Estándares de seguridad de la información.

format_list_bulleted Contenido keyboard_arrow_down
ImprimirCitar

Los estándares de seguridad de la información o estándares de seguridad cibernética son técnicas generalmente descritas en materiales publicados que intentan proteger el entorno cibernético de un usuario u organización. Este entorno incluye a los propios usuarios, redes, dispositivos, todo el software, procesos, información almacenada o en tránsito, aplicaciones, servicios y sistemas que pueden conectarse directa o indirectamente a las redes.

El objetivo principal es reducir los riesgos, incluida la prevención o la mitigación de los ataques cibernéticos. Estos materiales publicados constan de herramientas, políticas, conceptos de seguridad, salvaguardias de seguridad, directrices, enfoques de gestión de riesgos, acciones, capacitación, mejores prácticas, garantías y tecnologías.

Historia

Los estándares de seguridad cibernética han existido durante varias décadas a medida que los usuarios y proveedores han colaborado en muchos foros nacionales e internacionales para implementar las capacidades, políticas y prácticas necesarias, que generalmente surgen del trabajo del Consorcio de Stanford para la Investigación sobre Políticas y Seguridad de la Información en el Década de 1990.

Un estudio de adopción del marco de seguridad de EE. UU. de 2016 informó que el 70% de las organizaciones encuestadas consideran el Marco de ciberseguridad del NIST como la mejor práctica más popular para la seguridad informática de las tecnologías de la información (TI), pero muchas señalan que requiere una inversión significativa. Las operaciones transfronterizas de exfiltración cibernética realizadas por organismos encargados de hacer cumplir la ley para contrarrestar las actividades delictivas internacionales en la web oscura plantean cuestiones jurisdiccionales complejas que, hasta cierto punto, siguen sin respuesta. Es probable que las tensiones entre los esfuerzos nacionales de aplicación de la ley para llevar a cabo operaciones transfronterizas de exfiltración cibernética y la jurisdicción internacional sigan proporcionando mejores normas de ciberseguridad.

Estándares Internacionales

Las subsecciones a continuación se detallan los estándares internacionales relacionados con la ciberseguridad.

ISO/IEC 27001 y 27002

ISO/IEC 27001, parte de la creciente familia de estándares ISO/IEC 27000, es un estándar del Sistema de Gestión de Seguridad de la Información (ISMS), del cual la última revisión fue publicada en octubre de 2022 por la Organización Internacional de Estandarización (ISO) y la Comisión Electrotécnica Internacional (IEC). Su nombre completo es ISO/IEC 27001:2022 – Seguridad de la información, ciberseguridad y protección de la privacidad - Sistemas de gestión de seguridad de la información - Requisitos.

La norma ISO/IEC 27001 ha sido adoptada de manera idéntica a EN ISO/IEC 27001 por CEN y CENELEC.

ISO/IEC 27001 especifica formalmente un sistema de gestión destinado a poner la seguridad de la información bajo un control de gestión explícito.

ISO/IEC 27002 incorpora la parte 1 del estándar de buenas prácticas de gestión de seguridad BS 7799. La última versión de BS 7799 es BS 7799-3. Por lo tanto, a veces ISO/IEC 27002 se denomina ISO 17799 o BS 7799 parte 1 y, a veces, se refiere a la parte 1 y a la parte 7. BS 7799 parte 1 proporciona un esquema o una guía de buenas prácticas para la gestión de la ciberseguridad; mientras que BS 7799 parte 2 e ISO/IEC 27001 son normativas y, por lo tanto, proporcionan un marco para la certificación. ISO/IEC 27002 es una guía de alto nivel para la ciberseguridad. Es más beneficioso como guía explicativa para la gestión de una organización obtener la certificación según la norma ISO/IEC 27001. La certificación una vez obtenida tiene una duración de tres años. Dependiendo de la organización auditora, durante los tres años podrá realizarse ninguna auditoría o algunas auditorías intermedias.

ISO/IEC 27001 (ISMS) reemplaza a BS 7799 parte 2, pero dado que es compatible con versiones anteriores, cualquier organización que trabaje hacia BS 7799 parte 2 puede realizar fácilmente la transición al proceso de certificación ISO/IEC 27001. También hay una auditoría de transición disponible para que sea más fácil una vez que una organización obtenga la certificación BS 7799 parte 2 para que la organización obtenga la certificación ISO/IEC 27001. ISO/IEC 27002 proporciona recomendaciones de mejores prácticas sobre la gestión de la seguridad de la información para uso de los responsables de iniciar, implementar o mantener sistemas de gestión de la seguridad de la información (SGSI). Establece los sistemas de seguridad de la información necesarios para implementar los objetivos de control de ISO/IEC 27002. Sin ISO/IEC 27001, los objetivos de control de ISO/IEC 27002 son ineficaces. Los objetivos de controles de ISO/IEC 27002 se incorporan a ISO 27001 en el Anexo A.

ISO/IEC 21827 (SSE-CMM – ISO/IEC 21827) es una norma internacional basada en el Modelo de madurez de capacidad de ingeniería de seguridad de sistemas (SSE-CMM) que puede medir la madurez de los objetivos de controles ISO.

ISO/IEC 15408

Esta norma desarrolla lo que se denomina “Criterios Comunes”. Permite integrar y probar muchos productos diferentes de software y hardware de forma segura.

IEC 62443

El estándar de ciberseguridad IEC 62443 define procesos, técnicas y requisitos para los sistemas de control y automatización industrial (IACS). Sus documentos son el resultado del proceso de creación de estándares IEC donde todos los comités nacionales involucrados acuerdan un estándar común.

The numbering and organization of IEC 62443 work products into categories.
Productos de trabajo IEC 62443 previstos y publicados para IACS Security.

Todos los estándares e informes técnicos IEC 62443 están organizados en cuatro categorías generales denominadas General, Políticas y procedimientos, Sistema y Componente. .

  1. La primera categoría incluye información fundamental como conceptos, modelos y terminología.
  2. La segunda categoría de productos de trabajo apunta al Propietario de Activos. Estos abordan diversos aspectos de la creación y mantenimiento de un programa de seguridad IACS eficaz.
  3. La tercera categoría incluye productos de trabajo que describen directrices y requisitos de diseño del sistema para la integración segura de los sistemas de control. Core en esta es la zona y el conducto, modelo de diseño.
  4. La cuarta categoría incluye productos de trabajo que describen el desarrollo específico de productos y requisitos técnicos de los productos del sistema de control.

ISO/SAE 21434

ISO/SAE 21434 "Vehículos de carretera - Ingeniería de ciberseguridad" es un estándar de ciberseguridad desarrollado conjuntamente por los grupos de trabajo ISO y SAE. Propone medidas de ciberseguridad para el desarrollo del ciclo de vida de los vehículos de carretera. La norma se publicó en agosto de 2021.

El estándar está relacionado con la regulación de la Unión Europea (UE) sobre ciberseguridad que se está desarrollando actualmente. En coordinación con la UE, la CEPE está desarrollando una certificación para un "Sistema de Gestión de Seguridad Cibernética" (CSMS), que será obligatorio para la homologación de vehículos. ISO/SAE 21434 es una norma técnica para el desarrollo automotriz que puede demostrar el cumplimiento de esas regulaciones.

Un derivado de esto se encuentra en el trabajo de UNECE WP29, que proporciona regulaciones para la ciberseguridad de los vehículos y las actualizaciones de software.

ETSI EN 303 645

El estándar ETSI EN 303 645 proporciona un conjunto de requisitos básicos para la seguridad en dispositivos de Internet de las cosas (IoT) de consumo. Contiene controles técnicos y políticas organizativas para desarrolladores y fabricantes de dispositivos de consumo conectados a Internet. El estándar se publicó en junio de 2020 y está previsto que se complemente con otros estándares más específicos. Dado que muchos dispositivos IoT de consumo manejan información de identificación personal (PII), la implementación del estándar ayuda a cumplir con el Reglamento general de protección de datos (GDPR) en la UE.

Las disposiciones de Ciberseguridad en esta norma europea son:

  1. No contraseñas por defecto universales
  2. Aplicar un medio para gestionar los informes de vulnerabilidad
  3. Mantenga el software actualizado
  4. Almacene los parámetros de seguridad sensibles
  5. Comunicarse de forma segura
  6. Minimizar superficies de ataque expuestas
  7. Garantizar la integridad de los programas
  8. Asegurar que los datos personales sean seguros
  9. Hacer sistemas resistentes a las interrupciones
  10. Examinar los datos de telemetría del sistema
  11. Haga que sea fácil para los usuarios eliminar datos de usuario
  12. Hacer fácil la instalación y el mantenimiento de dispositivos
  13. Datos de entrada validados

La evaluación de la conformidad de estos requisitos básicos se realiza a través de la norma TS 103 701, que permite la autocertificación o la certificación por parte de otro grupo.

Estándares Nacionales

Las subsecciones siguientes detallan los estándares y marcos nacionales relacionados con la ciberseguridad.

NERC

NERC creó un intento inicial de crear estándares de seguridad de la información para la industria de la energía eléctrica en 2003 y se conoció como NERC CSS (Estándares de seguridad cibernética). Después de las directrices CSS, NERC evolucionó y mejoró esos requisitos. El estándar de seguridad NERC moderno más reconocido es NERC 1300, que es una modificación/actualización de NERC 1200. La versión más reciente de NERC 1300 se llama CIP-002-3 a CIP-009-3 (CIP = Protección de infraestructura crítica). Estos estándares se utilizan para proteger sistemas eléctricos a granel, aunque NERC ha creado estándares en otras áreas. Los estándares de sistemas eléctricos a granel también brindan administración de seguridad de la red y, al mismo tiempo, respaldan los procesos de mejores prácticas de la industria.[1]

NIST

  1. El NIST Cybersecurity Framework (NIST CSF) "proporciona una taxonomía de alto nivel de los resultados de la ciberseguridad y una metodología para evaluar y gestionar esos resultados". Está destinado a ayudar a las organizaciones del sector privado que proporcionan infraestructura crítica con orientación sobre cómo protegerla, junto con las protecciones pertinentes para la privacidad y las libertades civiles.
  2. La publicación especial 800-12 ofrece una amplia visión general de las áreas de seguridad y control de la computadora. También subraya la importancia de los controles de seguridad y las formas de aplicarlos. Inicialmente, este documento estaba dirigido al gobierno federal, aunque la mayoría de las prácticas en este documento también se pueden aplicar al sector privado. Específicamente, fue escrito para esas personas en el gobierno federal responsable de manejar sistemas sensibles. [2]
  3. La publicación especial 800-14 describe los principios comunes de seguridad que se utilizan. Proporciona una descripción de alto nivel de lo que debe incorporarse dentro de una política de seguridad informática. Describe lo que se puede hacer para mejorar la seguridad existente, así como cómo desarrollar una nueva práctica de seguridad. En el presente documento se describen ocho principios y catorce prácticas. [3]
  4. La publicación especial 800-26 ofrece asesoramiento sobre cómo gestionar la seguridad informática. Superada por NIST SP 800-53 rev3. En este documento se hace hincapié en la importancia de la autoevaluación y la evaluación del riesgo. [4]
  5. Publicación especial 800-37, actualizada en 2010 ofrece un nuevo enfoque de riesgo: "Guide for Applying the Risk Management Framework to Federal Information Systems"
  6. Publicación especial 800-53 rev4, "Security and Privacy Controls for Federal Information Systems and Organizations", publicada en abril de 2013 actualizada para incluir actualizaciones a partir del 15 de enero de 2014, aborda específicamente los 194 controles de seguridad que se aplican a un sistema para hacerlo "más seguro".
  7. Publicación especial 800-63-3, "Directrices Digitales de Identidad", publicada en junio de 2017 actualizada para incluir actualizaciones a partir del 1 de diciembre de 2017, proporciona directrices para la implementación de servicios de identidad digital, incluyendo pruebas de identidad, registro y autenticación de usuarios. [5]
  8. Publicación especial 800-82, Revisión 2, "Guide to Industrial Control System (ICS) Security", revisada en mayo de 2015, describe cómo asegurar múltiples tipos de Sistemas de Control Industrial contra ciberataques mientras se examinan los requisitos de rendimiento, fiabilidad y seguridad específicos para ICS. [6]

FIPS 140

La serie 140 de Estándares Federales de Procesamiento de Información (FIPS) son estándares de seguridad informática del gobierno de EE. UU. que especifican los requisitos para los módulos de criptografía. Tanto FIPS 140-2 como FIPS 140-3 se aceptan como vigentes y activos.

Ciberesenciales del NCSC

Cyber Essentials es un plan de garantía de información del gobierno del Reino Unido operado por el Centro Nacional de Seguridad Cibernética (NCSC). Alienta a las organizaciones a adoptar buenas prácticas en seguridad de la información. Cyber Essentials también incluye un marco de seguridad y un conjunto simple de controles de seguridad para proteger la información de amenazas provenientes de Internet.

Ocho esenciales

El Centro Australiano de Seguridad Cibernética ha desarrollado estrategias de mitigación prioritarias, en forma de Estrategias para mitigar incidentes de seguridad cibernética, para ayudar a las organizaciones a protegerse contra diversas amenazas cibernéticas. La más eficaz de estas estrategias de mitigación se denomina Ocho Esenciales.

BSI IT-Grundschutz

Los estándares de la Oficina Federal de Seguridad de la Información (en alemán: Bundesamt für Sicherheit in der Informationstechnik, abreviado como BSI) son un componente elemental de la protección básica de TI (en alemán: IT-Grundschutz). Contienen recomendaciones sobre métodos, procesos y procedimientos, así como enfoques y medidas para diversos aspectos de la seguridad de la información. Los usuarios de autoridades públicas y empresas, así como fabricantes o proveedores de servicios, pueden utilizar los estándares BSI para hacer que sus procesos y datos comerciales sean más seguros.

  • BSI Standard 100-4 cubre Business Continuity Management (BCM).
  • BSI Standard 200-1 define requisitos generales para un sistema de gestión de la seguridad de la información (ISMS). Es compatible con ISO 27001 y considera recomendaciones de otros estándares ISO como ISO 27002.
  • BSI Standard 200-2 constituye la base de la metodología de BSI para establecer un sistema de gestión de seguridad de la información (ISMS). Se establecen tres procedimientos para la aplicación de la protección de la base de datos de TI.
  • BSI Standard 200-3 incluye todas las medidas relacionadas con el riesgo en la aplicación de la protección de base de TI.

Estándares específicos de la industria

Las subsecciones siguientes detallan los estándares y marcos de ciberseguridad relacionados con industrias específicas.

PCI DSS

El Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) es un estándar de seguridad de la información para organizaciones que manejan tarjetas de crédito de marca de los principales esquemas de tarjetas. El estándar PCI es obligatorio para las marcas de tarjetas, pero lo administra el Consejo de Normas de Seguridad de la Industria de Tarjetas de Pago. El estándar se creó para aumentar los controles sobre los datos de los titulares de tarjetas y reducir el fraude con tarjetas de crédito.

UL 2900

UL 2900 es una serie de estándares publicados por UL. Los estándares incluyen requisitos generales de ciberseguridad (UL 2900-1), así como requisitos específicos para productos médicos (UL 2900-2-1), sistemas industriales (UL 2900-2-2) y sistemas de señalización de seguridad y protección de vidas (UL 2900). -2-3).

UL 2900 requiere que los fabricantes hayan descrito y documentado la superficie de ataque de las tecnologías utilizadas en sus productos. Requiere modelado de amenazas basado en el uso previsto y el entorno de implementación. La norma requiere la implementación de medidas de seguridad efectivas que protejan los datos sensibles (personales), así como otros activos, como los datos de comando y control. También requiere que se hayan eliminado las vulnerabilidades de seguridad en el software, se hayan seguido principios de seguridad como la defensa en profundidad y se haya verificado la seguridad del software mediante pruebas de penetración.

Más resultados...
Te puede interesar
Tamaño del texto:
undoredo
format_boldformat_italicformat_underlinedstrikethrough_ssuperscriptsubscriptlink
save
cancelcheck_circle