Seguridad por Sectores

Los SGSI se han ido adoptando y particularizando a las actividades de diversos sectores industriales, incluido el ámbito de la protección de la información personal. 

Referimos en este apartado algunos de los sectores industriales más relevantes y la forma que toman estas adaptaciones particulares.

Administración pública

 Es vital establecer y normalizar la seguridad de la información en la administración pública de cualquier país con un obligado cumplimiento de aquellas normativas y políticas en el ámbito de los servicios públicos, que siempre ha sido fundamental pero que cobra mayor importancia con el uso de los medios electrónicos con la obligatoriedad de la transformación digital.

Esta transformación debe ir acompañada de medidas organizativas y técnicas que protejan de forma proporcional la información gestionada por los diferentes organismos públicos y los servicios públicos que prestan.

El ENS aplicable en España en su artículo 41 sobre ‘Publicación de conformidad’ señala que los órganos y Entidades de Derecho Público darán publicidad en las correspondientes sedes electrónicas a las declaraciones de conformidad, y a los distintivos de seguridad de los que sean acreedores, obtenidos respecto al cumplimiento del ENS.

Tras la entrada en vigor de las leyes 39/2015 y 40/2015 afecta a todas las entidades del Sector Público en España, así como a los operadores del Sector Privado que les prestan soluciones y servicios, no solo de seguridad, o que estén interesadas en la certificación de la conformidad con el ENS.

Esquema Nacional de Seguridad

El ENS fue establecido anteriormente por el artículo 42 de la Ley 11/2007 y está regulado por el Real Decreto 3/2010, de 8 de enero, que fue modificado por el Real Decreto 951/2015 para actualizarlo a la luz de la experiencia obtenida en su implantación, de la evolución de la tecnología y las ciberamenazas y del contexto regulatorio internacional y europeo.

La «Instrucción Técnica de Seguridad de Conformidad con el ENS» establece los criterios y procedimientos para la determinación de la conformidad, así como para la publicidad de dicha conformidad. Precisa los mecanismos de obtención y publicidad de las declaraciones de conformidad y de los distintivos de seguridad obtenidos respecto al cumplimiento del ENS.

Aunque el Esquema Nacional de Seguridad y la  norma ISO/IEC 27001 difieren en su naturaleza, en su ámbito de aplicación, en su obligatoriedad y en los objetivos que persiguen:

- El ENS es una norma jurídica que se encuentra al servicio de la realización de derechos de los ciudadanos, de aplicación obligatoria a todas las Administraciones Públicas, y que trata la ‘protección’ de la información y los servicios.

- La norma UNE ISO/IEC 27001, de carácter voluntario, es una norma de ‘gestión’ que contiene los requisitos para la construcción de un sistema de gestión de seguridad de la información, contra la que puede, en su caso, de forma voluntaria, certificarse una entidad.

Sin embargo, cabe precisar que aquellas organizaciones que se encuentren certificadas contra ISO 27001 tienen una buena parte del camino recorrido para lograr su conformidad con el ENS, toda vez que las medidas de protección que señala el ENS coinciden, en lo sustancial, con los controles que prevé la norma internacional.

Del mismo modo, se pueden visitar los recursos disponibles para el ENS como referencias útiles, destacando el recientemente publicado "Entorno de Validación del ENS" (EVENS) como espacio colaborativo en el que se integran todos los recursos disponibles relacionados.

Existe la guía CCN-STIC 825 del Centro Criptológico Nacional con una equiparación directa entre ISO 27001 y ENS para poder entender e integrar mejor estos dos marcos.


Automoción

El sector de la automoción está experimentando una profunda transformación con la digitalización de los sistemas en el automóvil que son necesarios para brindar automatización, conectividad y movilidad compartida de los vehículos.

Hoy en día, los automóviles contienen hasta 150 unidades de control electrónico y alrededor de 100 millones de líneas de código de software, cuatro veces más que un avión de combate, que se prevé que aumente a 300 millones de líneas de código para 2030. Esto conlleva importantes riesgos de ciberseguridad que amenazan la seguridad del vehículo y la privacidad del consumidor.

- TISAX: El público principal de las evaluaciones TISAX son las empresas que necesitan o desean demostrar un nivel definido de gestión de seguridad de la información de acuerdo con los requisitos de la "Evaluación de seguridad de la información de VDA" (VDA ISA), principalmente sector automovilístico (VDA: Verband der Automobilindustrie).

Desde 2017, TISAX ha establecido un mecanismo común de evaluación e intercambio para auditorías de seguridad de la información de acuerdo con VDA ISA, que ya está siendo utilizado por más de 2.500 empresas en más de 40 países.

Entre los roles específicos más relevantes para este esquema de protección de información personal identificable (PII - Personally Identifiable Information) que deben entenderse están:

- Controlador PII: Es la parte que recopila información personal y determina los fines para los que se procesa. Más de una organización puede actuar como controlador de PII ("co-controladores" en cuyo caso, podrían ser requeridos acuerdos específicos de intercambio de datos. La cláusula 7 del documento cubre la guía de implantación específica de PIMS para controladores PII con relación a los controles enumerados en el Anexo A. 

- Procesador PII: Es la parte que procesa información personal en nombre y solo de acuerdo con las instrucciones del controlador. La cláusula 8 del documento cubre la implantación específica de PIMS  para procesadores de PII con relación a los controles enumerados en el Anexo B.

El documento incorpora otros anexos (C a F) que proporcionan conocimientos adicionales que pueden ayudar a establecer, operar y mantener un PIMS efectivo.

El reconocimiento de las evaluaciones TISAX y su validez regular de tres años ayudan a evitar esfuerzos, así como las evaluaciones duplicadas. 

Cada participante registrado decide por sí mismo a qué otros participantes registrados se revelarán los resultados (informes TISAX) y con qué grado de detalle. Al mismo tiempo, la empresa participante también puede usar sus propios resultados para su propia gestión de riesgos.

TISAX permite que los proveedores que realizan las auditorías ofrezcan evaluaciones mutuamente aceptadas basadas en el catálogo VDA ISA competente. Esto significa que cada participante en el esquema pueda seleccionar un proveedor de servicios de auditoría y esperar resultados de evaluación estandarizados que sean aceptados por otros participantes en toda la industria.

ENX mantiene los criterios y requisitos (ENX TISAX ACAR), aprueba a los proveedores de auditoría y monitorea la calidad de la implementación, así como los resultados de la evaluación.

ENX cuenta con el apoyo del Comité TISAX, compuesto por representantes de fabricantes, proveedores y asociaciones. Legalmente, la función de control está protegida por una estructura de contrato en la que ENX mantiene contratos con todas las partes interesadas, incluidos los proveedores de auditoría y los participantes.

Esto asegura que los resultados correspondan a la objetividad y calidad deseadas y se respetan los derechos y deberes de todos los participantes, pequeños o grandes.

- ISO/SAE DIS 21434  Road vehicles— Cybersecurity engineering: El objetivo de la norma es gestionar las amenazas de ciberseguridad de los sistemas eléctricos y electrónicos en los vehículos de carretera, de forma similar a cómo ISO 26262 gestiona los requisitos de seguridad funcional.

Las consideraciones generales se abordan en primera instancia, lo que proporciona una visión general del ecosistema del vehículo, el panorama de amenazas y las interfaces de ecosistemas vulnerables y el razonamiento detrás de la necesidad de la implementación de la seguridad cibernética.

Actualmente cuenta con la participación de más de 80 empresas relevantes del sector automoción.

La iniciativa parte de una publicación inicial de mejores prácticas "Cybersecurity Guidebook for Cyber-Physical Vehicle Systems” (SAE, 14 de Enero 2016) a la que se incorpora ISO con la idea de que la ciberseguridad se convierta en un requisito obligatorio en todas las organizaciones involucradas en el ciclo de vida de los vehículos de carretera.

Esto incluye varios pasos, como definir objetivos y una estrategia (a través de la gobernanza), crear reglas y procesos para implementar una estrategia de ciberseguridad (incluida la identificación de vulnerabilidades), asignar responsabilidades, proporcionar recursos, fomentar una cultura de ciberseguridad de forma continua, gestionar competencias y conciencia, aplicando mejoras continuas, realizando auditorías y gestionando interacciones entre procesos.

El estándar no prescribe tecnología o soluciones específicas relacionadas con la ciberseguridad; se divide en varias secciones, actualmente en estado de desarrollo previo a la publicación:

- Gestión de la ciberseguridad: Detalle de los objetivos y las metas de la gestión de la ciberseguridad con detalles sobre la gestión de la ciberseguridad específicamente durante la fase de concepto y el desarrollo del producto, así como durante la producción, las operaciones y el mantenimiento.  

Métodos de evaluación de riesgos: Pasos para realizar una evaluación integral de riesgos que incluyen análisis de vulnerabilidad y análisis de ataque que formarán parte de la evaluación de viabilidad del ataque. Todos estos se proporcionan como entradas para el cálculo del riesgo (evaluación del riesgo), que luego se alimenta para seleccionar las opciones de categoría de tratamiento adecuadas para abordar ese riesgo (tratamiento del riesgo). 

Fase conceptual: determinar la exposición a riesgos de ciberseguridad durante la fase conceptual de un elemento de vehículo específico. Esto incluye adaptar actividades de ciberseguridad en caso de que ese artículo se reutilice más tarde.

Desarrollo de productos: orientación sobre cómo especificar los requisitos de ciberseguridad para el diseño de sistemas, hardware y software. Las funcionalidades, dependencias, restricciones y propiedades de los componentes del sistema y las interfaces tienen que alinearse con los requisitos específicos de ciberseguridad. La idea es verificar que el diseño del sistema y las especificaciones de ciberseguridad cumplan con el concepto de ciberseguridad. Una subsección final se ocupa de especificar versiones para los criterios de post-desarrollo (producción y post-producción) una vez que se completa el desarrollo del sistema y proporciona evidencia del cumplimiento de todos los requisitos previos para la producción en serie (después de completar con éxito las actividades de ciberseguridad anteriores). 

Producción, operaciones y mantenimiento: Garantizar que las especificaciones de seguridad cibernética del desarrollo se implementen en el artículo producido e implementar procesos adicionales para evitar la introducción de procesos de seguridad cibernética adicionales causados ​​por la producción. Se extiende a las actualizaciones y cómo definir los requisitos básicos de seguridad cibernética y los atributos de las actualizaciones, así como también cómo aplicarlas de manera segura. 

Procesos de soporte: Detalles sobre la operación

- Certificate of Compliance for Cyber Security  Management System: Dos nuevos reglamentos de la ONU sobre ciberseguridad y actualizaciones de software ayudarán a abordar los riesgos en este sector al establecer requisitos claros de desempeño y auditoría para los fabricantes de automóviles. Estas son las primeras normas vinculantes y armonizadas internacionalmente en este ámbito.  Los dos nuevos Reglamentos de la ONU, adoptados por el Foro Mundial para la Armonización de Reglamentos de Vehículos requieren que las medidas se implementen en 4 disciplinas distintas: 

Gestión de los riesgos cibernéticos de los vehículos

- Asegurar vehículos por diseño para mitigar riesgos a lo largo de la cadena de valor;

- Detectar y responder a incidentes de seguridad en toda la flota de vehículos;

- Proporcionar actualizaciones de software seguras y garantizar que la seguridad del vehículo no se vea comprometida, introduciendo una base legal para las llamadas actualizaciones "Over-the-Air" (O.T.A.) del software del vehículo a bordo.

La normativa se aplica a turismos, furgonetas, camiones y autobuses con entrada en vigor en enero de 2021.

Financiero

El sector financiero proporciona una columna vertebral crucial para la economía mundial con una creciente dependencia de las infraestructuras de TIC, los proveedores y su cadena de suministro.

La importancia de la seguridad y la resiliencia de las TIC en apoyo del sector financiero creció considerablemente y el objetivo de proteger las transacciones interbancarias automatizadas y, en general, todos los tipos de comunicaciones, es más crítico y complejo al mismo tiempo. 

- COSO: El Committee of Sponsoring Organizations of Treadway Commission (COSO) es una iniciativa del sector privado estadounidense formada en 1985. 

COSO está patrocinado y financiado por cinco de las principales asociaciones e institutos profesionales de contabilidad: American Institute of Certified Public Accountants (AICPA), American Accounting Association (AAA), Financial Executives Institute (FEI), The Institute of Internal Auditors (IIA) y The Institute of Management Accountants (IMA).

Su objetivo principal es identificar los factores que causan informes financieros fraudulentos y hacer recomendaciones para reducir su incidencia.

COSO ha establecido una definición común de controles internos, normas y criterios contra los cuales las empresas y organizaciones pueden evaluar sus sistemas de control..

El modelo COSO ERM-Framework de 2004 introdujo nuevos elementos a modelos anteriores (CoCo de 1995 y COSO de 1992/94) que han sido revisados y ampliados en la versión de 2017 para tratar de ampliar el alcance original del riesgo al que iba dirigido originalmente para:

- Tratamiento de la proliferación de datos

- Aprovechamiento de la inteligencia artificial y la automatización

- Gestionar el coste de la gestión de riesgos

- Construcción de organizaciones más fuertes

COSO se puede combinar con CobiT o con ITIL como modelo de control para procesos y gestión TI, así como, utilizar para el cumplimiento de SOX.

Sarbanes-Oxley Act of 2002 (SOX) se introdujo en EEUU como ley para proteger a los inversores frente a una falsa presentación de la situación de las empresas. Entró en vigor el 30 de julio de 2002 y tiene validez tanto para empresas nacionales estadounidenses como para extranjeras que coticen en las bolsas de aquel país.

Además del registro en un servicio de inspección pública, SOX exige el establecimiento de un sistema de control interno para la elaboración de informes financieros. La ley requiere una mayor transparencia de información, amplía los deberes de publicación y formaliza los procesos que preceden a la elaboración de un informe de la empresa.

Es la ya famosa Sección 404 la que establece que la gerencia debe generar un informe anual de control interno, en el cual se confirme la responsabilidad de la dirección en la implantación y mantenimiento de unos procedimientos y una estructura de control interno adecuados para la información financiera. El marco más empleado por las empresas para cumplir con esta obligación es, precisamente, el de gestión del riesgo empresarial de COSO. 

Este sistema de control tiene también un importante reflejo en el área de seguridad de la información. Uno de los marcos que más se utilizan para implantar el sistema en esta área es CobiT. Más específicamente, ISACA tiene publicado un documento de controles TI para Sarbanes-Oxley, basado en directrices de COSO, con referencias cruzadas a CobiT.

Existe un mapeo de COBIT respecto a los controles del Anexo A de ISO/IEC 27001 para facilitar la integración de los dos esquemas.

Payment Services Directive (PDS2): Entró en vigor el 12 de enero de 2016 y se dio a los Estados miembros de la UE hasta el 13 de enero de 2018 para transponerla a la legislación nacional. Establece estrictos requisitos de seguridad para los pagos electrónicos y la protección de los datos financieros de los consumidores. Los proveedores de servicios de pago deben garantizar una autenticación sólida del cliente para el inicio y procesamiento de pagos electrónicos.

La autenticación del cliente es un proceso mediante el cual se valida la identidad del usuario de un servicio de pago. Se considera que la autenticación del cliente es sólida si se basa en el uso de dos o más de los siguientes elementos:

- Conocimiento: Algo que solo el usuario sabe, por ejemplo, una contraseña o un PIN

- Posesión: Algo que solo el usuario posee, por ejemplo, la tarjeta o un dispositivo generador de código de autenticación

- Inherencia: Algo que el usuario es, por ejemplo, el uso de una huella digital o reconocimiento de voz

Estos elementos son independientes (la violación de un elemento no compromete la confiabilidad de los demás) y están diseñados de tal manera que protegen la confidencialidad de los datos de autenticación.

Para transacciones remotas (por ejemplo, pagos en línea), los requisitos de seguridad van aún más allá, requiriendo un enlace dinámico al monto de la transacción y la cuenta del beneficiario, para proteger aún más al usuario minimizando los riesgos en caso de errores o ataques fraudulentos. 

Sin embargo, existen exenciones del requisito de tener una autenticación de cliente sólida. Por ejemplo, este puede ser el caso de pagos de bajo valor en el punto de venta o de transacciones a distancia, de acuerdo con ciertas condiciones.

Las Directrices de European Banking Authority (EBA) mantienen "silencio” sobre la cuestión de la certificación y no la imponen. Sin embargo, de los 114 controles dentro de ISO 27001, existen obvios paralelismos:

Las directrices 2 y 3 se centran en la gobernanza y, en particular, en el establecimiento de un "marco de gestión de riesgos operativos y de seguridad eficaz". El propio SGSI supone una forma de gobiernos, específicamente en la cláusula 6 de ISO 27001 indica el requisito de un proceso de gestión de los riesgos (alineado con ISO 31000) como base para la aplicación de controles de seguridad eficaces.

En la directriz 4 sobre la protección se puede utilizar, entre otras, las siguientes áreas de ISO 27001: 

- A9 Control de acceso

- A10 Controles criptográficos

- A11 Seguridad física

- A12 Seguridad operativa

- A14 Adquisición, desarrollo y mantenimiento de sistemas

- A18 Cumplimiento

  La directriz 5 sobre detección, puede ser respaldada por: 

Cláusula 9 del seguimiento y medición (incluida la auditoría interna)

- A9 Control de acceso

- A12 Seguridad operativa

- A16 Gestión de incidentes

La directriz 6 sobre la continuidad de negocio:

- A17 de continuidad del negocio

- Marcos como ISO 22301 integrados con ISO 27001

La directriz 7 sobre el test de las medidas de seguridad pueden respaldarse por:

- A12 Seguridad operativa (p.ej. Auditorías de intrusión/vulnerabilidades)

- A14 Adquisición, desarrollo y mantenimiento de sistemas (marcos de desarrollo seguros)

La directriz 8 sobre concientización y aprendizaje está directamente relacionado con:

- 5.3 Roles y responsabilidades

- 7.2 Concienciación

- 7.3 Competencias

- A7 Recursos humanos

Finalmente, las relaciones con los usuarios de los servicios de pago de la directriz 9 son la principal consideración de la relación con las partes interesadas de la cláusula 4 de ISO 27001 y de cualquier sistema de gestión de forma más amplia.

- PCI Security Standards Council: Es un foro mundial abierto destinado a la formulación, la mejora, el almacenamiento, la difusión y la aplicación permanentes de las normas de seguridad para la protección de datos de cuentas.

El objetivo es mantener la seguridad de los sistemas de pago de las organizaciones para que sus clientes estén más dispuestos a confiar la información confidencial de sus tarjetas de pagos. El cumplimiento del esquema convierte a las organizaciones en parte de la solución: una respuesta global y unificada para combatir los fallos de seguridad en los datos de tarjetas de pago.

El Consejo sobre Normas de Seguridad de la PCI (Industria de tarjetas de pago) trabaja sin descanso para mantenerse alerta frente a las amenazas a fin de mejorar los instrumentos del sector, combatiéndolas a través de mejoras en las normas de seguridad de la PCI y mediante la capacitación de los profesionales de la seguridad.

Las Normas de seguridad de datos de la industria de tarjetas de pago (PCI DSS) se desarrollaron para fomentar y mejorar la seguridad de los  datos del titular de la tarjeta y facilitar la adopción de medidas de seguridad uniformes a nivel mundial.

PCI DSS proporciona una referencia de requisitos técnicos y operativos desarrollados para proteger los datos de cuentas. La PCI DSS se aplica a todas las entidades que participan en el procesamiento de las tarjetas de pago, entre las que se incluyen comerciantes, procesadores, adquirentes, entidades emisoras y proveedores de servicios. La PCI DSS se aplica a todas las entidades que almacenan, procesan o transmiten datos del titular de la tarjeta (CHD) y/o datos confidenciales de autenticación (SAD).

A continuación, se indica una descripción general de los 12 requisitos de las DSS de la PCI:

- Desarrolle y mantenga  redes y sistemas seguros

1. Instale y mantenga una configuración de firewall para proteger los datos  del titular de la tarjeta. 

2. No usar los valores predeterminados suministrados por el proveedor  para las contraseñas del sistema y otros parámetros de seguridad. 

- Proteger los datos del titular  de la tarjeta 

3. Proteja los datos del titular de la tarjeta que fueron almacenados

4. Cifrar la transmisión de los datos del titular de la tarjeta en las redes  públicas abiertas. 

- Mantener un programa de  administración de vulnerabilidad 

5. Proteger todos los sistemas contra malware y actualizar los programas o  software antivirus regularmente. 

6. Desarrollar y mantener sistemas y aplicaciones seguros  

- Implementar medidas sólidas de control de acceso 

7. Restringir el acceso a los datos del titular de la tarjeta según la  necesidad de saber que tenga la empresa. 

8. Identificar y autenticar el acceso a los componentes del sistema.

9. Restringir el acceso físico a los datos del titular de la tarjeta.

- Supervisar y evaluar las  redes con regularidad 

10. Rastree y supervise todos los accesos a los recursos de red y a los  datos del titular de la tarjeta 

11. Probar periódicamente los sistemas y procesos de seguridad.

- Mantener una política de  seguridad de información 

12. Mantener una política que aborde la seguridad de la información para  todo el personal

El sitio web de PCI Security Standards Council (PCI SSC) (www.pcisecuritystandards.org) contiene algunos recursos adicionales para ayudar a las organizaciones con las evaluaciones y validaciones de los requisitos y procedimientos de evaluación de seguridad.

Adicionalmente, existen documentos de ayuda para entender la correspondencia de los requisitos de este estándar con ISO 27001, así como, con el marco NIST de ciberseguridad.


Referencias globales

ISO/IEC TR 27015Publicada el 23 de Noviembre de 2012. Es una guía de SGSI orientada a organizaciones del sector financiero y de seguros y como complemento a ISO/IEC 27002:2005. Desde 24 de Julio, de 2017 se anuncia que no será actualizada en relación a las novedades de la norma ISO/IEC 27002:2013 aunque sigue disponible para su adquisición por parte de los interesados.

- ENISA: Proporciona publicaciones de ayuda para este sector.


Firmas e Infraestructuras Electrónicas

Generar confianza en entornos digitalizados es clave para el desarrollo económico y social. La falta de confianza, en particular por una falta de percepción en la seguridad, hace que los consumidores, las empresas y las administraciones duden en realizar las transacciones electrónicamente y adoptar nuevos servicios.

Los proveedores de servicios de confianza suelen ser un elemento esencial para generar confianza entre partes que realizan transacciones electrónicas, particularmente en redes públicas abiertas y se puede utilizar, por ejemplo, para proporcionar información de identidad confiable y ayudar a establecer comunicaciones seguras entre las partes en la transacción. Algunos ejemplos de proveedores de servicios de confianza son emisores de certificados de clave pública, proveedores de servicios de sellado de tiempo, proveedores de servicios de generación o validación de firmas electrónicas.

- eIDAS (electronic IDentification, Authentication and trust Services): Reglamento UE 910/2014 con el conjunto de normas reguladoras de la Unión Europea que definen los requisitos para el cumplimiento de certificados PSD2 con certificados digitales. Esto incluye estándares diseñados para verificar la identidad de sus titulares, así como el funcionamiento de los proveedores de servicios de confianza calificados (TSP) que los emiten. Los certificados que se emiten de acuerdo con los estándares eIDAS por TSP calificados también se conocen como "Certificados calificados" y brindan un estatus especial en ciertos contextos legales y regulatorios en toda la UE.


ENISA dispone de guías técnicas y recomendaciones para la implantación de la regulación.

ETSI EN 319 401: Este presente documento tiene como objetivo cumplir con los requisitos generales para brindar confianza y seguridad en  transacciones que incluyen, entre otros, los requisitos aplicables del Reglamento (UE) nº 910/2014 [i.2] y del CA Browser Forum.

IECQ OD 27001:2019  (Quality Assessment System for Electronic Components):IECQ es un sistema mundial de aprobación y certificación que cubre el suministro, el ensamblaje, los materiales y procesos asociados de una gran variedad de componentes electromagnéticos, electromecánicos, electro ópticos, circuitos integrados híbridos, componentes pasivos, tableros de cableado impresos, alambres, cables y conectores, ensamblados, artículos auxiliares (p. ej. Materiales aislantes/de protección, compuestos y materiales de transferencia de calor, etc), cerramientos electrónicos y materiales de vivienda utilizados en millones de dispositivos y sistemas en todo tipo de industrias y productos.  IECQ proporciona a los fabricantes una verificación independiente de que los proveedores con certificación IECQ cumplen con los requisitos de las Normas Internacionales IEC y otras especificaciones.

Dada la diferencia en el nivel de implementación de un SGSI que pueden aplicar las diferentes organizaciones, durante la reunión del Comité de Gestión de IECQ realizada en Busan en el año 2018 se acordó (decisiones de 2018/07 y 2018/08) formar el grupo de trabajo WG12 de IECQ para explorar la posibilidad de integrar la serie ISO/IEC 27000 dentro del esquema de proceso aprobado (AP) por IECQ.

Durante la reunión del Comité de Gestión de IECQ de Singapur 2019, el WG12 informó de sus avances con un caso práctico incluido sobre la integración de ISO/IEC 27001 en el esquema AP de IECQ.

El Comité de Gestión IECQ acordó continuar con este trabajo para el desarrollo de un nuevo documento operativo (OD) y una lista de verificación. El OD preparado por el WG12 y aprobado por el Comité de Gestión de IECQ, establece el proceso para:

1) La calificación de los organismos de certificación (CB) en IECQ que deseen incluir la serie de estándares ISO/IEC 27000 dentro del alcace de su esquema AP para IECQ, y

2) los procedimientos para procesar solicitudes y emitir certificados que incluyan la serie ISO/IEC 27000 dentro del alcance de la certificación

IECQ proporciona información detallada en estos procedimientos o cualquier aspecto relacionado con el esquema IECQ ISMS AP o del propio sistema IECQ System.

Marítimo

La tendencia a la digitalización global y las políticas y regulaciones recientes requieren que los puertos enfrenten nuevos desafíos en lo que respecta a las tecnologías de la información y las comunicaciones (TIC).

Los puertos tienden a depender más de las tecnologías para ser más competitivos, cumplir con algunos estándares y políticas y optimizar las operaciones.

Esto trae nuevos desafíos y desafíos en el área de la ciberseguridad, tanto en el mundo de las Tecnologías de la Información (TI) como en el de las Tecnologías de Operación (OT).


Referencias globales

Entre los esquemas de gestión de la seguridad que podemos referenciar para este sector podemos indicar:

- ENISA - PORT CYBERSECURITY Good practices for cybersecurity in the maritime sector: Publicada por ENISA, el público objetivo principal de este estudio son los responsables de la seguridad de TI y de OT dentro del ecosistema portuario: empleados de las autoridades portuarias y operadores de terminales o cualquier otro responsable de aplicar estas prácticas. El estudio también puede ser de utilidad para actores secundarios del ecosistema portuario: asociaciones del ecosistema portuario y en especial miembros a cargo de asuntos de seguridad de TI y OT, responsables de TI y OT en empresas que interactúan con puertos, especialmente navieras, entre otras

- The Guidelines on Cyber Security Onboard Ships: Desarrollado y promovido por BIMCO, CLIA, ICS, INTERCARGO, INTERMANAGER, INTERTANKO, IUMI, OCIMF y WORLD SHIPPING COUNCIL, el objetivo de este documento es ofrecer orientación a los armadores y operadores sobre los procedimientos y acciones para mantener la seguridad de los sistemas cibernéticos en la empresa y a bordo de los buques. Esta alineado/complementado con el marco NIST.

Privacidad

La creciente publicación de marcos regulatorios para la protección de datos personales en los diferentes países y regiones de todo el mundo puede ser complicado de cubrir especialmente para las organizaciones globales con actividad presente en diferentes regiones y países.

Clientes, consumidores, usuarios, empleados, ciudadanos... cada vez dan más importancia a la privacidad considerando positívamente aquellas entidades públicas y privadas que demuestran su preocupación y cumplimiento proactivo del tratamiento de los datos personales que manejan.


- ISO/IEC 27701: La creciente publicación de marcos regulatorios para la protección de datos personales en los diferentes países y regiones de todo el mundo puede apoyarse en los conceptos de los SGSI pero con una extensión particular de la privacidad que se ha desarrollado bajo el esquema denominado ISO/IEC 27701 (Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines). 

El objetivo de esta norma es mejorar los SGSI existentes con requisitos para establecer, implementar, mantener y mejorar continuamente un sistema de gestión de información privada (PIMS) que puede ser implementado por cualquier organización independientemente de su tamaño y/o sector de actividad demostrando el cumplimiento de las regulaciones de privacidad en cualquier parte del mundo mediante un proceso de certificación suplementario al de ISO/IEC 27001 como requisito obligatorio.

Ya existen las primeras organizaciones certificadas en este esquema ISO/IEC 27701 como prescripción positiva de atención proactiva e interpretación adecuada y documentada respecto a aquellos aspectos legales y reglamentarios que específicamente apliquen a las actividades de las organizaciones.


Referencias globales


- NIST SP 800-53 Security and Privacy Controls for Information Systems and Organizations: Esta publicación ha sido desarrollada por NIST (National Institute of Standards and Technology de los EEUU) para promover sus responsabilidades legales bajo la Ley Federal de Modernización de la Seguridad de la Información (FISMA).

Esta publicación proporciona un catálogo de controles de seguridad y privacidad para los sistemas de información de las organizaciones para que puedan proteger las operaciones en base a sus activos, personas ante un conjunto diverso de amenazas y riesgos, incluidos ataques hostiles, errores humanos, desastres naturales, fallas, entidades extranjeras y riesgos para la privacidad.

Redes inteligentes


Referencias globales

Las redes inteligentes se refieren a aquellas redes eléctricas que pueden
integrar el comportamiento y las acciones de todos los usuarios conectados (generadores, consumidores y los que desarrollan ambos roles) para asegurar un sistema energético económicamente eficiente, sostenible, con bajas pérdidas y altos niveles de calidad y seguridad de suministro.

Las redes inteligentes tienen un papel fundamental en el proceso de integración de los recursos variablemente distribuidos en las redes eléctricas y la prestación de un servicio orientado al usuario.

Entre los esquemas de gestión de la seguridad que podemos referenciar para este sector podemos indicar:

ISO/IEC TR 27019 : Guía con referencia a ISO/IEC 27002:2013, además de la aplicación a los sistemas de control de procesos (p.ej. PLCs) utilizados por la industria de la energía para controlar y monitorear la producción o generación, transmisión, almacenamiento y distribución de energía eléctrica, gas, petróleo y calor y para el control de los procesos de soporte asociados, también incluye un requisito para adaptar los procesos de evaluación y tratamiento de riesgos descritos en ISO/IEC 27001:2013 a la orientación específica del sector de servicios de energía.

ENISA Appropriate security measures for smart grids: Este documento presenta un conjunto de medidas de seguridad cibernética para redes inteligentes. Estas medidas están organizadas en diez (10) dominios y tres niveles de sofisticación con un mapeo de las medidas con ISO 27002

- NIST Guidelines for Smart Grid Cybersecurity: Este informe de tres volúmenes presenta un marco analítico que las organizaciones pueden utilizar para desarrollar estrategias efectivas de ciberseguridad adaptadas a sus combinaciones particulares de características, riesgos y vulnerabilidades relacionados con Smart Grid.

- SG-CG/M490/D_ Smart Grid Information Security: El objetivo de este informe es apoyar la implantación de Smart Grid en Europa proporcionando orientación sobre seguridad de la información en las Smart Grid (SGIS - Smart Grid Information Security) y un panorama de estándares para las partes interesadas. Los requisitos esenciales de SGIS presentados enfatizan la importancia de la triada CIA (Confidencialidad, Integridad y Disponibilidad) para la Seguridad de la Información, pero también subrayan el peso variable de la Confidencialidad, Integridad y Disponibilidad como requisitos esenciales y el problema encontrado para abordar temas de Seguridad de la Información para la Red Inteligente como un todo.

Salud

El sector de la salud está pasando un proceso intensivo de digitalización adoptando progresivamente nuevas tecnologías para mejorar y ofrecer nuevos y mejores servicios centrados en la atención del paciente en el hogar y alcanzar la excelencia operativa.

La integración de nuevas tecnologías en infraestructuras TI ya de por sí complejas abre nuevos desafíos en materia de protección de datos y ciberseguridad como ha demostrado la pandemia de COVID-19, como importante catalizador del aumento de ciberataques a las organizaciones sanitarias (phishing, ransomware contra hospitales y otras organizaciones sanitarias).


Referencias globales

Entre los esquemas de gestión de la seguridad que podemos referenciar para este sector podemos indicar:

ISO 27799: Referenciada dentro de la serie 27K esta norma proporciona directrices para apoyar la interpretación y aplicación en el sector sanitario de ISO/IEC 27002, en cuanto a la seguridad de la información sobre los datos de salud de los pacientes. 

- Cloud Security for Healthcare Services: Publicada por ENISA, este estudio tiene como objetivo proporcionar prácticas de seguridad en la nube para el sector de la salud e identificar aspectos de seguridad, incluidos los aspectos relevantes de protección de datos, que se deben tener en cuenta al contratar servicios en la nube para la industria de la salud. El conjunto de prácticas generales tiene como objetivo ayudar a los profesionales de TI en los contextos de seguridad de la atención médica a establecer y mantener la seguridad en la nube mientras seleccionan e implementan las medidas técnicas y organizativas adecuadas. La identificación de amenazas y riesgos relevantes para los servicios en la nube en la industria de la salud y los requisitos de seguridad y protección de datos también están cubiertos por el alcance de este informe. Otros objetivos incluyen la presentación de casos de uso informativos y orientados a la práctica y su análisis de amenazas relevantes y medidas de seguridad en la nube.

Health Industry Cybersecurity Practices: Desarrollado por h.isac.org para crear conciencia, proporcionar prácticas de ciberseguridad y hacer que las organizaciones logren una coherencia en la mitigación de las amenazas de ciberseguridad más pertinentes. Proporciona orientación sobre métodos rentables que pueden utilizar diversas organizaciones sanitarias de todos los tamaños y niveles de recursos para reducir los riesgos de ciberseguridad.

- ENISA: Proporciona publicaciones de ayuda para este sector.


Servicios de Nube

El número de servicios en nube se incrementa continuamente con diversas funcionales para la creación, transferencia y almacenamiento de todo tipo de datos e información más o menos sensible.

La contratación de servicios de nube supone para las organizaciones un modelo de responsabilidad compartida con un proveedor que debe cumplir con el nivel de seguridad alineado con el de la organización que delega los datos.

Se deben verificar aspectos adicionales relevantes como la cadena de proveedores asociada al proveedor de los servicios finales, el control de la ubicación en las transferencias de los datos, así como, el análisis y gestión adecuada de los riesgos que las propias organizaciones que contratan estos servicios deben aplicar antes de contratar servicios en la nube.

ISO/IEC 27017Es una guía de seguridad para Cloud Computing alineada con ISO/IEC 27002 y con controles adicionales específicos de estos entornos de nube. Es posible la certificación en esta norma en conjunto con la implantación de un SGSI en base a los requisitos indicados en ISO/IEC 27001.

- ISO/IEC 27018Es un código de buenas prácticas en controles de protección de datos para aquellos proveedores de servicios de computación en cloud computing. Es posible la certificación en esta norma en conjunto con la implantación de un SGSI en base a los requisitos indicados en ISO/IEC 27001.

- CSA Cloud Security Alliance: Cloud Security Alliance (CSA) promueve la implantación de buenas prácticas para proporcionar seguridad en el ámbito de la computación en la nube y ha elaborado una hoja de ruta práctica y ejecutable para organizaciones que buscan adoptar el paradigma de la nube. Cloud Security Alliance no se propone crear una nueva taxonomía o modelo de referencia sino un documento armonizado de modelos existentes (especialmente el trabajo de NIST Special Publication 800-145, ISO/IEC 17788 e ISO/IEC 17789) concentrándose en lo que es más relevante para los profesionales de la seguridad.

Se mencionan a continuación los dominios comprendidos en la última guía (versión 4) publicada:

- DOMINIO 1 - Conceptos y Arquitecturas de la Computación en la Nube

- DOMINIO 2 - Gobierno y Gestión del Riesgo Corporativo

- DOMINIO 3 - Cuestiones Legales, Contratos y Descubrimiento Electrónico

- DOMINIO 4 - Cumplimiento y Gestión de Auditoría

- DOMINIO 5 - Gobierno de la Información

- DOMINIO 6 - Plano de Gestión y Continuidad del Negocio

- DOMINIO 7 - Seguridad de la Infraestructura

- DOMINIO 8 - Virtualización y Contenedores

- DOMINIO 9 - Respuesta ante Incidentes

- DOMINIO 10 – Seguridad de Aplicaciones

- DOMINIO 11 - Seguridad y Cifrado de Datos

- DOMINIO 12 - Gestión de Identidades, Derechos y Accesos

- DOMINIO 13 - Seguridad como Servicio

- DOMINIO 14 – Tecnologías Relacionadas

La guía está a libre disposición de los interesados en la página web de CSA traducida al español.

Adicionalmente, CSA pone a disposición la matriz “Cloud Controls Matrix” (CCM) como marco de control de ciberseguridad para la computación en la nube, compuesto por 133 objetivos de control que están estructurados en 16 dominios y que cubren todos los aspectos clave de la tecnología de la nube.

La CCM se utiliza como herramienta para la evaluación sistemática de la implantación de la seguridad en la nube y proporciona una guía sobre qué controles de seguridad deben ser implementados por qué actor dentro de la cadena de suministro de la nube.

El marco de controles está alineado con la guía de seguridad y actualmente se considera un estándar de facto para la garantía y el cumplimiento de la seguridad en la nube.

Los controles representados en la CCM están mapeados con los estándares, regulaciones y marcos de control de seguridad aceptados por la industria, incluidos, entre otros: ISO 27001/27002/27017/27018, NIST SP 800-53, AICPA TSC, ENISA Information Assurance Framework, el C5 del BSI alemán, PCI DSS, ISACA COBIT, NERC CIP, entre otros.

Como alternativa a la certificación formal en el esquema "STAR" asociado, los controles de seguridad de la CCMs y el cuestionario CAIQ (Consensus Assessments Initiative Questionnaire) se pueden utilizar para documentar de manera voluntaria autoevaluaciones (más de 500 organizaciones actualmente) especificando qué controles de seguridad existen en las ofertas de IaaS, PaaS y SaaS de un proveedor.

- Euro Cloud: Organización europea sin ánimo de lucro y neutral con respecto a los proveedores que ofrece conocimientos, orientación legal, orientación de calidad y políticas de mejores prácticas para uso global.

EuroCloud ofrece orientación, orientación y mejores prácticas, además de proporcionar servicios de apoyo como redes e intercambio de conocimientos a clientes y proveedores de la nube en toda Europa.

EuroCloud ayuda a los proveedores y clientes de la nube en su migración a la nube y su innovación en la nube basándose en valores de calidad europeos para un uso global. Participa activamente en el desarrollo del mercado de la computación en nube. EuroCloud está comprometido con la innovación, la calidad y los estándares y ayuda a establecer la confianza en la nube tanto del cliente como del usuario.

Dispone de una herramienta gratuita de autoevaluación de "StarAudit" para la verificación del cumplimiento, análisis de conformidad, comparación de Proveedores, desarrollo de Checklist y trabajos relacionados con auditoría.



Referencias globales

Entre los esquemas de interés que podemos referenciar para este sector podemos indicar:

- BSI’s Cloud Computing Compliance Controls Catalogue (C5): Esquema con documentación de libre acceso en inglés y alemán de la oficina federal para la seguridad de la información del gobierno alemán (Bundesamt für Sicherheit in der Informationstechnik - BSI). Ejemplo de adaptación y desarrollo nacional certificable y que toma en consideración para su creación y actualización periódica marcos relacionados como ISO/IEC 27001:2013, CSA Cloud Controls Matrix 3.0.1,  AICPA Trust Services Criteria 2017, TCDP - Version 1.0,  ISO/IEC 27017:2015,  ISO/IEC 27018:2014 y el compendio nacional BSI IT-Grundschutz-Kompendium - Edition 2019.


Telecomunicación

Internet es posible gracias a la interconexión de las diferentes redes que la componen. 

La conectividad es la base fundamental sobre la que se asienta el desarrollo de las economías y sociedades del siglo XXI y que ha llega a su máxima expresión con la intercomunicación de miles de millones de diversos dispositivos que capturan, tratan, comparten datos e información de todo tipo.


Referencias globales

Entre los esquemas de interés que podemos referenciar para este sector podemos indicar:

ISO/IEC 27011Es una guía de interpretación de la implementación y gestión de la seguridad de la información en organizaciones del sector de telecomunicaciones basada en ISO/IEC 27002. Está publicada también como norma ITU-T X.1051.

- ENISA: ENISA publica regularmente documentación sobre la resiliencia de la infraestructura de Internet desde 2010.

Transporte

El sector del trasporte de pasajeros y mercancias está experimentando una importante transformación en sus operaciones, sistemas e infraestructura debido a la digitalización de los sistemas e infraestructura de OT e IT.

La automatización de los procesos, los problemas del transporte público y el creciente número de las interconexiones con servicios externos y multimodales quedan expuestas sin una protección adecuada.


Referencias globales

Entre los esquemas de interés que podemos referenciar para este sector podemos indicar:

- ENISA - Railway Cybersecurity: Este estudio de ENISA se refiere al nivel de implementación de las medidas de ciberseguridad en el sector ferroviario, en el contexto de la aplicación de la Directiva NIS en cada Estado miembro europeo. Presenta una lista completa de services esenciales.

- ENISA- Securing Smart Airports: Basado en un examen en profundidad del conocimiento existente, así como en entrevistas de validación con expertos en la materia, este informe destaca los activos clave de los aeropuertos inteligentes. Sobre esta base, se realizó un análisis detallado y un mapeo de amenazas con un enfoque particular en las vulnerabilidades de los componentes inteligentes.

© 2005 Aviso Legal - Términos de uso información iso27000.es