Prayukth KV
Lo que significan las nuevas pautas de auditoría de ciberseguridad de CERT-In para las empresas e instituciones públicas indias
El Equipo de Respuesta a Emergencias Informáticas de la India (Cert-In) emitió el 25 de julio nuevas pautas obligatorias sobre la realización de auditorías de ciberseguridad dirigidas a organizaciones tanto del sector privado como público. Por primera vez, las entidades de los dominios del sector privado y público han sido incluidas en el ámbito de un mandato de auditoría CERT In. Además, CERT In ha delineado pautas claras que cubren todos los aspectos de la evaluación/ auditoría de riesgos, tanto para los auditores como para los auditados.
¿Qué ha cambiado según el nuevo mandato?
A continuación se presentan algunas de las principales directrices que CERT In ha establecido:
· Las entidades que poseen o gestionan sistemas digitales deben necesariamente someterse a una auditoría de ciberseguridad de terceros al menos una vez al año.
· Responsabilidad de la gerencia: La alta dirección debe revisar y aprobar el programa de auditoría, el alcance, y las medidas correctivas tomadas por la organización para abordar las vulnerabilidades resaltadas en las auditorías de manera oportuna.
· Responsabilidad del propietario de los activos: Las técnicas de tratamiento de riesgos como retener, evitar, transferir y reducir para cualquier vulnerabilidad o observación reportada en la aplicación o infraestructura, deben ser autorizadas y aceptadas por el jefe de la organización auditada. Además, cualquier excepción a las vulnerabilidades o observaciones reportadas en la aplicación debe ser autorizada por el jefe de la organización, quien es el propietario de la aplicación.
· Las auditorías deben ser contextuales y relevantes para la entidad en términos de riesgos y dominio operativo. Esto significa que la auditoría debe realizarse considerando el contexto empresarial, el entorno de riesgo y el panorama de amenazas relacionado con la entidad.
· Las organizaciones deben asegurar el acceso remoto restringido a la infraestructura cibernética. El tráfico de acceso remoto debe ser canalizado, cifrado y registrado para evitar cualquier uso indebido.
· Las organizaciones deben mantener y monitorear el inventario de todos los activos autorizados (tanto software como hardware). Para todos los activos, debe haber un mecanismo adecuado de gestión de parches para corregir el software, las aplicaciones y el firmware vulnerables utilizados por la organización.
· Las organizaciones necesitan implementar el principio de privilegio mínimo en los activos de la organización.
· La responsabilidad de mantener una postura de ciberseguridad eficiente y robusta recae finalmente en la organización auditada.
· Los reguladores tienen la discreción de ordenar auditorías más frecuentes por año, si las condiciones así lo requieren.
· La organización auditora debe verificar las políticas existentes de la organización contra los estándares de la industria y las mejores prácticas y sugerir las mejoras necesarias, si es necesario, y las organizaciones auditadas deben confirmar que las aplicaciones están diseñadas y desarrolladas con práctica segura antes de comenzar cualquier evaluación.
· Las auditorías deben incluir el descubrimiento de todas las vulnerabilidades conocidas basadas en los estándares/marcos comprensivos como ISO/IEC, Requisitos Básicos de Auditoría de Ciberseguridad, CSA Cloud Controls Matrix (CCM) para la Seguridad en la Nube, Manual de Metodología de Pruebas de Seguridad de Código Abierto (OSSTMM3), Guía de Pruebas de Seguridad Web OWASP para pruebas de seguridad de aplicaciones web, el Estándar de Verificación de Seguridad de Aplicaciones OWASP (ASVS) para establecer y verificar controles de seguridad de aplicaciones, la Guía de Pruebas de Seguridad Móvil OWASP (MSTG) para auditorías de aplicaciones móviles OWASP Modelo de Madurez DevSecOps para evaluar la seguridad del pipeline de Integración Continua / Despliegue Continuo (CI/CD) junto con el marco regulatorio aplicable y las direcciones y directrices emitidas de vez en cuando por agencias como CERT-In, cuerpos gubernamentales y reguladores.
· La auditoría debe realizarse después de cada cambio importante en la infraestructura y la aplicación, basado en la criticidad involucrada.
¿Qué está dentro del alcance del nuevo mandato?
El alcance de las auditorías debe incluir la auditoría de toda la infraestructura cibernética, incluidos los sistemas, aplicaciones (tanto web/móvil), software, infraestructura de red, Tecnología Operativa (OT) / Sistemas de Control Industrial (ICS), arquitectura de la nube, Interfaces de Programación de Aplicaciones (APIs), bases de datos e infraestructura de hospedaje, revisión de código, seguridad de aplicaciones, seguridad de datos, pruebas de capacidad de respuesta a incidentes de la parte auditada.
Según CERT In, los tipos de auditorías y evaluaciones de ciberseguridad, incluidas, pero no limitadas a, las enumeradas a continuación deben llevarse a cabo al menos una vez al año:
· Auditorías de Cumplimiento
· Evaluaciones de Riesgos
· Evaluaciones de Vulnerabilidad
· Pruebas de Penetración
· Auditorías de infraestructura de Red
· Auditorías Operacionales
· Revisión y evaluación de políticas de seguridad de TI contra mejores prácticas de seguridad.
· Pruebas de Seguridad de la Información
· Revisión de Código Fuente
· Pruebas de Seguridad de Proceso
· Pruebas de Seguridad de Comunicaciones
· Pruebas de seguridad de aplicaciones
· Auditoría de Seguridad de Aplicaciones Móviles
· Pruebas de Seguridad Inalámbrica
· Pruebas de Seguridad Física
· Evaluación de Equipo Rojo
· Evaluación de Preparación Forense Digital
· Pruebas de Seguridad en la Nube
· Sistemas de Control Industrial / Pruebas de Seguridad de Tecnología Operativa
· Evaluación de la postura de ciberseguridad de sistemas de control industrial (ICS) y redes de tecnología operativa (OT), específicamente diseñadas para identificar vulnerabilidades y amenazas potenciales que podrían interrumpir procesos industriales críticos, afectando la seguridad, la producción y la disponibilidad general del sistema dentro de una instalación.
· Pruebas de Seguridad de Internet de las Cosas (IOT) / Seguridad de Internet Industrial de las Cosas (IIOT)
· Auditoría de Gestión y Mantenimiento de Registros
· Evaluación de Seguridad de Endpoint
· Auditorías de Sistemas de Inteligencia Artificial (AI)
· Auditorías de Gestión de Riesgos de Proveedores
· Auditoría de Seguridad de Blockchain
· SBOM (Lista de Materiales de Software), QBOM (Lista de Materiales Cuánticos), y AIBOM (Lista de Materiales de Inteligencia Artificial) Auditoría
Para obtener más información sobre estas pautas o para reservar una consulta de evaluación de riesgos, hable con un experto en evaluación de riesgos de Shieldworkz.
Conozca más sobre las metodologías de evaluación de riesgos basadas en IEC 62443 y aumento del Nivel de Seguridad.
Conozca más sobre nuestro completo portafolio de servicios de seguridad OT y IoT.
Recibe semanalmente
Recursos y Noticias
También te puede interesar
NERC CIP-015-2 Explicado: Ampliación de INSM a EACMS y PACS
Equipo Shieldworkz
Protegiendo la infraestructura crítica de los grupos APT durante eventos geopolíticos
Prayukth K V
Decodificando el silencio estratégico de los grupos cibernéticos iraníes
Equipo Shieldworkz
Cómo la crisis de Irán está afectando el ciberespacio
Equipo Shieldworkz
Amenazas cibernéticas en Medio Oriente: Lo que las organizaciones necesitan saber ahora mismo
Equipo Shieldworkz
Construyendo un programa de ciberseguridad OT con IEC 62443 y NIST SP 800-82
Equipo Shieldworkz
