La importancia de cumplir con las normativas de seguridad

El 2022 fue un año de estrenos para la seguridad, como ya muchos sabemos el PCI Council publicó la versión 4 de su estándar PCI DSS, el cual desde su anuncio traía muchas expectativas al respecto sobre todo para la industria de medios pagos y financiero que son los principales sectores que deben cumplir con este estándar. Sin embargo, no es el único estándar o marco de seguridad que ha sufrido cambios al respecto. También ha habido cambios en la serie de ISO27000 que en febrero del 2022 publicó la Norma 27002:2022, siendo la tercera versión publicada, y más recientemente, en agosto del 2022 se publicó la 27001:2022. No es casualidad que en este último año se hayan dado estos cambios, considerando que habían pasado más de 5 años sin tener actualizaciones importantes sobre los estándares, además de que los últimos años la tecnología y formas de atacar han evolucionado significativamente, así como la evolución tan significativa que se ofrece hoy en día en servicios CLOUD.

Sin duda PCI DSS e ISO27000 pueden ser, quizá, los estándares con mayor referencia en Latinoamérica, pero no son los únicos, existen otros marcos de seguridad que son bastante interesantes y vale la pena que les echemos un vistazo. Encontramos algunos estándares promovidos a nivel federal en algunos países, y otros que, si bien no son estándares, son leyes aplicables de forma local en diferentes regiones, pero que podemos tomar como marco de referencia, porque al final lo que se busca es proteger la información. Tampoco debemos olvidarnos de los promovidos por instituciones u organismos de seguridad, como SANS, NIST, PCI COUNCIL, HITRUST, etc.

Aunque el más reconocido a nivel internacional es el estándar de PCI DSS, el PCI Council cuenta con algunos estándares que pueden ayudarnos para establecer controles de seguridad o simplemente como guía o referencia en diferentes ámbitos:

• PCI PIN -- Estándar de seguridad para proteger la transmisión y procesamiento del PIN (número de identificación personal) sobre todo en procesos transacciones como en ATM (cajeros) y punto de venta.
• PCI SSF -- PCI Software Security Framework está dividido y organizado en dos estándares:
  • PCI SCL, Secure software Lifecycle, define un conjunto de requisitos técnicos para proveedores relacionados con el desarrollo de software. El estándar dicta las practicas a cumplir para un ciclo de vida de desarrollo seguro de software.
  • PCI SSS -- El estándar ofrece una guía para proveedores de software de pago (payment application o payment software) y establece los requisitos a cumplir para proveedores que ofrezcan este tipo de software o aplicaciones.
• PCI CP -- Card Production es un estándar que promueve los controles de seguridad físicos y lógicos para la producción de tarjetas de pago (tarjetas bancarias crédito y débito) sobre todo las emitidas por VISA, MasterCard, AMEX, Discover, JCB y recientemente Union Pay.
• PCI PTS -- Es un estándar de seguridad que dicta las medidas de seguridad física y lógicas que deben cumplir los dispositivos criptográficos (PTS HSM) y los dispositivos de punto de interacción (PTS-POI).

Aunque PCI DSS es su estándar más conocido, aquí hemos mencionado algunos más pero el PCI Council tiene una gama interesante de estándares de seguridad emitidos, la mayor parte enfocados a los medios de pago. Para información más detallada se puede consultar la página del PCI Council directamente: https://www.pcisecuritystandards.org/document_library/

Continuamos con la serie ISO 27000 donde también encontramos una gama interesante de estándares. Vamos a analizar algunos:

• 27001 -- Marco de seguridad que nos establece los lineamientos generales para desarrollar un sistema de gestión de seguridad de la información (SGSI).
• 27002 -- Anexo que contiene orientación sobre los controles de seguridad de la información. Este anexo establece tanto los controles como los objetivos que se esperan cubrir. Es interesante tomarlo como guía cuando queramos implementar la 27001.
• 27701 -- Ofrece una guía relacionada con la gestión de la protección de datos y la privacidad basada en la 27001 y 27002.
• 27017 -- Proporciona una guía sobre las medidas de seguridad de los servicios en la nube tomando como base la 27002.
• 27018 -- Enfocada a las prácticas de seguridad para proteger la información personal identificable (PII) en servicios de nube publica y toma como base la 27017.
• 27005 -- Norma que ofrece una base y marco para la gestión de riesgos de seguridad de la información.

Existen otras instituciones que emiten sus propios estándares y otros marcos de protección de datos que podemos tomar como referencia. Algunas de ellas son las siguientes:

• NIST -- El National Institute of Standards and Technology es una organización cuyo fin es promover normas y tecnologías que mejoren la competitividad y tecnología. En este sentido, cuenta con un sinfín de publicaciones y estándares enfocados a las tecnologías de la información. El estándar NIST Cibersecurity Framework v1.1 es un marco de seguridad que nos puede ayudar a identificar el estado y nivel de seguridad de nuestra empresa. Sin embargo, no es el único, también hay estándares relacionados con la protección de datos personales (SP 800-122), prácticas y metodología de pentest (SP 800-115) o el estándar para un modelo de riesgos de seguridad (NIST RMF). Al igual que hemos hecho anteriormente, solo hemos mencionado algunos, para mejor referencia consultar en su página directamente https://csrc.nist.gov/publications/final-pubs.
• HITRUST -- Es un organismo independiente para el cumplimiento de normativas y estándares bajo una metodología propia basada en riesgos.
• HIPPA -- Norma de Privacidad de la Ley de Responsabilidad y portabilidad de seguros de salud que busca proteger y dar privacidad a la información de salud de los pacientes que este en posesión de terceros. Una norma generalmente aplicable a médicos, farmacias, aseguradoras, hospitales o cualquier proveedor de atención médica o maneje información de este tipo.
• SOC 2 -- Es un informe de auditoría que evalúa los controles de seguridad en los sistemas de informáticos, evaluando la confidencialidad y disponibilidad de la información. Este informe debe ser emitido conforme a los estándares de la AICPA (American Institute of Certified Public Accountants) y, generalmente, se solicita a proveedores que ofrecen servicios a empresas de EU.
• NERC-CIP es una normativa de seguridad que aplica a las empresas eléctricas (dedicadas a la generación y transmisión de energía) en los Estados Unidos. Contempla un conjunto de normas en ciberseguridad sobre controles de seguridad físicos y lógicos en varios países, como México, Colombia, Perú, Brasil o Chile (por mencionar algunos), que han adoptado por este estándar para proteger la infraestructura crítica.
• GAMP®-- Promovida por la ISPE (International Society for Pharmaceutical Engineering) es una guía que promueve y establece los requerimientos de seguridad para la protección de la manufactura y los datos en los procesos de fabricación. Sin embargo, en su nueva publicación que establece requerimientos para proteger los sistemas de informáticos.

Como podemos notar, existen muchos marcos de referencias que podemos tomar como base de seguridad para nuestra empresa u organización. Realmente, ninguno es mejor que otro. En esencia, cada marco trata de brindar y ofrecer una guía para proteger la información de cada sector y lo más importante de todo esto, es que sea una guía para nosotros, los responsables de la seguridad de la información para que adoptemos y adaptemos un marco que nos funcione y que cumpla con los objetivos del negocio y que nos otorgue en la medida de lo posible un riesgo mínimo ante la perdida de la información. No se trata de aplicar un modelo o un estándar y lograr la acreditación de dicho modelo, se trata de que la organización pueda operar, cumplir sus objetivos y ofrecer un servicio seguro con el menor riesgo posible.

Otro punto importante que debemos tomar en cuenta son las regulaciones o leyes locales que debemos cubrir dependiendo en el país que estemos operando, cada país emite sus propias leyes en materia de seguridad de la información, y esto es importante, ya que el marco de gobierno que deseemos implementar debe cubrir en la medida de lo posible con los puntos que nos marca las leyes, esto con la finalidad de no realizar esfuerzos dobles, algunas de estas leyes o regulaciones son:

• Ley europea para la protección de datos personales (GDRP) -- Unión Europea
• Ley Federal de protección de datos personales en posesión particulares y sujetos obligados -- México
• Ley Orgánica de protección de datos personales de Ecuador (LOPDP) -- Ecuador
• Ley No. 172-13, Ley de protección de datos personales -- República Dominicana
• Normativa de protección de datos personales, ley N.° 8968 -- Costa Rica
• CNBV (Comisión Nacional de Banca y de Valores, CAP. X Art.316 BIS) -- México, cumplimiento con estándares de seguridad como PCI DSS para el sector financiero y medios de pagos.
• Ley Fintech -- México, Ley que promueve controles y mecanismos de seguridad en empresas Fintech del sector financiero.
• Superintendencia de Banca, Seguros y AFP -- Perú, Ley que promueve en el sector financiero el cumplimiento con los requerimientos de PCI DSS y la implementación de un SGSI (N° 6523-2013 y Nº 504-2021 respectivamente).
• Comisión para el mercado Financiero (RAN 20-10) -- Chile, Normativa para la gestión de la seguridad de la información y ciberseguridad.

Actualmente muchos países trabajan en leyes para promover la ciberseguridad y la gestión de la seguridad de la información. Las mencionadas anteriormente son sólo una pequeña referencia de algunas regulaciones locales.

La lista es muy extensa y seguramente alguna no fue mencionada, pero sea cual sea el estándar o marco lo importante es conocer en qué situación nos encontramos como empresa. Es fundamental realizar un assessment inicial y previo a realizar cualquier cambio o comenzar a implementar cualquier control o herramienta. Es fundamental entender la situación de tu empresa y obtener ese margen de cumplimiento apoyado con una valoración de riesgos que nos ayude a priorizar actividades. Es importante que analicemos nuestros contextos internos y externos para que diseñemos un marco y gobierno de seguridad acorde a los objetivos de la empresa u organización.

Rogelio Nova

Partner -- QSA & Logical Security Officer |HSM