lunes, 17 de agosto de 2015

Frameworks, normativas, siglas y un solo con sacarina.

Estimados amigos de Inseguros.!!!

Sea cual sea la vertiente profesional que desempeñes en el mundo de la seguridad seguro que en alguna ocasión debes afrontar un proyecto bajo una normativa concreta.



En este episodio vimos algo que podíamos hacer con PCI-DSS y OSSIM.

Si te dedicas al área de sistemas mas genérica seguro que CObiT o ITIL te provocan una sonrisa :-)

Lo importante de estas normativas es establecer un marco de trabajo repetible, y no dejar al azar los aspectos de seguridad de una organización.

Vamos a repasar los dominios o áreas que manejan estos frameworks de seguridad.

• (ISC)2 Common Body of Knowledge (CBK)


ISO 27001/27002 Versión 2013


• NIST Cybersecurity Framework (2014)


• Council on CyberSecurity Critical Security Controls (SANS 20)


• PCI DSS Versión 3.0


• HIPAA Security Rule


• HITRUST Common Security Framework (CSF)


Como se puede apreciar, la mayoría contemplan los mismos "actores" aunque hay algunas que contemplan un desarrollo técnico más en profundidad, como pueda ser para mi gusto la PCI-DSS.

Entre otras diferencias, contempla un área de control necesaria en la actualidad como es la relación con servicios de hosting gestionados, es decir, LA NUBE !!!!

Es curioso como la industria de las tarjetas de crédito y la sanidad son las que desarrollan normativas específicas en materia de seguridad de la información.

A nivel europeo y nacional existen normativas o guias como la LOPD o el ENS pero las considero tan pobres que incluirlas aquí no me parece de recibo. Hay muchos blogs con información de este tipo en la worldwideweb.

Espero que os sirva de utilidad la información.

Gracias por leerme !!!!