Los estándares de seguridad de la información (también estándares de seguridad cibernética [1] ) son técnicas generalmente descritas en materiales publicados que intentan proteger el entorno cibernético de un usuario u organización. [2] Este entorno incluye a los propios usuarios, redes, dispositivos, todo el software, procesos, información almacenada o en tránsito, aplicaciones, servicios y sistemas que pueden conectarse directa o indirectamente a las redes.
El objetivo principal es reducir los riesgos, incluida la prevención o mitigación de los ciberataques . Estos materiales publicados incluyen herramientas, políticas, conceptos de seguridad, medidas de seguridad, directrices, enfoques de gestión de riesgos, acciones, formación, mejores prácticas, garantías y tecnologías.
Los estándares de ciberseguridad existen desde hace varias décadas, ya que los usuarios y proveedores han colaborado en muchos foros nacionales e internacionales para implementar las capacidades, políticas y prácticas necesarias, generalmente a partir del trabajo del Consorcio de Stanford para la Investigación sobre Seguridad de la Información y Políticas en la década de 1990. [3]
Un estudio de adopción del marco de seguridad de EE. UU. de 2016 informó que el 70% de las organizaciones encuestadas utilizan el Marco de Ciberseguridad del NIST como la mejor práctica más popular para la seguridad informática de la tecnología de la información (TI), pero muchas señalan que requiere una inversión significativa. [4] Las operaciones transfronterizas de exfiltración cibernética por parte de las agencias de aplicación de la ley para contrarrestar las actividades delictivas internacionales en la red oscura plantean cuestiones jurisdiccionales complejas que, hasta cierto punto, siguen sin respuesta. [5] [6] Las tensiones entre los esfuerzos de aplicación de la ley nacionales para realizar operaciones transfronterizas de exfiltración cibernética y la jurisdicción internacional probablemente seguirán proporcionando normas de ciberseguridad mejoradas. [5] [7]
Las subsecciones siguientes detallan los estándares internacionales relacionados con la ciberseguridad.
La norma ISO/IEC 27001, parte de la creciente familia de normas ISO/IEC 27000 , es una norma de sistemas de gestión de seguridad de la información (SGSI), cuya última revisión fue publicada en octubre de 2022 por la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC). Su nombre completo es ISO/IEC 27001:2022 – Seguridad de la información, ciberseguridad y protección de la privacidad - Sistemas de gestión de seguridad de la información - Requisitos .
La norma ISO/IEC 27001 ha sido adoptada de forma idéntica a la EN ISO/IEC 27001 por CEN y CENELEC. [8]
La norma ISO/IEC 27001 especifica formalmente un sistema de gestión para poner la seguridad de la información bajo un control de gestión explícito.
La norma ISO/IEC 27002 incorpora la parte 1 de la norma BS 7799 sobre buenas prácticas de gestión de la seguridad. La última versión de la norma BS 7799 es la BS 7799-3. A veces, se hace referencia a la norma ISO/IEC 27002 como ISO 17799 o BS 7799 parte 1, y a veces se hace referencia a la parte 1 y a la parte 7. La parte 1 de la norma BS 7799 proporciona un esquema o una guía de buenas prácticas para la gestión de la ciberseguridad, mientras que la parte 2 de la norma BS 7799 y la norma ISO/IEC 27001 son normativas y proporcionan un marco para la certificación. La norma ISO/IEC 27002 es una guía de alto nivel sobre ciberseguridad. Resulta más beneficioso como orientación explicativa para la gestión de una organización obtener la certificación según la norma ISO/IEC 27001. La certificación, una vez obtenida, dura tres años. Es posible que no se realicen auditorías o que se realicen algunas auditorías intermedias durante los tres años, según la organización auditora.
La norma ISO/IEC 27001 (SGSI) sustituye a la norma BS 7799 parte 2, pero como es compatible con versiones anteriores, cualquier organización que esté trabajando para obtener la norma BS 7799 parte 2 puede realizar fácilmente la transición al proceso de certificación ISO/IEC 27001. También está disponible una auditoría de transición para facilitar que una organización, una vez que esté certificada según la norma BS 7799 parte 2, obtenga la certificación ISO/IEC 27001. La norma ISO/IEC 27002 ofrece recomendaciones sobre las mejores prácticas en materia de gestión de la seguridad de la información para los responsables de iniciar, implementar o mantener sistemas de gestión de la seguridad de la información (SGSI). Establece los sistemas de seguridad de la información necesarios para implementar los objetivos de control de la norma ISO/IEC 27002. Sin la norma ISO/IEC 27001, los objetivos de control de la norma ISO/IEC 27002 son ineficaces. En el Anexo A, los objetivos de control de la norma ISO/IEC 27002 se incorporan a la norma ISO 27001.
ISO/IEC 21827 (SSE-CMM – ISO/IEC 21827) es un estándar internacional basado en el Modelo de madurez de la capacidad de ingeniería de seguridad de sistemas (SSE-CMM) que puede medir la madurez de los objetivos de control ISO.
Este estándar desarrolla lo que se denomina “ Criterios Comunes ”, que permite integrar y probar de forma segura muchos productos de software y hardware diferentes.
Las normas de ciberseguridad IEC/ISA 62443 definen procesos, técnicas y requisitos para los sistemas de automatización y control industrial (IACS). Los documentos de esta serie se desarrollan a través de una relación de colaboración entre el comité ISA99 y el IEC TC65 WG10, aplicando el proceso de creación de normas IEC en el que todos los comités nacionales involucrados acuerdan una norma común.
Todas las normas e informes técnicos IEC 62443 están organizados en cuatro categorías generales: General , Políticas y procedimientos , Sistema y Componente .
La norma ISO/SAE 21434 «Vehículos de carretera: ingeniería de ciberseguridad» es una norma de ciberseguridad desarrollada conjuntamente por los grupos de trabajo de ISO y SAE . Propone medidas de ciberseguridad para el ciclo de vida de desarrollo de los vehículos de carretera. La norma se publicó en agosto de 2021. [9]
La norma está relacionada con la normativa de la Unión Europea (UE) sobre ciberseguridad que se está desarrollando actualmente. En coordinación con la UE, la CEPE está creando una certificación de "Sistema de gestión de la ciberseguridad" (CSMS) obligatoria para la homologación de vehículos . La ISO/SAE 21434 es una norma técnica para el desarrollo de automóviles que puede demostrar el cumplimiento de esas normativas.
Un derivado de esto es el trabajo del WP29 de la CEPE , que proporciona regulaciones para la ciberseguridad de los vehículos y las actualizaciones de software. [10]
La norma ETSI EN 303 645 proporciona un conjunto de requisitos básicos para la seguridad en dispositivos de Internet de las cosas (IoT) de consumo. Contiene controles técnicos y políticas organizativas para desarrolladores y fabricantes de dispositivos de consumo conectados a Internet. La norma se publicó en junio de 2020 [11] y está destinada a complementar otras normas más específicas. Dado que muchos dispositivos de IoT de consumo manejan información de identificación personal (PII) , la implementación de la norma ayuda a cumplir con el Reglamento General de Protección de Datos (GDPR) de la UE en la UE. [12]
Las disposiciones de ciberseguridad en esta norma europea son:
La evaluación de la conformidad de estos requisitos básicos se realiza a través de la norma TS 103 701, que permite la autocertificación o la certificación por parte de otro grupo. [13]
Las subsecciones siguientes detallan los estándares y marcos nacionales relacionados con la ciberseguridad.
En 2003, el NERC creó un primer intento de crear estándares de seguridad de la información para la industria de la energía eléctrica, conocido como NERC CSS (Cyber Security Standards). [14] Después de las directrices CSS, el NERC desarrolló y mejoró esos requisitos. El estándar de seguridad NERC moderno más reconocido es el NERC 1300, una modificación/actualización del NERC 1200. La versión más reciente del NERC 1300 se denomina CIP-002-3 a CIP-009-3 (CIP=Critical Infrastructure Protection). Estos estándares protegen los sistemas eléctricos masivos, aunque el NERC ha creado estándares en otras áreas. Los estándares de sistemas eléctricos masivos también proporcionan administración de seguridad de red al tiempo que respaldan los procesos de mejores prácticas de la industria. [1]
La serie 140 de Estándares Federales de Procesamiento de Información ( FIPS ) son estándares de seguridad informática del gobierno de los EE. UU. que especifican los requisitos para los módulos de criptografía . Tanto FIPS 140-2 como FIPS 140-3 se aceptan como vigentes y activos.
Cyber Essentials es un programa de garantía de la información del gobierno del Reino Unido administrado por el Centro Nacional de Seguridad Cibernética (NCSC) . Incentiva a las organizaciones a adoptar buenas prácticas en materia de seguridad de la información. Cyber Essentials también incluye un marco de garantía y un conjunto simple de controles de seguridad para proteger la información de las amenazas provenientes de Internet.
El Centro Australiano de Seguridad Cibernética ha desarrollado estrategias de mitigación priorizadas, en forma de Estrategias para Mitigar Incidentes de Seguridad Cibernética, para ayudar a las organizaciones a protegerse contra diversas amenazas cibernéticas. La más eficaz de estas estrategias de mitigación se denomina Ocho Esenciales. [16]
Las normas de la Oficina Federal de Seguridad de la Información ( Bundesamt für Sicherheit in der Informationstechnik , abreviado como BSI) son un componente elemental de la metodología de protección de la línea base de TI ( IT - Grundschutz ). Contienen recomendaciones sobre métodos, procesos y procedimientos, enfoques y medidas para diversos aspectos de la seguridad de la información. Los usuarios de autoridades públicas, empresas, fabricantes o proveedores de servicios pueden utilizar las normas BSI para hacer que sus procesos comerciales y datos sean más seguros. [17]
Las subsecciones siguientes detallan los estándares y marcos de ciberseguridad relacionados con industrias específicas.
El Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) es un estándar de seguridad de la información para organizaciones que manejan tarjetas de crédito de marca de las principales redes de tarjetas. El Estándar PCI es obligatorio para las marcas de tarjetas, pero lo administra el Consejo de Estándares de Seguridad de la Industria de Tarjetas de Pago. El estándar fue creado para aumentar los controles en torno a los datos de los titulares de tarjetas con el fin de reducir el fraude con tarjetas de crédito.
UL 2900 es una serie de normas publicadas por UL . Las normas incluyen requisitos generales de ciberseguridad (UL 2900-1), así como requisitos específicos para productos médicos (UL 2900-2-1), sistemas industriales (UL 2900-2-2) y sistemas de señalización de seguridad y protección de la vida (UL 2900-2-3).
La norma UL 2900 exige que los fabricantes describan y documenten la superficie de ataque de las tecnologías utilizadas en sus productos. Requiere un modelado de amenazas basado en el uso previsto y el entorno de implementación. La norma exige medidas de seguridad eficaces que protejan los datos confidenciales (personales) y otros activos, como los datos de comando y control. También exige que se hayan eliminado las vulnerabilidades de seguridad en el software, que se hayan seguido los principios de seguridad, como la defensa en profundidad, y que se haya verificado la seguridad del software mediante pruebas de penetración.
La Organización Internacional de Normalización (ISO) es una organización de normalización internacional organizada como un consorcio de instituciones nacionales de normalización de 167 países, coordinadas a través de una secretaría en Ginebra, Suiza. ISO es el mayor desarrollador de normas internacionales del mundo. La Comisión Electrotécnica Internacional (IEC) es una organización de normalización internacional que se ocupa de la electrotecnología y coopera estrechamente con ISO. ISO/IEC 15443: "Tecnología de la información - Técnicas de seguridad - Un marco para el aseguramiento de la seguridad de TI", ISO/IEC 27002 : "Tecnología de la información - Técnicas de seguridad - Código de práctica para la gestión de la seguridad de la información", ISO/IEC 20000 : "Tecnología de la información - Gestión de servicios", e ISO/IEC 27001 : "Tecnología de la información - Técnicas de seguridad - Sistemas de gestión de la seguridad de la información - Requisitos" son de particular interés para los profesionales de la seguridad de la información.
El Instituto Nacional de Estándares y Tecnología de los Estados Unidos (NIST) es una agencia federal no regulatoria dentro del Departamento de Comercio de los Estados Unidos . La División de Seguridad Informática del NIST desarrolla estándares, métricas, pruebas y programas de validación, y publica estándares y pautas para aumentar la planificación, implementación, gestión y operación segura de TI. El NIST también es el custodio de las publicaciones del Estándar Federal de Procesamiento de Información (FIPS) de los Estados Unidos.
Internet Society es una sociedad de miembros profesionales con más de 100 organizaciones y más de 20.000 miembros individuales en más de 180 países. Proporciona liderazgo para abordar cuestiones que afectan al futuro de Internet y es la sede organizativa de los grupos responsables de los estándares de infraestructura de Internet, incluidos el Grupo de trabajo de ingeniería de Internet (IETF) y el Consejo de arquitectura de Internet (IAB). La ISOC alberga las solicitudes de comentarios (RFC), incluidas las Normas oficiales del protocolo de Internet y el Manual de seguridad de sitios RFC-2196 .
El Instituto de Profesionales de Seguridad de la Información (IISP) es un organismo independiente, sin fines de lucro, dirigido por sus miembros, cuyo principal objetivo es promover la profesionalidad de los profesionales de la seguridad de la información y, por ende, la profesionalidad de la industria. El instituto desarrolló el Marco de habilidades del IISP. Este marco describe la gama de competencias que los profesionales de la seguridad de la información y la garantía de la información esperan para desempeñar sus funciones de manera eficaz. Fue desarrollado a través de la colaboración entre organizaciones del sector público y privado, académicos de renombre mundial y líderes de seguridad. [18]
Las normas BSI 100-1 a 100-4 de la Oficina Federal Alemana de Seguridad de la Información ( Bundesamt für Sicherheit in der Informationstechnik (BSI) ) son un conjunto de recomendaciones que incluyen "métodos, procesos, procedimientos, enfoques y medidas relacionados con la seguridad de la información". [19] La norma BSI 100-2, Metodología IT-Grundschutz, describe cómo se puede implementar y operar la gestión de la seguridad de la información. La norma incluye una guía específica, los Catálogos de Protección de Línea Base de TI (Catálogos IT-Grundschutz). Antes de 2005, los catálogos se conocían anteriormente como " Manual de Protección de Línea Base de TI ". Los Catálogos son documentos útiles para detectar y combatir los puntos débiles relevantes para la seguridad en el entorno de TI (clúster de TI). A septiembre de 2013, la colección abarca más de 4.400 páginas con la introducción y los catálogos. El enfoque IT-Grundschutz está alineado con la familia ISO/IEC 2700x.
El Instituto Europeo de Normas de Telecomunicaciones estandarizó un catálogo de indicadores de seguridad de la información encabezado por el Grupo de Especificación Industrial (ISG) ISI.