● 93 entries

Cumplimiento y marcos

Acuerdo de Tratamiento de Datos (DPA)Contrato exigido por el articulo 28 del RGPD entre un responsable y un encargado del tratamiento cuando los datos personales se tratan por cuenta del responsable.
Análisis cualitativo de riesgosEnfoque de análisis que valora probabilidad e impacto con escalas descriptivas (bajo/medio/alto o 1-5) en lugar de valores monetarios o probabilísticos.
Análisis cuantitativo de riesgosEnfoque de análisis que expresa probabilidad e impacto en cifras, generalmente como probabilidades y distribuciones de pérdida monetaria, para sustentar decisiones basadas en datos.
Apetito de riesgoCantidad y tipo agregado de riesgo que una organización está dispuesta a asumir o aceptar para perseguir sus objetivos estratégicos, definidos por el consejo y la alta dirección.
Atomic Red TeamBiblioteca open source de pruebas pequenas y focalizadas creada por Red Canary que emula tecnicas individuales de MITRE ATT&CK para validar detecciones y controles.
CAPECCommon Attack Pattern Enumeration and Classification, catalogo publico mantenido por MITRE con patrones de ataque usados por adversarios para explotar debilidades conocidas.
CCPALey de Privacidad del Consumidor de California, ley estatal de EE. UU. que otorga derechos a los residentes de California sobre su información personal.
CCSPCertificacion de ISC2 en seguridad en la nube que cubre arquitectura, proteccion de datos, plataforma e infraestructura, operaciones y cumplimiento legal en los principales proveedores.
CEHCertificacion de hacking etico de EC-Council que ensena herramientas y tecnicas de los atacantes en reconocimiento, explotacion y pruebas web, inalambricas y en la nube.
Certificaciones GIACFamilia de certificaciones de ciberseguridad por rol emitidas por GIAC y alineadas con la formacion de SANS, que cubren operaciones, respuesta a incidentes, forense y pentesting.
CIS ControlsConjunto priorizado de salvaguardas de ciberseguridad de buenas prácticas mantenido por el Center for Internet Security para defenderse de los ataques más comunes.
CISACertificacion de ISACA para auditores de sistemas de informacion que cubre el proceso de auditoria, gobierno, adquisicion, operaciones y proteccion de activos en cinco dominios.
CISMCertificacion de nivel directivo de ISACA para responsables de seguridad de la informacion, que abarca gobierno, riesgo, desarrollo del programa y gestion de incidentes en cuatro dominios.
CISSPCertificacion de seguridad senior e independiente de proveedor emitida por ISC2, que cubre ocho dominios del Common Body of Knowledge y exige cinco anos de experiencia laboral remunerada.
CMMCPrograma de certificación del Departamento de Defensa de EE. UU. que verifica que los contratistas de la base industrial de defensa cuentan con controles de ciberseguridad adecuados.
COBITMarco de ISACA para el gobierno y la gestión de la información y la tecnología empresarial, que vincula los objetivos de negocio con los objetivos y controles de TI.
CompTIA Security+Certificacion de ciberseguridad de nivel inicial e independiente de proveedor de CompTIA, que cubre amenazas, arquitectura, operaciones y gobierno para profesionales noveles.
CPRALey de Derechos de Privacidad de California de 2020, que modifica y amplia la CCPA y entro en plena vigencia el 1 de enero de 2023.
CRISCCertificacion de ISACA para profesionales de riesgo y control de TI, que abarca gobierno, evaluacion de riesgos, respuesta e informes y seleccion de controles en cuatro dominios.
Cumplimiento normativoDisciplina que asegura el cumplimiento de requisitos legales, regulatorios, contractuales e internos de seguridad mediante controles documentados, evidencia y evaluación continua.
CVE Numbering Authority (CNA)Organización autorizada por el Programa CVE para asignar identificadores CVE y publicar registros de vulnerabilidades dentro de su ámbito definido.
Defensa en profundidadEstrategia de seguridad que apila controles independientes para que, si uno falla, otros sigan previniendo, detectando o conteniendo el ataque.
Directiva NIS2Directiva UE 2022/2555 que eleva los requisitos básicos de ciberseguridad y las obligaciones de notificación de incidentes para entidades esenciales e importantes en la Unión.
DORAReglamento UE 2022/2554 sobre Resiliencia Operativa Digital del sector financiero, aplicable desde el 17 de enero de 2025.
DPFMarco de Privacidad de Datos UE-EE. UU., mecanismo de adecuacion adoptado en julio de 2023 que sustituye al Privacy Shield para las transferencias transatlanticas de datos personales.
Evaluación de Impacto relativa a la Protección de Datos (DPIA)Evaluación estructurada, exigida por el artículo 35 del RGPD, que identifica y mitiga los riesgos para los derechos y libertades de las personas antes de iniciar un tratamiento de alto riesgo.
Evaluación de riesgosActividad estructurada dentro de la gestión de riesgos que identifica amenazas, vulnerabilidades e impactos sobre activos concretos y valora el riesgo resultante para decidir su tratamiento.
Evaluación de seguridad de proveedoresEvaluación estructurada de los controles, políticas y prácticas de seguridad de un proveedor externo, antes y durante la relación comercial, para medir el riesgo que introduce.
FAIR (Factor Analysis of Information Risk)Estándar internacional abierto para cuantificar el riesgo de información y ciberriesgo en términos financieros, descomponiéndolo en factores de frecuencia y magnitud de pérdidas.
FedRAMPPrograma del Gobierno de EE. UU. que estandariza la evaluación de seguridad, la autorización y la monitorización continua de los servicios cloud utilizados por las agencias federales.
FERPALey federal estadounidense que protege la privacidad de los expedientes educativos y otorga derechos sobre ellos a los padres y a los estudiantes elegibles.
FISMALey federal de EE. UU. que obliga a las agencias federales y a sus contratistas a implantar programas de seguridad de la información basados en riesgos para los sistemas que manejan datos del Gobierno.
Gestión de riesgosProceso coordinado de identificar, analizar, evaluar, tratar, monitorizar y comunicar los riesgos para mantenerlos dentro de la tolerancia definida por la organización.
Gestión de riesgos de proveedoresSubconjunto del TPRM centrado en evaluar y supervisar a los proveedores directos, en particular sus prácticas de seguridad, privacidad y resiliencia operativa.
Gestión de riesgos de terceros (TPRM)Disciplina integral de identificar, evaluar, contratar, monitorizar y desvincular terceros para que los riesgos ciber, operativos y de cumplimiento que aportan se mantengan dentro del apetito.
Gestión de riesgos empresariales (ERM)Enfoque integrado y transversal para identificar, gobernar y tratar riesgos estratégicos, financieros, operativos, de cumplimiento y cibernéticos en línea con los objetivos del negocio.
Gramm-Leach-Bliley Act (GLBA)Ley federal de Estados Unidos que obliga a las instituciones financieras a proteger la información de sus clientes y a explicar sus prácticas de uso compartido de datos.
HIPAALey estadounidense de Portabilidad y Responsabilidad de los Seguros de Salud, que fija estándares nacionales para proteger la información médica identificable.
HITRUSTMarco de seguridad y cumplimiento basado en riesgos, HITRUST CSF, ampliamente utilizado en sanidad en EE. UU. para demostrar alineacion con HIPAA, NIST y otras fuentes.
ISO/IEC 27001Norma internacional que establece los requisitos de un Sistema de Gestión de Seguridad de la Información (SGSI) y permite la certificación formal de las organizaciones.
ISO/IEC 27002Código internacional de buenas prácticas que ofrece orientación detallada para implementar los controles de seguridad listados en el Anexo A de ISO/IEC 27001.
ITILMarco mundialmente reconocido, publicado por AXELOS/PeopleCert, de buenas prácticas para la gestión de servicios de TI a lo largo del sistema de valor del servicio.
Ley Sarbanes-Oxley (SOX)Ley federal estadounidense de 2002 que impone requisitos de gobierno, control interno y reporte a empresas cotizadas en bolsa para proteger a los inversores.
LGPDLey General de Proteccion de Datos de Brasil (Ley n.o 13.709/2018), en vigor desde el 18 de septiembre de 2020, que regula el tratamiento de datos personales por entidades publicas y privadas.
Metodo OCTAVEMetodologia de evaluacion de riesgos de seguridad de la informacion del SEI de CMU, centrada en el riesgo organizacional y operacional sobre los activos criticos.
MITRE ATT&CKBase de conocimiento global y abierta de tácticas y técnicas de adversarios observadas en ataques reales, mantenida por MITRE.
MITRE D3FENDGrafo de conocimiento de MITRE sobre contramedidas defensivas de ciberseguridad y los artefactos digitales que observan o modifican, complemento de MITRE ATT&CK.
Modelo de amenazas PASTAProcess for Attack Simulation and Threat Analysis, metodologia de modelado de amenazas de siete etapas centrada en el riesgo que alinea amenazas tecnicas con impacto de negocio.
Modelo DREADModelo cualitativo de valoración de riesgos que puntúa las amenazas según Damage, Reproducibility, Exploitability, Affected users y Discoverability.
Modelo STRIDEMarco de clasificación de amenazas creado por Microsoft que agrupa las amenazas de software en Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service y Elevation of Privilege.
NIST Cybersecurity FrameworkMarco voluntario basado en riesgo publicado por el NIST que organiza los resultados de ciberseguridad en seis funciones principales.
NIST Risk Management FrameworkProceso del NIST en siete pasos, definido en SP 800-37, para integrar la gestión de riesgos de seguridad, privacidad y cadena de suministro en el ciclo de vida del sistema.
NIST SP 800-171Publicación del NIST que define los requisitos de seguridad para proteger la Información No Clasificada Controlada (CUI) en organizaciones no federales.
NIST SP 800-30Publicacion especial del NIST que ofrece directrices para realizar evaluaciones de riesgo de los sistemas de informacion y de las misiones que respaldan.
NIST SP 800-37Marco de gestion de riesgos del NIST que define un proceso de siete pasos para gestionar el riesgo de seguridad y privacidad durante todo el ciclo de vida del sistema.
NIST SP 800-53Publicación del NIST que ofrece un catálogo exhaustivo de controles de seguridad y privacidad para los sistemas federales de EE. UU. y numerosos adoptantes del sector privado.
NIST SP 800-61Guia del NIST para el tratamiento de incidentes de seguridad informatica, que describe el ciclo de vida en cuatro fases utilizado por equipos de respuesta en el sector publico y privado.
OSCPCertificacion practica de seguridad ofensiva de Offensive Security que se obtiene tras comprometer una red de laboratorio en un examen practico supervisado de 24 horas.
OSSTMMMetodologia abierta y revisada por pares de pruebas de seguridad mantenida por ISECOM que define mediciones cientificas y repetibles de seguridad operativa en cinco canales.
OWASP API Security Top 10Documento de concienciacion de OWASP que clasifica los riesgos de seguridad mas criticos en APIs web, complementando al OWASP Top 10 general de aplicaciones.
OWASP ASVSApplication Security Verification Standard de OWASP, catalogo de requisitos de seguridad verificables para disenar, construir y verificar aplicaciones web y APIs.
OWASP Dependency-CheckHerramienta open source de OWASP para analisis de composicion de software que escanea dependencias y reporta vulnerabilidades conocidas mediante CPE y CVE.
OWASP MASVSMobile Application Security Verification Standard de OWASP, conjunto base de requisitos de seguridad verificables para aplicaciones moviles iOS y Android.
OWASP Mobile Top 10Documento de concienciacion de OWASP que clasifica los riesgos de seguridad mas criticos para aplicaciones moviles en iOS, Android y plataformas similares.
OWASP SAMMSoftware Assurance Maturity Model de OWASP, marco para medir y mejorar las practicas de desarrollo seguro de software de una organizacion a lo largo del tiempo.
OWASP Top 10Documento de concienciación de OWASP que enumera los riesgos de seguridad más críticos para las aplicaciones web, actualizado periódicamente a partir de datos reales de vulnerabilidades.
OWASP WSTGWeb Security Testing Guide de OWASP, manual open source completo que describe como probar aplicaciones web frente a las debilidades de seguridad mas comunes.
OWASP ZAPZed Attack Proxy, herramienta de codigo abierto para pruebas de seguridad de aplicaciones web, originalmente de OWASP y actualmente apadrinada por Checkmarx y la comunidad ZAP.
Panorama de amenazasImagen actual de las amenazas que enfrenta una organizacion, sector o region: actores, tacticas, familias de malware, vulnerabilidades y tendencias a lo largo del tiempo.
PCI DSSEstándar global de seguridad de la información para organizaciones que almacenan, procesan o transmiten datos de tarjetas de pago, gestionado por el PCI Security Standards Council.
PIPEDALey federal canadiense de privacidad del sector privado que regula como las organizaciones recopilan, usan y divulgan informacion personal en actividades comerciales.
Principio de necesidad de conocer (Need-to-Know)Principio que solo concede acceso a la informacion a quienes la requieran por sus funciones, aun cuando tengan el nivel de habilitacion adecuado.
PTESMetodologia comunitaria de pruebas de penetracion que organiza el trabajo en siete fases, desde el preacuerdo hasta el informe y las recomendaciones de remediacion.
Punto unico de fallo (SPOF)Componente cuyo fallo individual hace que todo el sistema deje de funcionar, comprometiendo disponibilidad, resiliencia y objetivos de recuperacion.
Registro de riesgosInventario vivo de los riesgos identificados con su descripción, responsable, puntuaciones, tratamiento y estado, usado para seguir la exposición de la organización a lo largo del tiempo.
Reglamento Europeo de IAReglamento UE 2024/1689 que establece normas armonizadas sobre inteligencia artificial con un enfoque basado en el riesgo, con aplicacion escalonada entre 2025 y 2027.
RGPDReglamento General de Protección de Datos de la Unión Europea que regula el tratamiento de datos personales de personas en la UE y el EEE.
Riesgo inherenteNivel de riesgo que existe en una actividad o activo antes de aplicar cualquier control o mitigación, reflejando la exposición bruta a las amenazas.
Riesgo residualRiesgo que queda tras aplicar los controles y tratamientos previstos, y que la organización debe aceptar, transferir o seguir tratando.
SANS Top 25Lista publicada anualmente y mantenida por MITRE junto con el SANS Institute que clasifica las debilidades de software más peligrosas a partir de datos reales de CVE.
SCCLas Clausulas Contractuales Tipo son modelos aprobados por la Comision Europea que proporcionan garantias conformes al RGPD para las transferencias de datos personales fuera del EEE.
Seguridad por oscuridadEnfoque que confia en mantener en secreto el diseno, la implementacion o la ubicacion de un sistema como defensa principal, en lugar de en su solidez intrinseca.
Seguro ciberneticoProducto de seguro especializado que transfiere a una aseguradora el impacto financiero de incidentes cibernicos: respuesta, interrupcion del negocio y responsabilidad.
Separacion de funciones (SoD)Principio de control que divide una tarea sensible entre varias personas o sistemas para que ningun actor pueda completarla por si solo.
Simulación de riesgos Monte CarloTécnica computacional que estima el riesgo ejecutando miles de escenarios aleatorios a partir de distribuciones de probabilidad de entrada, produciendo una distribución de resultados posibles.
SOC 2Estándar de atestación del AICPA en el que un auditor independiente evalúa los controles de una organización de servicios frente a los Trust Services Criteria.
Superficie de ataqueConjunto de todos los puntos por donde un atacante puede intentar entrar, extraer datos o manipular un sistema, incluidas redes, software, identidades, cadena de suministro y personas.
Tolerancia al riesgoVariación aceptable alrededor de un objetivo o categoría concreta de riesgo, expresada como límites cuantitativos o cualitativos derivados del apetito de riesgo.
Tratamiento del riesgoDecisión y acciones para modificar un riesgo, normalmente aceptándolo, mitigándolo, transfiriéndolo o evitándolo, según los criterios de la organización.
Triada CIAModelo fundamental de seguridad de la informacion que agrupa los objetivos en Confidencialidad, Integridad y Disponibilidad.
TrikeMetodología de modelado de amenazas de código abierto que adopta un enfoque basado en requisitos y riesgo centrado en actores, activos y acciones permitidas.
Vector de amenazaCanal o medio por el que un actor amenazante puede entregar un ataque; suele usarse como sinonimo de vector de ataque, pero con enfasis en el modelado de amenazas.
Vector de ataqueCamino o tecnica concreta que usa un atacante para obtener acceso no autorizado: phishing, explotacion de un CVE o credenciales robadas, entre otros.