccionar e implementar controles de seguridad adecuados.
Además de estos, existen otros estándares dentro de la familia ISO 27k que cubren temas específicos, como la gestión de incidentes de seguridad, la continuidad del negocio, la auditoría de seguridad de la información, entre otros.
NIST SP 800
El estándar NIST SP 800 se refiere a la serie de publicaciones del Instituto Nacional de Estándares y Tecnología (NIST) de los Estados Unidos relacionadas con la seguridad de la información y la ciberseguridad. El NIST SP 800 (Special Publication 800) proporciona directrices, recomendaciones y mejores prácticas para diversos aspectos de la seguridad de la información y la gestión de riesgos.
El NIST SP 800 se compone de múltiples publicaciones, cada una de las cuales se centra en un área específica de la seguridad y la ciberseguridad.
El NIST es ampliamente reconocido como una autoridad en materia de estándares de seguridad y ciberseguridad, y sus publicaciones son ampliamente utilizadas por organizaciones e industrias para fortalecer su postura de seguridad y gestionar los riesgos relacionados con la información y los sistemas.
PCI DSS
PCI DSS (Payment Card Industry Data Security Standard) es un estándar de seguridad de datos para la industria de tarjetas de pago. Fue desarrollado por el Consejo de Normas de Seguridad de la PCI (PCI SSC), que es un organismo formado por las principales compañías de tarjetas de crédito y débito, como Visa, Mastercard, American Express, Discover y JCB.
El objetivo del estándar PCI DSS es proteger la información confidencial de los titulares de tarjetas de pago, como los números de tarjeta, mediante la promoción de prácticas de seguridad en las organizaciones que manejan, procesan o almacenan esta información. PCI DSS establece un conjunto de requisitos técnicos y operativos que deben cumplir los comerciantes, procesadores de pagos, emisores de tarjetas y otros actores involucrados en las transacciones con tarjetas de pago.
El cumplimiento del PCI DSS es requerido por los proveedores de servicios de pago y las redes de tarjetas de crédito para garantizar la seguridad de las transacciones con tarjetas de pago. Las organizaciones que manejan tarjetas de pago deben someterse a auditorías periódicas para demostrar el cumplimiento del estándar.