Políticas, estándares, controles y seguridad de las tecnologías de información y comunicación
Descrição
Organizador gráfico (infografía, mapa mental, etc) en el cual se muestren las políticas, estándares, controles y seguridad de las tecnologías de información y comunicación (es importante colocar imágenes en el organizador). / Actividad: Evidencia de aprendizaje: Tecnologías de la Información y comunicación.
Políticas, estándares,
controles y seguridad
de las tecnologías de
información y
comunicación
Controles de seguridad del
Anexo A en ISO 27001
A.5: Políticas de Seguridad
de la Información
“hace referencia a los controles sobre
cómo escribir y revisar políticas de
seguridad.” https://bit.ly/3vYKdZ0
A.6: Organización de la
Seguridad de la información
“los controles se encargan de establecer
responsables. Al mismo tiempo también se
centra en dispositivos móviles y situaciones
como la de teletrabajo.”
https://bit.ly/3vYKdZ0
A.7: Seguridad de los
Recursos Humanos
“controles para las situaciones previas y
posteriores referentes a la contratación y
finalización de contrato de personal.”
https://bit.ly/3vYKdZ0
A.8: Gestión de Recursos
“establecidos para realizar inventario, clasificación
de información y manejo de los medios de
almacenamiento.” https://bit.ly/3vYKdZ0
A.9: Control de Acceso
“control del acceso tanto a la información como
a aplicaciones u otro medio que contenga
información.” https://bit.ly/3vYKdZ0
A.10: Criptografía
“controles para gestionar encriptación
de información.” https://bit.ly/3vYKdZ0
A.11: Seguridad física y
ambiental
“controles para garantizar factores externos,
seguridad de equipo y medios que puedan
comprometer la seguridad.” https://bit.ly/3vYKdZ0
A.12: Seguridad
Operacional
“controles relacionados con gestión de la
protección de malware o vulnerabilidades.”
https://bit.ly/3vYKdZ0
A.13: Seguridad de las
comunicaciones
“Control sobre la seguridad de las redes,
transmisión de información, mensajería…”
https://bit.ly/3vYKdZ0
A.14: Adquisición, desarrollo y
mantenimiento de Sistemas
“controles que establecen los requisitos
de seguridad en desarrollo y soporte.”
https://bit.ly/3vYKdZ0
A.15: Relaciones con los
proveedores
“incluye lo necesario a la hora de realizar
contratos y seguimiento a proveedores.”
https://bit.ly/3vYKdZ0
A.16: Gestión de Incidentes en
Seguridad de la Información
“sirven para reportar eventos las
debilidades, así como procedimientos de
respuesta.” https://bit.ly/3vYKdZ0
A.17: Aspectos de Seguridad de
la Información de la Gestión de
la Continuidad del Negocio
“referidos a la planificación de continuidad de
negocio.” https://bit.ly/3vYKdZ0
A.18: Cumplimiento
“control relacionado a la hora de identificar regulaciones
relacionadas con seguridad de la información y hacer que
se cumplan.” https://bit.ly/3vYKdZ0
estándar ISA/IEC 62443 Industrial
Automation and Control Systems
(IACS) Security [10].
Grupo 1 /
Gerenal
ISA-62443-1-1
(IEC/TS
62443-1-1) [11]
“(formalmente referida como “ISA-99 Parte 1”) fue
originalmente publicada como estándar
ANSI/ISA-99.00.01-2007. Actualmente se tiene la
publicación de una especificación técnica de IEC
en su comité técnico TC65 como IEC/TS
62443-1-1:2009 la cual define la terminología,
conceptos y modelos para los IACSA. En este
momento, el comité ISA-99 está revisando está
publicación para alinearla con otros documentos
en la serie de la IEC y clarificando el contenido
normativo. Este documento está siendo
manejado por el grupo de trabajo WG3 del comité
ISA-99.” https://bit.ly/3q3YjEv
ISA-TR62443-1-2
(IEC/TR 62443-1-2)
[12]
“es un glosario maestro de términos usado por
el comité y usuarios del estándar. Aunque este
documento es aún un trabajo preliminar, su
contenido está disponible en el comité ISA-99
Wiki. Este documento también es manejado por
el grupo de trabajo WG3 del comité ISA-99.”
https://bit.ly/3q3YjEv
ISA-62443-1-3
(IEC 62443-1-3)
[23]
“Identifica un conjunto de indicadores y métricas de
cumplimiento de seguridad de los sistemas de control y
automatización industrial (IACS). Este documento, en este
momento, se encuentra en proceso de desarrollo y se
tiene una publicación preliminar de octubre de 2015
para fines de comentarios. Este documento está siendo
manejado por el grupo de trabajo WG12 del comité
ISA-99.” https://bit.ly/3q3YjEv
ISA-TR62443-1-4
(IEC/TR 62443-1-4)
[22]
“define el ciclo de vida de seguridad de los IASC y su
caso de uso. Este trabajo se ha propuesto como parte
de la serie desde enero de 2013 pero su desarrollo
todavía no ha comenzado; aún no se tiene un grupo
formal de trabajo para este producto del estándar.”
https://bit.ly/3q3YjEv
“Esta categoría incluye información básica o
común, tales como conceptos, modelos y
terminología; también incluye los trabajos que
describen las métricas de seguridad y los ciclos
de vida de la seguridad para los sistemas de
control y automatización industriales.”
https://bit.ly/3q3YjEv
Grupo 2 /
Políticas y
procedimientos
ISA-62443-2-1
(IEC 62443-2-1)
[14]
“(formalmente referenciada como “ANSI/ISA
99.0201-2009 o ISA-99 parte 2”) se enfoca
en cómo establecer un programa de
protección para los IACS. Este estándar es
aprobado y publicado por La IEC como
IEC-62443-2-1, actualmente está siendo
revisado para permitir una mayor
aproximación con la serie de estándares
ISO 27000. Este documento está siendo
manejado por el grupo de trabajo WG2 del
comité ISA-99.” https://bit.ly/3q3YjEv
ISA-TR62443-2-2
(IEC/TR62443-2-2)
[13]
“tiene el propósito de desarrollar sobre el contenido
del estándar ISA-61443-2-1, con un enfoque sobre la
operación de un sistema administrativo de un
programa de protección de seguridad cibernético
para los IACS alineándose fuertemente con los
estándares de la serie ISO 27000. Este estándar está
en estado de propuesta bajo comentarios y es
manejado por el grupo de trabajo WG2.”
https://bit.ly/3q3YjEv
ISA-TR62443-2-3
(IEC/TR62443-2-3)
[15]
“es un reporte técnico que proporciona una
guía práctica sobre la aplicación de un
sistema de administración de adecuaciones
dentro del ambiente de un IACS. Este tema es
abordado desde la perspectiva del propietario
operador así como también del proveedor de
soluciones. Este estándar fue publicado como
IEC-62443-2-3; 2015” Security for industrial
automation and control systems – Part 2-3:
Patch management in the IACS environment”
y es manejado por el grupo de trabajo WG6.”
https://bit.ly/3q3YjEv
ISA-62443-2-4
(IEC 62443-2-4)
[16]
“especifica los requerimientos para los proveedores
de servicios de los IACS respecto a las capacidades
de protección que ellos puedan ofrecer a los
propietarios de los activos durante las actividades de
integración y mantenimiento de una solución de
automatización. Este estándar ha sido publicado
como IEC-62443-2-4 “Security for industrial
automation and control systems – Part 2-4: Security
program requirements for IACS service providers”.
Este estándar fue desarrollado por el comité técnico
TC65 de la IEC a través de su grupo de trabajo WG10,
Será presentado para su aprobación por el Comité
como un estándar de ISA.” https://bit.ly/3q3YjEv
“Esta categoría incluye documentos que están
enfocados a los propietarios de activos y se abordan
diversos aspectos para la creación y el mantenimiento
de un eficaz programa de protección de los sistemas de
control y automatización industriales.”
https://bit.ly/3q3YjEv
Grupo 4 /
Componente
ISA-62443-4-1
(IEC 62443-4-1)
[18]
“aborda las necesidades para el desarrollo de
soluciones y productos seguros de protección
cibernética para los IACS. Este estándar está en
desarrollo y es manejado por el grupo de trabajo
WG4 de la ISA.” https://bit.ly/3q3YjEv
ISA-62443-4-2
(IEC 62443-4-2)
[19]
“aborda detalladamente los requerimientos
técnicos a nivel de componentes para los IACS.
Este estándar está en desarrollo y es manejado
por el grupo de trabajo WG4 de la ISA.”
https://bit.ly/3q3YjEv
“Esta categoría incluye documentos que describen las
especificaciones de desarrollo de productos y los
requerimientos técnicos de los productos del sistema de
control. Esta información esta principalmente dirigida a los
fabricantes de productos de automatización y control, pero
puede ser usada por los integradores y propietarios de los
activos industriales para ayudar en la adquisición de
productos seguros y confiables para limitar los riesgos de
ataques informáticos.” https://bit.ly/3q3YjEv
Grupo 3 /
Sistema
ISA-TR62443-3-1
(IEC/TR 62443-3-1)
[17]
“es un reporte técnico que fue publicado como
ANSI/ISA-TR99.00.01-2007. Proporciona una evaluación actual de
diversas herramientas de seguridad cibernética, medidas de
mitigación y tecnologías que pueden aplicarse efectivamente a los
modernos IACS que regulan y controlan numerosas industrias e
infraestructuras críticas. Actualmente, este estándar ha sido
publicado como IEC TR62443-3-1:2009 “Industrial communication
networks – Network and system security – Part 3-1: Security
technologies for industrial automation and control systems”. Este
estándar es manejado por el grupo de trabajo WG1 de la ISA y
quien está actualizando su contenido para reflejar las actuales
tecnologías disponibles de protección cibernética que hay.”
https://bit.ly/3q3YjEv
ISA-62443-3-2
(IEC 62443-3-2)
[20]
“aborda cómo definir los niveles de aseguramiento de
seguridad utilizando el concepto de zonas y
conductos. Este estándar está en desarrollo y se
emitió un documento preliminar para voto de
aprobación por el comité votante, es manejado por el
grupo de trabajo WG4 de la ISA. ” https://bit.ly/3q3YjEv
ISA-62443-3-3
(IEC 62443-3-3)
[21]
“define detalladamente los requerimientos técnicos para
la seguridad cibernética de los IACS. Este estándar a sido
publicado como IEC 62443-3-3:2013 “Industrial
communication networks – Network and system
security – Part 3-3: System security requirements and
security levels”. Es manejado por el grupo de trabajo
WG4 de la ISA.” https://bit.ly/3q3YjEv
“Esta categoría incluye documentos que
describen las guías de diseño de los sistemas y
los requisitos para la integración segura de los
sistemas de control. El modelo de diseño de
zona/conducto es la estrategia central
empleada en estos documentos para aislar y
proteger los activos.” https://bit.ly/3q3YjEv
Las políticas de seguridad informática
“son declaraciones formales de las reglas que
debemos cumplir las personas que tenemos acceso a
los activos de tecnología e información de una
organización. Esta es la definición según la RFC 2196
del Internet Engineering Task Force (IETF) de 1997.
Esta publicación sustituye a la anterior de 1991, lo
que pone en evidencia como la seguridad informática
es una prioridad que nació casi al mismo tiempo que
Internet.” https://bit.ly/3q58Mjf
grupos principales
“Las que definen lo que tenemos
que evitar.” https://bit.ly/3q58Mjf
“Se trata de aquellos comportamientos y
prácticas que pueden poner en riego los
sistemas y la información”
https://bit.ly/3q58Mjf
ejemplos
“abrir archivos o enlaces
sospechosos” https://bit.ly/3q58Mjf
“compartir contraseñas o utilizar redes
Wi-Fi abiertas” https://bit.ly/3q58Mjf
“Las que definen lo que tenemos que
hacer siempre” https://bit.ly/3q58Mjf
“para mantener un correcto nivel
de protección y seguridad.”
https://bit.ly/3q58Mjf
“Implementar copias de
respaldo”
https://bit.ly/3q58Mjf
“Usar contraseñas y renovarlas
de forma periódica”
https://bit.ly/3q58Mjf
“Usar VPN” https://bit.ly/3q58Mjf
“Instalar software antivirus y
antimalware” https://bit.ly/3q58Mjf
su importancia
“Privacidad de la información, y su protección frente a accesos
por parte de personas no autorizadas como hackers.”
https://bit.ly/3q58Mjf
“Integridad de los datos, y su protección
frente a corrupción por fallos de soportes o
borrado.” https://bit.ly/3q58Mjf
“Disponibilidad de los servicios,
frente a fallos técnicos internos o
externos.” https://bit.ly/3q58Mjf
el objetivo
“es proporcionar a todo el personal de una
empresa también como a los usuarios que
acceden a sus activos de tecnología e
información los requisitos y pautas de
actuación necesarios para protegerlos.
Asimismo estas políticas son útiles a la hora de
auditar los sistemas de información de una
empresa. ” https://bit.ly/3q58Mjf
sus caracteristicas
Concretas
“tienen que poderse implementar a través de
procedimientos, reglas y pautas claras.”
https://bit.ly/3q58Mjf
Claras
“tienen que definir de forma clara las
responsabilidades y obligaciones de los distintos
tipos de usuarios: personal, administradores y
dirección.” https://bit.ly/3q58Mjf
Obligatorias
“su cumplimiento tiene que hacerse respetar,
mediante herramientas de seguridad o
sanciones.” https://bit.ly/3q58Mjf
ISO 27001: Requisitos básicos en la
seguridad de las TIC