Presidente del CONSEJOSI
En la actualidad, existen una gran cantidad de marcos regulatorios, normativas, estándares y sistemas de gestión que se encargan de regular la seguridad en la información y la protección de datos en todo tipo de organizaciones, tanto públicas como privadas.
Todos estos esfuerzos y medidas tienen como objetivo prevenir, detectar y mitigar las amenazas que puedan poner en riesgo la información de las organizaciones y la privacidad de los usuarios.
En el mundo de la ciberseguridad, las pruebas de penetración o pentest, son una herramienta eficaz para evaluar la seguridad de los sistemas y aplicaciones. Es por eso que muchos marcos regulatorios, normativas, estándares y sistemas de gestión de seguridad requieren su realización de forma regular.
Normas, leyes y estándares
PCI DSS es una norma que se aplica a las empresas que procesan, almacenan o transmiten datos de tarjetas de crédito. Esta norma exige pruebas de penetración anuales realizadas por un equipo independiente. El pentest debe cubrir todas las aplicaciones web y redes involucradas en el procesamiento de pagos, y los resultados deben documentarse y abordarse adecuadamente.
HIPAA. La Ley de Portabilidad y Responsabilidad de Seguros Médicos (HIPAA, por sus siglas en inglés) establece requisitos para la privacidad y seguridad de la información médica protegida (PHI, por sus siglas en inglés). HIPAA no exige explícitamente el pentest, pero se espera que las organizaciones realicen pruebas regulares para evaluar la seguridad de sus sistemas de información y proteger la PHI. Las organizaciones deben documentar las pruebas realizadas y abordar adecuadamente cualquier vulnerabilidad identificada.
OWASP. La Fundación de Seguridad de Aplicaciones Web Abiertas (OWASP, por sus siglas en inglés) es una organización sin fines de lucro dedicada a mejorar la seguridad de las aplicaciones web. El marco OWASP incluye una lista de las diez principales categorías de vulnerabilidades de las aplicaciones web. Se espera que las organizaciones implementen medidas de corrección para solucionar las vulnerabilidades identificadas durante el pentest.
Además de los mencionados anteriormente, muchas industrias y sectores tienen sus propias regulaciones y requisitos de seguridad específicos que requieren pruebas de penetración.
Normas y reglas sectoriales
SWIFT CSP: CSP (Programa de Seguridad de la Comunidad de Pagos Seguros de SWIFT) es un conjunto de requisitos de seguridad obligatorios para las instituciones financieras que utilizan SWIFT para realizar transferencias de fondos internacionales. El programa CSP exige pentests anuales, que deben cubrir la infraestructura de la red y las aplicaciones de pago de SWIFT.
HITRUST CSF: CSF (Framework de Seguridad de la Información y Tecnología de Salud) es un marco de seguridad para las organizaciones del sector de la salud que manejan información de salud protegida (PHI, por sus siglas en inglés). HITRUST CSF exige pentests anuales para evaluar la seguridad de los sistemas y aplicaciones que manejan PHI.
FedRAMP: FedRAMP (Programa de Gestión de Riesgos y Autorización Federal de Sistemas en la Nube) es un marco de seguridad para las soluciones en la nube utilizadas por las agencias gubernamentales de los Estados Unidos. FedRAMP exige pentests anuales para evaluar la seguridad de los sistemas y aplicaciones en la nube.
SOC 2: SOC (Controles de Organizaciones de Servicios) es un conjunto de estándares de auditoría desarrollados por la Asociación Americana de Contadores Públicos Certificados (AICPA, por sus siglas en inglés). SOC 2 exige pruebas de penetración anuales para evaluar la seguridad de los sistemas y aplicaciones que manejan datos confidenciales de clientes.
FFIEC: Estándar de seguridad de la información del sector financiero del Consejo Examinador de las Instituciones Financieras Federales, Federal Financial Institutions Examination Council (FFIEC) en Inglés, requiere pruebas de penetración regularmente.
Sistemas de gestión de la seguridad de la información
Los sistemas de gestión de la seguridad de la información (SGSI) son marcos que ayudan a las organizaciones a gestionar y proteger la información de manera efectiva. Muchos de estos sistemas requieren pruebas de penetración como parte de sus procesos de evaluación de riesgos y gestión de la seguridad. A continuación se presentan algunos de los que exigen pruebas de penetración:
ISO 27001: La norma ISO 27001 establece los requisitos para un sistema de gestión de seguridad de la información (SGSI). Esta norma exige que se realicen pruebas de penetración al menos una vez al año o cuando se produzca un cambio significativo en la infraestructura del sistema. El pentest debe incluir tanto la red como las aplicaciones web, y los resultados deben documentarse y abordarse adecuadamente.
NIST SP 800-53: además de las pruebas de penetración anuales requeridas para las agencias gubernamentales de los Estados Unidos, NIST SP 800-53 exige pentests adicionales para evaluar la seguridad de los sistemas y aplicaciones en función de los riesgos identificados.
CIS Critical Security Controls: los CIS Controls son un conjunto de 18 controles críticos de seguridad de la información desarrollados por el Centro de Seguridad de Internet (CIS, por sus siglas en inglés). Los controles incluyen la realización de pruebas de penetración para evaluar la seguridad de los sistemas y aplicaciones.Estándar de seguridad de la información del sector financiero (FFIEC)
En conclusión
Las pruebas de penetración son una herramienta de diagnóstico eficaz para evaluar la seguridad de los sistemas y aplicaciones, y se espera que se realicen en cumplimiento con los estándares y marcos regulatorios aplicables.
Los estándares y marcos regulatorios mencionados anteriormente establecen requisitos específicos para las pruebas de penetración, y es importante que las organizaciones los conozcan y los cumplan adecuadamente para garantizar la seguridad de sus sistemas y proteger la privacidad y seguridad de los datos.
Al cumplir con estos estándares y marcos regulatorios, las organizaciones pueden demostrar su compromiso con la seguridad y la protección de los datos y ganar la confianza de sus clientes y usuarios.
