Mòdul Professional 1: Incidents de ciberseguretat - Normativa i legislació

Índex

1 Estàndards i marcs de bones pràctiques

Podem trobar varies referents que estableixen marcs de bones pràctiques, alguns d'ells certificables.

Aquestes certificacions serveixen en principi per garantir unes bones pràctiques i per tant garantir uns mínims de qualitat en els productes o serveis produïts a l'empresa o organització.

També asseguren productes i serveis segurs, fiables i de qualitat alhora que augmenta la productivitat i minimitza errors i despeses. Finalment asseguren la compatibilitat entre productes i serveis.

Tanmateix, i a efectes pràctics, el compliment i certificació de la major part de estàndards i bones pràctiques s'utilitza com a requisit per a poder entrar a mercats exclusius, limitant així la competència i excloent les empreses amb pocs recursos que no poden implementar aquests mecanismes.

1.1 RFC

Un RFC (Request for Comments) és un memoràndum o resum sobre noves instigacions i metodologies relacionades amb les tecnologies d'Internet. Iniciat per Jon Postel al 1969, no deixa de ser el recull del conscens sobre metodologies d'un tema concret que ha estat aprovat per IETF (Internet Engineering Task Force). El IETF és simplement una agrupació de tècnics que treballen de forma col·laborativa per generar estàndars i participen de forma activa amb RFC, W3C, ISO/IEC, etc.

En resum, els RFC són el conçencs sobre un tema tècnic al quan han arribat un grup d'experts de forma col·laborativa. Com podeu comprovar aquest médote va molt lligat amb la cultura del Software Lliure i les arrels d'Internet.

Tanmateix, tot i que el nivell tècnic és molt bo cal remarcar dos aspectes. Com tot projecte col·laboratiu, es mou depenent dels interessos globals i per tant no hi ha una formalització respecte la seva direcció o manteniment. Per altre banda és un estàndard que no es pot certificar, això implica que, tot i ser interessant de conèixer i seguir, no permet obtenir certificats i per tant validar la seva aplicació davant terceres entitats.

Podem consultar tots els RFCs de forma gratuïta a la web oficial de RFC-Editor.

1.2 ISO

La International Organizaton for Standardization és una organització per a la creació d'estàndars internacionals. És una organització independent i no governamental.

Funciona en comités conjunts amb IEC (Comisió Electrònica Internacional) i el subdepartament ISO/IEC JTC 1 és l'encarregat de desenvolupar, mantenir i promoure estàndars de IT.

1.2.1 Productes ISO

ISO bàsicament produeix el següent:

  • Estàndars internacionals.
  • Informes tècnics.
  • Especificacions tècniques de domini públic.
  • Guies ISO.

1.2.2 Fases

La ISO, organitzada en comités i subcomties segueix el següent procediment per a generar un nou estàndard:

  1. Proposició
  2. Preparació
  3. Comité
  4. Investigació
  5. Aprobació
  6. Publicació

1.3 AENOR

AENOR (Asociación Española de Normalización y Certificación) creada el 1986 actualment s'ha dividit en dos components relacionats:

UNE
Asociación Española de Normalizacions encarregada de realitzar la normalització o estandardització a nivell espanyol i col·laborar amb altres organitzacions del mateix caire a nivell internacional (ISO).
AENOR Internacional
Encarregada de les activitats de avaluació de la conformitat (certificació).

La UNE/AENOR és de caràcter associatiu i per tant tothom que tingui interès en participar en la creació d'un estàndard es pot inscriure i aportar al projecte. En conseqüència podem trobar particulars, associacions i empreses dins d'aquesta organització.

Moltes de les normatives ISO/IEC tenen contrapartida UNE, tot conservant la numeració.

1.4 NIST

NIST (National Institute of Standards and Technology) promou la innovació i la competència industrial als Estats Units mitjançant normes i estàndards. Abarca àrees com la biotecnologia, nanotecnologia, les IT i fabricació avançada.

Dins de l'àrea de ciberseguretat (NIST CSF) ajuden a protegir les organitzacions del sector privat de infraestructures crítiques alhora que protegeix la privacitat i les llibertats civils.

2 Gestió de la ciberseguretat

La ISO/IEC 27000 és el estàndard de seguretat publicat per la ISO/IEC i conté les bones pràctiques recomanades en la ciberseguretat. Aquesta conté varis sub-estàndards, un per cada aspecte, alguns d'ells són:

ISO/IEC 27000
Vocabulari estàndard pel SGSI.
ISO/IEC 27001
Implantació del SGSI.
ISO/IEC 27002
Pràctiques per a la gestió de la ciberseguretat.
ISO/IEC 27003
Directrius d'implementació d'un SGSI.
ISO/IEC 27004
Mètriques per a la gestió de la seguretat de la informació.
ISO/IEC 27005
Gestió de riscos.
ISO/IEC 27006
Requisits d'acreditació d'organitzacions.
ISO/IEC 27007
Guia d'auditoria a SGSI.
ISO/IEC 27008
Guia per auditar controls a implantat en un SGSI.
ISO/IEC 27010
Guia per gestionar la seguretat de la informació compartida.
ISO/IEC 27014
Guia de governança corporatiu de la seguretat de la informació.
ISO/IEC 27017
Guia de seguretat per cloud computing.
ISO/IEC 27032
Guia de bastionatge de la ciberseguretat.
ISO/IEC 27033
Guia de seguretat per l'administració, operació i ús de xarxes.
ISO/IEC 27034
Tècniques de seguretat i seguretat en aplicacions.
ISO/IEC 27036
Seguretat de la informació en relacions amb proveïdors.
ISO/IEC 27039
Guia de desplegament de IDS/IPS.
ISO/IEC 27042
Guia per l'anàlisis i interpretació d'evidències digitals.

Podem trobar les contrapartides UNE corresponents

Respete al NIST trobem per exemple:

NIST 800-12
Àrees de control de la ciberseguretat.
NIST 800-14
Principis de la ciberseguretat.
NIST 800-26
Guia sobre l'administració de la ciberseguretat.
NIST 800-37
Guia de gestió de riscos en ciberseguretat.
NIST 800-53
Controls de seguretat.
NIST 800-63-3
Pautes sobre la gestió de identitat digital.
NIST 800-82
Guia sobre sistemes de ciberseguretat de control industrial (ICS).

Finalment alguns exemples de RFC:

RFC 1244
Site Security Handbook
RFC 2195
Desenvolupament de polítiques i procediments de seguretat per al sistemes IT connectats a Internet.
RFC 2196
Guia sobre polítiques de seguretat.
RFC 2979
Requeriments de interoperabilitat en tallafocs.
RFC 2350
Expectatives per Incident Response. Com que ens pertoca en aquest mòdul, el podeu trobar aquí.

3 Normativa legal

A nivell legal, tota organització ha de bregar amb varies legislacions que afecten de forma directe la ciberseguretat de la mateixa. Aquestes, a Espanya, són:

3.1 LOPDGDD

La Ley Orgánica de Protección de Datos y Garantí de los Derechos Digitals, antiga LOPD i concreció espanyola de la RGPD europea. Amb l'objectiu de reforçar els drets del ciutadà referents a la privacitat de les dades personals, s'aplica a empreses i organitzacions que utilitzin dades personals pròpies, de clients o proveïdors.

Al manar de la RGPD assegura una normalització dins de l'Unió Europea. Un dels canvis més important d'aquesta nova legislació és la espectativa de proactivitat per part de l'empresa en l'àrea de la ciberseguretat i protecció de dades personals.

3.2 LSSI

Com ja heu vist en cicles anteriors, la LSSI també inclou alguns apartats respecte la ciberseguretat, sobretot referents als proveïdors de serveis a Internet i en especial als ISP.

3.3 Reforma del codi penal en ciberseguretat

Finalment recordar que la reforma en el codi penal obliga les empreses i organitzacions a tenir una actitut pro-activa i per tant betllar per la seguretat dels seus sistemes IT de forma constant. S'aconsella instaurar un SGSI.

Data: 2021-07-28 dc. 00:00

Autor: Raul Gimenez Herrada

Created: 2021-07-28 dc. 10:59