Organizaciones relacionadas con la ciberseguridad

Autor:
Ricardo Naranjo Faccini
Fecha de publicación:
miércoles 26 abril 2023
Tema:
Seguridad de la información, seguridad informática y cibernética
Revisado por :
Ricardo Naranjo Faccini
(miércoles 26 abril 2023)

Resumen

Breve listado de las organizaciones más importantes relacionadas con la ciberseguridad.


  • CIS (Center for Internet Security): Es una organización sin fines de lucro que tiene como objetivo mejorar la ciberseguridad a través de la gestión de riesgos y la protección contra amenazas en todo el mundo. El CIS desarrolla y promueve una amplia gama de herramientas y recursos gratuitos para ayudar a las organizaciones y los individuos a proteger sus sistemas y redes contra ciberataques.
  • NIST (National Institute of Standards and Technology): Es una agencia del gobierno de los Estados Unidos que se centra en el desarrollo y promoción de estándares y mejores prácticas en una variedad de áreas, incluyendo la tecnología, la ciencia y la seguridad. El NIST es responsable del desarrollo del "Marco de ciberseguridad del NIST" (NIST Cybersecurity Framework), que es una guía para ayudar a las organizaciones a mejorar su postura de seguridad cibernética.
  • ISO (Organización Internacional de Normalización): Es una organización internacional independiente que desarrolla y publica estándares para diversas áreas, incluyendo la tecnología y la seguridad de la información. La norma ISO 27001 se centra en la gestión de seguridad de la información y proporciona un marco para establecer, implementar, mantener y mejorar la seguridad de la información en una organización.
  • OWASP (Open Web Application Security Project): Es una organización sin fines de lucro que se centra en mejorar la seguridad de las aplicaciones web. OWASP proporciona recursos gratuitos y herramientas para ayudar a los desarrolladores, organizaciones y usuarios finales a comprender y mitigar las vulnerabilidades de seguridad en las aplicaciones web.
  • MITRE (Corporación MITRE): Es una organización sin fines de lucro que se dedica a resolver problemas críticos de interés público. En el ámbito de la ciberseguridad, MITRE desarrolla y mantiene la base de datos de vulnerabilidades CVE (Common Vulnerabilities and Exposures) y también es responsable del desarrollo del marco de evaluación de seguridad ATT&CK, que se utiliza para evaluar la capacidad de detección y respuesta de las soluciones de seguridad.
  • SANS Institute: Una organización de investigación y educación en seguridad de la información que ofrece cursos y certificaciones en diversos temas de ciberseguridad, incluyendo análisis forense, seguridad de aplicaciones, gestión de riesgos, entre otros.
  • EC-Council: Una organización que ofrece certificaciones en ciberseguridad y hacking ético, incluyendo el popular Certified Ethical Hacker (CEH) y el Computer Hacking Forensic Investigator (CHFI).
  • Cloud Security Alliance (CSA): Una organización que se enfoca en la seguridad en la nube y promueve las mejores prácticas y estándares en seguridad para los proveedores de servicios en la nube y los usuarios de la nube.
  • International Association of Computer Science and Information Technology (IACSIT): Una organización que promueve la investigación y la educación en tecnología de la información y ciencias de la computación, incluyendo la seguridad de la información.
  • Information Systems Security Association (ISSA): Una organización global sin fines de lucro dedicada a la promoción de la ciberseguridad a través de la educación, la investigación y el networking.

Estas son solo algunas de las organizaciones relevantes en el campo de la ciberseguridad. Hay muchas otras organizaciones más pequeñas y especializadas en áreas específicas de la ciberseguridad que también son importantes y dignas de mencionar.

Cada una de estas organizaciones tiene un enfoque y recursos diferentes para abordar la ciberseguridad, pero todas comparten un objetivo común de mejorar la seguridad cibernética y proteger a las organizaciones y usuarios finales de los ciberataques.

Gestión de la ciberseguridad

Éstas organizaciones previamente descritas generalmente plantean la definición de estándares, marcos de referencia, herramientas o metodologías utilizados para ciberseguridad. Todos ellos son ampliamente utilizados en la industria y en la academia para ayudar a las organizaciones a mejorar su postura de seguridad y protegerse contra las amenazas cibernéticas.

Nombre País de origen Descripción Fecha de lanzamiento Organización productora
ISO 27000 Internacional Conjunto de estándares que proporcionan un marco para la gestión de la seguridad de la información en una organización. La norma principal, ISO/IEC 27001, establece los requisitos para el sistema de gestión de seguridad de la información (SGSI) de una organización. 2005 ISO/IEC
OCTAVE Estados Unidos Método de evaluación de riesgos de seguridad de la información que proporciona un marco para la identificación y evaluación de riesgos de seguridad en una organización. OCTAVE se centra en los procesos, información y tecnología que son importantes para la organización y proporciona un conjunto de herramientas para evaluar los riesgos de seguridad. 2001 CERT
OWASP Internacional Proyecto de código abierto que tiene como objetivo mejorar la seguridad del software. OWASP proporciona herramientas y recursos para que los desarrolladores de software puedan escribir aplicaciones más seguras. También publica una lista de los 10 riesgos de seguridad de aplicaciones web más críticos, que se actualiza periódicamente para reflejar los nuevos riesgos y las nuevas amenazas. 2001 Comunidad de voluntarios
MAGERIT España Metodología desarrollada por el Centro Criptológico Nacional (CCN) de España para la gestión de riesgos de seguridad de la información en el sector público. MAGERIT proporciona un marco para la identificación, evaluación y tratamiento de los riesgos de seguridad en una organización. También proporciona orientación sobre la selección de controles de seguridad adecuados para reducir los riesgos a un nivel aceptable. 1998 Centro Criptológico Nacional
HACCP Internacional Sistema de análisis de peligros y puntos críticos de control para la seguridad alimentaria. Aunque no está directamente relacionado con la seguridad de la información, HACCP es un enfoque sistemático para identificar y controlar los riesgos en un proceso. El enfoque de HACCP se ha aplicado a otros ámbitos, incluida la seguridad de la información. 1960s Pillsbury Company, NASA y ejército de EE. UU.
MEHARI Francia Método de análisis y gestión de riesgos de seguridad de la información 1995 CLUSIF
MARION España Metodología para el análisis y gestión de riesgos de seguridad de la información en entornos de tecnología de control industrial 2011 Centro Criptológico Nacional
CRAMM Reino Unido Metodología para la evaluación de riesgos de seguridad de la información desarrollada por el Gobierno del Reino Unido. CRAMM se centra en la evaluación de riesgos en una infraestructura de tecnología de la información y proporciona un conjunto de herramientas para identificar y evaluar los riesgos de seguridad en una organización. También proporciona orientación sobre la selección de controles de seguridad adecuados para reducir los riesgos a un nivel aceptable. 1987 Reino Unido, CESG
NIST Cybersecurity Framework Estados Unidos Marco de trabajo de ciberseguridad para organizaciones 2014 National Institute of Standards and Technology, NIST
COSO Internacional Marco de gestión de riesgos empresariales que ayuda a las organizaciones a evaluar, gestionar y controlar los riesgos que enfrentan 1992 Comité de patrocinadores de la Treadway Commission
CVSS3 Internacional Sistema de puntuación de vulnerabilidades que proporciona una forma estándar de evaluar la gravedad de las vulnerabilidades de seguridad 2015 FIRST (Foro de Equipos de Respuesta a Incidentes de Seguridad de TI)

Se ha incluído HACCP en la tabla, es un sistema de gestión de seguridad alimentaria diseñado para garantizar la seguridad de los alimentos, puesto que los principios detrás de HACCP, como la identificación de riesgos y la implementación de controles para mitigarlos, se pueden aplicar a la seguridad cibernética. En este sentido, algunas empresas y organizaciones han adoptado la metodología HACCP para la gestión de la seguridad de la información.

Bibliografía

  1. L. Tallon, "A process-oriented perspective on the alignment of business and IT," Commun. ACM, vol. 47, no. 1, pp. 87-92, Jan. 2004.
  2. ISO/IEC 27001:2013, "Information technology - Security techniques - Information security management systems - Requirements," International Organization for Standardization, Geneva, Switzerland, 2013.
  3. S. M. Paul and A. R. Joshi, "A comprehensive review of the OWASP top 10 vulnerabilities," Int. J. Comput. Appl., vol. 975, no. 12, pp. 1-7, 2014.
  4. NIST Cybersecurity Framework, Version 1.1, National Institute of Standards and Technology, Gaithersburg, MD, USA, Apr. 2018.
  5. H. Zhu and L. Xing, "Application of CRAMM in the information security risk assessment of power grid," in Proc. IEEE Int. Conf. Smart Grid Sustain. Energy (ICSGSE), Wuhan, China, 2015, pp. 1-4.
  6. Magerit v3, Methodology for Information Systems Risk Analysis and Management, Spanish National Cryptologic Center, Madrid, Spain, 2010.
  7. COSO Enterprise Risk Management Framework, Committee of Sponsoring Organizations of the Treadway Commission, New York, NY, USA, 2017.
  8. CVSS v3.0: Specification Document, FIRST.org, Mar. 2015.
  9. Octave Allegro: System Security Risk Assessment, Software Engineering Institute, Carnegie Mellon University, Pittsburgh, PA, USA.

Ricardo Naranjo Faccini

Ricardo Naranjo Faccini Desarrollador WWW

Nació en Barranquilla, Atl, Colombia el 14 de enero de 1971

  • Magíster en Ingeniería de Sistemas y Computación de la Universidad de Los Andes 1998
  • Ingeniero Civil de la Universidad de Los Andes 1995
  • Diplomado en docencia en Ingeniería de la Pontificia Universidad Javeriana 2008
  • Gerente de la firma Skina IT Solutions, su gestión ha llevado a la empresa al nivel de exportación de software. Experto en calidad en el desarrollo de software con énfasis en el uso de herramientas libres orientadas hacia WWW.
  • CTO de AuthorsGlobe, empresa participante en el MIT 100K, elegida como parte del "TOP 10" entre 300 proyectos presentados en este concurso del Massachussets Institute of Technology MIT.
  • Durante el periodo 2004-2005 se desempeñó como Gerente de desarrollo de negocios NOVELL en Nexsys de Colombia.
  • Ejerce docencia como catedrático en la Universidad Javeriana, al igual que lo ha realizado en la Universidad de Los Andes, Universidad de Manizales y Universidad autónoma de Bucaramanga.
  • Comprometido con la divulgación del software libre y su aplicación en Colombia, ha dictado más de 60 conferencias en todo el país, co-fundador de LinuxCol, la primera comunidad de usuarios de Linux en Colombia.
  • Colaborador del grupo ACIS-Linux.

Calle 95 #47-33 int 8

Calle 95 #47-33 int 8, Bogot√°, Colombia

Tel: +57 300 214 6210

ventas@skinait.com

Desarrollado por Skina IT Solutions