Los estándares de seguridad de la información o estándares de seguridad cibernética [1] son técnicas generalmente descritas en materiales publicados que intentan proteger el entorno cibernético de un usuario u organización. [2] Este entorno incluye a los propios usuarios, redes, dispositivos, todo el software, procesos, información almacenada o en tránsito, aplicaciones, servicios y sistemas que pueden conectarse directa o indirectamente a las redes.
El objetivo principal es reducir los riesgos, incluida la prevención o mitigación de los ciberataques . Estos materiales publicados constan de herramientas, políticas, conceptos de seguridad, salvaguardias de seguridad, directrices, enfoques de gestión de riesgos, acciones, capacitación, mejores prácticas, garantías y tecnologías.
Los estándares de ciberseguridad han existido durante varias décadas a medida que usuarios y proveedores han colaborado en muchos foros nacionales e internacionales para implementar las capacidades, políticas y prácticas necesarias, generalmente surgiendo del trabajo del Consorcio de Investigación sobre Políticas y Seguridad de la Información de Stanford en la década de 1990. [3]
Un estudio de adopción del marco de seguridad de EE. UU. de 2016 informó que el 70% de las organizaciones encuestadas consideran el Marco de ciberseguridad del NIST como la mejor práctica más popular para la seguridad informática de las tecnologías de la información (TI), pero muchas señalan que requiere una inversión significativa. [4] Las operaciones transfronterizas de exfiltración cibernética realizadas por organismos encargados de hacer cumplir la ley para contrarrestar las actividades criminales internacionales en la web oscura plantean cuestiones jurisdiccionales complejas que, hasta cierto punto, siguen sin respuesta. [5] [6] Es probable que las tensiones entre los esfuerzos nacionales de aplicación de la ley para llevar a cabo operaciones transfronterizas de exfiltración cibernética y la jurisdicción internacional sigan proporcionando mejores normas de ciberseguridad. [5] [7]
Las subsecciones siguientes detallan los estándares internacionales relacionados con la ciberseguridad.
ISO/IEC 27001, parte de la creciente familia de estándares ISO/IEC 27000 , es un estándar de sistema de gestión de seguridad de la información (SGSI), cuya última revisión fue publicada en octubre de 2022 por la Organización Internacional de Normalización (ISO) y la Organización Internacional de Normalización. Comisión Electrotécnica (IEC). Su nombre completo es ISO/IEC 27001:2022 – Seguridad de la información, ciberseguridad y protección de la privacidad - Sistemas de gestión de seguridad de la información - Requisitos .
La norma ISO/IEC 27001 ha sido adoptada de manera idéntica a la EN ISO/IEC 27001 por CEN y CENELEC. [8]
ISO/IEC 27001 especifica formalmente un sistema de gestión destinado a poner la seguridad de la información bajo un control de gestión explícito.
ISO/IEC 27002 incorpora la parte 1 del estándar de buenas prácticas de gestión de seguridad BS 7799 . La última versión de BS 7799 es BS 7799-3. Por lo tanto, a veces ISO/IEC 27002 se denomina ISO 17799 o BS 7799 parte 1 y, a veces, se refiere a la parte 1 y a la parte 7. BS 7799 parte 1 proporciona un esquema o una guía de buenas prácticas para la gestión de la ciberseguridad; mientras que BS 7799 parte 2 e ISO/IEC 27001 son normativas y, por lo tanto, proporcionan un marco para la certificación. ISO/IEC 27002 es una guía de alto nivel para la ciberseguridad. Es más beneficioso como guía explicativa para la gestión de una organización obtener la certificación según la norma ISO/IEC 27001. La certificación una vez obtenida tiene una duración de tres años. Dependiendo de la organización auditora, durante los tres años podrá realizarse ninguna auditoría o algunas auditorías intermedias.
ISO/IEC 27001 (ISMS) reemplaza a BS 7799 parte 2, pero dado que es compatible con versiones anteriores, cualquier organización que trabaje hacia BS 7799 parte 2 puede realizar fácilmente la transición al proceso de certificación ISO/IEC 27001. También hay una auditoría de transición disponible para que sea más fácil una vez que una organización obtenga la certificación BS 7799 parte 2 para que la organización obtenga la certificación ISO/IEC 27001. ISO/IEC 27002 proporciona recomendaciones de mejores prácticas sobre la gestión de la seguridad de la información para uso de los responsables de iniciar, implementar o mantener sistemas de gestión de la seguridad de la información (SGSI). Establece los sistemas de seguridad de la información necesarios para implementar los objetivos de control de ISO/IEC 27002. Sin ISO/IEC 27001, los objetivos de control de ISO/IEC 27002 son ineficaces. Los objetivos de controles de ISO/IEC 27002 se incorporan a ISO 27001 en el Anexo A.
ISO/IEC 21827 (SSE-CMM – ISO/IEC 21827) es una norma internacional basada en el Modelo de madurez de capacidad de ingeniería de seguridad de sistemas (SSE-CMM) que puede medir la madurez de los objetivos de controles ISO.
Esta norma desarrolla lo que se denomina los “ Criterios Comunes ”. Permite integrar y probar muchos productos diferentes de software y hardware de forma segura.
El estándar de ciberseguridad IEC 62443 define procesos, técnicas y requisitos para los Sistemas de Control y Automatización Industrial (IACS). Sus documentos son el resultado del proceso de creación de estándares IEC donde todos los comités nacionales involucrados acuerdan un estándar común.
Todos los estándares e informes técnicos IEC 62443 están organizados en cuatro categorías generales denominadas General , Políticas y Procedimientos , Sistema y Componente .
ISO/SAE 21434 "Vehículos de carretera - Ingeniería de ciberseguridad" es un estándar de ciberseguridad desarrollado conjuntamente por los grupos de trabajo ISO y SAE . Propone medidas de ciberseguridad para el desarrollo del ciclo de vida de los vehículos de carretera. La norma se publicó en agosto de 2021. [9]
La norma está relacionada con la regulación de la Unión Europea (UE) sobre ciberseguridad que se encuentra actualmente en desarrollo. La CEPE está desarrollando , en coordinación con la UE, una certificación para un "Sistema de gestión de seguridad cibernética" (CSMS), que será obligatorio para la homologación de vehículos . ISO/SAE 21434 es una norma técnica para el desarrollo automotriz que puede demostrar el cumplimiento de esas regulaciones.
Un derivado de esto se encuentra en el trabajo de UNECE WP29 , que proporciona regulaciones para la ciberseguridad de los vehículos y las actualizaciones de software. [10]
El estándar ETSI EN 303 645 proporciona un conjunto de requisitos básicos para la seguridad en dispositivos de Internet de las cosas (IoT) de consumo. Contiene controles técnicos y políticas organizativas para desarrolladores y fabricantes de dispositivos de consumo conectados a Internet. El estándar se publicó en junio de 2020 [11] y está previsto que se complemente con otros estándares más específicos. Dado que muchos dispositivos IoT de consumo manejan información de identificación personal (PII) , la implementación del estándar ayuda a cumplir con el Reglamento general de protección de datos (GDPR) en la UE. [12]
Las disposiciones de Ciberseguridad en esta norma europea son:
La evaluación de la conformidad de estos requisitos básicos se realiza a través de la norma TS 103 701, que permite la autocertificación o la certificación por parte de otro grupo. [13]
Las subsecciones siguientes detallan los estándares y marcos nacionales relacionados con la ciberseguridad.
NERC creó un intento inicial de crear estándares de seguridad de la información para la industria de la energía eléctrica en 2003 y se conoció como NERC CSS (Estándares de seguridad cibernética). [14] Posteriormente a las directrices CSS, NERC evolucionó y mejoró esos requisitos. El estándar de seguridad NERC moderno más reconocido es NERC 1300, que es una modificación/actualización de NERC 1200. La versión más reciente de NERC 1300 se llama CIP-002-3 a CIP-009-3 (CIP = Protección de infraestructura crítica). Estos estándares se utilizan para proteger sistemas eléctricos a granel, aunque NERC ha creado estándares en otras áreas. Los estándares de sistemas eléctricos a granel también brindan administración de seguridad de la red y al mismo tiempo respaldan los procesos de mejores prácticas de la industria. [1]
La serie 140 de Estándares Federales de Procesamiento de Información ( FIPS ) son estándares de seguridad informática del gobierno de EE. UU. que especifican los requisitos para los módulos de criptografía . Tanto FIPS 140-2 como FIPS 140-3 se aceptan como vigentes y activos.
Cyber Essentials es un plan de garantía de información del gobierno del Reino Unido operado por el Centro Nacional de Seguridad Cibernética (NCSC) . Alienta a las organizaciones a adoptar buenas prácticas en seguridad de la información. Cyber Essentials también incluye un marco de seguridad y un conjunto simple de controles de seguridad para proteger la información de amenazas provenientes de Internet.
El Centro Australiano de Seguridad Cibernética ha desarrollado estrategias de mitigación priorizadas, en forma de Estrategias para mitigar incidentes de seguridad cibernética, para ayudar a las organizaciones a protegerse contra diversas amenazas cibernéticas. La más eficaz de estas estrategias de mitigación se denomina Ocho Esenciales. [dieciséis]
Los estándares de la Oficina Federal de Seguridad de la Información ( en alemán : Bundesamt für Sicherheit in der Informationstechnik , abreviado como BSI) son un componente elemental de la metodología de protección básica de TI ( en alemán : IT-Grundschutz ). Contienen recomendaciones sobre métodos, procesos y procedimientos, así como enfoques y medidas para diversos aspectos de la seguridad de la información. Los usuarios de autoridades públicas y empresas, así como fabricantes o proveedores de servicios, pueden utilizar los estándares BSI para hacer que sus procesos y datos comerciales sean más seguros. [17]
Las subsecciones siguientes detallan los estándares y marcos de ciberseguridad relacionados con industrias específicas.
El Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) es un estándar de seguridad de la información para organizaciones que manejan tarjetas de crédito de marca de los principales esquemas de tarjetas. El estándar PCI es obligatorio para las marcas de tarjetas, pero lo administra el Consejo de Normas de Seguridad de la Industria de Tarjetas de Pago. El estándar se creó para aumentar los controles sobre los datos de los titulares de tarjetas y reducir el fraude con tarjetas de crédito.
UL 2900 es una serie de estándares publicados por UL . Los estándares incluyen requisitos generales de ciberseguridad (UL 2900-1), así como requisitos específicos para productos médicos (UL 2900-2-1), sistemas industriales (UL 2900-2-2) y sistemas de señalización de seguridad y protección de vidas (UL 2900). -2-3).
UL 2900 requiere que los fabricantes hayan descrito y documentado la superficie de ataque de las tecnologías utilizadas en sus productos. Requiere modelado de amenazas basado en el uso previsto y el entorno de implementación. La norma requiere la implementación de medidas de seguridad efectivas que protejan los datos sensibles (personales), así como otros activos, como los datos de comando y control. También requiere que se hayan eliminado las vulnerabilidades de seguridad en el software, se hayan seguido principios de seguridad como la defensa en profundidad y se haya verificado la seguridad del software mediante pruebas de penetración.