Políticas, estándares, controles y seguridad de las tecnologías de información y comunicación

Beschreibung

Organizador gráfico (infografía, mapa mental, etc) en el cual se muestren las políticas, estándares, controles y seguridad de las tecnologías de información y comunicación (es importante colocar imágenes en el organizador). / Actividad: Evidencia de aprendizaje: Tecnologías de la Información y comunicación.
Miguel Reyes
Mindmap von Miguel Reyes, aktualisiert more than 1 year ago
Miguel Reyes
Erstellt von Miguel Reyes vor mehr als 2 Jahre
52
0

Zusammenfassung der Ressource

Políticas, estándares, controles y seguridad de las tecnologías de información y comunicación
  1. Controles de seguridad del Anexo A en ISO 27001
    1. A.5: Políticas de Seguridad de la Información
      1. “hace referencia a los controles sobre cómo escribir y revisar políticas de seguridad.” https://bit.ly/3vYKdZ0
      2. A.6: Organización de la Seguridad de la información
        1. “los controles se encargan de establecer responsables. Al mismo tiempo también se centra en dispositivos móviles y situaciones como la de teletrabajo.” https://bit.ly/3vYKdZ0
        2. A.7: Seguridad de los Recursos Humanos
          1. “controles para las situaciones previas y posteriores referentes a la contratación y finalización de contrato de personal.” https://bit.ly/3vYKdZ0
          2. A.8: Gestión de Recursos
            1. “establecidos para realizar inventario, clasificación de información y manejo de los medios de almacenamiento.” https://bit.ly/3vYKdZ0
            2. A.9: Control de Acceso
              1. “control del acceso tanto a la información como a aplicaciones u otro medio que contenga información.” https://bit.ly/3vYKdZ0
              2. A.10: Criptografía
                1. “controles para gestionar encriptación de información.” https://bit.ly/3vYKdZ0
                2. A.11: Seguridad física y ambiental
                  1. “controles para garantizar factores externos, seguridad de equipo y medios que puedan comprometer la seguridad.” https://bit.ly/3vYKdZ0
                  2. A.12: Seguridad Operacional
                    1. “controles relacionados con gestión de la protección de malware o vulnerabilidades.” https://bit.ly/3vYKdZ0
                    2. A.13: Seguridad de las comunicaciones
                      1. “Control sobre la seguridad de las redes, transmisión de información, mensajería…” https://bit.ly/3vYKdZ0
                      2. A.14: Adquisición, desarrollo y mantenimiento de Sistemas
                        1. “controles que establecen los requisitos de seguridad en desarrollo y soporte.” https://bit.ly/3vYKdZ0
                        2. A.15: Relaciones con los proveedores
                          1. “incluye lo necesario a la hora de realizar contratos y seguimiento a proveedores.” https://bit.ly/3vYKdZ0
                          2. A.16: Gestión de Incidentes en Seguridad de la Información
                            1. “sirven para reportar eventos las debilidades, así como procedimientos de respuesta.” https://bit.ly/3vYKdZ0
                            2. A.17: Aspectos de Seguridad de la Información de la Gestión de la Continuidad del Negocio
                              1. “referidos a la planificación de continuidad de negocio.” https://bit.ly/3vYKdZ0
                              2. A.18: Cumplimiento
                                1. “control relacionado a la hora de identificar regulaciones relacionadas con seguridad de la información y hacer que se cumplan.” https://bit.ly/3vYKdZ0
                              3. estándar ISA/IEC 62443 Industrial Automation and Control Systems (IACS) Security [10].
                                1. Grupo 1 / Gerenal
                                  1. ISA-62443-1-1 (IEC/TS 62443-1-1) [11]
                                    1. “(formalmente referida como “ISA-99 Parte 1”) fue originalmente publicada como estándar ANSI/ISA-99.00.01-2007. Actualmente se tiene la publicación de una especificación técnica de IEC en su comité técnico TC65 como IEC/TS 62443-1-1:2009 la cual define la terminología, conceptos y modelos para los IACSA. En este momento, el comité ISA-99 está revisando está publicación para alinearla con otros documentos en la serie de la IEC y clarificando el contenido normativo. Este documento está siendo manejado por el grupo de trabajo WG3 del comité ISA-99.” https://bit.ly/3q3YjEv
                                    2. ISA-TR62443-1-2 (IEC/TR 62443-1-2) [12]
                                      1. “es un glosario maestro de términos usado por el comité y usuarios del estándar. Aunque este documento es aún un trabajo preliminar, su contenido está disponible en el comité ISA-99 Wiki. Este documento también es manejado por el grupo de trabajo WG3 del comité ISA-99.” https://bit.ly/3q3YjEv
                                      2. ISA-62443-1-3 (IEC 62443-1-3) [23]
                                        1. “Identifica un conjunto de indicadores y métricas de cumplimiento de seguridad de los sistemas de control y automatización industrial (IACS). Este documento, en este momento, se encuentra en proceso de desarrollo y se tiene una publicación preliminar de octubre de 2015 para fines de comentarios. Este documento está siendo manejado por el grupo de trabajo WG12 del comité ISA-99.” https://bit.ly/3q3YjEv
                                        2. ISA-TR62443-1-4 (IEC/TR 62443-1-4) [22]
                                          1. “define el ciclo de vida de seguridad de los IASC y su caso de uso. Este trabajo se ha propuesto como parte de la serie desde enero de 2013 pero su desarrollo todavía no ha comenzado; aún no se tiene un grupo formal de trabajo para este producto del estándar.” https://bit.ly/3q3YjEv
                                          2. “Esta categoría incluye información básica o común, tales como conceptos, modelos y terminología; también incluye los trabajos que describen las métricas de seguridad y los ciclos de vida de la seguridad para los sistemas de control y automatización industriales.” https://bit.ly/3q3YjEv
                                          3. Grupo 2 / Políticas y procedimientos
                                            1. ISA-62443-2-1 (IEC 62443-2-1) [14]
                                              1. “(formalmente referenciada como “ANSI/ISA 99.0201-2009 o ISA-99 parte 2”) se enfoca en cómo establecer un programa de protección para los IACS. Este estándar es aprobado y publicado por La IEC como IEC-62443-2-1, actualmente está siendo revisado para permitir una mayor aproximación con la serie de estándares ISO 27000. Este documento está siendo manejado por el grupo de trabajo WG2 del comité ISA-99.” https://bit.ly/3q3YjEv
                                              2. ISA-TR62443-2-2 (IEC/TR62443-2-2) [13]
                                                1. “tiene el propósito de desarrollar sobre el contenido del estándar ISA-61443-2-1, con un enfoque sobre la operación de un sistema administrativo de un programa de protección de seguridad cibernético para los IACS alineándose fuertemente con los estándares de la serie ISO 27000. Este estándar está en estado de propuesta bajo comentarios y es manejado por el grupo de trabajo WG2.” https://bit.ly/3q3YjEv
                                                2. ISA-TR62443-2-3 (IEC/TR62443-2-3) [15]
                                                  1. “es un reporte técnico que proporciona una guía práctica sobre la aplicación de un sistema de administración de adecuaciones dentro del ambiente de un IACS. Este tema es abordado desde la perspectiva del propietario operador así como también del proveedor de soluciones. Este estándar fue publicado como IEC-62443-2-3; 2015” Security for industrial automation and control systems – Part 2-3: Patch management in the IACS environment” y es manejado por el grupo de trabajo WG6.” https://bit.ly/3q3YjEv
                                                  2. ISA-62443-2-4 (IEC 62443-2-4) [16]
                                                    1. “especifica los requerimientos para los proveedores de servicios de los IACS respecto a las capacidades de protección que ellos puedan ofrecer a los propietarios de los activos durante las actividades de integración y mantenimiento de una solución de automatización. Este estándar ha sido publicado como IEC-62443-2-4 “Security for industrial automation and control systems – Part 2-4: Security program requirements for IACS service providers”. Este estándar fue desarrollado por el comité técnico TC65 de la IEC a través de su grupo de trabajo WG10, Será presentado para su aprobación por el Comité como un estándar de ISA.” https://bit.ly/3q3YjEv
                                                    2. “Esta categoría incluye documentos que están enfocados a los propietarios de activos y se abordan diversos aspectos para la creación y el mantenimiento de un eficaz programa de protección de los sistemas de control y automatización industriales.” https://bit.ly/3q3YjEv
                                                    3. Grupo 4 / Componente
                                                      1. ISA-62443-4-1 (IEC 62443-4-1) [18]
                                                        1. “aborda las necesidades para el desarrollo de soluciones y productos seguros de protección cibernética para los IACS. Este estándar está en desarrollo y es manejado por el grupo de trabajo WG4 de la ISA.” https://bit.ly/3q3YjEv
                                                        2. ISA-62443-4-2 (IEC 62443-4-2) [19]
                                                          1. “aborda detalladamente los requerimientos técnicos a nivel de componentes para los IACS. Este estándar está en desarrollo y es manejado por el grupo de trabajo WG4 de la ISA.” https://bit.ly/3q3YjEv
                                                          2. “Esta categoría incluye documentos que describen las especificaciones de desarrollo de productos y los requerimientos técnicos de los productos del sistema de control. Esta información esta principalmente dirigida a los fabricantes de productos de automatización y control, pero puede ser usada por los integradores y propietarios de los activos industriales para ayudar en la adquisición de productos seguros y confiables para limitar los riesgos de ataques informáticos.” https://bit.ly/3q3YjEv
                                                          3. Grupo 3 / Sistema
                                                            1. ISA-TR62443-3-1 (IEC/TR 62443-3-1) [17]
                                                              1. “es un reporte técnico que fue publicado como ANSI/ISA-TR99.00.01-2007. Proporciona una evaluación actual de diversas herramientas de seguridad cibernética, medidas de mitigación y tecnologías que pueden aplicarse efectivamente a los modernos IACS que regulan y controlan numerosas industrias e infraestructuras críticas. Actualmente, este estándar ha sido publicado como IEC TR62443-3-1:2009 “Industrial communication networks – Network and system security – Part 3-1: Security technologies for industrial automation and control systems”. Este estándar es manejado por el grupo de trabajo WG1 de la ISA y quien está actualizando su contenido para reflejar las actuales tecnologías disponibles de protección cibernética que hay.” https://bit.ly/3q3YjEv
                                                              2. ISA-62443-3-2 (IEC 62443-3-2) [20]
                                                                1. “aborda cómo definir los niveles de aseguramiento de seguridad utilizando el concepto de zonas y conductos. Este estándar está en desarrollo y se emitió un documento preliminar para voto de aprobación por el comité votante, es manejado por el grupo de trabajo WG4 de la ISA. ” https://bit.ly/3q3YjEv
                                                                2. ISA-62443-3-3 (IEC 62443-3-3) [21]
                                                                  1. “define detalladamente los requerimientos técnicos para la seguridad cibernética de los IACS. Este estándar a sido publicado como IEC 62443-3-3:2013 “Industrial communication networks – Network and system security – Part 3-3: System security requirements and security levels”. Es manejado por el grupo de trabajo WG4 de la ISA.” https://bit.ly/3q3YjEv
                                                                  2. “Esta categoría incluye documentos que describen las guías de diseño de los sistemas y los requisitos para la integración segura de los sistemas de control. El modelo de diseño de zona/conducto es la estrategia central empleada en estos documentos para aislar y proteger los activos.” https://bit.ly/3q3YjEv
                                                                3. Las políticas de seguridad informática
                                                                  1. “son declaraciones formales de las reglas que debemos cumplir las personas que tenemos acceso a los activos de tecnología e información de una organización. Esta es la definición según la RFC 2196 del Internet Engineering Task Force (IETF) de 1997. Esta publicación sustituye a la anterior de 1991, lo que pone en evidencia como la seguridad informática es una prioridad que nació casi al mismo tiempo que Internet.” https://bit.ly/3q58Mjf
                                                                    1. grupos principales
                                                                      1. “Las que definen lo que tenemos que evitar.” https://bit.ly/3q58Mjf
                                                                        1. “Se trata de aquellos comportamientos y prácticas que pueden poner en riego los sistemas y la información” https://bit.ly/3q58Mjf
                                                                          1. ejemplos
                                                                            1. “abrir archivos o enlaces sospechosos” https://bit.ly/3q58Mjf
                                                                              1. “compartir contraseñas o utilizar redes Wi-Fi abiertas” https://bit.ly/3q58Mjf
                                                                            2. “Las que definen lo que tenemos que hacer siempre” https://bit.ly/3q58Mjf
                                                                              1. “para mantener un correcto nivel de protección y seguridad.” https://bit.ly/3q58Mjf
                                                                                1. ejemplos
                                                                                  1. “Cifrar archivos sensibles” https://bit.ly/3q58Mjf
                                                                                    1. “Implementar copias de respaldo” https://bit.ly/3q58Mjf
                                                                                      1. “Usar contraseñas y renovarlas de forma periódica” https://bit.ly/3q58Mjf
                                                                                        1. “Usar VPN” https://bit.ly/3q58Mjf
                                                                                          1. “Instalar software antivirus y antimalware” https://bit.ly/3q58Mjf
                                                                                      2. su importancia
                                                                                        1. “Privacidad de la información, y su protección frente a accesos por parte de personas no autorizadas como hackers.” https://bit.ly/3q58Mjf
                                                                                          1. “Integridad de los datos, y su protección frente a corrupción por fallos de soportes o borrado.” https://bit.ly/3q58Mjf
                                                                                            1. “Disponibilidad de los servicios, frente a fallos técnicos internos o externos.” https://bit.ly/3q58Mjf
                                                                                            2. el objetivo
                                                                                              1. “es proporcionar a todo el personal de una empresa también como a los usuarios que acceden a sus activos de tecnología e información los requisitos y pautas de actuación necesarios para protegerlos. Asimismo estas políticas son útiles a la hora de auditar los sistemas de información de una empresa. ” https://bit.ly/3q58Mjf
                                                                                              2. sus caracteristicas
                                                                                                1. Concretas
                                                                                                  1. “tienen que poderse implementar a través de procedimientos, reglas y pautas claras.” https://bit.ly/3q58Mjf
                                                                                                  2. Claras
                                                                                                    1. “tienen que definir de forma clara las responsabilidades y obligaciones de los distintos tipos de usuarios: personal, administradores y dirección.” https://bit.ly/3q58Mjf
                                                                                                    2. Obligatorias
                                                                                                      1. “su cumplimiento tiene que hacerse respetar, mediante herramientas de seguridad o sanciones.” https://bit.ly/3q58Mjf
                                                                                                  3. ISO 27001: Requisitos básicos en la seguridad de las TIC
                                                                                                    Zusammenfassung anzeigen Zusammenfassung ausblenden

                                                                                                    ähnlicher Inhalt

                                                                                                    Diapositivas de Topología de Redes
                                                                                                    lisi_98
                                                                                                    Fase 5. Evaluar. Sustentar el diseño de modelo de propagación. MAPA DE RFID
                                                                                                    Miller Suárez López
                                                                                                    TEORIA DESCRIPCION DE LA FORMA
                                                                                                    Stiven Ramirez
                                                                                                    Construcción de software
                                                                                                    CRHISTIAN SUAREZ
                                                                                                    FUNCIONES MULTIVARIABLES
                                                                                                    Jarumy cecilia Sánchez Hernández
                                                                                                    Proceso de Simulación
                                                                                                    Jesus Javier
                                                                                                    Dibujo de ingeniería
                                                                                                    Felipe Granada
                                                                                                    Competencias Laborales de un Ingeniero en Diseño de Entretenimiento Digital
                                                                                                    Daniel Giraldo
                                                                                                    Modelos de Gestión de Inventarios en Cadenas de Abastecimiento
                                                                                                    Rubén Darío Martínez Lira
                                                                                                    Mapa conceptual "Vientos"
                                                                                                    Muñoz Rey Antonio
                                                                                                    Ingenieria Social
                                                                                                    Diego Gutierrez