Estándares de seguridad de la información.

Estándares y técnicas tecnológicas.

Los estándares de seguridad de la información o estándares de seguridad cibernética ^[1] son ​​técnicas generalmente descritas en materiales publicados que intentan proteger el entorno cibernético de un usuario u organización. ^[2] Este entorno incluye a los propios usuarios, redes, dispositivos, todo el software, procesos, información almacenada o en tránsito, aplicaciones, servicios y sistemas que pueden conectarse directa o indirectamente a las redes.

El objetivo principal es reducir los riesgos, incluida la prevención o mitigación de los ciberataques . Estos materiales publicados constan de herramientas, políticas, conceptos de seguridad, salvaguardias de seguridad, directrices, enfoques de gestión de riesgos, acciones, capacitación, mejores prácticas, garantías y tecnologías.

Historia

Los estándares de ciberseguridad han existido durante varias décadas a medida que usuarios y proveedores han colaborado en muchos foros nacionales e internacionales para implementar las capacidades, políticas y prácticas necesarias, generalmente surgiendo del trabajo del Consorcio de Investigación sobre Políticas y Seguridad de la Información de Stanford en la década de 1990. ^[3]

Un estudio de adopción del marco de seguridad de EE. UU. de 2016 informó que el 70% de las organizaciones encuestadas consideran el Marco de ciberseguridad del NIST como la mejor práctica más popular para la seguridad informática de las tecnologías de la información (TI), pero muchas señalan que requiere una inversión significativa. ^[4] Las operaciones transfronterizas de exfiltración cibernética realizadas por organismos encargados de hacer cumplir la ley para contrarrestar las actividades criminales internacionales en la web oscura plantean cuestiones jurisdiccionales complejas que, hasta cierto punto, siguen sin respuesta. ^{[5] [6]} Es probable que las tensiones entre los esfuerzos nacionales de aplicación de la ley para llevar a cabo operaciones transfronterizas de exfiltración cibernética y la jurisdicción internacional sigan proporcionando mejores normas de ciberseguridad. ^{[5] [7]}

Estándares internacionales

Las subsecciones siguientes detallan los estándares internacionales relacionados con la ciberseguridad.

ISO/CEI 27001 y 27002

ISO/IEC 27001, parte de la creciente familia de estándares ISO/IEC 27000 , es un estándar de sistema de gestión de seguridad de la información (SGSI), cuya última revisión fue publicada en octubre de 2022 por la Organización Internacional de Normalización (ISO) y la Organización Internacional de Normalización. Comisión Electrotécnica (IEC). Su nombre completo es ISO/IEC 27001:2022 – Seguridad de la información, ciberseguridad y protección de la privacidad - Sistemas de gestión de seguridad de la información - Requisitos .

La norma ISO/IEC 27001 ha sido adoptada de manera idéntica a la EN ISO/IEC 27001 por CEN y CENELEC. ^[8]

ISO/IEC 27001 especifica formalmente un sistema de gestión destinado a poner la seguridad de la información bajo un control de gestión explícito.

ISO/IEC 27002 incorpora la parte 1 del estándar de buenas prácticas de gestión de seguridad BS 7799 . La última versión de BS 7799 es BS 7799-3. Por lo tanto, a veces ISO/IEC 27002 se denomina ISO 17799 o BS 7799 parte 1 y, a veces, se refiere a la parte 1 y a la parte 7. BS 7799 parte 1 proporciona un esquema o una guía de buenas prácticas para la gestión de la ciberseguridad; mientras que BS 7799 parte 2 e ISO/IEC 27001 son normativas y, por lo tanto, proporcionan un marco para la certificación. ISO/IEC 27002 es una guía de alto nivel para la ciberseguridad. Es más beneficioso como guía explicativa para la gestión de una organización obtener la certificación según la norma ISO/IEC 27001. La certificación una vez obtenida tiene una duración de tres años. Dependiendo de la organización auditora, durante los tres años podrá realizarse ninguna auditoría o algunas auditorías intermedias.

ISO/IEC 27001 (ISMS) reemplaza a BS 7799 parte 2, pero dado que es compatible con versiones anteriores, cualquier organización que trabaje hacia BS 7799 parte 2 puede realizar fácilmente la transición al proceso de certificación ISO/IEC 27001. También hay una auditoría de transición disponible para que sea más fácil una vez que una organización obtenga la certificación BS 7799 parte 2 para que la organización obtenga la certificación ISO/IEC 27001. ISO/IEC 27002 proporciona recomendaciones de mejores prácticas sobre la gestión de la seguridad de la información para uso de los responsables de iniciar, implementar o mantener sistemas de gestión de la seguridad de la información (SGSI). Establece los sistemas de seguridad de la información necesarios para implementar los objetivos de control de ISO/IEC 27002. Sin ISO/IEC 27001, los objetivos de control de ISO/IEC 27002 son ineficaces. Los objetivos de controles de ISO/IEC 27002 se incorporan a ISO 27001 en el Anexo A.

ISO/IEC 21827 (SSE-CMM – ISO/IEC 21827) es una norma internacional basada en el Modelo de madurez de capacidad de ingeniería de seguridad de sistemas (SSE-CMM) que puede medir la madurez de los objetivos de controles ISO.

ISO/CEI 15408

Esta norma desarrolla lo que se denomina los “ Criterios Comunes ”. Permite integrar y probar muchos productos diferentes de software y hardware de forma segura.

CEI 62443

El estándar de ciberseguridad IEC 62443 define procesos, técnicas y requisitos para los Sistemas de Control y Automatización Industrial (IACS). Sus documentos son el resultado del proceso de creación de estándares IEC donde todos los comités nacionales involucrados acuerdan un estándar común.

Productos de trabajo IEC 62443 planificados y publicados para seguridad IACS.

Todos los estándares e informes técnicos IEC 62443 están organizados en cuatro categorías generales denominadas General , Políticas y Procedimientos , Sistema y Componente .

1. La primera categoría incluye información fundamental como conceptos, modelos y terminología.
2. La segunda categoría de productos de trabajo está dirigida al propietario de activos. Estos abordan varios aspectos de la creación y mantenimiento de un programa de seguridad IACS eficaz.
3. La tercera categoría incluye productos de trabajo que describen pautas de diseño de sistemas y requisitos para la integración segura de sistemas de control. El núcleo de esto es el modelo de diseño de zona y conducto.
4. La cuarta categoría incluye productos de trabajo que describen el desarrollo de productos específicos y los requisitos técnicos de los productos de sistemas de control.

ISO/SAE 21434

ISO/SAE 21434 "Vehículos de carretera - Ingeniería de ciberseguridad" es un estándar de ciberseguridad desarrollado conjuntamente por los grupos de trabajo ISO y SAE . Propone medidas de ciberseguridad para el desarrollo del ciclo de vida de los vehículos de carretera. La norma se publicó en agosto de 2021. ^[9]

La norma está relacionada con la regulación de la Unión Europea (UE) sobre ciberseguridad que se encuentra actualmente en desarrollo. La CEPE está desarrollando , en coordinación con la UE, una certificación para un "Sistema de gestión de seguridad cibernética" (CSMS), que será obligatorio para la homologación de vehículos . ISO/SAE 21434 es una norma técnica para el desarrollo automotriz que puede demostrar el cumplimiento de esas regulaciones.

Un derivado de esto se encuentra en el trabajo de UNECE WP29 , que proporciona regulaciones para la ciberseguridad de los vehículos y las actualizaciones de software. ^[10]

ETSI EN 303 645

El estándar ETSI EN 303 645 proporciona un conjunto de requisitos básicos para la seguridad en dispositivos de Internet de las cosas (IoT) de consumo. Contiene controles técnicos y políticas organizativas para desarrolladores y fabricantes de dispositivos de consumo conectados a Internet. El estándar se publicó en junio de 2020 ^[11] y está previsto que se complemente con otros estándares más específicos. Dado que muchos dispositivos IoT de consumo manejan información de identificación personal (PII) , la implementación del estándar ayuda a cumplir con el Reglamento general de protección de datos (GDPR) en la UE. ^[12]

Las disposiciones de Ciberseguridad en esta norma europea son:

1. Sin contraseñas predeterminadas universales
2. Implementar un medio para gestionar informes de vulnerabilidades.
3. Mantenga el software actualizado
4. Almacene de forma segura parámetros de seguridad confidenciales
5. Comunicarse de forma segura
6. Minimizar las superficies de ataque expuestas
7. Garantizar la integridad del software
8. Garantizar que los datos personales estén seguros
9. Haga que los sistemas sean resistentes a las interrupciones
10. Examinar los datos de telemetría del sistema
11. Facilite a los usuarios la eliminación de datos de usuario
12. Facilite la instalación y el mantenimiento de los dispositivos
13. Validar datos de entrada

La evaluación de la conformidad de estos requisitos básicos se realiza a través de la norma TS 103 701, que permite la autocertificación o la certificación por parte de otro grupo. ^[13]

Estándares Nacionales

Las subsecciones siguientes detallan los estándares y marcos nacionales relacionados con la ciberseguridad.

NERC

NERC creó un intento inicial de crear estándares de seguridad de la información para la industria de la energía eléctrica en 2003 y se conoció como NERC CSS (Estándares de seguridad cibernética). ^[14] Posteriormente a las directrices CSS, NERC evolucionó y mejoró esos requisitos. El estándar de seguridad NERC moderno más reconocido es NERC 1300, que es una modificación/actualización de NERC 1200. La versión más reciente de NERC 1300 se llama CIP-002-3 a CIP-009-3 (CIP = Protección de infraestructura crítica). Estos estándares se utilizan para proteger sistemas eléctricos a granel, aunque NERC ha creado estándares en otras áreas. Los estándares de sistemas eléctricos a granel también brindan administración de seguridad de la red y al mismo tiempo respaldan los procesos de mejores prácticas de la industria. ^[1]

NIST

1. El Marco de Ciberseguridad del NIST (NIST CSF) "proporciona una taxonomía de alto nivel de resultados de ciberseguridad y una metodología para evaluar y gestionar esos resultados". Su objetivo es ayudar a las organizaciones del sector privado que brindan infraestructura crítica con orientación sobre cómo protegerla, junto con protecciones relevantes para la privacidad y las libertades civiles . ^[15]
2. La publicación especial 800-12 proporciona una amplia descripción de las áreas de control y seguridad informática. También enfatiza la importancia de los controles de seguridad y las formas de implementarlos. Inicialmente, este documento estaba dirigido al gobierno federal, aunque la mayoría de las prácticas contenidas en este documento también pueden aplicarse al sector privado. Específicamente, fue escrito para aquellas personas del gobierno federal responsables del manejo de sistemas sensibles. ^[2]
3. La publicación especial 800-14 describe los principios de seguridad comunes que se utilizan. Proporciona una descripción de alto nivel de lo que se debe incorporar dentro de una política de seguridad informática. Describe lo que se puede hacer para mejorar la seguridad existente y cómo desarrollar una nueva práctica de seguridad. En este documento se describen ocho principios y catorce prácticas. ^[3]
4. La publicación especial 800-26 brinda consejos sobre cómo gestionar la seguridad de TI. Reemplazado por NIST SP 800-53 rev3. Este documento enfatiza la importancia de las autoevaluaciones así como de las evaluaciones de riesgos. ^[4]
5. La publicación especial 800-37, actualizada en 2010, proporciona un nuevo enfoque de riesgo: "Guía para aplicar el marco de gestión de riesgos a los sistemas de información federales"
6. La publicación especial 800-53 rev4, "Controles de seguridad y privacidad para organizaciones y sistemas de información federales", publicada en abril de 2013 y actualizada para incluir actualizaciones al 15 de enero de 2014, aborda específicamente los 194 controles de seguridad que se aplican a un sistema para hacerlo " más seguro".
7. La publicación especial 800-63-3, "Pautas de identidad digital", publicada en junio de 2017 y actualizada para incluir actualizaciones a partir del 1 de diciembre de 2017, proporciona pautas para implementar servicios de identidad digital, incluida la prueba de identidad, el registro y la autenticación de usuarios. ^[5]
8. La Publicación especial 800-82, Revisión 2, "Guía para la seguridad de los sistemas de control industrial (ICS)", revisada en mayo de 2015, describe cómo proteger múltiples tipos de sistemas de control industrial contra ataques cibernéticos teniendo en cuenta los requisitos de rendimiento, confiabilidad y seguridad específicos de ICS. ^[6]

FIPS 140

La serie 140 de Estándares Federales de Procesamiento de Información ( FIPS ) son estándares de seguridad informática del gobierno de EE. UU. que especifican los requisitos para los módulos de criptografía . Tanto FIPS 140-2 como FIPS 140-3 se aceptan como vigentes y activos.

Fundamentos cibernéticos del NCSC

Cyber ​​Essentials es un plan de garantía de información del gobierno del Reino Unido operado por el Centro Nacional de Seguridad Cibernética (NCSC) . Alienta a las organizaciones a adoptar buenas prácticas en seguridad de la información. Cyber ​​Essentials también incluye un marco de seguridad y un conjunto simple de controles de seguridad para proteger la información de amenazas provenientes de Internet.

Ocho esenciales

El Centro Australiano de Seguridad Cibernética ha desarrollado estrategias de mitigación priorizadas, en forma de Estrategias para mitigar incidentes de seguridad cibernética, para ayudar a las organizaciones a protegerse contra diversas amenazas cibernéticas. La más eficaz de estas estrategias de mitigación se denomina Ocho Esenciales. ^[dieciséis]

BSI IT-Grundschutz

Los estándares de la Oficina Federal de Seguridad de la Información ( en alemán : Bundesamt für Sicherheit in der Informationstechnik , abreviado como BSI) son un componente elemental de la metodología de protección básica de TI ( en alemán : IT-Grundschutz ). Contienen recomendaciones sobre métodos, procesos y procedimientos, así como enfoques y medidas para diversos aspectos de la seguridad de la información. Los usuarios de autoridades públicas y empresas, así como fabricantes o proveedores de servicios, pueden utilizar los estándares BSI para hacer que sus procesos y datos comerciales sean más seguros. ^[17]

• El estándar BSI 100-4 cubre la gestión de la continuidad del negocio (BCM) .
• El estándar BSI 200-1 define los requisitos generales para un sistema de gestión de seguridad de la información (SGSI). Es compatible con la norma ISO 27001 y considera recomendaciones de otras normas ISO como la ISO 27002.
• El Estándar BSI 200-2 forma la base de la metodología de BSI para establecer un sistema de gestión de seguridad de la información (SGSI) sólido. Establece tres procedimientos para implementar la protección básica de TI.
• El Estándar BSI 200-3 agrupa todos los pasos relacionados con el riesgo en la implementación de la protección básica de TI.

Estándares específicos de la industria

Las subsecciones siguientes detallan los estándares y marcos de ciberseguridad relacionados con industrias específicas.

PCI DSS

El Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) es un estándar de seguridad de la información para organizaciones que manejan tarjetas de crédito de marca de los principales esquemas de tarjetas. El estándar PCI es obligatorio para las marcas de tarjetas, pero lo administra el Consejo de Normas de Seguridad de la Industria de Tarjetas de Pago. El estándar se creó para aumentar los controles sobre los datos de los titulares de tarjetas y reducir el fraude con tarjetas de crédito.

UL 2900

UL 2900 es una serie de estándares publicados por UL . Los estándares incluyen requisitos generales de ciberseguridad (UL 2900-1), así como requisitos específicos para productos médicos (UL 2900-2-1), sistemas industriales (UL 2900-2-2) y sistemas de señalización de seguridad y protección de vidas (UL 2900). -2-3).

UL 2900 requiere que los fabricantes hayan descrito y documentado la superficie de ataque de las tecnologías utilizadas en sus productos. Requiere modelado de amenazas basado en el uso previsto y el entorno de implementación. La norma requiere la implementación de medidas de seguridad efectivas que protejan los datos sensibles (personales), así como otros activos, como los datos de comando y control. También requiere que se hayan eliminado las vulnerabilidades de seguridad en el software, se hayan seguido principios de seguridad como la defensa en profundidad y se haya verificado la seguridad del software mediante pruebas de penetración.

Ver también

• Director de seguridad de la información
• La seguridad informática
• Seguridad del sistema de control
• Seguridad de información
• Aseguramiento de información
• Modelo Gordon-Loeb para inversiones en ciberseguridad

Notas

1. "Directrices para la ciberseguridad de las redes inteligentes" (PDF) . Instituto Nacional de Estándares y Tecnología . Septiembre de 2014. doi : 10.6028/NIST.IR.7628r1 . Consultado el 28 de noviembre de 2023 .
2. "Base de datos de recomendaciones UIT-T".
3. "FSI - Consorcio para la investigación sobre políticas y seguridad de la información".
4. "La adopción del marco de ciberseguridad del NIST se ve obstaculizada por los costos, según una encuesta". 30 de marzo de 2016 . Consultado el 2 de agosto de 2016 .
5. Ghappour, Ahmed (1 de enero de 2017). "Tallin, la piratería informática y el derecho internacional consuetudinario". AJIL Sin consolidar . 111 : 224–228. doi : 10.1017/aju.2017.59 .
6. Ghappour, Ahmed (1 de abril de 2017). "Búsqueda de lugares desconocidos: jurisdicción policial en la Dark Web". Revisión de leyes de Stanford . 69 (4): 1075.
7. Ghappour, Ahmed (2017). "Búsqueda de lugares desconocidos: jurisdicción policial en la Dark Web". Revisión de leyes de Stanford . 69 (4).
8. "Estándares de seguridad de la información". Genorma.com . Normas Genorma, CEN y CENELEC.
9. ISO/SAE 21434:2021 Vehículos de carretera: ingeniería de ciberseguridad
10. "Reglamento de las Naciones Unidas sobre ciberseguridad y actualizaciones de software para allanar el camino para el despliegue masivo de vehículos conectados | CEPE". unece.org .
11. Anuncio ETSI
12. ETSI EN 303645 V2.1.0
13. "ETSI TS 103 701 Ciberseguridad para el Internet de las cosas del consumidor: evaluación de la conformidad de los requisitos básicos" (PDF) . ETSI .
14. Symantec Control Compliance Suite: regulación NERC y FERC Archivado el 22 de octubre de 2016 en la subsección Wayback Machine : Historia de los estándares NERC
15. "Marco de ciberseguridad del NIST". NIST . 12 de noviembre de 2013 . Consultado el 2 de agosto de 2016 .
16. "Modelo de madurez esencial de ocho". Centro australiano de seguridad cibernética . Consultado el 29 de septiembre de 2022 . El texto se copió de esta fuente, que está disponible bajo una licencia internacional Creative Commons Attribution 4.0.
17. "BSI - IT-Grundschutz". BSI (en alemán) . Consultado el 26 de marzo de 2021 .

Referencias

1. ^ Departamento de Seguridad Nacional, Comparación de estándares de seguridad cibernética desarrollados por el segmento de petróleo y gas. (5 de noviembre de 2004)
2. ^ Guttman, M., Swanson, M., Instituto Nacional de Estándares y Tecnología; Administración de Tecnología; Departamento de Comercio de EE. UU., Principios y prácticas generalmente aceptados para proteger los sistemas de tecnología de la información (800–14). (septiembre de 1996)
3. ^ Instituto Nacional de Estándares y Tecnología; Administración de Tecnología; Departamento de Comercio de EE. UU., Introducción a la seguridad informática: manual del NIST, publicación especial 800-12.
4. ^ Swanson, M., Instituto Nacional de Estándares y Tecnología; Administración de Tecnología; Departamento de Comercio de EE. UU., Guía de autoevaluación de seguridad para sistemas de tecnología de la información (800–26).
5. ^ Grassi, P.; García, M.; Fenton, J.; Instituto Nacional de Estándares y Tecnología; Departamento de Comercio de EE. UU., Pautas de identidad digital (800-63-3).
6. ^ Stouffer, K.; Pillitteri, V.; Lightman, S.; Abrams, M.; Hahn, A.; Instituto Nacional de Estándares y Tecnología; Departamento de Comercio de EE. UU., Guía de seguridad de los sistemas de control industrial (ICS) (800–82).
7. ^ El Consejo de Confiabilidad Eléctrica de América del Norte (NERC). http://www.nerc.com. Consultado el 12 de noviembre de 2005.
8. ^ Consejo Federal de Examen de Instituciones Financieras (FFIEC). https://www.ffiec.gov. Consultado el 18 de abril de 2018.

enlaces externos

• Seguridad cibernética IEC
• ISO 27001 Seguridad de la información
• Estándares NERC CIP
• Presentación del profesor William Sanders, Universidad de Illinois
• Conferencia mundial sobre políticas de ciberseguridad
• Una guía de 10 minutos sobre el marco de ciberseguridad del NIST Archivado el 14 de abril de 2021 en Wayback Machine.
• Sitio web del Consejo Federal de Examen de Instituciones Financieras (FFIEC)
• Controles de seguridad críticos del CIS
• Criterios comunes del NCSC del Reino Unido
• ISO/SAE 21434 Desafíos en el campo
• El futuro del mercado mundial de seguros cibernéticos