Últimas noticias
- Usuarios de Skype afectados por ransomware en anuncios maliciosos 01-Abr-2017
- Java y Flash encabezan la lista programas más obsoletos 31-Mar-2017
- Apple soluciona error en Safari usado en ataques de ransomware 28-Mar-2017
- Utilizan botnet GiftGhostBot para robar saldos de tarjetas de regalo 28-Mar-2017
- Expertos señalan que hay archivos sensibles expuestos en Docs.com 28-Mar-2017
- Spammers modifican archivos RTF para ocultar malware 27-Mar-2017
- Estafas de bitcoins infestan las redes sociales 25-Mar-2017
ISF actualiza la Guía de Prácticas Estándar en Seguridad
El Foro de Seguridad de la Información (ISF por sus siglas en inglés) ha publicado una actualización importante de su Norma de Buenas Prácticas para los profesionales de seguridad de TI.
El estándar permite a las organizaciones cumplir con los objetivos de control establecidos en el Marco de Ciberseguridad NIST y se extiende mucho más allá de los temas definidos en el marco para incluir la cobertura de temas esenciales y emergentes, tales como gobierno de la seguridad de la información, gestión de la cadena de suministro (SCM), la privacidad de datos, seguridad en la nube, auditoría de seguridad de la información y seguridad de dispositivos móviles.
La versión 2016 de la norma se ha reestructurado en 17 categorías principales para la facilidad de uso y una mejor alineación con el enfoque de los miembros de la ISF para la gestión de seguridad de la información. Su diseño también ofrece una cobertura sistemática de cuatro ciclos de vida nuevos o mejorados:
- Ciclo de empleo: reclutamiento, inducción, desarrollo, retención de empleados y la terminación de su empleo
- Ciclo de vida de la información: creación, procesamiento, transmisión, almacenamiento y destrucción de todos los tipos de información (electrónicos, impresos o habladas), incluida la información confidencial o de misión crítica
- Ciclo de vida de hardware: adquisición (compra o alquiler), mantenimiento y eliminación de equipos físicos y dispositivos
- Ciclo de vida del desarrollo de sistemas: principalmente centrado en el diseño y desarrollo de aplicaciones críticas de negocio, pero aplicable a todos los tipos de desarrollo del sistema (por ejemplo, para la infraestructura de TI)
Los lineamientos tienen en consideración nuevas legislaciones como: el Reglamento General de Protección de Datos (GDPR) de Estados unidos, que tendrá vigencia en mayo de 2018, que impacta a todas las organizaciones que contiene información personal sobre ciudadanos de dicho país; así como la Directiva de Seguridad de Red e Información Directiva (NIS), cuya finalidad es proteger la infraestructura crítica y establece normas de seguridad cibernética comunes y requisitos de información aplicables a las organizaciones. La aplicación efectiva depende de la evaluación de riesgos de la información fuerte, por lo que los controles descritos en la norma se aplican de acuerdo con el riesgo.
