ASI
Posted on
Etiqueta: Riesgo
NIST lanza cursos introductorios en línea para gestión de riesgos de seguridad y privacidad
El Instituto Nacional de Estándares y Tecnología (NIST) de los Estados Unidos ha publicado tres cursos introductorios en línea autoguiados sobre conceptos importantes de gestión de riesgos de seguridad y privacidad basados directamente en el material de las publicaciones especiales del NIST. Curso introductorio a los controles de seguridad y privacidad. Basado en la pubicación especial SP 800-53 Security and Privacy Controls for Information Systems and Organizations, el curso explica los conceptos de controles de seguridad y privacidad e introduce el catálogo de controles SP 800-53. Curso introductorio sobre evaluación de controles de seguridad y privacidad. Basado en la publicación Leer más…
NIST lanza la versión 2.0 del Marco de Ciberseguridad
El Instituto Nacional de Estándares y Tecnología (NIST) de los Estados Unidos ha actualizado su Marco de Ciberseguridad (CSF), incorporando la función de gobierno y con el propósito de ayudar a todo tipo de organización, pequeña, mediana, sin fines de lucro y hasta la agencia y corporación más grande. En lo que es la primera actualización importante del CSF, desde su creación en 2014, la versión 2.0 del CSF del NIST contiene recursos para ayudar a todas las organizaciones a alcanzar sus objetivos de ciberseguridad, con mayor énfasis en la gobernanza y las cadenas de suministro. Estos recursos se pueden Leer más…
NIST publica guía para la Evaluación de los Controles de Seguridad y Privacidad en Sistemas de Información y Organizaciones
El Instituto Nacional de Estándares y Tecnología (NIST) de los Estados Unidos ha publicado Assessing Security and Privacy Controls in Information Systems and Organizations, una guía para realizar evaluaciones de los controles de seguridad y privacidad utilizados en los sistemas y organizaciones dentro de un marco de gestión de riesgos eficaz. La actualización de la Publicación Especial (SP) 800-53A Revisión 5, proporciona una metodología y un conjunto de procedimientos de evaluación, ejecutados en varias fases del ciclo de vida del desarrollo de sistemas, para verificar que los controles sean implementados, los objetivos de control establecidos sean cumplidos, y lograr los Leer más…
NIST publica guía para la Gestión de la Seguridad de los Intercambios de Información
El Instituto Nacional de Estándares y Tecnología (NIST) de los Estados Unidos ha publicado Managing the Security of Information Exchanges, una guía sobre cómo identificar los intercambios de información y su protección antes, durante, y después del intercambio acorde con el riesgo. Las organizaciones tienen necesidades basadas en la misión y el negocio para intercambiar o compartir información con una o más organizaciones internas o externas, a través de varios canales de intercambio de información. Con el fin de proteger la confidencialidad, integridad y disponibilidad de la información acorde con el riesgo, la información que se intercambia requiere protección en Leer más…
NIST publica Guía para la Integración de la Ciberseguridad y la Gestión de Riesgos Empresariales (ERM)
El Instituto Nacional de Estándares y Tecnología (NIST) de los Estados Unidos ha publicado Integrating Cybersecurity and Enterprise Risk Management (ERM), una guía para que las empresas se aseguren de que los riesgos de ciberseguridad reciban la atención adecuada dentro de sus programas de gestión de riesgos empresariales (ERM) ante el aumento en la frecuencia, creatividad y gravedad de los ataques de ciberseguridad. La guía está destinada para ayudar a las organizaciones individuales dentro de una empresa a mejorar su información de riesgo de ciberseguridad, y que proporcionan como entrada a los procesos de ERM de la empresa, a través Leer más…
Facilitar el pago de rescate por ransomwre podria ser sancionado en EEUU
La Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro de los Estados Unidos ha emitido un aviso sobre los riesgos de sanciones a las personas que faciliten el pago de rescates por ransomware. Las sanciones podrían variar desde sanciones civiles y multas hasta cargos penales. Durante la pandemia del COVID-19, la demanda de pagos de ransomware ha aumentado. Las empresas que facilitan los pagos de ransomware a los ciberdelincuentes, en nombre de las víctimas, incluídas instituciones financieras, empresas de seguros cibernéticos y empresas involucradas en análisis forense digital y respuesta a incidentes, no sólo fomentan futuras demandas Leer más…
OWASP publica la versión 2017 de los principales 10 Riesgos de Seguridad en Aplicaciones Web
La comunidad OWASP (Open Web Application Security Project) ha publicado la versión 2017 de Los Principales 10 Riesgos de Seguridad en Aplicaciones Web. El documento tiene como propósito concientizar sobre la seguridad de las aplicaciones web, considerando los riesgos de seguridad más críticos para las aplicaciones web. Para la comunidad OWASP, los siguientes son el Top 10 en cuanto a riesgos de seguridad para las aplicaciones web: Inyección. Perdida de Autenticación. Exposición de Datos Sensitivos. Entidades externas XML. Pérdida de Control de Acceso. Configuración Errónea de Seguridad. Cross-Site Scripting (XSS). Deserialización insegura. Utilizar Componentes con Vulnerabilidades Conocidas. Registro y Monitoreo Insuficientes. Leer más…
Las cinco ciber-amenazas más comunes y las vulnerabilidades asociadas, según IT Governance
De acuerdo con IT Governance las siguientes son las cinco ciber-amenazas más comunes y las vulnerabilidades asociadas encontradas por sus consultores en las revisiones cibernéticas hechas durante 2017: 1. Protección de datos inadecuada Los datos son: Almacenados en plataformas inseguras o inadecuadas No cifrados en almacenamiento o tránsito No se desechan de forma segura 2. Gestión de incidentes inadecuada Las organizaciones tienen: Malas capacidades de detección de incidentes Ningún proceso de notificación de incidentes No hay planes sencillos de respuesta a incidentes 3. Riesgo de terceros Las organizaciones no: Evalúan los riesgos de proveedores o terceros Realizan auditorías periódicas a Leer más…