● 93 entries
Cumplimiento y marcos
- Acuerdo de Tratamiento de Datos (DPA)Contrato exigido por el articulo 28 del RGPD entre un responsable y un encargado del tratamiento cuando los datos personales se tratan por cuenta del responsable.
- Análisis cualitativo de riesgosEnfoque de análisis que valora probabilidad e impacto con escalas descriptivas (bajo/medio/alto o 1-5) en lugar de valores monetarios o probabilísticos.
- Análisis cuantitativo de riesgosEnfoque de análisis que expresa probabilidad e impacto en cifras, generalmente como probabilidades y distribuciones de pérdida monetaria, para sustentar decisiones basadas en datos.
- Apetito de riesgoCantidad y tipo agregado de riesgo que una organización está dispuesta a asumir o aceptar para perseguir sus objetivos estratégicos, definidos por el consejo y la alta dirección.
- Atomic Red TeamBiblioteca open source de pruebas pequenas y focalizadas creada por Red Canary que emula tecnicas individuales de MITRE ATT&CK para validar detecciones y controles.
- CAPECCommon Attack Pattern Enumeration and Classification, catalogo publico mantenido por MITRE con patrones de ataque usados por adversarios para explotar debilidades conocidas.
- CCPALey de Privacidad del Consumidor de California, ley estatal de EE. UU. que otorga derechos a los residentes de California sobre su información personal.
- CCSPCertificacion de ISC2 en seguridad en la nube que cubre arquitectura, proteccion de datos, plataforma e infraestructura, operaciones y cumplimiento legal en los principales proveedores.
- CEHCertificacion de hacking etico de EC-Council que ensena herramientas y tecnicas de los atacantes en reconocimiento, explotacion y pruebas web, inalambricas y en la nube.
- Certificaciones GIACFamilia de certificaciones de ciberseguridad por rol emitidas por GIAC y alineadas con la formacion de SANS, que cubren operaciones, respuesta a incidentes, forense y pentesting.
- CIS ControlsConjunto priorizado de salvaguardas de ciberseguridad de buenas prácticas mantenido por el Center for Internet Security para defenderse de los ataques más comunes.
- CISACertificacion de ISACA para auditores de sistemas de informacion que cubre el proceso de auditoria, gobierno, adquisicion, operaciones y proteccion de activos en cinco dominios.
- CISMCertificacion de nivel directivo de ISACA para responsables de seguridad de la informacion, que abarca gobierno, riesgo, desarrollo del programa y gestion de incidentes en cuatro dominios.
- CISSPCertificacion de seguridad senior e independiente de proveedor emitida por ISC2, que cubre ocho dominios del Common Body of Knowledge y exige cinco anos de experiencia laboral remunerada.
- CMMCPrograma de certificación del Departamento de Defensa de EE. UU. que verifica que los contratistas de la base industrial de defensa cuentan con controles de ciberseguridad adecuados.
- COBITMarco de ISACA para el gobierno y la gestión de la información y la tecnología empresarial, que vincula los objetivos de negocio con los objetivos y controles de TI.
- CompTIA Security+Certificacion de ciberseguridad de nivel inicial e independiente de proveedor de CompTIA, que cubre amenazas, arquitectura, operaciones y gobierno para profesionales noveles.
- CPRALey de Derechos de Privacidad de California de 2020, que modifica y amplia la CCPA y entro en plena vigencia el 1 de enero de 2023.
- CRISCCertificacion de ISACA para profesionales de riesgo y control de TI, que abarca gobierno, evaluacion de riesgos, respuesta e informes y seleccion de controles en cuatro dominios.
- Cumplimiento normativoDisciplina que asegura el cumplimiento de requisitos legales, regulatorios, contractuales e internos de seguridad mediante controles documentados, evidencia y evaluación continua.
- CVE Numbering Authority (CNA)Organización autorizada por el Programa CVE para asignar identificadores CVE y publicar registros de vulnerabilidades dentro de su ámbito definido.
- Defensa en profundidadEstrategia de seguridad que apila controles independientes para que, si uno falla, otros sigan previniendo, detectando o conteniendo el ataque.
- Directiva NIS2Directiva UE 2022/2555 que eleva los requisitos básicos de ciberseguridad y las obligaciones de notificación de incidentes para entidades esenciales e importantes en la Unión.
- DORAReglamento UE 2022/2554 sobre Resiliencia Operativa Digital del sector financiero, aplicable desde el 17 de enero de 2025.
- DPFMarco de Privacidad de Datos UE-EE. UU., mecanismo de adecuacion adoptado en julio de 2023 que sustituye al Privacy Shield para las transferencias transatlanticas de datos personales.
- Evaluación de Impacto relativa a la Protección de Datos (DPIA)Evaluación estructurada, exigida por el artículo 35 del RGPD, que identifica y mitiga los riesgos para los derechos y libertades de las personas antes de iniciar un tratamiento de alto riesgo.
- Evaluación de riesgosActividad estructurada dentro de la gestión de riesgos que identifica amenazas, vulnerabilidades e impactos sobre activos concretos y valora el riesgo resultante para decidir su tratamiento.
- Evaluación de seguridad de proveedoresEvaluación estructurada de los controles, políticas y prácticas de seguridad de un proveedor externo, antes y durante la relación comercial, para medir el riesgo que introduce.
- FAIR (Factor Analysis of Information Risk)Estándar internacional abierto para cuantificar el riesgo de información y ciberriesgo en términos financieros, descomponiéndolo en factores de frecuencia y magnitud de pérdidas.
- FedRAMPPrograma del Gobierno de EE. UU. que estandariza la evaluación de seguridad, la autorización y la monitorización continua de los servicios cloud utilizados por las agencias federales.
- FERPALey federal estadounidense que protege la privacidad de los expedientes educativos y otorga derechos sobre ellos a los padres y a los estudiantes elegibles.
- FISMALey federal de EE. UU. que obliga a las agencias federales y a sus contratistas a implantar programas de seguridad de la información basados en riesgos para los sistemas que manejan datos del Gobierno.
- Gestión de riesgosProceso coordinado de identificar, analizar, evaluar, tratar, monitorizar y comunicar los riesgos para mantenerlos dentro de la tolerancia definida por la organización.
- Gestión de riesgos de proveedoresSubconjunto del TPRM centrado en evaluar y supervisar a los proveedores directos, en particular sus prácticas de seguridad, privacidad y resiliencia operativa.
- Gestión de riesgos de terceros (TPRM)Disciplina integral de identificar, evaluar, contratar, monitorizar y desvincular terceros para que los riesgos ciber, operativos y de cumplimiento que aportan se mantengan dentro del apetito.
- Gestión de riesgos empresariales (ERM)Enfoque integrado y transversal para identificar, gobernar y tratar riesgos estratégicos, financieros, operativos, de cumplimiento y cibernéticos en línea con los objetivos del negocio.
- Gramm-Leach-Bliley Act (GLBA)Ley federal de Estados Unidos que obliga a las instituciones financieras a proteger la información de sus clientes y a explicar sus prácticas de uso compartido de datos.
- HIPAALey estadounidense de Portabilidad y Responsabilidad de los Seguros de Salud, que fija estándares nacionales para proteger la información médica identificable.
- HITRUSTMarco de seguridad y cumplimiento basado en riesgos, HITRUST CSF, ampliamente utilizado en sanidad en EE. UU. para demostrar alineacion con HIPAA, NIST y otras fuentes.
- ISO/IEC 27001Norma internacional que establece los requisitos de un Sistema de Gestión de Seguridad de la Información (SGSI) y permite la certificación formal de las organizaciones.
- ISO/IEC 27002Código internacional de buenas prácticas que ofrece orientación detallada para implementar los controles de seguridad listados en el Anexo A de ISO/IEC 27001.
- ITILMarco mundialmente reconocido, publicado por AXELOS/PeopleCert, de buenas prácticas para la gestión de servicios de TI a lo largo del sistema de valor del servicio.
- Ley Sarbanes-Oxley (SOX)Ley federal estadounidense de 2002 que impone requisitos de gobierno, control interno y reporte a empresas cotizadas en bolsa para proteger a los inversores.
- LGPDLey General de Proteccion de Datos de Brasil (Ley n.o 13.709/2018), en vigor desde el 18 de septiembre de 2020, que regula el tratamiento de datos personales por entidades publicas y privadas.
- Metodo OCTAVEMetodologia de evaluacion de riesgos de seguridad de la informacion del SEI de CMU, centrada en el riesgo organizacional y operacional sobre los activos criticos.
- MITRE ATT&CKBase de conocimiento global y abierta de tácticas y técnicas de adversarios observadas en ataques reales, mantenida por MITRE.
- MITRE D3FENDGrafo de conocimiento de MITRE sobre contramedidas defensivas de ciberseguridad y los artefactos digitales que observan o modifican, complemento de MITRE ATT&CK.
- Modelo de amenazas PASTAProcess for Attack Simulation and Threat Analysis, metodologia de modelado de amenazas de siete etapas centrada en el riesgo que alinea amenazas tecnicas con impacto de negocio.
- Modelo DREADModelo cualitativo de valoración de riesgos que puntúa las amenazas según Damage, Reproducibility, Exploitability, Affected users y Discoverability.
- Modelo STRIDEMarco de clasificación de amenazas creado por Microsoft que agrupa las amenazas de software en Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service y Elevation of Privilege.
- NIST Cybersecurity FrameworkMarco voluntario basado en riesgo publicado por el NIST que organiza los resultados de ciberseguridad en seis funciones principales.
- NIST Risk Management FrameworkProceso del NIST en siete pasos, definido en SP 800-37, para integrar la gestión de riesgos de seguridad, privacidad y cadena de suministro en el ciclo de vida del sistema.
- NIST SP 800-171Publicación del NIST que define los requisitos de seguridad para proteger la Información No Clasificada Controlada (CUI) en organizaciones no federales.
- NIST SP 800-30Publicacion especial del NIST que ofrece directrices para realizar evaluaciones de riesgo de los sistemas de informacion y de las misiones que respaldan.
- NIST SP 800-37Marco de gestion de riesgos del NIST que define un proceso de siete pasos para gestionar el riesgo de seguridad y privacidad durante todo el ciclo de vida del sistema.
- NIST SP 800-53Publicación del NIST que ofrece un catálogo exhaustivo de controles de seguridad y privacidad para los sistemas federales de EE. UU. y numerosos adoptantes del sector privado.
- NIST SP 800-61Guia del NIST para el tratamiento de incidentes de seguridad informatica, que describe el ciclo de vida en cuatro fases utilizado por equipos de respuesta en el sector publico y privado.
- OSCPCertificacion practica de seguridad ofensiva de Offensive Security que se obtiene tras comprometer una red de laboratorio en un examen practico supervisado de 24 horas.
- OSSTMMMetodologia abierta y revisada por pares de pruebas de seguridad mantenida por ISECOM que define mediciones cientificas y repetibles de seguridad operativa en cinco canales.
- OWASP API Security Top 10Documento de concienciacion de OWASP que clasifica los riesgos de seguridad mas criticos en APIs web, complementando al OWASP Top 10 general de aplicaciones.
- OWASP ASVSApplication Security Verification Standard de OWASP, catalogo de requisitos de seguridad verificables para disenar, construir y verificar aplicaciones web y APIs.
- OWASP Dependency-CheckHerramienta open source de OWASP para analisis de composicion de software que escanea dependencias y reporta vulnerabilidades conocidas mediante CPE y CVE.
- OWASP MASVSMobile Application Security Verification Standard de OWASP, conjunto base de requisitos de seguridad verificables para aplicaciones moviles iOS y Android.
- OWASP Mobile Top 10Documento de concienciacion de OWASP que clasifica los riesgos de seguridad mas criticos para aplicaciones moviles en iOS, Android y plataformas similares.
- OWASP SAMMSoftware Assurance Maturity Model de OWASP, marco para medir y mejorar las practicas de desarrollo seguro de software de una organizacion a lo largo del tiempo.
- OWASP Top 10Documento de concienciación de OWASP que enumera los riesgos de seguridad más críticos para las aplicaciones web, actualizado periódicamente a partir de datos reales de vulnerabilidades.
- OWASP WSTGWeb Security Testing Guide de OWASP, manual open source completo que describe como probar aplicaciones web frente a las debilidades de seguridad mas comunes.
- OWASP ZAPZed Attack Proxy, herramienta de codigo abierto para pruebas de seguridad de aplicaciones web, originalmente de OWASP y actualmente apadrinada por Checkmarx y la comunidad ZAP.
- Panorama de amenazasImagen actual de las amenazas que enfrenta una organizacion, sector o region: actores, tacticas, familias de malware, vulnerabilidades y tendencias a lo largo del tiempo.
- PCI DSSEstándar global de seguridad de la información para organizaciones que almacenan, procesan o transmiten datos de tarjetas de pago, gestionado por el PCI Security Standards Council.
- PIPEDALey federal canadiense de privacidad del sector privado que regula como las organizaciones recopilan, usan y divulgan informacion personal en actividades comerciales.
- Principio de necesidad de conocer (Need-to-Know)Principio que solo concede acceso a la informacion a quienes la requieran por sus funciones, aun cuando tengan el nivel de habilitacion adecuado.
- PTESMetodologia comunitaria de pruebas de penetracion que organiza el trabajo en siete fases, desde el preacuerdo hasta el informe y las recomendaciones de remediacion.
- Punto unico de fallo (SPOF)Componente cuyo fallo individual hace que todo el sistema deje de funcionar, comprometiendo disponibilidad, resiliencia y objetivos de recuperacion.
- Registro de riesgosInventario vivo de los riesgos identificados con su descripción, responsable, puntuaciones, tratamiento y estado, usado para seguir la exposición de la organización a lo largo del tiempo.
- Reglamento Europeo de IAReglamento UE 2024/1689 que establece normas armonizadas sobre inteligencia artificial con un enfoque basado en el riesgo, con aplicacion escalonada entre 2025 y 2027.
- RGPDReglamento General de Protección de Datos de la Unión Europea que regula el tratamiento de datos personales de personas en la UE y el EEE.
- Riesgo inherenteNivel de riesgo que existe en una actividad o activo antes de aplicar cualquier control o mitigación, reflejando la exposición bruta a las amenazas.
- Riesgo residualRiesgo que queda tras aplicar los controles y tratamientos previstos, y que la organización debe aceptar, transferir o seguir tratando.
- SANS Top 25Lista publicada anualmente y mantenida por MITRE junto con el SANS Institute que clasifica las debilidades de software más peligrosas a partir de datos reales de CVE.
- SCCLas Clausulas Contractuales Tipo son modelos aprobados por la Comision Europea que proporcionan garantias conformes al RGPD para las transferencias de datos personales fuera del EEE.
- Seguridad por oscuridadEnfoque que confia en mantener en secreto el diseno, la implementacion o la ubicacion de un sistema como defensa principal, en lugar de en su solidez intrinseca.
- Seguro ciberneticoProducto de seguro especializado que transfiere a una aseguradora el impacto financiero de incidentes cibernicos: respuesta, interrupcion del negocio y responsabilidad.
- Separacion de funciones (SoD)Principio de control que divide una tarea sensible entre varias personas o sistemas para que ningun actor pueda completarla por si solo.
- Simulación de riesgos Monte CarloTécnica computacional que estima el riesgo ejecutando miles de escenarios aleatorios a partir de distribuciones de probabilidad de entrada, produciendo una distribución de resultados posibles.
- SOC 2Estándar de atestación del AICPA en el que un auditor independiente evalúa los controles de una organización de servicios frente a los Trust Services Criteria.
- Superficie de ataqueConjunto de todos los puntos por donde un atacante puede intentar entrar, extraer datos o manipular un sistema, incluidas redes, software, identidades, cadena de suministro y personas.
- Tolerancia al riesgoVariación aceptable alrededor de un objetivo o categoría concreta de riesgo, expresada como límites cuantitativos o cualitativos derivados del apetito de riesgo.
- Tratamiento del riesgoDecisión y acciones para modificar un riesgo, normalmente aceptándolo, mitigándolo, transfiriéndolo o evitándolo, según los criterios de la organización.
- Triada CIAModelo fundamental de seguridad de la informacion que agrupa los objetivos en Confidencialidad, Integridad y Disponibilidad.
- TrikeMetodología de modelado de amenazas de código abierto que adopta un enfoque basado en requisitos y riesgo centrado en actores, activos y acciones permitidas.
- Vector de amenazaCanal o medio por el que un actor amenazante puede entregar un ataque; suele usarse como sinonimo de vector de ataque, pero con enfasis en el modelado de amenazas.
- Vector de ataqueCamino o tecnica concreta que usa un atacante para obtener acceso no autorizado: phishing, explotacion de un CVE o credenciales robadas, entre otros.