ISO 27001, NIS, LPM, NIST CSF, PCI-DSS, NC, conformidad en 6 siglas

Compartir

La industria de ciberseguridad , y la respuesta a incidentes en particular, es un lugar donde florecen todo tipo de acrónimos. Es muy fácil perderse. Norma, directiva, ley, proceso... echemos un vistazo a las definiciones de 6 acrónimos de uso común en el cumplimiento de normativas y que nadie debería ignorar.

ISO 27001, la norma internacional para la gestión de riesgos cibernéticos

La norma ISO 27001, publicada en 2005 y revisada en 2013, fue desarrollada por el sistema mundial especializado en normalización, ISO (Organización Internacional de Normalización) e IEC (Comisión Electrotécnica Internacional). Así se entiende que también se la conozca por las siglas ISO/IEC 27001:2013. Esta norma internacional de referencia define el sistema de gestión de la seguridad de la información (SGSI) que debe implantarse en una organización. Proporciona un marco para ayudar a las organizaciones a implantar, mantener y mejorar continuamente su SGSI.

La norma ISO 27001 es lo suficientemente genérica como para adaptarse a cualquier tipo de organización, sea cual sea su tamaño, naturaleza o sector de actividad. Su objetivo es establecer las medidas de protección necesarias para mantener la confidencialidad, disponibilidad e integridad de la información de su organización.

Esta norma aborda la seguridad a través de la gestión de riesgos. Los 252 requisitos de esta norma se refieren en particular a las siguientes áreas:

  • normativa sobre protección de datos personales
  • gobernanza de la seguridad de la información y estrategia de gobernanza de datos
  • seguridad de los recursos materiales (infraestructuras, redes y sistemas informáticos)
  • recursos humanos (organización y responsabilidades del personal, política de seguridad de los sistemas de información, sensibilización sobre ciberseguridad, etc.)
  • seguridad física (acceso a edificios o infraestructuras informáticas)
  • desarrollo y mantenimiento de sistemas y programas informáticos 
  • Continuidad de las actividades (BCP, DRP, etc.)

Una empresa que aplique correctamente todos los requisitos de la norma ISO 27001 puede ser certificada por un auditor cualificado. La certificación ISO 27001 es una garantía de confianza en el almacenamiento y la seguridad de los datos. Además de ser un activo comercial (cada vez más licitaciones exigen un paquete de certificación), sitúa a su organización en la senda de la mejora continua de la seguridad de los sistemas de información. 

LPM, la ley francesa de programación militar

En Francia, la Ley de Planificación Militar (LPM) se vota regularmente desde los años sesenta. Cada 4 o 6 años, esta ley establece el programa de gastos militares. La LPM 2014-2019 incluye una sección "cibernética" reforzada e introduce el marco legislativo para los Operadores de Importancia Vital (OIV), haciéndoles responsables de la seguridad de sus sistemas de información de importancia vital (SIIV). 

La última versión, la LPM 2019-2025, hace de ciberseguridad un área prioritaria de esfuerzo. Aumentar el número de expertos en ciberseguridad, proteger los sistemas de armas y las SI desde la fase de diseño, reforzar las capacidades del Centro de Análisis y Defensa Informática (CALID) y de los SOC de las fuerzas armadas son las medidas clave de este texto.

NIS, la Comisión Europea ciberseguridad

La Directiva SRI (Seguridad de las Redes y de la Información) es un acto legislativo fundacional de ciberseguridad a escala europea. Adoptada en 2016 por el Parlamento Europeo, esta directiva requiere una transposición legislativa a nivel nacional. Según la ANSSI, responsable de este proyecto: "Esta directiva pretende crear una Europa fuerte y de confianza, basada en las capacidades nacionales de los Estados miembros en materia de ciberseguridad, el establecimiento de una cooperación eficaz y la protección de las actividades económicas y sociales críticas de la nación, para hacer frente colectivamente a los riesgos de ciberataques". 

Uno de los puntos clave de esta directiva es elevar el nivel de ciberseguridad en los Estados miembros mediante la creación de CSIRT (equipos de respuesta a incidentes de seguridad informática) nacionales.

El segundo objetivo del texto es aumentar la cooperación transfronteriza. Es compartiendo información y trabajando juntos como Europa hará frente a las ciberamenazas.

Por último, la directiva también establece una serie de requisitos de seguridad de las redes y de la información para los operadores de servicios esenciales (OEN) y los proveedores de servicios digitales. Cada Estado miembro debe elaborar una lista de sectores que considera "esenciales", como la energía, el transporte, el agua, la sanidad y el sector financiero. En Francia, esta directiva está en consonancia con la LPM 2014-2019 y la introducción de los OIV (Opérateurs d'Importance Vitale).

Ante el aumento de las ciberamenazas, la Unión Europea quiere más seguridad y prepara una revisión de esta directiva. El objetivo de la NIS V2.0 no es aumentar las normas de seguridad, sino ampliar su ámbito de aplicación. Según declaraciones de Guillaume Poupard, Director General de la ANSSI en junio de 2022, el número de actores "esenciales" se multiplicaría por diez.

 

NIST CSF, la American ciberseguridad

En Estados Unidos, el Instituto Nacional de Estándares y Tecnología (NIST) publicó en 2014 el Marco de Ciberseguridad (CSF) para organizaciones del sector privado con infraestructuras críticas con el fin de orientarlas en la gestión de su ciberseguridad. Este "marco para mejorar la ciberseguridad de las infraestructuras críticas" es el resultado del trabajo conjunto entre el Gobierno de Estados Unidos, el mundo académico y la industria privada. Ampliamente desplegado en todo el mundo, este marco consta de normas, guías y mejores prácticas[1]..

Las 5 funciones principales de este marco se definen mediante verbos de acción, desde el reconocimiento hasta la resolución:

  • Identificar: se trata de desarrollar un conocimiento organizativo (sistemas, activos, datos, etc.) para gestionar los riesgos de ciberseguridad.
  • Proteger: se refiere a las medidas de protección que deben desarrollarse y aplicarse para garantizar la seguridad de los servicios críticos de la organización.
  • Detectar: se refiere a la identificación de eventos en ciberseguridad.
  • Respuesta: define las acciones que deben emprenderse en respuesta a un incidente detectado en ciberseguridad .
  • Recuperación: establece las actividades adecuadas que deben llevarse a cabo para mantener los planes de resiliencia y restaurar lo que pueda haberse alterado tras un incidente en ciberseguridad. 

El objetivo de estas funciones es proporcionar una visión estratégica de los riesgos de ciberseguridad que podrían producirse en una organización.

A estas funciones se añaden una veintena de categorías (gestión de riesgos, mantenimiento, gobernanza, etc.) y casi un centenar de subcategorías derivadas de referencias a otras normas como la ISO 27001. Adaptable a todo tipo de empresas, este marco tiene la ventaja de presentar la información de forma sencilla. 

 

PCI-DSS, protección de las transacciones bancarias

PCI-DSS (Payment Card Industry Data Security Standard) es el acrónimo del conjunto de políticas y procedimientos de seguridad de datos aplicables al sector de las tarjetas de pago. 

Comprende 12 requisitos principales, agrupados en 6 grupos denominados "objetivos de control". 

La primera versión de la PCI-DSS se publicó a finales de 2004 y se actualiza periódicamente. El objetivo de esta norma es proteger las transacciones con tarjetas de crédito, débito y pago. También pretende evitar el uso indebido de la información personal de los titulares de tarjetas.

Todas las tarjetas bancarias deben cumplir la norma PCI-DSS. Esta norma internacional está siendo desarrollada actualmente por un conglomerado de 5 actores (MasterCard, Visa, American Express, Discover Card y JCB). 

 

NC, el caso atípico del cumplimiento

Hablar de cumplimiento carecería de sentido si no mencionáramos el acrónimo NC (Non-Compliance). Por definición, el incumplimiento significa no respetar una norma en vigor. Se trata, por tanto, de un mal funcionamiento de un proceso, un servicio o incluso un producto, en relación con una exigencia inicial. El incumplimiento de un reglamento o norma puede clasificarse como NC mayor o NC menor, en función de las medidas correctoras que deban aplicarse para restablecer la conformidad.

Y Baptiste David, Jefe de Preventa y Entrega de Tenacy , lo tiene muy claro: 

" " No podemos lograr la conformidad sin tratar a diario con las NC. Además, el tratamiento de las NC representa un reto para una organización certificada. Durante una auditoría, se exigen pruebas de la manipulación de las NC".  

[1] Versión francesa: https: //nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018fr.pdf