|-=-|-=-|-=-|-=-|-=-|-=-|-=-|-=-|-=-|-=-|-=-|-=-|-=-|-=-|-=-|-=-|-=-|-=-|-=-|-=-|-=-|-=-| -=[ MAPA DE LA INDUSTRIA DE LA SEGURIDAD INFORMÁTICA (v1.0) -=[ nitrØus -=[ nitrousenador@gmail.com -=[ http://www.genexx.org/nitrous/ -=[ México/Oct.2008 |-=-|-=-|-=-|-=-|-=-|-=-|-=-|-=-|-=-|-=-|-=-|-=-|-=-|-=-|-=-|-=-|-=-|-=-|-=-|-=-|-=-|-=-| Cuantos de ustedes no se han aburrido de estar yendo a Google a buscar lo que significan los acrónimos de las certificaciones o el puesto que X persona tiene, o cuantos no se han preguntado sobre las relaciones y evoluciones por las que han pasado los estándares de seguridad informática. Sabemos que la industria de la seguridad está llena por siglas y acrónimos, algunos muy importantes y otros completamente triviales. Algunos que se refieren a recursos meramente natos de la seguridad informática y otros creados por compañías con el fin de llenarse las bolsas de dinero (p.e. ciertas certificaciones de bajísima calidad). Por ello también recomiendo leer la respuesta de Roberto Arbeláez en la lista de correo "Segurinfo". http://servidor.acis.org.co/pipermail/segurinfo/2006-November/001145.html Inicialmente este documento era para uso personal, como un pequeño archivo de ayuda para aquellos momentos mientras leo información relacionada con la industria, pero decido compartirlo con aquellos que, al igual que yo, estén hartos de buscar el significado de cierto acrónimo, memorizarlo, entenderlo mientras transcurre la lectura y volver a buscarlo (regularmente molesto sabiendo que anteriormente lo leí y comprendí) semanas o meses después al estar leyendo otro artículo en el que se menciona. ¿Para que si en internet hay cientos de diccionarios de acrónimos? Pues es más fácil ver las relaciones existentes entre estándares, certificaciones y organismos, con sus respectivos significados y notas en un solo documento, que que buscar el significado de cada uno por separado. Cabe mencionar que este no es un mapa "completo" ya que sería casi imposible hacerlo sabiendo que la mayoría de estándares son basados en otros y se relacionan con muchos más. Entonces, solamente se mencionan los recursos que son utilizados con mayor frecuencia en la industria. Muchos de los recursos aquí mencionados no fueron creados específicamente para cuestiones de seguridad, pero la industria de la seguridad hace referencia a ellos debido a la buena aceptación o buenos resultados en otras áreas tales como negocios y calidad. Dichos recursos están listados en la sección de "Relacionados". Si alguien encuentra algún error en las relaciones/orden de los recursos, hágamelo saber. Si alguien conoce otro recurso "muy" utilizado y no esté mencionado aquí, hágamelo saber. Si este documento se te hizo bueno o malo, házmelo saber. Así que aliento a cualquier persona que lea este documento, me envie retroalimentación sobre la usabilidad y el contenido del mismo. |-=-|-=-|-=-|-=-|-=-|-=-|-=-|-=-|-=-|-=-|-=-|-=-|-=-|-=-|-=-|-=-|-=-|-=-|-=-|-=-|-=-|-=-| -=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=- | -=[ SIMBOLOGIA ]=- | | | | + Jerarquía, subramas | | - Certificación | | ! Lista de Vulnerabilidades, Advisories o cualquier otro recurso enumerable | | * Estándar de Seguridad, Guías (Guidelines) o Mejores Prácticas (Best Practices)| | # Recursos de Apoyo, Marcos de Trabajo (Frameworks), Otras Herramientas | | ( ) (Significado del acrónimo/sigla, [[Notas,] Año de creación]) | | [ ] Url oficial o sitio de interés | | | -=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=- -=[ ESTANDARES ]=- + BSI (British Standards Institute) [http://www.bsi-global.com] * BS 7799-1:1995 (British Standard - Information Security Management - Code of Practice for Information Security Management Systems, 1995) [http://www.bsi-global.com/en/Shop/Publication-Detail/?pid=000000000001324657] * BS 7799-1:1999 (British Standard - Information Security Management - Code of Practice for Information Security Management, Revisión, 1999) [http://www.bsi-global.com/en/Shop/Publication-Detail/?pid=000000000019993902] * BS 7799-1:2000 (Sinónimo de ISO/IEC 17799:2000) * BS 7799-1:2005 (Sinónimo de ISO/IEC 27002:2005) * BS 7799-2:1998 (British Standard - Information Security Management - Specification for Information Security Management Systems, 1998) [http://www.bsi-global.com/en/Shop/Publication-Detail/?pid=000000000001300725] * BS 7799-2:1999 (Revisión, 1999) [http://www.bsi-global.com/en/Shop/Publication-Detail/?pid=000000000030039679] * BS 7799-2:2002 (British Standard - Information Security Management - Specification with Guidance for Use, Adoptado por ISO como ISO/IEC 27001:2005 en el 2005, 2002) [http://www.bsi-global.com/en/Shop/Publication-Detail/?pid=000000000030049529] * BS 7799-2:2005 (Revisión, 2005) * BS 7799-3:2005 (Information Security Management Systems - Guidelines for Information Security Risk Management, 2005) * BS 7799-3:2006 (Revisión, 2006) [http://www.bsi-global.com/en/Shop/Publication-Detail/?pid=000000000030125022] + ISO/IEC (International Organization for Standardization and the International Electrotechnical Commission) [http://www.iso.org][http://www.iec.ch] + ISO/IEC 17799 * ISO/IEC 17799:2000 (Basado en BS 7799-1, Information Technology - Code of Practice for Information Security Management, 2000) [http://www.iso.org/iso/catalogue_detail?csnumber=33441] * ISO/IEC 17799:2005 (Renombrado a ISO/IEC 27002:2005 en el 2007, Information Technology - Security Techniques - Code of Practice for Information Security Management, 2005) [http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.htm?csnumber=39612] + ISO/IEC 27000 * ISO/IEC 27001:2005 (Anteriormente BS 7799-2:2002, Information Technology - Security Techniques - Information Security Management Systems - Requirements, 2005) [http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.htm?csnumber=42103] * ISO/IEC 27002:2005 (Anteriormente ISO/IEC 17799:2005, Information Technology - Security Techniques - Code of Practice for Information Security Management, 2007) [http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.htm?csnumber=50297] + ISO/IEC 15408 (Common Criteria for Information Technology Security Evaluation aka Common Criteria aka CC, Basado en DoD TCSEC) * ISO/IEC 15408-1:1999 (Information Technology - Security Techniques - Evaluation criteria for IT Security - Part 1: Introduction and General Model) [http://www.iso.org/iso/iso_catalogue/catalogue_ics/catalogue_detail_ics.htm?csnumber=27632] * ISO/IEC 15408-1:2005 (Revisión, 2005) [http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.htm?csnumber=40612] * ISO/IEC FCD 15408-1.3 (Revisión, 2005) [http://www.iso.org/iso/iso_catalogue/catalogue_ics/catalogue_detail_ics.htm?csnumber=50341] * ISO/IEC 15408-2:1999 (Information Technology - Security Techniques - Evaluation criteria for IT Security - Part 2: Security Functional Requirements) [http://www.iso.org/iso/iso_catalogue/catalogue_ics/catalogue_detail_ics.htm?csnumber=27633] * ISO/IEC 15408-2:2005 (Revisión, 2005) [http://www.iso.org/iso/iso_catalogue/catalogue_ics/catalogue_detail_ics.htm?csnumber=40613] * ISO/IEC 15408-2:2008 (Revisión, 2008) [http://www.iso.org/iso/iso_catalogue/catalogue_ics/catalogue_detail_ics.htm?csnumber=46414] * ISO/IEC 15408-3:1999 (Information Technology - Security Techniques - Evaluation criteria for IT Security - Part 3: Security Assurance Requirements) [http://www.iso.org/iso/iso_catalogue/catalogue_ics/catalogue_detail_ics.htm?csnumber=27634] * ISO/IEC 15408-3:2005 (Revisión, 2005) [http://www.iso.org/iso/iso_catalogue/catalogue_ics/catalogue_detail_ics.htm?csnumber=40614] * ISO/IEC 15408-3:2008 (Revisión, 2008) [http://www.iso.org/iso/iso_catalogue/catalogue_ics/catalogue_detail_ics.htm?csnumber=46413] + ISO/IEC 20000 (Service Managment, Gestión de Servicios de Tecnologías de Información; Reemplazó a BS 15000; ITIL es el principal Marco de Trabajo utilizado en el Estandar, 2005) * ISO/IEC 20000-1:2005 (Information Technology - Service Management - Part 1: Specification) [http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.htm?csnumber=41332] * ISO/IEC 20000-2:2005 (Information Technology - Service Management - Part 2: Code of Practice) [http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.htm?csnumber=41333] + NIST (National Institute of Standards and Technology) [http://www.nist.gov] * NIST SP 800 (Special Publications 800 series) [http://csrc.nist.gov/publications/PubsSPs.html] * SP 800-12 (An Introduction to Computer Security: The NIST Handbook, 1995) [http://csrc.nist.gov/publications/nistpubs/800-12/] * SP 800-14 (Generally Accepted Principles and Practices for Securing Information Technology Systems, 1996) [http://csrc.nist.gov/publications/nistpubs/800-14/800-14.pdf] * SP 800-26 (Security Self-Assessment Guide for Information Technology Systems, Reemplazado por SP 800-53 y el borrador de SP 800-53A) * SP 800-53 (Recommended Security Controls for Federal Information Systems) * SP 800-53 A (Guide for Assessing the Security Controls in Federal Information Systems) + US DoD (United States Department of Defense) [http://www.defense.gov] + Rainbow Series (Inicialmente publicada por NSA/NCSC [National Computer Security Center] en los 80's y 90's) * DoD 5200.28-STD TCSEC (Trusted Computer System Evaluation Criteria aka Orange Book, Reemplazado por Common Criteria (ISO/IEC 15408), 1983) * DoD 5220.22-M (Sinónimo de NISPOM) + NISP (National Industrial Security Program) [http://en.wikipedia.org/wiki/National_Industrial_Security_Program] * NISPOM (NISP Operating Manual aka DoD 5220.22-M) [http://www.dtic.mil/whs/directives/corres/html/522022m.htm] + ISF (Information Security Forum) [https://www.securityforum.org] * SoGP (Standard of Good Practice, 1996) [http://www.isfstandard.com] + PCI (PCI Security Standards Council) [https://www.pcisecuritystandards.org] * PCI DSS (Payment Card Industry Data Security Standard) [https://www.pcisecuritystandards.org/security_standards/pci_dss.shtml] -=[ CERTIFICACIONES, MEJORES PRACTICAS, HERRAMIENTAS ]=- + ISECOM (Institute for Security and Open Methodologies) [http://www.isecom.org] * OSSTMM (Open Source Security Testing Methodology Manual) [http://www.osstmm.org] - OPSA (OSSTMM Professional Security Analyst) [http://www.opsa.org] - OPSE (OSSTMM Professional Security Expert) [http://www.opse.org] - OPST (OSSTMM Professional Security Tester) [http://www.opst.org] - OWSE (OSSTMM Wireless Security Expert) [http://www.owse.org] # RAV (Risk Assesment Values) [http://www.isecom.org/research/ravs.shtml] # STAR (Security Testing Audit Report) [http://www.isecom.org/research/ravs.shtml] + ISACA (Information Systems Audit and Control Association) [http://www.isaca.org] - CISA (Certified Information Systems Auditor) [http://www.isaca.org/cisa/] - CISM (Certified Information Security Manager) [http://www.isaca.org/cism/] - CGEIT (Certified in the Governance of Enterprise IT) [http://www.isaca.org/Template.cfm?Section=CGEIT_Certification&Template=/TaggedPage/TaggedPageDisplay.cfm&TPLID=16&ContentID=36126] * ITAF (Information Technology Assurance Framework) [http://www.isaca.org/itaf/] + ISC2 (International Information Systems Security Certification Consortium) [http://www.isc2.org] - CISSP (Certified Information Systems Security Professional) [https://www.isc2.org/cgi-bin/content.cgi?category=1331] - SSCP (Systems Security Certified Practitioner) [https://www.isc2.org/cgi-bin/content.cgi?category=98] - CSSLP (Certified Secure Software Lifecycle Professional) [https://www.isc2.org/cgi-bin/content.cgi?category=1690] + SANS Institute (SysAdmin Audit, Networking and Security Institute) [http://www.sans.org] - GIAC (Global Information Assurance Certification) [http://www.giac.org] ! SANS Top-20 Vulnerabilities [http://www.sans.org/top20/] + NIST (National Institute of Standards and Technology) [http://www.nist.gov] + CSD (Computer Security Division) [http://csrc.nist.gov] * NIST SP 800 (Special Publications 800 series, Ver sección de Estándares) [http://csrc.nist.gov/publications/PubsSPs.html] ! NVD (National Vulnerability Database) [http://nvd.nist.gov] # SCAP (Security Content Automation Protocol) [http://scap.nist.gov] * FISMA (Federal Information Security Management Act) [http://csrc.nist.gov/groups/SMA/fisma/] + NSA (National Security Agency) [http://www.nsa.gov] + IATRP (INFOSEC Assurance Training & Rating Program) [http://www.iatrp.com] * IAM (INFOSEC Assessment Methodology) [https://www.nsa.gov/ia/industry/education/iam.cfm?MenuID=10.2.4.2] * IEM (INFOSEC Evaluation Methodology) [https://www.nsa.gov/ia/industry/education/iem.cfm?MenuID=10.2.4.2] + OISSG (Open Information Systems Security Group) [http://www.oissg.org] * ISSAF (Information Systems Security Assessment Framework) [http://www.oissg.org/information-systems-security-assessment-framework-issaf-14.html] + CERT (Computer Emergency Response Team) [http://www.cert.org] # OCTAVE (Operationally Critical Threat, Asset and Vulnerability Evaluation) [http://www.cert.org/octave/] ! VND (Véase US-CERT VND) + US DHS (United States - Department of Homeland Security) [http://www.dhs.gov] + NCSD (National Cyber Security Division) [http://www.dhs.gov/xabout/structure/editorial_0839.shtm] + US-CERT (United States Computer Emergency Readiness Team) [http://www.us-cert.gov] ! CVE (Common Vulnerabilities and Exposures) [http://cve.mitre.org] ! VND (Vulnerability Notes Database) [http://www.kb.cert.org/vuls/] # OVAL (Open Vulnerability Assessment Language) [http://oval.mitre.org] + EC-Council (International Council of Electronic Commerce Consultants) [http://www.eccouncil.org] - CEH (Certified Ethical Hacker) [http://www.eccouncil.org/ceh.htm] - CHFI (Computer Hacking Forensic Investigator) [http://www.eccouncil.org/chfi.htm] - ECSA (EC-Council Certified Security Analyst) [http://www.eccouncil.org/ecsa.htm] - LPT (Licensed Penetration Tester) [http://www.eccouncil.org/lpt.htm] + OWASP (Open Web Application Security Project) [http://www.owasp.org] ! CCE (Common Configuration Enumeration) [http://cce.mitre.org] ! OSVDB (Open Source Vulnerability Database) [http://osvdb.org] + ISSA (Information Systems Security Association) [http://www.issa.org] + CSI Survey (2008) + ALAPSI (Asociación Latinoamericana de Profesionales en Seguridad Informática) [http://www.alapsi.org] + CREST (Council of Registered Ethical Security Testers) [http://www.crest-approved.org] - CREST Certified Consultant + Mile2 [http://www.mile2.com] - CPTS (Certified Penetration Testing Specialist) [http://www.mile2.com/Certified_Penetration_Testing_Specialist_CPTS.html] + IACRB (Information Assurance Certification Review Board) [http://www.iacrb.org] - CEPT (Certified Expert Penetration Tester) [http://www.iacertification.org/cept_certified_expert_penetration_tester.html] - CASS (Certified Application Security Specialist) [http://www.iacertification.org/cass_certified_application_security_specialist.html] - CSSA (Certified SCADA Security Architect) [http://www.iacertification.org/cssa_certified_scada_security_architect.html] - CREA (Certified Reverse Engineering Analyst) [http://www.iacertification.org/crea_certified_reverse_engineering_analyst.html] - CPT (Certified Penetration Tester) [http://www.iacertification.org/cpt_certified_penetration_tester.html] - CDRP (Certified Data Recovery Professional) [http://www.iacertification.org/cdrp_certified_certified_data_recovery_professional.html] + DRI (Disaster Recovery Institute) [https://www.drii.org] - CBCP (Certified Business Continuity Professional) [https://www.drii.org/certification/certification_cbcp.html] - CBCV (Certified Business Continuity Vendor) [https://www.drii.org/certification/certification_cbcv.html] - MBCP (Master Business Continuity Professional) [https://www.drii.org/certification/certification_mbcp.html] - CFCP (Certified Functional Continuity Professional) [https://www.drii.org/certification/certification_cfcp.html] - ABCP (Associate Business Continuity Professional) [https://www.drii.org/certification/certification_abcp.html] -=[ RELACIONADOS ]=- + OGC (Office of Government Commerce) [http://www.ogc.gov.uk] * ITIL (Information Technology Infrastructure Library, Mejores Prácticas destinadas a facilitar la entrega de servicios de Tecnologías de Información) [http://www.itil-officialsite.com] + ITGI (IT Governance Institute) [http://www.itgi.org] * CobiT (Control Objectives for Information and related Technology, Mejores Prácticas para el manejo de Información) [http://www.itgi.org/cobit/] * Sarbanes-Oxley Act of 2002 (SOX, Acta de Reforma de la Contabilidad Pública de Empresas y de Protección al Inversionista) + SEI (Carnegie Mellon University - Software Engineering Institute) [http://www.sei.cmu.edu] * CMM (Capability Maturity Model aka SW-CMM, Evaluación de procesos de una organización) [http://www.sei.cmu.edu/cmm/] * CMMI (Capability Maturity Model Integration, Mejora de procesos de una organización; Integración de modelos [SW-CMM, SE-CMM, IPD-CMM]) [http://www.sei.cmu.edu/cmmi/] * SE-CMM (Software Engineering Capability Maturity Model) * IPD-CMM (Integrated Product Development Capability Maturity Model) + ISSEA (International Systems Security Engineering Association) [http://www.issea.org] * SSE-CMM (Systems Security Engineering Capability Maturity Model, basado en CMM) [http://www.sse-cmm.org] * ISM3 (Information Security Management Maturity Model aka ISM-Cubed) [http://www.ism3.com] * Six Sigma (Centrada en la eliminación de defectos o fallas en la entrega de un producto o servicio al cliente, 1986) [http://www.6sigma.us] * ITSM (IT Service Management, disciplina que se utiliza para la gestión de Sistemas de Tecnología de la Información; Ejemplos que son considerados ejemplos o instancias de ITSM son ITIL y CobiT) -=[ TITULOS ]=- - CEO (Chief Executive Officer) - CISO (Chief Information Security officer) - CSO (Chief Security Officer) - CTO (Chief Technical Officer aka Chief Technology Officer) - CIO (Chief Information Officer) - CPO (Chief Privacy Officer) - CNO (Chief Networking Officer) |-=-|-=-|-=-|-=-|-=-|-=-|-=-|-=-|-=-|-=-|-=-|-=-|-=-|-=-|-=-|-=-|-=-|-=-|-=-|-=-|-=-|-=-|-=-|-=-| pØwered by: ___ ___ ___ ___ __ /__/\ ___ ___ / /\ / /\ /__/\ / /\ \ \:\ / /\ / /\ / /::\ / /::\ \ \:\ / /:/_ \ \:\ / /:/ / /:/ / /:/\:\ / /:/\:\ \ \:\ / /:/ /\ _____\__\:\ /__/::\ / /:/ / /:/~/:/ / /:/ \:\ ___ \ \:\ / /:/ /::\ /__/::::::::\ \__\/\:\__ / /::\ /__/:/ /:/___ /__/:/ \__\:\ /__/\ \__\:\ /__/:/ /:/\:\ \ \:\~~\~~\/ \ \:\/\ /__/:/\:\ \ \:\/:::::/ \ \:\ / /:/ \ \:\ / /:/ \ \:\/:/~/:/ \ \:\ ~~~ \__\::/ \__\/ \:\ \ \::/~~~~ \ \:\ /:/ \ \:\ /:/ \ \::/ /:/ \ \:\ /__/:/ \ \:\ \ \:\ \ \:\/:/ \ \:\/:/ \__\/ /:/ \ \:\ \__\/ \__\/ \ \:\ \ \::/ \ \::/ /__/:/ \__\/ \__\/ \__\/ \__\/ \__\/ |-=-|-=-|-=-|-=-|-=-|-=-|-=-|-=-|-=-|-=-|-=-|-=-|-=-|-=-|-=-|-=-|-=-|-=-|-=-|-=-|-=-|-=-|-=-|-=-| -EOF-