Skip to content
Posted by deweloper2 comentarios en Frameworks de ciberseguridad y estándares que debes conocer Auditorías

Frameworks de ciberseguridad y estándares que debes conocer

Frameworks de ciberseguridad y estándares que debes conocer

El mundo de la ciberseguridad está repleto de terminología de dos tipos principales, términos técnicos para definir estándares tecnológicos, RFCs y métodos de funcionamiento. Por otro lado, está la terminología de corte organizativo, relacionadas con la administración de riesgos, metodologías, etcétera.

Una buena parte de esta terminología la ocupan sin duda los llamados estándares de ciberseguridad o frameworks. También se los conoce como marcos de ciberseguridad y su definición sería aproximadamente la siguiente:

Un framework de ciberseguridad es, en esencia, un compendio de estándares, buenas prácticas y normativas que permiten administrar los riesgos de tecnologías digitales. Normalmente se establece un mapeo con objetivos de seguridad concretos, por ejemplo prevenir acceso no autorizado a un sistema, mediante controles como requerir usuario y contraseña o MFA.

Existe una variedad ingente de marcos de seguridad operativos, que incluyen tipologías diferentes y que son más ubicuos o más localizados (varias leyes estatales de EEUU, por ejemplo).

Los principales marcos de ciberseguridad

A continuación encontrarás un listado bastante completo de estos frameworks, con descripción para los más importantes y una tabla donde se enumera un bun número de ellos.

Pero antes de proceder, conviene decir que los hay de tipos diferentes egún su objetivo principal.

Tipos de frameworks de seguridad informática

Según Frank Kim, previamente CISO del SANS y consultor de ciberseguridad, se podría dividir en estos 3 subtipos.

Frameworks de control

  • Elaboran una estrategia básica para equipos de seguridad
  • Proporcionan una linea base de controles
  • Permiten medir el estado técnico actual
  • Prioritizan la implementación de controles

Ejemplo: CIS Controls.

Frameworks de programa

  • Miden el estado del programa de ciberseguridad
  • Construyyen un programa de ciberseguridad comprensible
  • Miden la seguridad y competencia del programa
  • Simplifican la comunicación entre el equipo de seguridad y los líderes de negocio

Ejemplo: ISO 27001.

Frameworks de riesgo

  • Definen pasos clave del proceso para asesorar y tratar el riesgo
  • Estructuran un programa para gestión del riesgo
  • Simplifican la comunicación entre el equipo de seguridad y los líderes de negocio
  • Priorizan las actividades de seguridad

Ejemplo: Cybersecurity Risk Management Framework.

Ahora podemos pasar a enumerar algunos de los principales marcos de seguridad informática que existen y sus propósitos.

CIS (Center for Internet Security) Controls v8

El Centro para la Seguridad de la Información publicó el sus estándares CIS Controls por vez primera en 2008, para ayudar a las pequeñas y medianas empresas a superar los requisitos de seguridad que demandaban legislaciones y programas más complejos.

Este framework se organiza en 3 categorías:

  • Controles básicos
  • Controles fundamentales
  • Controles organizativos

Los llamados CIS guidelines están compuestos por un total de 20 entradas diferentes o Critical Security Controls, que podemos tomar como medidas de implementación para mitigar o impedir ciberataques.

Se diseñan de tal forma que puedan implementarse fácilmente y automatizarse su monitorización y uso obligado. La última versión de estos controles es CIS Controls v8, publicada recientemente.

Sus objetivos son, entre otros, aprovechar sinergias entre equipos de ataque y defensa para mejora de sistemas claves, asegurar que las inversiones en seguridad se enfocan a los puntos clave o usar el consenso para construir un diálogo que permita elaborar ideas entre profesionales.

Controles de CIS

Controles básicos

Incluyen los siguientes elementos.

  1. Inventariado y control de activos de hardware
  2. Inventariado y control de activos de software
  3. Gestión de vulnerabilidades continuada
  4. Control de uso de privilegios administrativos
  5. Uso de configuraciones seguras para hardware, software en dispositivos móivles, portátiles, workstations y servidores
  6. Mantenimiento, monitoreo y análisis de logs de auditoría

Controles fundamentales

  1. Protección en Email y navegadores
  2. Defensa frente al malware
  3. Limitación y control de puertos, protocolos y servicios de red
  4. Capacidades de recuperación de datos
  5. Configuración segura para dispositivos de red, como firewalls, routers y switches
  6. Seguridad perimetral
  7. Protección de datos
  8. Control de accesos en base a necesidad de saber
  9. Control de acceso wireless
  10. Control y monitoreo de cuentas de usuario

Controles organizativos

  1. Implementar un programa de concienciación y entrenamiento en seguridad
  2. Seguridad en software de aplicaciones
  3. Gestión y Respuesta ante Incidentes
  4. Tests de penetración (pentesting) y ejercicios Red Team.

ISO/IEC 27001

ISO 27001 es un framework de seguridad de la información publicado conjuntamente por la ISO (Asociación Internacional de Estándares) y la IEC. La última versión fue publicada en 2013 y desde entonces ha habido alguna actualización menor.

ISO 27001

El objetivo de ISO 27001 es proporcionar requisitos para un Sistema de Gestión de Seguridad de la Información (en inglés ISMS) y se utiliza por diferentes organizaciones para administrar la seguridad de activos como información financiera, datos de empleados, propiedad intelectual o información de terceros.

Las empresas u organismos pueden certificarse con el estándar ISO 27001 tras pasar una rigurosa auditoría. Sus requisitos serían:

  • Examinar de forma sistemática los riesgos de la organización, tomando cuenta de amenazas, vulnerabilidades e impactos.
  • Diseñar e implementar un conjunto coherente de controles de ciberseguridad y/o otras formas de gestión del riesgo (por ejemplo, evitarlo o transferirlo) para solucionar riesgos no aceptables.
  • Adoptar un proceso supra-departamental que asegure que los mecanismos de seguridad sigan cumpliendo los estándares requeridos, periódicamente.
SGSI ISO 27001

El ciclo de ISO 27001

Este conjunto de prácticas y controles toma como base el Ciclo de Deming (también importante en ITIL) que se basa en la pauta siguiente.

Planea > Implementa > Comprueba > Actúa

Es un proceso de mejora continua que siempre está vigente y busca la perfección y vigencia de todos los controles aplicados.

  • Planea: Establecer la política de SGSI, sus objetivos, procesos y procedimientos relacionados con gestión del riesgo y la mejora de los sistemas de seguridad para proporcionar resultados en linea con lo que dictan los objetivos de la organización.
  • Implementa: Implantar la política SGSI junto con sus controles, procesos y procedientos.
  • Comprueba: Monitorizar los resultados y revisar los KPIs o indicadores de medición según la SGSI, para ver el grado de cumplimiento. Reporte de estos resultados a los gestores del programa.
  • Actúa: Actualizar y mejorar la SGSI según las evidencias y mediciones obtenidas en el paso anterior, para alinearla lo mejor posible con los objetivos de la primera fase.

NIST

Las siglas NIST responden a National Institute of Standards and Technology, se trata de un framework que, a pesar de ser de EEUU (y financiado por su gobierno) es muy reconocido a nivel global y merece la pena hablar sobre él.

Este organismo tiene varias fuentes de información interesantes:

  • NIST Cybersecurity framework
  • NIST 800-53
  • NIST 171

Todos tienen componentes comunes, con algunas diferencias en su estructura y casos de uso concretos.

NIST Cybersecurity Framework es el más general de estos conjuntos, pensado para aplicarse a cualquier organización que persiga construir un programa de seguridad.

NIST framework

Sus controles de ciberseguridad se dividen en 5 categorías clave:

  1. Identificar
  2. Proteger
  3. Detectar
  4. Responder
  5. Recuperar

Se considera una de las mejores prácticas posibles, según ciertas encuestas su ratio de adopción roza el 70% de los profesionales de TI.

Luego está el NIST Special Publication 800-53, uin framework dirigido a las agencias del Gobierno Federal de los EEUU. En comparación con el anterior, es muchísimo mas extenso: 450 páginas frente a las 41 del primero.

RGPD o GDPR

Se conoce al GDPR (General Data Protection Regulation) en nuestro país como RGPD, siendo uno de los últimos marcos de control diseñados (entró en vigor en 2016 en la UE) para proteger la PII (Información Personalmente Identificable, en inglés).

GDPR o RGPD

Ya hablé anteriormente de la RGPD y su cumplimiento así que no me extenderé demasiado. Diremos que proporciona unos controles y directrices de obligado cumplimiento para los estados miembros de la UE, de cara a proteger el derecho a la privacidad, libertad de elección y seguridad del usuario final.

No es un framework enfocado especialmente a la seguridad, pero algunos profesionales o empresas deciden adherirse directamente a este marco, en lugar de otros, dado que también es válido para cumplimiento global de seguridad (sin ser ideal).

Los requisitos de la RGPD incluyen implementar controles fiables para restringir el acceso no autorizado a datos almacenados. Se fomenta el uso del «least privilege» como principio, junto a barreras como la autenticación multifactor.

También se hace hincapié en el deber de informar de las empresas, suponiendo enormes penas económicas en caso de incumplimiento.

HIPAA

HIPAA

HIPAA se traduce como Health Insurance Portability and Accountability Act y describe varias pautas y controles para permitir a las organizaciones públicas y privadas del sector sanitario el uso, transmisión y almacenamiento seguro de información de empleados y pacientes.

HIPAA además requiere que los organismos del sector de la Salud cumplan durante todo el ciclo de vida, desde que se recopila cualquier información de un paciente y durante todo su ciclo de vida. Está formado por estándares de seguridad que la organización debe acreditar mediante auditorías periódicas.

Entre estos requisitos encontraremos, por ejemplo, entrenar a todos los empleados en cualquiera de sus niveles para poder crear y mantener proceedimientos aceptables que permitan evaluar y mitigar los riesgos, por supuesto también su correspondiente proceso de gestión (y resolución) de los riesgos.

PCI

Baste para describir el propósito del conjunto PCI citar parte de la descripcón del organismo:

Los estándares PCI de Estándares de Seguridad de Datos nos ayudan a proteger la seguridad de la información. Asignan los requisitos operativos y técnicos para organizaciones que aceptan o procesan transacciones de pago […]

PCI
PCI-DSS y otros frameworks PCI
Conjunto de frameworks PCI

El estándar PCI-DSS es de obligado cumplimiento para cualquier entidad público-privada que procese pagos de terceros (tiendas, organismos oficiales, ONGs, empresas…) de forma telemática. En este artículo también describo algunas herramientas que facilitan la auditoría y cumplimiento.

Esquema Nacional de Seguridad

Como mención especial tenemos el ENS o Esquema Nacional de Seguridad, desarrollado y mantenido por el CCN-CERT (Centro Critológico Nacional), que sería aproximadamente el equivalente al NIST 800-53.

CCN-CERT

En concreto, tenemos la publicación CCN-STIC-804 que rige sobre las prescripciones para implementar este marco de control y cumplimiento, tratando aspectos de lo más variado sobre seguridad, privacidad, concienciación y formación.

También tenemos la CCN-STIC-805 que rige sobre la Política de Seguridad de la Información.

Tabla de frameworks relacionados con ciberseguridad o privacidad

A continuación una tabla completa donde he listado todas las normativas o buenas prácticas de este tipo que he podido encontrar y tienen cierta relevancia.

NOMBRESECTORAPLICACION
MITRE ATT&CK EntepriseGlobalGlobal
CIS ControlsGlobalGlobal
ISO/IEC 27001GlobalGlobal
NIST CSFGlobalGlobal
NIST PrivacyPrivacidadGlobal
NIST 800-82Sistemas de control industrialGlobal
NIST 800-53PúblicoEEUU
NIST 171PrivadoEEUU
CCN-STIC 804/805PúblicoEspaña
PCISector Financiero / ServiciosGlobal
HIPAAMedicinaEEUU
Hitrust CSFMedicinaGlobal
ETSITelecomunicacionesEuropa
ENISA NCAFGlobalEuropa
FAIRGlobalGlobal
ASD Top 35PúblicoAustralia
COBITGlobalGlobal
CCPAPrivacidadCalifornia
CSA CCMSeguridad CloudGlobal
CISA-TSSSector TransportesEEUU
CMMCPúblico*EEUU
ITU CIIPTelecomunizacionesGlobal
IOTCAGlobalGlobal
IOTSFGlobalGlobal
OASIS SAMLGlobalGlobal

*Empresas privadas que firman contratos con el gobierno.

Palabras finales

Está claro que me he dejado sin citar al detalle un montón de frameworks entre los que, por ejemplo, destacaría COBIT o el propio MITRE ATT&CK, del que podéis encontrar cursos para su evaluación en mi post.

El caso es que me llevaría toda una vida cubrirlos todos y, como habréis comprobado, son todos muy diferentes en sus conceptos, alcance y metododología. Si tuviera que empezar por uno, sin duda sería CIS Controls v8, salvo que tengáis trabajo en un sector especializado que requiera de un marco específico.

Categories

Auditorías, Noticias

Tags

, , , , , , , , , , ,

deweloper View All

Trabajo como consultor de ciberseguridad y me gusta lo que hago. Aficionado a la informática / tecnología en general, me gusta compartir con la gente lo poco que sé. También soy aficionado al deporte y los videojuegos.

2 thoughts on “Frameworks de ciberseguridad y estándares que debes conocer Leave a comment

  1. Buen resumen, ideal para mi trabajo TFM, pondré, con tu permiso, la tabla en la memoria del trabajo y te nombraré, eso por descontado. Me gustaría saber más sobre la relación de los frameworks y los sectores, ¿cómo has hecho la relación entre sector y framework?¿de dónde has sacado la información?. Te lo pregunto porque o me he leído mal la documentación o me falta algo por entender.

    Gracias y feliz tarde

    Reply

    • Gracias por valorar el artículo Gemma. Puedes usar la información sin problema. La relación la he sacado de mi conocimiento previo o de las webs oficiales de los estándares. Saludos

      Reply

Deja un comentario