Existen organismos a nivel internacional que actúan como centros de respuesta a incidentes, se les denominan como CERT (Computer Emergency Response Team, Equipos de Respuesta ante Emergencias Informáticas) o CSIRT (Computer Security Incident Response Team) y son responsables del desarrollo de medidas ante incidencias de seguridad en los sistemas de información. Relacionamos los actuales a 2.017, recordad las situaciones que provoca el alzheimer de internet, puede que algunas direcciones hayan dejado de estar disponibles.
Organismos.
En los países con idioma español cabe destacar los organismos desarrollados en España:
CCN (https://www.ccn-cert.cni.es/). Centro Criptológico Nacional, dependiente del CNI (Centro Nacional de Inteligencia). Se creó en el año 2.006 como CERT español. Su objetivo es contribuir a la mejora del nivel de seguridad de los sistemas de información de las tres administraciones públicas en España (general, autonómica y local).
INTECO (http://cert.inteco.es/). Instituto Nacional de Tecnologías de la Comunicación, sirve de apoyo tanto a entidades como a ciudadanos. Es un servicio público gratuito y de rápida atención.
IRIS (https://www.rediris.es/cert/). Denominado RedIRIS, es la red académica y de investigación que proporciona servicios avanzados de comunicaciones a la comunidad científica y universitaria española. Su actividad es la detección, identificación y coordinación de centros para aportar soluciones a los problemas identificados.
Normativas.
Norma | Año | Descripción |
GSIS | 1.992 | “Guidelines for the Security of Information Systems” desarrollada por “ the Organization for Economic Cooperation and Development” |
MSI | 1.998 | “Managing Security of Information” desarrollada por “the Information Technology Committee of the International Federation of Accountants” está muy orientada a la auditoria. |
BS 7799 ISO17799 | 1.995-9 | “Information Security Management” desarrollada por “Department of Trade and Industry” del Reino Unido y publicada por “British Standards Institute. |
GASSP | 1.996-9 | “Generally Accepted System Security Principles – Pervasive Principles” desarrollada por “The International Information Security Foundation” . |
ISO/IEC 27000 | Vocabulario estándar para el SGSI para todas las normas de la familia. Se encuentra en desarrollo actualmente. | |
ISO/IEC 27001 | 2.005 | Norma que especifica los requisitos para la implantación de un SGSI. Adopta un enfoque de gestión de riesgos y promueve la mejora continua de los procesos. Es certificable. |
ISO/IEC 27002 | 2.005-7 | Information technology – Security techniques – Code of practice for information security management. Previamente BS 7799 Parte 1 y la norma ISO/IEC 17799. Es un código de buenas prácticas para la gestión de seguridad de la información. La primera versión fue publicada como ISO 17799:2005. |
ISO/IEC 27005 | 2.008 | Normativa dedicada exclusivamente a la gestión de riesgos en seguridad de la información. Proporciona recomendaciones y lineamientos de métodos y técnicas de evaluación de riesgos de Seguridad en la Información, en soporte del proceso de gestión de riesgos de la norma ISO/IEC 27001. Es la más relacionada a la actual British Standar BS 7799 parte 3. |
ISO/IEC 27004 | 2.009 | Métricas para la gestión de seguridad de la información. Es la que proporciona recomendaciones de quién, cuándo y cómo realizar mediciones de seguridad de la información. |
ISO/IEC 27003 | 2.010 | Directrices para la implementación de un SGSI. Es el soporte de la norma ISO/IEC 27001. |
ISO/IEC 27006 | Requisitos para la acreditación de las organizaciones que proporcionan la certificación de los sistemas de gestión de la seguridad de la información. Esta norma especifica requisitos para la certificación de SGSI y es usada en conjunto con la norma 17021-1, la norma genérica de acreditación. | |
ISO/IEC 27007 | Guía para auditar al SGSI. Se encuentra en preparación. | |
ISO/IEC 27799:2008 | Guía para implementar ISO/IEC 27002 en la industria de la salud. |