Glosario de Marcos

El Sector de Sistemas de Transporte (TSS) representa una vasta, interconectada y compleja red de sistemas y activos que facilitan el movimiento de pasajeros y carga. Reconociendo la naturaleza crítica de este sector en las operaciones diarias y la economía del país, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) ha designado al TSS como uno de los sectores de infraestructura crítica del país.

FAIR (Análisis de Factores de Riesgo de Información) es un marco de gestión de riesgos específicamente diseñado para comprender, analizar y cuantificar el riesgo de información en términos financieros. A diferencia de los métodos tradicionales de evaluación cualitativa de riesgos, se enfoca en la cuantificación del riesgo en términos de frecuencia probable y magnitud probable de futuras pérdidas.

El BSI IT-Grundschutz ofrece un enfoque sistemático para la gestión de la seguridad de la información, proporcionando tanto una metodología como un catálogo de medidas de seguridad adaptadas a diferentes aspectos de los entornos de TI.

Desarrollado y recomendado por el Centro Australiano de Ciberseguridad (ACSC), el marco Esencial Ocho ofrece un conjunto fundamental de estrategias de mitigación diseñadas para prevenir ataques de malware, el acceso no autorizado y la exfiltración de datos.

Los Controles del Centro para la Seguridad en Internet (CIS) y los Benchmarks del CIS son un conjunto de mejores prácticas diseñadas para ayudar a las organizaciones a fortalecer su postura de seguridad. Estos controles, que han sido desarrollados por una comunidad de expertos en TI, se enfocan en una serie de acciones priorizadas que forman la base de cualquier buen programa de ciberseguridad, ayudando a las organizaciones a proteger sus sistemas y datos contra las amenazas cibernéticas más extendidas.

La Certificación de Madurez de Ciberseguridad (CMMC) es un marco introducido por el Departamento de Defensa de los Estados Unidos (DoD). Es un estándar unificado para implementar la ciberseguridad en toda la Base Industrial de Defensa (DIB), que está compuesta por más de 300,000 empresas en la cadena de suministro del DoD.

La Cloud Security Alliance (CSA) es una organización sin fines de lucro dedicada a definir y concienciar sobre las mejores prácticas para ayudar a garantizar un entorno seguro de computación en la nube. A través de sus diversas iniciativas, proyectos de investigación y grupos de trabajo, CSA proporciona orientación integral a empresas e individuos que utilizan servicios en la nube.

Los Objetivos de Control para la Información y las Tecnologías Relacionadas (COBIT) es un marco integral diseñado para el desarrollo, implementación, monitoreo y mejora de las prácticas de gobierno y gestión de TI. Proporciona una perspectiva empresarial de extremo a extremo para la gobernanza de TI que vincula los objetivos empresariales con los objetivos de TI.

Los Controles Generales de Tecnología de la Información (ITGC, por sus siglas en inglés) son controles críticos que respaldan la confiabilidad de los sistemas y la información dentro de una organización. Normalmente abarcan una serie de políticas y procedimientos que garantizan el funcionamiento eficaz y seguro de los sistemas de TI de una organización y protegen la integridad de los datos.

Cyber Essentials es un esquema respaldado por el gobierno del Reino Unido que tiene como objetivo ayudar a las organizaciones a protegerse contra amenazas cibernéticas comunes. Ofrece un conjunto de controles técnicos básicos que las organizaciones pueden implementar para reducir significativamente su vulnerabilidad a los ciberataques.

The Cybersecurity Capability Maturity Model (C2M2) is a framework designed to assess and enhance the cybersecurity capabilities of organizations. Its focus is on the implementation and management of cybersecurity practices associated with information technology (IT), operations technology (OT), and information assets and environments.

La Directiva de Seguridad de la Red y la Información, que entró en vigor en 2016, requiere que los Estados Miembros de la UE desarrollen y adopten una estrategia nacional de ciberseguridad (NCSS) para enfrentar las amenazas de ciberseguridad actuales y emergentes. Para apoyar los esfuerzos de estos estados miembros, la Agencia de la Unión Europea para la Ciberseguridad (ENISA) proporciona directrices sobre cómo desarrollar, implementar y actualizar una NCSS.

ETSI EN 303 645 es un estándar de ciberseguridad que establece una base de seguridad para productos de consumo conectados a internet y proporciona la base para futuros esquemas de certificación de IoT. Desarrollado por el Instituto Europeo de Normas de Telecomunicaciones (ETSI), este estándar tiene como objetivo abordar las preocupaciones generalizadas sobre la seguridad de los dispositivos del Internet de las Cosas (IoT).

El Grupo de Especificaciones de la Industria del ETSI sobre la Seguridad de la Inteligencia Artificial (ISG SAI) se centra en asegurar la IA desde una perspectiva tanto de uso como adversarial, con el objetivo de construir una base estandarizada para implementaciones de IA robustas y seguras.

The ETSI MEC (European Telecommunications Standards Institute Mobile Edge Computing) framework is a standardization framework that enables IT service environment capabilities at the edge of mobile networks. This framework aims to bring cloud-computing capabilities into the Radio Access Network (RAN) and enable efficient deployment of new applications and services.

ETSI NFV (Network Functions Virtualization) is a conceptual framework proposed by the European Telecommunications Standards Institute. It aims to transform the way network services are deployed on telecommunication networks by utilizing standard IT virtualization technology.

ETSI's work in quantum-safe cryptography involves researching and developing standards that are resistant to the potential cryptographic threats posed by quantum computing. This field of cryptography focuses on creating algorithms and protocols that would remain secure even in the era of quantum computers, which could potentially break many of the cryptographic systems currently in use.

ETSI TC Cyber es un Comité Técnico dentro del Instituto Europeo de Normas de Telecomunicaciones (ETSI) que se centra en la estandarización en el área de ciberseguridad. Su trabajo consiste en desarrollar estándares, especificaciones técnicas e informes para garantizar altos niveles de seguridad para los servicios, equipos e infraestructuras de Tecnologías de la Información y la Comunicación (TIC).

ETSI TS 103 645 es una norma europea (Sector de Normalización de Telecomunicaciones) que proporciona un conjunto de requisitos básicos de seguridad para dispositivos de Internet de las Cosas (IoT) de consumo. Es una de las primeras normas específicamente orientadas a garantizar un nivel mínimo de seguridad para los productos IoT destinados al uso de los consumidores.

Los Esenciales 8 son un conjunto de estrategias y controles fundamentales de ciberseguridad, desarrollados por el Centro Australiano de Ciberseguridad (ACSC). Está diseñado para ayudar a las organizaciones a proteger sus sistemas priorizando e implementando estrategias esenciales de migración frente a una variedad de amenazas cibernéticas.

La Publicación de Estándares Federales de Procesamiento de Información 199 (FIPS 199) es un conjunto de estándares para categorizar la información y los sistemas de información recopilados o mantenidos por o en nombre de las agencias federales.

El Programa Federal de Gestión de Riesgos y Autorizaciones (FedRAMP) está diseñado para promover la adopción de servicios en la nube seguros en todo el gobierno federal. Proporciona un enfoque estandarizado para la evaluación de seguridad, autorización y monitoreo continuo de las tecnologías en la nube.

HITRUST, que significa Health Information Trust Alliance, es una compañía privada que colaboró con líderes de la atención médica, tecnología y seguridad de la información para establecer el Marco Común de Seguridad de HITRUST. El HITRUST CSF es un marco de seguridad integral y certificable utilizado por las organizaciones de atención médica para gestionar de manera eficiente el cumplimiento regulatorio y la gestión de riesgos.

Las Mejores Prácticas Actuales (BCP) del Internet Engineering Task Force (IETF) son una serie de documentos que capturan el consenso del IETF sobre una variedad de asuntos técnicos y organizativos. Están destinados a proporcionar orientación, explicaciones y recomendaciones sobre las mejores prácticas para facilitar el funcionamiento fluido de Internet e informar a los usuarios y técnicos sobre las normas operativas preferidas.

ISA/IEC 62443 es una serie de estándares que proporciona un marco flexible para abordar y mitigar las vulnerabilidades de seguridad actuales y futuras en los sistemas de control y automatización industrial (IACS). Estos estándares han sido desarrollados tanto por la Comisión Electrotécnica Internacional (IEC) como por la Sociedad Internacional de Automatización (ISA).

ISO 13485 es una norma internacionalmente reconocida que establece los requisitos para un sistema de gestión de calidad específico para la industria de dispositivos médicos. Está diseñada para ser utilizada por organizaciones involucradas en el diseño, producción, instalación y mantenimiento de dispositivos médicos y servicios relacionados.

ISO 14040 es una norma reconocida internacionalmente que se centra en los principios y el marco para la evaluación del ciclo de vida (ACV) de productos y servicios. Esta ACV abarca todas las etapas desde la extracción de materias primas hasta el procesamiento, distribución, uso, reparación y mantenimiento, hasta la disposición final o el reciclaje.

ISO 14044 es una norma internacionalmente aceptada que elabora sobre requisitos específicos y directrices para la evaluación del ciclo de vida (LCA) relacionada con el desempeño ambiental de los productos, teniendo en cuenta todas las etapas desde la extracción de materias primas hasta la disposición final o el reciclaje. Se basa en los principios establecidos en la ISO 14040.

ISO 20121 es una norma internacional que especifica los requisitos de un sistema de gestión de la sostenibilidad de eventos para mejorar la sostenibilidad de los eventos.

ISO 22000 es una norma internacional para sistemas de gestión de la seguridad alimentaria. Proporciona un enfoque integral para que los productores de alimentos identifiquen y controlen los peligros de la seguridad alimentaria.

ISO/IEC 22301 es un estándar internacional que especifica los requisitos para establecer, implementar, mantener y mejorar continuamente un sistema documentado de gestión de la continuidad del negocio (SGCN). Este estándar está diseñado para ayudar a las organizaciones a protegerse, reducir la probabilidad de incidentes disruptivos y asegurar la recuperación de su negocio tras tales incidentes.

ISO 26000 es una norma internacional desarrollada para proporcionar orientación sobre responsabilidad social. Ofrece a las organizaciones un marco integral para comprender e implementar prácticas y principios socialmente responsables, fomentando la sostenibilidad y contribuyendo positivamente a la sociedad.

ISO 28000 es una norma internacional que especifica los requisitos para un sistema de gestión de la seguridad, particularmente para la cadena de suministro. Está diseñada para ayudar a las organizaciones a gestionar riesgos de seguridad, amenazas y vulnerabilidades en la cadena de suministro, incluidos los aspectos logísticos.

ISO 31000 es una norma internacional que proporciona principios, un marco y un proceso para gestionar el riesgo. Ofrece directrices sobre los principios de gestión de riesgos y la implementación de estrategias de gestión del riesgo, con el objetivo de ayudar a las organizaciones a identificar, evaluar y gestionar los riesgos en varios aspectos de sus operaciones.

ISO 37001 es una norma internacional que especifica los requisitos y proporciona orientación para establecer, implementar, mantener, revisar y mejorar un sistema de gestión anti soborno. Esta norma está diseñada para ayudar a las organizaciones en la prevención, detección y respuesta al soborno, fomentando una cultura de integridad, transparencia y cumplimiento.

ISO 50001 es una norma internacional que especifica los requisitos para establecer, implementar, mantener y mejorar un sistema de gestión de energía (SGE). La norma tiene como objetivo permitir que las organizaciones sigan un enfoque sistemático para lograr una mejora continua del desempeño energético, incluida la eficiencia, uso y consumo de energía.

ISO 8601 es una norma internacional que especifica el formato para representar fechas y horas. Su objetivo es proporcionar una forma clara y coherente de expresar fechas y horas en diferentes países y culturas, evitando la ambigüedad y la mala interpretación.

ISO 9001 es un marco de gestión de calidad reconocido internacionalmente diseñado para ayudar a las organizaciones a cumplir consistentemente con las necesidades y expectativas de sus clientes, así como con los requisitos legales y reglamentarios aplicables, mientras mejoran continuamente sus procesos y su rendimiento general.

ISO/IEC 11179 es un estándar internacional para registros de metadatos. Proporciona un marco para la representación de metadatos con el fin de facilitar el uso e interpretación correctos y adecuados de los datos.

ISO/IEC 11801 es una norma internacional que especifica los sistemas de cableado de telecomunicaciones de propósito general (cableado estructurado) que son adecuados para una amplia gama de aplicaciones (telefonía analógica e ISDN, varios estándares de comunicación de datos, sistemas de control de edificios, automatización de fábricas). Cubre tanto el cableado de cobre balanceado como el cableado de fibra óptica.

ISO/IEC 15288 es un estándar globalmente reconocido para la ingeniería de sistemas y software. Ofrece un marco integral para los procesos del ciclo de vida de los sistemas, que incluye tanto componentes de software como de hardware.

ISO/IEC 15408, popularmente conocido como los Criterios Comunes (CC), es un estándar internacional que proporciona un marco para evaluar las propiedades de seguridad de los productos y sistemas de Tecnología de la Información (TI).

ISO/IEC 15415 es una norma internacional que especifica los parámetros de calidad y las metodologías para evaluar las características ópticas de símbolos de código de barras bidimensionales (2D), como códigos QR, Data Matrix y PDF417.

ISO/IEC 17025 es un estándar global para laboratorios de ensayo y calibración. Describe los requisitos generales para la competencia, imparcialidad y operación consistente de los laboratorios.

ISO/IEC 19770 es un estándar internacional que especifica los requisitos para el establecimiento, implementación, mantenimiento y mejora de un sistema de gestión de activos de TI.

ISO/IEC 20000-1 es una norma internacional que especifica los requisitos para el establecimiento, implementación, mantenimiento y mejora continua de un sistema de gestión de servicios.

ISO/IEC 20243-1, también conocido como el Estándar del Proveedor de Tecnología Abierta de Confianza (O-TTPS), es un estándar internacional diseñado para mitigar el riesgo de que productos adulterados y falsificados ingresen a la cadena de suministro. Se enfoca en la integridad de los productos comerciales listos para usar (COTS) de Tecnología de la Información y Comunicación (TIC) y proporciona un conjunto de directrices para las mejores prácticas organizacionales en la fabricación, abastecimiento e integridad del producto.

ISO/IEC 24734 es un estándar internacional que especifica el método para probar y medir la productividad de los dispositivos de impresión digital, incluidos los impresores de una sola función y los multifuncionales, independientemente de la tecnología (por ejemplo, inyección de tinta, láser). Proporciona un conjunto de documentos de prueba estandarizados, procedimientos de configuración de prueba y los requisitos de informes para los resultados de las pruebas.

ISO/IEC 24748 es una serie de estándares internacionales que proporcionan orientación sobre la gestión del ciclo de vida, incluyendo términos y definiciones, proceso y modelos conceptuales. Es parte del conjunto de estándares de ingeniería de sistemas y software y está estrechamente relacionado con los procesos definidos en ISO/IEC/IEEE 15288 e ISO/IEC/IEEE 12207.

ISO/IEC 27003 es parte de la familia de estándares ISO/IEC 27000, conocida por proporcionar recomendaciones de mejores prácticas sobre la gestión de la seguridad de la información dentro de una organización. Específicamente, ISO/IEC 27003 se enfoca en las directrices para implementar un sistema de gestión de seguridad de la información (ISMS) según lo establecido en ISO/IEC 27001, proporcionando detalles adicionales para ayudar en el proceso de diseño e implementación.

ISO/IEC 27004 is an international standard that provides guidelines intended to assist organizations in evaluating the performance and the effectiveness of an Information Security Management System (ISMS) that is implemented based on ISO/IEC 27001. It offers guidance on measurement and evaluation of information security within the organization.

ISO/IEC 27005 es un estándar internacional dedicado a la gestión de riesgos de seguridad de la información. Proporciona directrices para la gestión de riesgos de seguridad de la información en una organización, apoyando los requisitos de un Sistema de Gestión de Seguridad de la Información (SGSI) definidos en ISO/IEC 27001.

ISO/IEC 27017 proporciona directrices sobre los aspectos de seguridad de la información en la computación en la nube, recomendando controles de seguridad de la información para proveedores y clientes de servicios en la nube. Se basa en los controles existentes de ISO/IEC 27002 con orientación adicional de implementación específica para los servicios en la nube.

ISO/IEC 27018 proporciona directrices y controles para proteger la información de identificación personal (PII) en el entorno de computación en la nube pública.

ISO/IEC 27037 es una norma internacional que ofrece directrices para la identificación, recolección, adquisición y preservación de evidencia electrónica, que forma parte del proceso de recuperación de evidencia digital. Este marco es crucial para garantizar la integridad y autenticidad de la evidencia digital, la cual puede ser utilizada en procedimientos legales.

ISO/IEC 27400, titulado "Internet de las Cosas (IoT) – Seguridad y privacidad para el IoT", es un estándar internacional que proporciona pautas para la seguridad y privacidad del IoT, incluyendo consideraciones para el diseño, desarrollo, implementación y uso de sistemas y servicios de IoT.

ISO/IEC 29147 es una norma internacional que proporciona directrices para los procesos de divulgación de vulnerabilidades. Establece recomendaciones sobre cómo las organizaciones deben informar a los proveedores sobre posibles vulnerabilidades en sus productos y cómo los proveedores deben procesar y gestionar estas divulgaciones.

ISO/IEC 30111 es una norma internacional que describe el manejo adecuado de la información de posibles vulnerabilidades en productos. Proporciona un marco para cómo las organizaciones deben gestionar el proceso de recibir, investigar y resolver problemas relacionados con vulnerabilidades en un producto o servicio en línea.

ISO/IEC 38500 es una norma internacional que proporciona un marco para la gobernanza corporativa efectiva de la tecnología de la información (TI). Su objetivo es ayudar a las organizaciones a comprender y cumplir con sus obligaciones legales, reglamentarias y éticas en relación con el uso de su TI.

ISO/IEC 42001 es un innovador estándar internacional diseñado para garantizar el desarrollo, implementación y gestión responsable de sistemas de inteligencia artificial (IA). Ofrece a las organizaciones un marco integral para abordar riesgos éticos, legales y operativos asociados con la IA y promueve la confianza y transparencia en las tecnologías de IA.

El propósito de ISO/IEC/IEEE 29119 es definir un conjunto de estándares internacionalmente acordados para las pruebas de software que puede ser utilizado por cualquier organización involucrada en el desarrollo de software. Cubre aspectos como los procesos de prueba, la documentación de prueba, las técnicas de prueba y la gestión de pruebas, con el objetivo de proporcionar una guía integral para pruebas de software efectivas y eficientes.

ISO/SAE 21434, "Vehículos de carretera — Ingeniería de ciberseguridad," es un estándar que establece directrices y mejores prácticas para la gestión de riesgos de ciberseguridad en lo que respecta a la ingeniería de sistemas de vehículos de carretera. Aborda la creciente preocupación por la ciberseguridad de los vehículos en el contexto de una tecnología automotriz cada vez más conectada y automatizada.

Trusted Information Security Assessment Exchange (TISAX) es un marco adaptado para la industria automotriz para garantizar la confidencialidad, integridad y disponibilidad de la información sensible. Proporciona un método estandarizado para evaluar e intercambiar la seguridad de la información en la cadena de suministro automotriz.

La Ley Federal de Gestión de Seguridad de la Información (FISMA) es una legislación de los Estados Unidos que define un marco integral para proteger la información, operaciones y activos del gobierno contra amenazas naturales o provocadas por el hombre.

La Ley Sarbanes-Oxley, a menudo abreviada como SOX, es una ley federal de los Estados Unidos promulgada en 2002 en respuesta a fallos y fraudes corporativos que resultaron en pérdidas financieras sustanciales para inversores institucionales e individuales a principios de los años 2000. SOX fue diseñada para mejorar la transparencia y la responsabilidad en los informes financieros y para proteger a los inversores y al público de prácticas financieras fraudulentas dentro de las empresas que cotizan en bolsa.

La Ley de Privacidad promueve y protege la privacidad de los individuos en Australia. Regula el manejo de la información personal por organizaciones en el sector público federal y en el sector privado.

La Ley de Protección de Datos 2018 (DPA) otorga a las personas derechos sobre su información personal y también establece requisitos que el gobierno y las organizaciones deben seguir al recopilar y procesar estos datos.

La Ley de Protección de Información Personal y Documentos Electrónicos (PIPEDA) es una ley federal canadiense de privacidad que regula cómo las organizaciones del sector privado recopilan, utilizan y divulgan información personal en el curso de actividades comerciales.

El MITRE ATT&CK (Tácticas, Técnicas y Conocimientos Comunes de Adversario) Framework es una base de conocimiento globalmente accesible de tácticas y técnicas de adversarios basada en observaciones del mundo real. Sirve como base para el desarrollo de modelos y metodologías de amenazas específicas en el sector privado, el gobierno y la comunidad de productos y servicios de ciberseguridad.

El Marco de Ciberseguridad NIST (CSF) es un conjunto completo de directrices y mejores prácticas diseñadas para ayudar a las organizaciones a gestionar y reducir los riesgos cibernéticos. Ofrece un lenguaje común para entender, gestionar y expresar los riesgos cibernéticos tanto interna como externamente.

El Marco de Control Interno de COSO, a menudo denominado simplemente COSO, es un marco ampliamente reconocido diseñado para mejorar la capacidad de una organización para lograr sus objetivos mediante la aplicación efectiva de controles internos. Este marco proporciona orientación a las organizaciones en el diseño y evaluación de la efectividad de los sistemas de control interno.

El Marco de Cumplimiento de Seguridad de la Fundación de Seguridad de Internet de las Cosas (IoTSF) es un conjunto de pautas y mejores prácticas destinadas a garantizar el diseño, desarrollo y despliegue seguros de dispositivos IoT (Internet de las Cosas) y sus ecosistemas asociados.

El Marco de Gestión de Riesgos Empresariales (ERM) de COSO, a menudo denominado simplemente COSO ERM, es un marco ampliamente aceptado y utilizado para diseñar, implementar, realizar y mejorar la gestión de riesgos empresariales en las organizaciones. Alinea la gestión de riesgos con la estrategia empresarial, impulsando el rendimiento.

El Marco de Gestión de Riesgos de IA del NIST (AI RMF) es una colección integral de políticas y prácticas recomendadas que ayudan a las organizaciones a gestionar los riesgos asociados con los sistemas de IA. El objetivo es mejorar la fiabilidad, equidad, transparencia y responsabilidad de las tecnologías de IA.

El Modelo de Madurez en la Construcción de Seguridad (BSIMM) es un modelo basado en datos que proporciona una visión en profundidad de las iniciativas de seguridad del software. BSIMM no es un estándar ni una lista de verificación, sino un reflejo de las prácticas actuales observadas en programas de seguridad del software del mundo real. Al evaluar las iniciativas de seguridad del software de múltiples organizaciones, BSIMM ofrece un punto de referencia para comparar y guiar las prácticas de seguridad del software.

La Publicación Especial 800-115 del NIST, "Guía Técnica para las Pruebas y Evaluaciones de Seguridad de la Información", proporciona pautas para que las organizaciones realicen pruebas y evaluaciones de seguridad de sus sistemas de información. Cubre varias metodologías, técnicas y procesos relacionados con las evaluaciones de seguridad.

La Publicación Especial 800-137 del NIST, 'Monitoreo Continuo de la Seguridad de la Información (ISCM) para Sistemas y Organizaciones de Información Federales,' proporciona orientación y mejores prácticas para establecer, implementar y mantener un programa de monitoreo continuo de la seguridad de la información en agencias y organizaciones federales.

NIST Special Publication 800-145, "La definición de computación en la nube del NIST," proporciona un marco comprensivo para entender y definir la computación en la nube. Sirve como un recurso valioso para las organizaciones que navegan en el paisaje de la nube.

NIST 800-172 proporciona requisitos de seguridad mejorados para proteger la Información No Clasificada Controlada (CUI) en sistemas y organizaciones no federales. Detalla medidas de seguridad mejoradas para salvaguardar la información sensible que no está clasificada, pero que aún requiere protección.

La Publicación Especial 800-30 del NIST, "Guía para llevar a cabo evaluaciones de riesgos", proporciona orientación a las organizaciones para realizar evaluaciones de riesgos de los sistemas de información y organizaciones federales. Amplifica la orientación en la Publicación Especial 800-39 del NIST, que describe el proceso de gestión de riesgos organizacionales.

El Departamento de Servicios Financieros de Nueva York (NYDFS) NYCRR 500 es un conjunto de directrices y requisitos diseñados para mejorar la postura de ciberseguridad de las instituciones financieras que operan en el estado de Nueva York.

NIS2 es una versión actualizada de la Directiva de Seguridad de Redes y Sistemas de Información (NIS), un elemento clave de la legislación de la Unión Europea (UE) para reforzar la ciberseguridad en toda la UE. Establece medidas para lograr un alto nivel común de ciberseguridad en los Estados miembros, con el fin de mejorar la resiliencia de las infraestructuras críticas y los servicios esenciales.

Las Normas de Accesibilidad de las Tecnologías de la Información y la Comunicación (TIC) 508 y las Directrices 255 son un conjunto de directrices y requisitos establecidos para garantizar que las tecnologías de la información y la comunicación de las agencias federales sean accesibles para personas con discapacidades físicas, sensoriales o cognitivas. Estas normas están diseñadas para promover la inclusividad y el acceso equitativo a herramientas digitales de información y comunicación, haciendo posible que todas las personas, independientemente de sus discapacidades, puedan participar plenamente en el mundo digital.

La Normativa Prudencial CPS 234 es un marco regulatorio establecido por la Autoridad Reguladora Prudencial de Australia (APRA) para mejorar la ciberseguridad en la industria de servicios financieros.

El Proyecto de Estándar de Verificación de Seguridad de Aplicaciones de OWASP (ASVS) proporciona un marco para la seguridad de aplicaciones web y servicios web. Establece una línea base de control de seguridad para las aplicaciones web en sus fases de diseño, desarrollo y prueba, brindando a desarrolladores, testers y arquitectos una hoja de ruta clara para crear aplicaciones seguras.

TX-RAMP fue establecido por el Departamento de Recursos Informáticos de Texas para proporcionar un enfoque estandarizado para la evaluación de seguridad, aprobación y monitoreo continuo de servicios de computación en la nube que procesan, almacenan o transmiten los datos de una agencia estatal.

La Protección de Infraestructuras Críticas de Información (CIIP) se refiere a medidas, estrategias y actividades destinadas a garantizar la seguridad, confiabilidad y resiliencia de las infraestructuras críticas de información. Estas infraestructuras, a menudo consideradas como la columna vertebral de los servicios y funciones esenciales de las naciones, requieren una protección especial contra diversas amenazas cibernéticas para asegurar el bienestar social y económico.

Los estándares de la Comisión Federal de Comercio para la Protección de Información del Cliente es un marco regulatorio destinado a garantizar la seguridad y confidencialidad de la información del cliente en manos de instituciones financieras y otras entidades.

SOC 1® está diseñado para proporcionar a usuarios específicos información sobre los controles de una organización de servicios relevantes para el control interno sobre la información financiera de sus clientes. Un informe SOC 1 es a menudo solicitado por los clientes de una organización de servicios y sus auditores.

SOC 3® está diseñado para proporcionar a los usuarios generales un informe conciso y de alto nivel sobre los controles de una organización de servicios relacionados con la seguridad, disponibilidad, integridad de procesamiento, confidencialidad o privacidad.

La Política de Seguridad de los Servicios de Información de Justicia Penal (CJIS) es un conjunto de estándares rigurosos que gobiernan la creación, visualización, modificación, transmisión, difusión, almacenamiento y destrucción de la Información de Justicia Penal (CJI). Estos estándares aseguran que la CJI permanezca disponible, confidencial e íntegra.

StateRAMP está diseñado para ayudar a los gobiernos estatales y locales y a las instituciones públicas a asociarse con proveedores de servicios en la nube que han implementado prácticas sólidas de seguridad de la información y privacidad de datos.

La serie de estándares UL 2900, a menudo referida como el Marco UL 2900, fue desarrollada por Underwriters Laboratories (UL) para proporcionar una base para evaluar y certificar la seguridad de los productos conectados. Esta serie se centra en la evaluación de las vulnerabilidades y debilidades del software en dispositivos conectables a la red, considerando tanto el producto como el entorno organizacional.