Normas y Organismos

Existen organismos a nivel internacional que actúan como centros de respuesta a incidentes, se les denominan como CERT (Computer Emergency Response Team, Equipos de Respuesta ante Emergencias Informáticas)  o CSIRT (Computer Security Incident Response Team) y son responsables del desarrollo de medidas ante incidencias de seguridad en los sistemas de información. Relacionamos los actuales a 2.017, recordad las situaciones que provoca el alzheimer de internet, puede que algunas direcciones hayan dejado de estar disponibles.

 

Organismos.

ÁFRICA y OCEANÍA EUROPA
Argelia http://www.secucert.dz  Alemania http://www.cert-verbund.de
Australia https://www.cert.gov.au  Austria http://www.cert.at
Nigeria https://www.cert.gov.ng/ Bélgica https://www.cert.be
Nueva Zelanda http://www.csirt.co.nz Bielorrusia https://cert.by
Sudafrica http://www.csirt.co.za Bulgaria http://govcert.bg
Sudan http://www.cert.sd Croacia http://www.cert.hr
Uganda http://www.ug-cert.ug Dinamarca https://www.cert.dk
AMÉRICA Eslovaquia http://www.csirt.gov.sk
Argentina http://www.icic.gob.ar Eslovenia https://www.cert.si
Brasil http://www.cert.br España https://www.certsi.es
Canadá http://www.opencert.ca Estonia https://www.ria.ee/cert-estonia
Chile https://www.ciberseguridad.gob.cl Finlandia http://www.cert.fi
Colombia http://www.colcert.gov.co Francia https://www.ssi.gouv.fr/
Ecuador https://www.ecucert.gob.ec/ Holanda https://www.ncsc.nl
México http://www.cert.org.mx Hungría http://www.cert.hu
Panamá http://www.innovacion.gob.pa/csirt Irlanda http://www.iriss.ie/iriss
Perú http://www.pecert.gob.pe Islandia http://www.cert.is
Uruguay http://www.cert.uy Letonia https://cert.lv
EE.UU. http://www.us-cert.gov Lituania https://www.cert.lt
Venezuela http://www.vencert.gob.ve Luxemburgo http://www.cert.lu
ASIA Moldavia http://cert.gov.md
Arabia Saudita http://cert.sa  Montenegro http://www.cirt.me
Armenia http://www.cert.am Noruega https://www.nsm.stat.no
Azerbaiyan http://cert.az/ Polonia http://www.cert.pl
Bangladesh http://www.bdcert.org Portugal http://www.cert.pt/
Brunei http://www.brucert.org.bn República Checa http://csirt.cz
China http://www.cert.org.cn Rumania http://www.cert-ro.eu
Corea del Sur http://www.krcert.or.kr Rusia http://www.cert.ru
Emiratos Árabes Unidos http://www.aecert.ae Suecia https://www.cert.se
India http://www.cert.or.id Suiza http://www.switch.ch/security
Indonesia http://www.cert-in.org.in Ucrania http://www.cert.gov.ua
Irán http://www.certcc.ir United Kingdom http://www.cesg.gov.uk
Israel http://www.cert.gov.il
Japón http://www.jpcert.or.jp
Kazajistán http://kz-cert.kz
Malasia http://www.mycert.org.my
Omán http://www.cert.gov.om
Pakistán http://cert.org.pk
Qatar http://www.qcert.org
Singapur https://www.csa.gov.sg/singcert
Sri Lanka http://www.slcert.gov.lk
Taiwán http://www.cert.org.tw
Vietnam http://vncert.gov.vn

 

En los países con idioma español cabe destacar los organismos desarrollados en España:

 

CCN (https://www.ccn-cert.cni.es/). Centro Criptológico Nacional, dependiente del CNI (Centro Nacional de Inteligencia). Se creó en el año 2.006 como CERT español. Su objetivo es contribuir a la mejora del nivel de seguridad de los sistemas de información de las tres administraciones públicas en España (general, autonómica y local).

INTECO (http://cert.inteco.es/). Instituto Nacional de Tecnologías de la Comunicación, sirve de apoyo tanto a entidades como a ciudadanos. Es un servicio público gratuito y de rápida atención.

IRIS (https://www.rediris.es/cert/). Denominado RedIRIS, es la red académica y de investigación que proporciona servicios avanzados de comunicaciones a la comunidad científica y universitaria española. Su actividad es la detección, identificación y coordinación de centros para aportar soluciones a los problemas identificados.

 

Normativas.

 Norma Año  Descripción
GSIS 1.992 “Guidelines for the Security of Information Systems” desarrollada por “ the Organization for Economic Cooperation and Development”
MSI 1.998 “Managing Security of Information” desarrollada por “the Information Technology Committee of the International Federation of Accountants” está muy orientada a la auditoria.
BS 7799 ISO17799 1.995-9 “Information Security Management” desarrollada por “Department of Trade and Industry” del Reino Unido y publicada por “British Standards Institute.
GASSP 1.996-9 “Generally Accepted System Security Principles – Pervasive Principles” desarrollada por “The International Information Security Foundation” .
ISO/IEC 27000 Vocabulario estándar para el SGSI para todas las normas de la familia. Se encuentra en desarrollo actualmente.
ISO/IEC 27001 2.005 Norma que especifica los requisitos para la implantación de un SGSI. Adopta un enfoque de gestión de riesgos y promueve la mejora continua de los procesos. Es certificable.
ISO/IEC 27002 2.005-7 Information technology – Security techniques – Code of practice for information security management. Previamente BS 7799 Parte 1 y la norma ISO/IEC 17799. Es un código de buenas prácticas para la gestión de seguridad de la información. La primera versión fue publicada como ISO 17799:2005.
ISO/IEC 27005 2.008 Normativa dedicada exclusivamente a la gestión de riesgos en seguridad de la información. Proporciona recomendaciones y lineamientos de métodos y técnicas de evaluación de riesgos de Seguridad en la Información, en soporte del proceso de gestión de riesgos de la norma ISO/IEC 27001. Es la más relacionada a la actual British Standar BS 7799 parte 3.
ISO/IEC 27004 2.009 Métricas para la gestión de seguridad de la información. Es la que proporciona recomendaciones de quién, cuándo y cómo realizar mediciones de seguridad de la información.
ISO/IEC 27003 2.010 Directrices para la implementación de un SGSI. Es el soporte de la norma ISO/IEC 27001.
ISO/IEC 27006 Requisitos para la acreditación de las organizaciones que proporcionan la certificación de los sistemas de gestión de la seguridad de la información. Esta norma especifica requisitos para la certificación de SGSI y es usada en conjunto con la norma 17021-1, la norma genérica de acreditación.
ISO/IEC 27007 Guía para auditar al SGSI. Se encuentra en preparación.
ISO/IEC 27799:2008 Guía para implementar ISO/IEC 27002 en la industria de la salud.