Desde 2017, los ataques cibernéticos a infraestructuras se han incrementado un 1000%; tan solo en 2020, los ciberdelitos acumularon un 600% de acuerdo con la firma PurpleSec. Esto pone en riesgo la continuidad operativa de los Centros de Datos, desde el acceso a servicios hasta el riesgo de pérdida de infraestructura por ataques a la configuración de software.
International Computer Room Experts Association pone a disposición de la industria el Sello Negro de Ciberseguridad. La primer certificación de seguridad cibernética para infraestructura de Centros de Datos.
El Sello Negro introduce los estándares aplicables a la operación de Centros de Datos para su protección en el mundo digital, siguiendo el modelo Center Internet Security (cisecurity.org), para así brindar más seguridad a la información que reside en el Data Center.
Complementar la certificación de infraestructura ICREA al asegurar controles de seguridad informática para un cumplimiento de seguridad integral, disminuyendo los riesgos de pérdida, robo, suplantación o no disponibilidad de información.
Para obtener la certificación sello negro ICREA, el centro de datos debe:
Cumplir con 60 de 171 subcontroles de ciberseguridad.
Cumplir con 78 de 171 subcontroles de ciberseguridad.
Cumplir con 114 de 171 subcontroles de ciberseguridad.
Cumplir con 147 de 171 subcontroles de ciberseguridad.
Cumplir con 171 de 171 subcontroles de ciberseguridad.
La infraestructura critica de un Centro de Procesamiento de Datos (CPD), requiere la adopción de controles de Ciberseguridad para robustecer su operación y mantener su confidencialidad, integridad y disponibilidad dada la continua evolución de la tecnología, es por este motivo que ICREA ha tomado como referencia un marco de buenas prácticas de Ciberseguridad, considerando un conjunto de controles, los cuales son acciones priorizadas que colectivamente forman un conjunto de recomendaciones que ayudan a mitigar riesgos ante los ataques más comunes contra sistemas y redes localizados en un CPD.
Los controles de Ciberseguridad han sido desarrollados por una comunidad de expertos en TI que aplican su experiencia de primera mano como defensores cibernéticos para crear estas mejores prácticas de seguridad aceptadas Internacionalmente. Los expertos que desarrollan los Controles CIS tienen una amplia experiencia en infraestructura crítica en centros de procesamiento de datos (CPD’s) los cuales pertenecen a una amplia gama de sectores que incluyen Retail, manufactura, salud, educación, gobierno, defensa, carriers, proveedores de servicios y de Ciberseguridad entre otros.
UNIDAD 1: Ciberdefensa |
UNIDAD 2: Ciberataques |
|
En esta unidad se analiza el conjunto de operaciones activas o pasivas utilizadas por el estado para garantizar la seguridad, el uso adecuado del ámbito digital de un país y su protección ante eventuales amenazas.
1.1 Introducción. |
Se analizan los intentos por obtener acceso no autorizado a los equipos y robar, modificar o destruir datos. Fundamental tomar ejemplos de la casuística experimentada en el país en una línea de tiempo de 6 años.
2.1 Introducción. UNIDAD 3: CiberatacantesCapital humano que gestiona y/o ejecuta un ciberataque. 3.1 Introducción. |
UNIDAD 1: Elementos y programas para un programa efectivo de ciberseguridad |
UNIDAD 3: Gestión del riesgo: (ISO 27001 / NIST – SP 800-53, 2020/ MAGERIT) |
|
En esta unidad se analizan los elementos o componentes que se deben considerar a la hora de diseñar y ejecutar un plan efectivo y eficaz de ciberseguridad.
1.1 Introducción. UNIDAD 2: Estándares NIST/ISOSon las guías completas y con las mejores prácticas que requieren las organizaciones tanto del sector privado como del público, que pueden seguir para mejorar la seguridad de la información y la gestión de riesgos de ciberseguridad. 2.1 Introducción. |
En esta unidad se estructura el proceso para identificar, evaluar y minimizar el impacto del riesgo. En otras palabras, es una forma de que las organizaciones identifiquen los peligros y amenazas potenciales y tomen medidas para eliminar o reducir las posibilidades de que ocurran.
3.1 Introducción |
UNIDAD 1: Ciberdefensa efectiva |
UNIDAD 2: Ciberataques |
|
En esta unidad se analizan los elementos o componentes que se deben considerar a la hora de implementar un programa sólido de monitoreo y gestión de riesgos.
1.1 Introducción. |
En esta unidad se analizan a profundidad los intentos por obtener acceso no autorizado a los equipos y robar, modificar o destruir datos. Fundamental tomar ejemplos de la casuística experimentada en el país en una línea de tiempo de 6 años.
2.1 Introducción. |
UNIDAD 1: Identificación |
UNIDAD 3: Gestión |
|
En esta unidad se detectan, analizan y mitigan las vulnerabilidades que se puedan presentar en una entidad o en cualquier sistema informático.
1.1 Introducción. UNIDAD 2: EvaluaciónEn esta unidad se estudia el proceso de análisis de una vulnerabilidad. 2.1 Introducción. |
En esta unidad se abordan los diferentes tipos de análisis que se pueden usar para gestionar las vulnerabilidades encontradas.
3.1 Introducción. UNIDAD 4: HerramientasEn esta unidad se dan a conocer las diferentes herramientas, dispositivos, interfaces que intervienen en el proceso de análisis de vulnerabilidades. 4.1 Introducción. |