loader image

RaulG

ISO 42001

Norma ISO 42001:2023 01 La ISO/IEC 42001 es la norma que especifica los requisitos para poner en marcha un sistema de gestión de inteligencia artificial (IA). Esta norma está diseñada para organizaciones que ofrecen o utilizan productos o servicios basados en la inteligencia artificial. 02 Es importante porque es la primera norma a nivel mundial que ofrece indicaciones sobre sistemas de gestión de inteligencia artificial (IA) y supone para las organizaciones una forma organizada de gestionar los riesgos y oportunidades que supone el uso de la inteligencia artificial. 03 La norma ISO-42001 es un estándar certificable por una tercera parte independiente. Puede aportar a las organizaciones los siguientes beneficios: Establecer un marco regulatorio, que garantice la correcta gestión, funcionamiento y control de un ambiente basado en IA. Mejorar la confianza de las partes interesadas. Mejorar la competitividad.   Los beneficios que tiene para clientes de cualquier sector son: Garantizar la responsabilidad en el desarrollo y uso de la IA. Reducir los riesgos asociados a la IA.   Los proveedores las siguientes ventajas:  Demuestra a los clientes y stakeholders un compromiso con el desarrollo y uso responsable de la IA. Aumenta la confianza en la calidad, seguridad y confiabilidad de los productos y servicios de IA. Fortalece la reputación de la empresa como proveedor líder en IA ética y responsable. Optimiza los procesos de desarrollo y gestión de la IA mediante la implementación de un sistema de gestión estructurado. Mejora la eficiencia y la productividad al evitar errores, retrabajos y costes adicionales. Permite un uso más eficaz de los recursos y la inversión en IA. ISO/IEC 42001:2023 Sistema de Gestión de Inteligencia Artificial La inteligencia artificial (IA) se refiere a la capacidad de las máquinas o sistemas informáticos para realizar tareas que normalmente requieren inteligencia humana. Esto incluye la capacidad de aprender de la experiencia “aprendizaje automático”, razonar, entender el lenguaje natural, reconocer patrones y adaptarse a nuevas situaciones. El desconocimiento y desconfianza hacía las aplicaciones y capacidades de estas mismas ha generado la necesidad de administrar los riesgos sobre las lA y sus aplicaciones. Es por ello que la International Organization for Standardization (ISO) y la International ElectrotechnicalCommission (IEC). han publicado la norma ISO/IEC 42001:2023 Information technology – Artificial intelligence-Management system. Siendo esta la primera norma internacional para el desarrollo e implantación de sistemas de gestión fiables de lA, equilibrando la innovación con la gobernanza. Previamente ISO contaba con estándares como lo es ISO/IEC 22989 donde se establece la terminología de lA y el campo de esta, la ISO/IEC 23053 que establece un marco de lA y aprendizaje automático ML (Machine Learning), así como la ISO/IEC 23894 que orienta sobre la gestión de riesgos relacionados con la lA para organizaciones. Implementar este estándar significa poner en marcha políticas y procedimientos para la buena gobernanza de una organización en relación con la lA, utilizando la metodología PHVA, en lugar de observar los detalles de aplicaciones específicas de lA, proporciona una forma práctica de gestionar los riesgos y oportunidadesrelacionados con la lA en toda una organización. Los objetivos de la norma ISO/IEC 42001:2023 son los siguientes: Ahorro de costos y aumento de la eficiencia. Promover el desarrollo y el uso de sistemas de inteligencia artificial fiables, transparentes y responsables. Uso de análisis de datos. conocimientos y aprendizaie automático.  Marco para la gestión de riesgos y oportunidades. Fomentar confianza en la gestión de la inteligencia artificial al alentar a las organizaciones a dar prioridad al bienestar humano, la seguridad y la experiencia del usuario durante el proceso de diseño e implementaciónde la lA Y los beneficios de la implementación de la norma ISO/IEC 42001:2023 son los siguientes: lA responsable: garantiza el uso ético y responsable de la inteligencia artificial. Gestión de la reputación: meiora la confianza en las aplicaciones de lA. Gobernanza de la lA: respalda el cumplimiento de los estándares legales y regulatorios. Orientación práctica: gestiona eficazmente los riesgos específicos de la lA. Identificar oportunidades: Fomenta la innovación dentro de un marco estructurado. Sistema de Gestión de Inteligencia Artificial (AIMS) Por su parte la norma ISO/IEC 42001:2023 específica los requisitos para establecer, implementar, mantener ymejorar continuamente un Sistema de Gestión de Inteligencia Artificial (AIMS) dentro de las organizaciones. Al igual que otros estándares ISO, la norma puede ser implementada en empresas y organizaciones de cualquier tipo, sin importar su tamaño, giro, sector, etc. El sistema de gestión de lA proporciona requisitosespecíficos para gestionar los problemas y riesgos derivados del uso de lA en una organización. Este enfoque común facilita la implementación y la consistencia con otras normas de sistemas de gestión, por ejemplo, relacionadas con la Calidad (ISO 9001:2015) y/o Seguridad y Privacidad (ISO 27001:2022). Como todo estándar de cualquier norma ISO, la ISO/IEC 42001:2023 no es la excepción y cuenta con una estructura de alto nivel, esto quiere decir es un modelo normalizado establecido por parte del Comité ISO, para que todas las nuevas normas de gestión respeten y compartan un objetivo común: la uniformización de las normas de gestión que nos apoya a sincronizar diferentes normas, adoptar un lenguaje común para facilitar que las organizaciones integren diferentes Sistemas de Gestión y puedan disfrutar de algunas ventajas añadidas, como puede ser, la eliminación de la duplicidad documental. Cómo se mencionó previamente, se cuenta con un modelo establecido, aunque dependiendo del esquema que se presente, es el enfoque que se le dará para dicha estructura.  0. Introducción Proporciona una visión general de la norma y su propósito, así como cualquier información relevante sobre su alcance y campo de aplicación. 1. Alcance Establece los límites del sistema de gestión de la inteligencia artificial (IA) que se está desarrollando e implementando. Incluye qué aspectos del ciclo de vida de la IA estarán cubiertos por el sistema de gestión, así como qué procesos, productos o servicios específicos serán abordados por el sistema. Este incluye información sobre las partes interesadas, los requisitos legales y reglamentarios, y cualquier consideración que defina el contexto en el que operará el sistema de gestión de la IA. 2. Referencias

Inteligencia Artificial Generativa

Fundamentos de la Inteligencia Artificial La humanidad está acogiendo la cuarta revolución industrial representada por la tecnología inteligente. Las nuevas tecnlogías como la AI, la IoT, el 5G y la bioingeniería están integreadas en todos los aspectos de a sociedad humana; impulsan cambios en las tendencias macro mundiales, como el desarrollo social sostenible y el crecimiento económico. Nueva energía cinética, mejora de ciudades inteligentes, transformación digital industrial experiencia del consumidor, etc.  Una definición propuesta para el término de Inteligencia Artificial ó AI por sus siglas en inglés es la siguiente:  “La rama de la informática se ocupa de hacer que las computadoras se comporten como humanos.” — Una definición popular de inteligencia artificial, y una definición anterior en este campo propuesta por John McCarthy| en la Conferencia de Dartmouth en 1956. Sin embargo, parece que esta definición ignora la posibilidad de una IA fuerte. Según otra definición, la inteligencia artificial es la inteligencia (IA débil) demostrada por las máquinas artificiales. La Inteligencia Artificial (IA) es una nueva ciencia técnica que estudia y desarrolla teorías, métodos, técnicas y sistemas de aplicación para simular y ampliar la inteligencia humana. En 1956, el concepto de IA fue propuesto por primera vez por John McCarthy, quien definió el tema como “ciencia e ingeniería de la fabricación de máquinas inteligentes, especialmente programas informáticos inteligentes”.  La IA se preocupa por hacer que las máquinas funcionen de una manera inteligente, similar a la forma en que funciona la mente humana. En la actualidad, la IA se ha convertido en un curso interdisciplinario que involucra varios campos. El aprendizaje automático se puede entender desde múltiples aspectos. Tom Mitchell, un científico global de aprendizaje automático, proporcionó una definición ampliamente citada: “Se dice que un programa informático aprende de la experiencia E con respecto a alguna clase de tareas T y la medida de rendimiento P si su rendimiento en tareas en T, medido por P, mejora con la experiencia E”. Estas definiciones son simples y abstractas. Sin embargo, a medida que profundizamos nuestra comprensión del aprendizaje automático, encontraremos que la connotación y la extensión del aprendizaje automático están cambiando con el tiempo. Debido a que una variedad de campos y aplicaciones están involucrados y el aprendizaje automático se desarrolla rápidamente, no es fácil definir el aprendizaje automático de forma sencilla y clara.  En general, los sistemas de procesamiento y los algoritmos de aprendizaje automático (ML) son un modo de identificación que realiza la predicción mediante la búsqueda de un modo oculto en los datos. Ml es un importante subcampo de IA, que también se cruza con la minería de datos (DM) y el descubrimiento de conocimiento en la base de datos (KDD), para una mejor comprensión y distinción de la inteligencia artificial, el aprendizaje automático, la minería de datos, el reconocimiento de patrones, las estadísticas y la computación neuronal. ¿Qué es el aprendizaje automático? El aprendizaje automático ó Machine Learning (incluido el aprendizaje profundo) es un estudio de algoritmos de aprendizaje. Se dice que un programa informático aprende de la experiencia E con respecto a alguna clase de tareas T y la medida de rendimiento P si su rendimiento en tareas en T, medido por P, mejora con la experiencia E. Escenarios de aplicación de aprendizaje automático  La solución a un problema es compleja o el problema puede implicar una gran cantidad de datos sin una función de distribución de datos clara.  ¿Qué es el aprendizaje profundo? Generalmente, la arquitectura de aprendizaje profundo o Deep Learning es una red neuronal profunda. “Profundo” en “aprendizaje profundo” se refiere al número de capas de la red neuronal.  La red se construye simulando la red neuronal humana. En el diseño y aplicación de redes neuronales artificiales, deben tenerse en cuenta los siguientes factores: funciones de neuronas, modos de conexión entre las neuronas y aprendizaje en red (entrenamiento). Relación de IA, aprendizaje automático y aprendizaje profundo IA: Una nueva ciencia técnica que se centra en la investigación y el desarrollo de teorías, métodos, técnicas y sistemas de aplicación para simular y ampliar la inteligencia humana.  Aprendizaje automático: Un campo de investigación básico de la IA. Se centra en el estudio de cómo las computadoras pueden obtener nuevos conocimientos o habilidades mediante la simulación o realización del comportamiento de aprendizaje de los seres humanos, y reorganizar la arquitectura de conocimiento existente para mejorar su rendimiento. Es uno de los principales campos de investigación de la IA.  Aprendizaje profundo: Un nuevo campo de aprendizaje automático. El concepto de aprendizaje profundo se origina en la investigación sobre redes neuronales artificiales. El perceptron multicapa (MLP) es un tipo de arquitectura de aprendizaje profundo. El aprendizaje profundo tiene como objetivo simular el cerebro humano para interpretar datos como imágenes, sonidos y textos. Tomado de https://forum.huawei.com/enterprise/es/%C2%BFqu%C3%A9-es-la-inteligencia-artificial-ai-y-cu%C3%A1les-son-sus-principales-tecnolog%C3%ADas/thread/667225022449729536-667212895009779712 En la actualidad, hay tres enfoques principales de inteligencia artificial:  simbolismo,  conexionismo y   conductismo. Los primeros referentes de la historia de la Inteligencia Artificial tuvieron sus inicios desde 1956 y desde entonces el desarrollo tecnológico junto con la transformación digital han sido fundamentales para el desempeño actual y prometedor futuro de esta tecnología. Simbolismo en Inteligencia Artificial El simbolismo también se llama lógica, escuela de psicología o escuela de psicología. Su principio es principalmente la asunción del sistema de símbolos físicos (es decir, el sistema operativo simbólico) y el principio de racionalidad limitada, que está representado principalmente por el sistema de aplicación de gráficos de conocimientos. Pertenece a la categoría de inteligencia artificial moderna, y simula el comportamiento de la inteligencia humana basado en el método de simulación inteligente del razonamiento lógico. La esencia es simular el pensamiento lógico abstracto del cerebro humano, estudiando el mecanismo de función del sistema de cognición humano, describir el proceso de cognición humana con algún símbolo, e imitar el proceso de cognición humana introduciendo el símbolo en el ordenador que puede manejar símbolos, en pocas palabras, “la cognición es cálculo”. El gráfico de conocimiento aboga por el uso de métodos lógicos para establecer un sistema de teoría unificado de la inteligencia artificial, pero se ha encontrado con el obstáculo del problema del “sentido común”. Conexionismo en Inteligencia Artificial El conexionismo también se llama escuela

Cifrado de Datos

Hablemos de Cifrado de Datos El cifrado de datos es codificar información para que solo las partes autorizadas puedan descifrarla y acceder al contenido original. Esto ayuda a proteger la información frente a un tercer interceptor ya que niega el contenido inteligible sin necesidad de mantenerlo fuera del alcance. El cifrado ofrece una forma más segura de transferir y almacenar los datos, mejorando así la protección de los mismos. Por razones técnicas, un esquema de cifrado suele usar una clave de cifrado pseudoaleatoria generada por un determinado algoritmo. Aunque se puede entender el mensaje sin tener la clave, un buen sistema de encriptación necesita muchos recursos y habilidades para descifrarlo. Por lo tanto, poca gente podría hacerlo. Un destinatario autorizado puede leer un mensaje fácilmente con la clave del emisor, pero no los no autorizados. Históricamente, se han utilizado diversas formas de encriptación para ayudar a la criptografía. Las primeras técnicas de cifrado se utilizaban en la mensajería militar. Desde entonces han surgido nuevas técnicas que se han convertido en habituales en todos los ámbitos de la informática moderna. Actualmente, los esquemas modernos de encriptación utilizan los conceptos de clave pública y clave simétrica. Además, las técnicas modernas de encriptación garantizan la seguridad debido a que las computadoras de hoy en día son ineficaces para descifrar la encriptación. Tomado de https://www.innovaciondigital360.com/big-data/que-es-el-cifrado-de-datos/   Para qué sirve el cifrado de datos Sirve para proteger la información sensible y confidencial que se transmite o almacena en dispositivos electrónicos o en redes de comunicación. Su función principal es convertir los datos originales en un formato ilegible, conocido como texto cifrado, utilizando un algoritmo y una clave criptográfica. Este proceso garantiza que solo las personas autorizadas, que posean la clave adecuada, puedan acceder a la información y descifrarla nuevamente a su forma original. De esta manera, se evita que terceros no autorizados puedan acceder, leer o manipular los datos protegidos. El cifrado de datos se aplica en diversas situaciones para asegurar la privacidad y seguridad de la información. En las comunicaciones en línea, como correos electrónicos y mensajes instantáneos, el cifrado protege el contenido de los mensajes durante la transmisión. En el ámbito financiero, garantiza que las transacciones en línea, como compras y transferencias bancarias, sean seguras y resguardadas contra posibles robos de información. Además, el cifrado es fundamental para proteger los datos almacenados en dispositivos como computadoras, teléfonos inteligentes, unidades USB y servicios en la nube. En entornos corporativos, el cifrado asegura que la información sensible de las empresas esté protegida contra accesos no autorizados, previniendo el robo de secretos comerciales y datos estratégicos. Asimismo, en el ámbito gubernamental y militar, el cifrado es crucial para proteger la información clasificada y estratégica de los gobiernos y fuerzas armadas. El cifrado de datos protege la información que se envía entre un navegador y un servidor. Se utiliza tanto por usuarios individuales como por grandes empresas. La información puede ser de pagos o personal y confidencial. Se utiliza un software de cifrado o una clave para desarrollar un esquema de cifrado. En teoría, este esquema puede deshacerse con mucha potencia informática. Beneficios del cifrado de datos Con más y más organizaciones moviéndose a entornos híbridos y multinube, aumentan las preocupaciones sobre la seguridad de la nube pública y la protección de datos en entornos complejos. El cifrado de datos en toda la empresa y la gestión de claves de cifrado pueden ayudar a proteger los datos en las instalaciones y en la nube. Los proveedores de servicios en la nube (CSP) pueden ser responsables de la seguridad de la nube, pero los clientes son responsables de la seguridad en la nube, especialmente la seguridad de los datos. Los datos confidenciales de una organización deben protegerse y, al mismo tiempo, permitir que los usuarios autorizados realicen sus funciones laborales. Esta protección no solo debe cifrar los datos, sino que también debe proporcionar funciones sólidas de gestión de claves de cifrado, control de acceso y registro de auditoría. Las soluciones robustas de cifrado de datos y gestión de claves deben ofrecer: Una consola de administración centralizada para el cifrado de datos y las políticas y configuraciones de claves de cifrado Cifrado a nivel de archivo, base de datos y aplicación para datos locales y en la nube Controles de acceso basados en roles y grupos y registro de auditoría para ayudar a abordar el cumplimiento Procesos automatizados de ciclo de vida de claves para claves de cifrado locales y en la nube   Tomado de https://www.ibm.com/mx-es/topics/encryption Existen varios métodos de cifrado diferentes, cada uno desarrollado teniendo en cuenta diferentes necesidades de seguridad y protección. Los dos tipos principales de cifrado de datos son el cifrado asimétrico y el cifrado simétrico. Métodos de cifrado asimétrico: El cifrado asimétrico, también conocido como criptografía de clave pública, cifra y descifra los datos utilizando dos claves asimétricas criptográficas independientes. Estas dos claves se conocen como “clave pública” y “clave privada”. Métodos comunes de cifrado asimétrico: RSA: RSA, que lleva el nombre de los científicos informáticos Ron Rivest, Adi Shamir y Leonard Adleman, es un algoritmo popular que se utiliza para cifrar datos con una clave pública y descifrarlos con una clave privada para una transmisión segura de datos. Infraestructura de clave pública (PKI): PKI es una forma de gestionar las claves de cifrado mediante la emisión y gestión de certificados digitales.   Métodos de cifrado simétrico: El cifrado simétrico es un tipo de cifrado en el que solo se utiliza una clave simétrica secreta para cifrar el texto sin formato y descifrar el texto cifrado. Métodos comunes de cifrado simétrico: Estándares de cifrado de datos (DES): DES es un algoritmo de cifrado de bloques de cifrado de bajo nivel que convierte texto sin formato en bloques de 64 bits y los convierte en texto cifrado utilizando claves de 48 bits.  Triple DES: Triple DES ejecuta el cifrado DES tres veces diferentes cifrando, descifrando y luego cifrando los datos nuevamente. Estándar de cifrado avanzado (AES): AES a menudo se conoce como el criterio de referencia para el cifrado de datos y se utiliza en todo el mundo como el estándar del gobierno de EE. UU.

Políticas de Seguridad

Hablemos de la Política de Seguridad La política de seguridad de información es el documento en el que una empresa define los lineamientos generales para proteger la información y minimizar los riesgos que pudieran afectarla. La debe cumplir todo el personal relacionado con la empresa. Así se asegura la integridad, disponibilidad y privacidad de las infraestructuras informáticas y de la información que contienen.  Las políticas de seguridad informática son declaraciones formales de las reglas que debemos cumplir las personas que tenemos acceso a los activos de tecnología e información de una organización Se conjuntan en un documento madre del que se desprenden los demás (por ejemplo de aquí se desprenden la política de desarrollo seguro, procedimiento para la gestión de incidentes, plan de continuidad del negocio, plan de recuperación ante desastres, entre otros). Es por ello que es uno de los más importantes para cumplir con ISO 27001 y con normativas y regulaciones de seguridad, porque es donde declaras, a modo general, todas las medidas que pretendes tomar para resguardar tu información.  En resumen, en la política de seguridad de la información se definen las medidas e intenciones de tu empresa a alto nivel. Esta es la definición según la RFC 2196 del Internet Engineering Task Force (IETF) de 1997 Existen dos grupos principales de políticas de seguridad informática: Las que definen lo que tenemos que evitar. Se trata de aquellos comportamientos y prácticas que pueden poner en riego los sistemas y la información, como, por ejemplo: abrir archivos o enlaces sospechosos, compartir contraseñas o utilizar redes Wi-Fi abiertas. Las que definen lo que tenemos que hacer siempre, para mantener un correcto nivel de protección y seguridad. Por ejemplo: Cifrar archivos sensibles Implementar copias de respaldo Usar contraseñas y renovarlas de forma periódica Usar VPN Instalar software antivirus y antimalware ¿Cómo hacer la política de seguridad de la información? Hay distintas políticas de seguridad informática en las empresas según los objetivos y prioridades de esta. Sin embargo, todas las buenas políticas de seguridad informáticas tienen en común estas características: Concretas: tienen que poderse implementar a través de procedimientos, reglas y pautas claras. Claras: tienen que definir de forma clara las responsabilidades y obligaciones de los distintos tipos de usuarios: personal, administradores y dirección. Obligatorias: su cumplimiento tiene que hacerse respetar, mediante herramientas de seguridad o sanciones. El Instituto Nacional de Ciberseguridad, INCIBE (en España), pone a disposición en su página web ejemplos de las principales políticas de seguridad informática para una Pyme. La definición de una política de seguridad debe estar basada en una identificación y análisis previo de los riesgos a los que está expuesta la información y debe incluir todos los procesos, sistemas y personal de la organización. Además, tiene que haber sido aprobada por la dirección de la organización y comunicada a todo el personal.   Se debe comenzar por: 1. Definir el objetivo, alcance y vigencia 2. Definir los responsables 3. Especificar la autoridad de emisión, revisión y publicación 4. Definir las medidas de seguridad “Reglas de aplicación” 5. Estrategia para comunicar la política a los empleados 6. Como se planea actualizar y revisar continuamente En este sentido, algunas áreas e políticas de seguridad informática que deben ser tocadas son: Pautas de compras de tecnologías y contratación de servicios Privacidad en el uso de herramientas de trabajo. Acceso y autenticación de usuarios y la definición de derechos y privilegios. Responsabilidad de los distintos tipos de usuarios. Disponibilidad de sistemas y recursos. Notificación de violaciones y brechas de seguridad. En el documento de la política de seguridad, el cuerpo normativo de seguridad de la información de una organización, debe constar principalmente de las siguientes políticas y procedimientos: Buenas prácticas El documento de “buenas prácticas de Seguridad de la Información”, puede ser un documento específico, cláusulas anexas a los contratos de los empleados, etc. Debería recoger, entre otras cosas, el uso aceptable de los sistemas y la información por parte del personal, las directrices para mantener el puesto de trabajo despejado, el bloqueo de equipo desatendido, la protección de contraseñas entre otras Procedimiento de control de accesos Recoge las medidas técnicas y organizativas relacionadas con los permisos de acceso a las instalaciones y sistemas que albergan la información de la organización, así como el acceso a la propia información. Los controles de acceso pueden ser físicos o lógicos y algunos ejemplos de ellos son: Controles de acceso físico Mecanismos y sistemas implementados para controlar el acceso de personas a las instalaciones de la organización como, por ejemplo: barreras, cámaras, alarmas, sistemas de apertura de puertas biométricos o por tarjeta, etc. Otros ejemplos de controles de acceso físico son también: albergar la información en armarios cerrados con llave y, en general, cualquier medio físico que dificulte o no permita el acceso no autorizado a la información. Controles de acceso lógico Sistemas implementados para controlar el acceso de los usuarios a los distintos sistemas que albergan la información o el acceso a la propia información. Ejemplos de controles de acceso lógico son la implementación de un NAC (control de acceso de equipos y usuarios a la red), la configuración de permisos de lectura y escritura sobre los propios archivos de información, sistemas de login en los distintos sistemas, autorizaciones de acceso remoto de los usuarios a la red a través de una VPN, etc. Procedimiento de gestión de usuarios Recoge las instrucciones precisas a realizar para el alta, cambio de puesto de trabajo y baja (voluntaria o cese) de los usuarios en los distintos sistemas de información, así como para la concesión de los permisos de acceso tanto físicos como lógicos que deberían tener a las instalaciones, sistemas y a la propia información. Este procedimiento se debería basar y recoger una definición clara y concisa de los diferentes roles y responsabilidades de los usuarios, es decir, en función de los roles y responsabilidades del personal se le tendrían que conceder diferentes accesos y permisos, los mínimos y necesarios para el desempeño de su trabajo. Procedimiento de clasificación y tratamiento

Linux

Para Fines Didácticos, colocamos estas referencias

ISO 27001

Norma ISO 27001:2017 01 Esta norma esta orientada a Sistemas de Gestión de la Seguridad de la Información (SGSI). Esta norma recoge todos los requisitos necesarios con los que una organización o negocio deba contar para poder garantizar que su gestión de datos e información es segura. La ISO-27001:2017 es la versión de la norma actualmente vigente, por lo que en caso de que desee implantar en su organización un Sistema de Gestión de la Seguridad de la Información deberá hacerlo en base a los requisitos establecidos en esta versión. La versión ISO de la norma (2013) no se vio afectada por la publicación de 2017 y los cambios no introducen nuevos requisitos. En términos prácticos, muy poco ha cambiado entre los estándares ISO 27001 de 2013 y 2017, excepto por algunos puntos estéticos menores y un pequeño cambio de nombre. 02 Un Sistema de Gestión de la Seguridad de la Información (SGSI) consiste en un conjunto de medidas y requisitos orientados a asegurar la protección de la información dentro de una organización frente a cualquier amenaza, como pueden ser ataques cibernéticos, malas prácticas de los propios empleados, intrusos o catástrofes naturales; a través de la aplicación de controles y el establecimiento de procedimientos de seguridad. 03 La norma ISO-27001 es un estándar certificable por una tercera parte independiente. Todo tipo de empresas, independientemente de su tamaño o sector, pueden implantar y certificar un Sistema de Gestión de la Seguridad de la Información basado en la norma ISO-27001. La implantación de un Sistema de Gestión de la Seguridad de la Información según la norma ISO-27001 proporciona una serie de beneficios a la empresa: Prevenir o minimizar el riesgo de que produzca la pérdida o sustracción de información. Prevenir a la organización ante posibles sanciones legales derivadas de pérdida o mala gestión de la información. Establecer una política de seguridad de la información. Establecer controles que mejoren la gestión de la seguridad de la información. Proporciona un valor añadido a la empresa, diferenciándola respecto a la competencia. Aumentar la confianza de cara a clientes y proveedores, asegurando que su información será tratada con total confidencialidad. ISO-27001 exige una serie de requisitos imprescindibles: Desarrollar un Sistema de Gestión de la Seguridad de la Información de acuerdo a la norma ISO-27001. Recoger evidencias documentales de los procedimientos desarrollados, así como los registros asociados. Definir y comunicar una política de seguridad de la información. Desarrollar objetivos orientados a la mejora continua del sistema. Asegurar el compromiso de la dirección. Designar un responsable del Sistema de Gestión De la Seguridad de la Información. Realizar una evaluación de riesgos de seguridad de la información. Llevar a cabo un proceso de tratamiento de los riesgos. Listado del conjunto de normas que integran la norma 27001 ISO 27001:2013GUÍA DE IMPLANTACIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN Aspectos clave del diseño e implementación del ISO 27001 Sistema de Seguridad de la Información (SGSI) Norma ISO 27001:2013 para fines didácticos Documentos que ayudaran a la implementación y compresión de la Norma 27001 Solo con fines didácticos, aquí están las normas ISO 27001 ISO – IEC 27001 En español edición 2005 ISO – IEC 27001 Edición 2022 ISO – IEC 27002 Edición 2013 ISO – IEC 27003 Edición 2017 ISO – IEC 27004 Edición 2016 ISO – IEC 27005 Edición 2022 ISO – IEC 27006 Edición 2015 ISO – IEC 27006-2 Edición 2021 ISO – IEC 27007 Edición 2020 ISO – IEC 27008 Edición 2019 ISO – IEC 27009 Edición 2020

NIST-CSF

NIST CFS 2.0 01 El NIST CSF (marco de ciberseguridad) es un conjunto de pautas para organizar y mejorar el programa de ciberseguridad de una organización. Fue creado con la intención de tener un marco que evolucionara con el panorama de amenazas en evolución y sirviera como una guía para que las organizaciones protegieran sus activos e información frente a amenazas emergentes. NIST CSF es un marco voluntario que se puede adoptar para administrar y reducir los riesgos cibernéticos. Si bien su objetivo es similar al de otras normas de seguridad internacionales como la ISO 27001, el enfoque es ligeramente diferente. Las pautas bajo NIST CSF se basan en 5 medidas básicas. Identificar: Identificar activos, riesgos, vulnerabilidades, estrategias para superar amenazas, etc. Proteger: implementar controles, procesos y procedimientos de seguridad para proteger los activos. Detectar: Monitorear y detectar incidentes y anomalías de seguridad. Responder: plan para responder a eventos de seguridad y mitigar daños. Recuperar: restaurar sistemas y planificar mejoras para evitar futuros incidentes. 02 El NIST CSF se creó por primera vez en 2014 en respuesta a una Orden Ejecutiva del Presidente de las Estados Unidos de América, que ordenaba una mayor seguridad cibernética de la infraestructura crítica de la nación. Desde entonces, el marco ha sido adoptado voluntariamente, o se ha exigido su adopción por regulaciones como la Ley de Educación del Estado de Nueva York 2-d, por organizaciones de todos los tamaños y en todas las industrias. El marco está organizado de acuerdo con cinco Funciones que definen las prácticas de alto nivel de cualquier programa de ciberseguridad: Identificar, Proteger, Detectar, Responder y Recuperar. Dentro de esas cinco funciones hay un total de 108 “subcategorías” o declaraciones discretas de tipo control que definen las prácticas que las organizaciones deben considerar al evaluar su propio programa de ciberseguridad. El NIST CSF está diseñado para ser independiente del proveedor y escalable. Tampoco es prescriptivo: el NIST CSF es una herramienta para usar, no una lista de verificación para seguir. NIST ha compartido varios cambios propuestos al CSF en un intento de hacerlo más útil y alineado con las mejores prácticas más recientes. Si bien se espera que la estructura central del NIST CSF permanezca igual, varios de los cambios propuestos son mejoras prometedoras para el marco. 03 Como se comento el NIST CSF nace de la orden ejecutiva  del Presidente de los estados Unidos de América Executive Order (EO) 13636, Improving Critical Infrastructure Cybersecurity (Feb. 12, 2013) 04 Actualización a Febrero 2024 El marco de ciberseguridad (CSF) del NIST ahora apunta explícitamente a ayudar a todas las organizaciones, no solo a aquellas en infraestructura crítica, su público objetivo original, a gestionar y reducir los riesgos. NIST actualizó la guía principal del CSF y creó un conjunto de recursos para ayudar a todas las organizaciones a alcanzar sus objetivos de ciberseguridad, con mayor énfasis en la gobernanza y las cadenas de suministro. Esta actualización es el resultado de un proceso de varios años de discusiones y comentarios públicos destinados a hacer que el marco sea más efectivo. La liga a esta actualización aqui Esta es una guia rapida del NIST CFS 2.0 Una forma de introducción al marco de referencia NIST es a traves de este documento Los conceptos para entender el marco NIST CFS Resumen inicial del análisis de las respuestas a la solicitud de información (RFI) NIST Instituto Nacional de Estándares y Tecnología NIST CSF Marco para la mejora de la seguridad cibernética en infraestructuras críticas SIte oficial del NIST – CFS Sitio de documentación del marco de referencia Documentación El sitio oficial del NIST contiene mucha información sobre herramientas y guías de aplicación Guias y herramientas Traducción al español del NIST CSF v 1.1

Endurecimiento

Endurecimiento de los sistemas – Hardening* El endurecimiento de los sistemas sienta las bases de una infraestructura informática segura, algo así como “limpiar la casa” antes de introducir todas las herramientas y protocolos más avanzados que conforman una estrategia de seguridad total. *Tomado de ninjaOne ¿Qué es hardening? El endurecimiento de los sistemas se refiere a las herramientas, los métodos y las mejores prácticas utilizadas para reducir la superficie de ataque en la infraestructura tecnológica, incluyendo el software, los sistemas de datos y el hardware. El objetivo del endurecimiento de los sistemas es reducir el “perfil de amenaza” general o las áreas vulnerables del sistema. El endurecimiento de los sistemas implica la auditoría metódica, la identificación y la corrección de las posibles vulnerabilidades de seguridad en toda la organización, a menudo haciendo hincapié en la adaptación de diversos ajustes y configuraciones por defecto para hacerlos más seguros  Con el endurecimiento del sistema, el objetivo es eliminar tantos riesgos de seguridad como sea posible. Al minimizar la superficie de ataque, los agentes maliciosos tienen menos medios de entrada o puntos de apoyo potenciales para iniciar un ciberataque. ¿Cuáles son las ventajas del hardening? El endurecimiento de los sistemas es una función esencial tanto para la seguridad como para el cumplimiento, y una parte crucial de una estrategia más amplia de seguridad de la información. El beneficio más claro del endurecimiento de los sistemas es la reducción del riesgo de ciberataques y del tiempo de inactividad y las sanciones reglamentarias asociadas. Desde el punto de vista de la seguridad, el endurecimiento del sistema es una excelente prioridad que debe adoptarse antes o junto a la implantación de soluciones de seguridad como las herramientas EDR. Al fin y al cabo, utilizar este tipo de soluciones en sistemas mal configurados es como instalar rejas en las ventanas y cámaras de seguridad en una casa, pero no cerrar la puerta trasera. Independientemente de lo avanzadas que sean las herramientas de seguridad, es probable que un sistema no reforzado siga teniendo vulnerabilidades que permitan eludir estas medidas. El endurecimiento del sistema debe considerarse a lo largo de todo el ciclo de vida de las TI, desde la instalación inicial, pasando por la configuración, el mantenimiento y hasta el final de la vida útil. El endurecimiento de los sistemas también es un mandato de los principales marcos de cumplimiento, como PCI, DSS e HIPAA. 5 tipos de hardening Aunque la definición de endurecimiento del sistema se aplica a toda la infraestructura de TI de una organización, hay varios subconjuntos de la idea que requieren diferentes enfoques y herramientas.  1) Hardening de la red 2) Hardening del servidor 3) Hardening de la aplicación 4) Hardening de la base de datos 5) Hardening del sistema operativo   ¿Cuáles son las mejores prácticas de hardening en 2022? Comience con la planificación de su enfoque para el endurecimiento de los sistemas. El endurecimiento de toda una red puede parecer desalentador, por lo que la creación de una estrategia en torno a los cambios progresivos suele ser la mejor manera de gestionar el proceso. Priorice los riesgos identificados en su ecosistema tecnológico y utilice un enfoque gradual para abordar los defectos en un orden lógico. Aborde la aplicación de parches y la actualización de inmediato. Una herramienta de gestión de parches automatizada y completa es esencial para el endurecimiento de los sistemas. Este paso suele ser muy rápido y contribuye en gran medida a cerrar los posibles puntos de entrada. Proceso de Server Hardening: 9 pasos Un proceso de Server Hardening contiene muchas acciones que deben llevarse a cabo. No es necesario que se realicen en un orden determinado, pero cada paso debe completarse para garantizar que su servidor está reforzado y seguro contra los ciberataques. Ubicación segura del servidor Controlar los permisos de acceso Configura tu firewall Coloca tu servidor en un lugar seguro. Comprueba que los ajustes son ideales (temperatura, proximidad, etc.) y que la zona está cerrada y restringida sólo al personal autorizado. Instaurar el “principle of least privilege” es una forma eficaz de verificar que los sistemas, programas, configuraciones y otras operaciones importantes sólo sean accesibles para quienes los necesitan. Al limitar el acceso a la tecnología y a las operaciones más críticas de la empresa, se crea una capa adicional de seguridad que hace menos probable un compromiso del servidor. Un firewall es una barrera establecida para separar la red informática de cualquier fuente externa, y es un sistema de seguridad para su red informática que supervisa el tráfico entrante y saliente. Configurar el firewall es una forma inteligente de supervisar el tráfico dentro de la red y bloquear el tráfico no deseado procedente del exterior, lo que puede ayudar a evitar que los atacantes entren en la red en primer lugar. Gestionar las configuraciones Cuentas de usuario seguras Aplicar parches a las vulnerabilidades Hay múltiples tipos de configuraciones que gestionar en su entorno informático, como usuario, servidor, red y NTP (protocolo de tiempo de red). La gestión activa de estas diferentes configuraciones garantiza la coherencia en todos los sistemas que existen en su entorno informático. También te ayuda a obtener visibilidad de los sistemas en todo el servidor y a saber cómo influyen los unos en los otros. Proteje las cuentas de usuario de su servidor. Mantén los nombres de usuario y las contraseñas en privado, y hazlos fuertes y únicos. Además, considera el uso de MFA cuando sea posible para aumentar el nivel de seguridad. Aplica los parches de software tan pronto como puedas y asegúrate de que tu entorno informático se actualiza continuamente para garantizar la máxima seguridad. El software de servidor sin parches es fácilmente aprovechado por los ciberdelincuentes, así que asegúrese de instalar software actualizado para proteger esas vulnerabilidades. Para saber más sobre la aplicación efectiva de parches, lea sobre el proceso de gestión de parches. Eliminar el software innecesario Planificar una estrategia de respaldo Vigilar continuamente Mantén tu red ordenada eliminando el software y las aplicaciones que ya no utiliza. Los

ISACA – COBIT

ISACA 01 ISACA surgió en 1967 de un reducido grupo de personas con trabajos similares de auditoría de controles en sistemas informáticos que se estaban haciendo más críticos para las operaciones de sus organizaciones. Este grupo vio la necesidad de disponer de una fuente centralizada de información y orientación en este campo y se formalizó en 1969, instaurándose como la Asociación de Auditores de EDP (Electronic Data Process). En 1976, la asociación instituyó una fundación educativa para emprender iniciativas de investigación a gran escala que extendiesen el conocimiento y el valor en el ámbito del control y el gobierno de las TI. ISACA, anteriormente conocida como la Asociación de Auditoría y Control de Sistemas de Información®, ahora solo utiliza sus siglas para reflejar la amplia gama de profesionales de gobierno de TI a los que prestamos servicio. Hoy en día, las más de 165.000 personas que en todo el mundo están asociadas en ISACA se caracterizan por su diversidad. Estos profesionales residen y trabajan en más de 180 países, y desempeñan muy diversas ocupaciones profesionales relacionadas con las TI en las disciplinas de auditoría, riesgo, seguridad y gobierno de SI / TI, así como las de educadores, consultores y reguladores 02 COBIT (Control Objetives for Information and Related Technology)   COBIT es un marco de trabajo (framework) para el gobierno y la gestión de las tecnologías de la información (TI) empresariales y dirigido a toda la empresa. Ha sido promovido por ISACA desde su primera versión en 1996 y actualmente se encuentra disponible la versión COBIT 2019. En la primera versión del marco de trabajo, COBIT se estableció como un acrónimo que significa Control Objetives for Information and Related Technology (Objetivos de Control para la Información y Tecnología Relacionada) y su público objetivo inicial eran los auditores de TI. La versión actual considera diversas partes interesadas, no solamente la función de TI de una empresa, sino a otros interesados como la Junta Directiva, Dirección Ejecutiva, Auditoría, etc. La TI empresarial significa toda la tecnología y procesamiento de la información que una empresa utiliza para lograr sus objetivos, independientemente de dónde ocurra dentro de la empresa. En otras palabras, la TI empresarial no se limita al Depto. de TI de una organización. 03 COBIT sirve para proveer gobierno y gestión para la función de TI y hace una clara distinción entre estas dos disciplinas que abarcan distintos tipos de actividades, requieren distintas estructuras organizativas y sirven a diferentes propósitos. El gobierno asegura que: Las necesidades, condiciones y opciones de las partes interesadas se evalúan para determinar objetivos empresariales equilibrados y acordados. La dirección se establece a través de la priorización y la toma de decisiones. El desempeño y el cumplimiento se monitorean en relación con la dirección y los objetivos acordados. En la mayoría de las empresas, el gobierno en general es responsabilidad de la Junta Directiva o Consejo de Dirección bajo el liderazgo de su Presidente. Por su parte, la gestión tiene que ver con planificar, construir, ejecutar y monitorear actividades en línea con la dirección establecida por el órgano de gobierno para alcanzar los objetivos de la empresa. En la mayoría de las empresas, la gestión es responsabilidad de la dirección ejecutiva bajo el liderazgo del director general ejecutivo (CEO). COBIT define los componentes para crear y sostener un sistema de gobierno: procesos, estructuras organizativas, políticas y procedimientos, flujos de información, cultura y comportamientos, habilidades e infraestructura, elementos conocidos en el modelo como Catalizadores. COBIT define los factores de diseño que deberían ser considerados por la empresa para crear un sistema de gobierno más adecuado y trata los asuntos de gobierno mediante la agrupación de componentes de gobierno relevantes dentro de objetivos de gobierno y gestión que pueden gestionarse según los niveles de capacidad requeridos. Tomado de Global Suite Para que la información y la tecnología contribuyan a los objetivos de la empresa, deberían alcanzarse una serie de objetivos de gobierno y gestión. Un objetivo de gobierno está relacionado con un proceso de gobierno (mostrado en el fondo oscuro de la figura 1), mientras que un objetivo de gestión está relacionado con un proceso de gestión. Los objetivos de gobierno y gestión de COBIT se agrupan en cinco dominios. Los dominios se nombran mediante acciones que expresan el propósito clave y las áreas de actividad del objetivo que tienen: Los objetivos de gobierno se agrupan en el dominio Evaluar, Dirigir y Monitorizar (EDM). En este dominio, el organismo de gobierno evalúa las opciones estratégicas, direcciona a la alta gerencia con respecto a las opciones estratégicas elegidas y monitoriza la consecución de la estrategia. Los objetivos de gestión se agrupan en cuatro dominios: Alinear, Planificar y Organizar (APO) aborda la organización general, estrategia y actividades de apoyo para las I&T. Construir, Adquirir e Implementar (BAI) se encarga de la definición, adquisición e implementación de soluciones de TI y su integración en los procesos de negocio. Entregar, Dar Servicio y Soporte (DSS) aborda la ejecución operativa y el soporte de los servicios de TI, incluida la seguridad. Monitorizar, Evaluar y Valorar (MEA) aborda la monitorización y la conformidad de TI con los objetivos de desempeño interno, los objetivos de control interno y los requerimientos externos En total el marco de trabajo considera 40 procesos, distribuidos en los 5 dominios, y cada proceso contiene una “caracterización del proceso” que incluye los siguientes componentes: Descripción y propósito general del proceso Encadenamiento con metas de negocio y metas de alineamiento (anteriormente conocidas como metas de TI) Métricas para medir el desempeño de las metas de negocio Métricas para medir el desempeño de las metas de alineamiento Prácticas de gobierno y/o gestión que forman parte del proceso y para cada una de ellas Métricas que permiten medir el desempeño de cada práctica de gobierno y/o gestión Actividades a realizar en cada práctica de gobierno y/o gestión y nivel de capacidad mínimo requerido Documentación relacionada (Estándares, Marcos, Requisitos de Cumplimiento) Matriz de roles de responsabilidad y rendición de cuentas Entradas y salidas de cada práctica

ITIL – Information Technology Infrastructure Library

ITIL 01 Information Technology Infrastructure Library – Biblioteca de Infraestructura de Tecnologías de Información. ITIL es una guía de buenas prácticas para la gestión de servicios de tecnologías de la información (TI). La guía ITIL ha sido elaborada para abarcar toda la infraestructura, desarrollo y operaciones de TI y gestionarla hacia la mejora de la calidad del servicio. ITIL es propiedad de Axelos y se comercializa en todo el mundo, pudiendo encontrar centros de certificación en diferentes ideamos y partes del mundo.   02 Los pilares de ITIL son los siguientes principios: Procesos, necesarios para la gestión de TI de acuerdo a la alineación de los mismos dentro de la organización. Calidad, entendida como la entrega a cliente del producto o servicio óptimos, es decir, incluyendo las características acordadas. Cliente, su satisfacción es el objetivo de la mejora de los servicios, siendo, por lo tanto el beneficiario directo de la implantación de las buenas prácticas de ITIL. Independencia, siempre deben mantenerse buenas prácticas a pesar de los métodos establecidos para cada proceso y de los proveedores existentes. Cabe destacar que, para enfocar ese camino hacia la calidad del servicio, es necesario contar con información fiable y segura, ya que es imprescindible que ésta sea completa y precisa para la toma de decisiones 03 ITIL v4   ITIL ha sido considerado durante mucho tiempo como la “biblia del Service Management”, es decir uno de los marcos de referencia más utilizados del mundo. Ha sido a principios de 2019 cuando se actualizó a la versión 4 de ITIL. Su lanzamiento ha sido necesario para la actualización de la Gestión de Servicios de TI, dado que la era tecnológica y de transformación digital en la que vivimos convierte la gestión de TI en un desafío cada vez más grande para adaptarse a las nuevas necesidades de las organizaciones. Esta cuarta versión responde a los nuevos enfoques de gestión de servicios e identifica Agile, DevOps y Lean como nuevas prácticas emergentes compenetradas con ITIL. Debido a su incisión en la entrega de servicios eficiente, ITIL se define como “Sistema de Valores de Servicio” (SVS). Estos valores son las actividades y componentes de las organizaciones que a través del trabajo conjunto crean valor. Estos valores pueden ser tanto para las organizaciones como para sus clientes y el resto de partes interesadas. Además de los procesos, ITIL v4 incluye diversas prácticas: Prácticas generales de gestión: estratégica, gestión de riesgos y de la mejora continua. Prácticas de gestión de servicios: Diseño / Transición / Operación del Servicio y Service Desk. Prácticas técnicas: modelos de servicios en la nube. A su vez, cada una de las estas prácticas se basa en cuatro dimensiones: Organización y personas, a través de una cultura y competencias corporativas. Información y tecnología, entendido como el conocimiento y la información existentes. Proveedores y socios, aquellas partes interesadas directamente involucradas en el servicio. Flujos de valor y procesos, creación de valor a través de la integración de todas las partes de la organización. Tomado de Global Suite Los procesos a implantar son los siguientes Prácticas generales de gestión Prácticas de gestión de servicios Prácticas de gestión técnica Gestión de la arquitectura Mejora continua Gestión de la seguridad de la información Gestión del conocimiento Medición y notificación Gestión del cambio organizacional Gestión de la cartera Gestión de proyectos Gestión de las relaciones Gestión de riesgos Gestión financiera de los servicios Gestión de la estrategia Gestión de Suministradores Gestión de la fuerza de trabajo y del talento Gestión de la disponibilidad Análisis de negocio Gestión de la capacidad y el rendimiento Control de cambios Gestión de incidentes Gestión de activos de TI Monitoreo y gestión de eventos Gestión de problemas Gestión de versiones Gestión de catálogos de servicios Gestión de la configuración del servicio Gestión de la continuidad del servicio Diseño del servicio Servicio de atención al cliente Gestión del nivel de servicio Gestión de peticiones de servicio Validación y prueba del servicio Gestión de la implementación Gestión de infraestructuras y plataformas Desarrollo y gestión del software ¿Para que sirve ITIL? El ITIL sirve para construir un entorno de TI estable y escalable, promoviendo una mejor prestación de servicios y atención al cliente. El objetivo principal del ITIL es asegurar una gestión eficaz de sus procesos y garantizar una buena experiencia a los clientes. Por lo tanto, tiene como objetivo entregar un trabajo que garantice calidad y satisfacción al cliente, satisfaciendo sus necesidades y ofreciendo un alto estándar de seguridad y confiabilidad. No existe una fórmula ideal para garantizar que tus procesos sean eficientes. Sin embargo, pueden hacerse algunas recomendaciones prácticas sobre el tema. Una de ellas es comprobar el grado de especialización de los colaboradores contratados, comprobando si cuentan con Certificación ITIL. Para conseguirla, el profesional debe realizar un examen ITIL, que no es más que una prueba ofrecida por instituciones autorizadas. Existen diferentes niveles de Certificación ITIL, que varían según el grado de complejidad. El ITIL Foundation, por ejemplo, se refiere al nivel básico. Por tanto, este examen ITIL analiza los conocimientos básicos de los profesionales, quienes deben conocer las prácticas, procesos, las terminologías utilizadas y los objetivos de la gestión de servicio. Los certificados de los niveles siguientes son el ITIL Practitioner y el ITIL Master. Al adoptar la metodología ITIL, se organizan los procesos y las actividades de los profesionales de ITIL y se definen de manera más clara los roles y el desempeño de todo el equipo. Por lo tanto, el equipo comprende mejor cómo establecer prioridades y enfocarse en ellas, sabiendo diferenciar más claramente lo urgente de lo que puede ser atendido más tarde.   ¿Cómo se implementa? Identifique sus procesos actuales: todas las empresas funcionan en diferentes formas. Por eso, antes de hacer cualquier cambio, es importante que documente sus procesos actuales. Realizar análisis de brecha: observe la brecha entre su situación actual y lo que es necesario para cumplir los estándares de ITIL. Con herramienta de análisis de brecha de 20000Academy usted puede determinar con precisión qué es