Los bancos de pruebas de conformidad normativa son estándares o directrices que ayudan a las organizaciones a medir y evaluar su nivel de conformidad con las leyes, regulaciones y estándares aplicables del sector.

Health Insurance Portability and Accountability Act (HIPAA)

La Health Insurance Portability and Accountability Act (HIPAA) es una ley federal de EE. UU. promulgada en 1996. La HIPAA establece estándares y regulaciones para proteger la privacidad, la seguridad y la confidencialidad de la información de salud personal (personal health information, PHI) y los registros electrónicos de salud (electronic health records, EHR) de las personas en el sector de la atención médica.

La regla de privacidad y la regla de seguridad de la HIPAA son dos componentes clave de la norma HIPAA:
  • Regla de privacidad de la HIPAA: la regla de privacidad establece estándares para el uso y la divulgación de PHI por parte de las entidades cubiertas, que incluyen proveedores de atención médica, planes de salud y centros de coordinación de atención médica. Otorga a las personas determinados derechos sobre su información de salud, tales como el derecho de acceder a ella, solicitar modificaciones y obtener un informe de divulgaciones. Las entidades cubiertas deben implementar elementos de protección para proteger la PHI, proporcionar a los pacientes avisos sobre prácticas de privacidad y obtener autorización por escrito para determinados usos y divulgaciones de la PHI.
  • Regla de seguridad de la HIPAA: la regla de seguridad establece estándares de seguridad para proteger la PHI electrónica (ePHI). Requiere que las entidades cubiertas y sus asociados comerciales implementen protecciones administrativas y técnicas para garantizar la confidencialidad, la integridad y la disponibilidad de la ePHI. Estos elementos de protección incluyen evaluaciones de riesgos, controles de acceso, cifrado, controles de auditoría, planes de recuperación ante desastres y formación de los empleados sobre la concienciación de la seguridad.

La norma HIPAA se aplica a proveedores de atención médica, planes de salud, centros de coordinación de atención médica y sus asociados comerciales que gestionan PHI o ePHI. El cumplimiento de las regulaciones de la HIPAA es obligatorio, y el incumplimiento puede dar lugar a sanciones importantes, como multas económicas y posibles cargos penales.

La HIPAA también incluye disposiciones relacionadas con el intercambio electrónico de información de salud y establece la Ley de Tecnología de la Información de Salud para la Salud Económica y Clínica (Technology for Economic and Clinical Health, HITECH), que promueve la adopción y el uso significativo de los registros electrónicos de salud.

Es importante tener en cuenta que mi fecha límite de conocimientos es en septiembre de 2021, por lo que es aconsejable consultar la información más reciente y actualizaciones de fuentes oficiales como el Departamento de Salud y Servicios Humanos (HHS) de los EE. UU. para obtener la información más actualizada y precisa sobre las normas y regulaciones de la HIPAA.

Estándares de conformidad Payment Card Industry Data Security Standard (PCI DSS)

El Payment Card Industry Data Security Standard (PCI DSS) es un conjunto de estándares de cumplimiento establecidos por las principales marcas de tarjetas de pago, como Visa, Mastercard, American Express, Discover y JCB. PCI DSS tiene como objetivo garantizar la seguridad de los datos de los titulares de tarjetas y proteger contra fraude y accesos no autorizados dentro de la industria de tarjetas de pago.

Los estándares de conformidad de PCI DSS constan de doce requisitos de alto nivel, organizados en seis objetivos de control. Estos requisitos describen las medidas de seguridad que deben implementar las organizaciones que manejan los datos de las tarjetas de pago:
  • Crear y mantener una red segura
  • Proteger los datos del titular de tarjeta
  • Mantener un programa de administración de vulnerabilidades.
  • Mantener una directiva de seguridad de la información

Los estándares de conformidad de PCI DSS varían en función del nivel de participación de la organización en las transacciones con tarjeta de pago, que se clasifican en 4 niveles. Los comercios y proveedores de servicios de nivel 1 con los mayores volúmenes de transacciones tienen requisitos más estrictos y se someten a auditorías anuales in situ por parte de un asesor de seguridad calificado (Qualified Security Assessor, QSA). Los comercios de nivel 2, 3 y 4 pueden tener diferentes requisitos de validación, que van desde cuestionarios de autoevaluación (self-assessment questionnaires, SAQ) hasta análisis de vulnerabilidades externas.

La conformidad con PCI DSS es necesaria para las entidades involucradas en el procesamiento de tarjetas de pago, lo que incluye comercios, proveedores de servicios y procesadores de pagos. El incumplimiento puede dar lugar a sanciones, multas, mayores tarifas de transacción o restricciones en la aceptación de la tarjeta.

Es importante tener en cuenta que, si bien esta información proporciona una descripción general de los estándares de conformidad de PCI DSS, los requisitos y las instrucciones específicos pueden evolucionar con el tiempo. Por lo tanto, se recomienda consultar el sitio web oficial de PCI Security Standards Council (PCI SSC) y la documentación más reciente de PCI DSS para obtener la información y los requisitos más actualizados.

Criterios de seguridad de CIS (Centro para la seguridad de Internet)

VMware Aria Operations Compliance Pack for CIS se actualizó para admitir los siguientes bancos de pruebas:
  • CIS_VMware_ESXi_6.7_Benchmark_V1.3.0
  • CIS_VMware_ESXi_7.0_Benchmark_V1.2.0
Para obtener detalles, consulte KB 93135.

Los estándares de seguridad de CIS (Center for Internet Security) son un conjunto de prácticas recomendadas y directrices para proteger sistemas informáticos y redes. La organización CIS es una entidad sin fines de lucro que colabora con expertos de diversos sectores para desarrollar y promocionar configuraciones y bancos de pruebas de seguridad basados en consenso.

Los criterios de seguridad de CIS incluyen dos componentes principales:
  • Controles de CIS: los controles de CIS son un conjunto de 20 acciones de seguridad que las organizaciones pueden tomar para mitigar las amenazas cibernéticas más comunes y con mayor impacto. Estos controles se priorizan en función de su eficacia en la reducción del riesgo. Abarcan varios dominios de seguridad, incluidos la administración de activos, el control de acceso, la respuesta ante incidentes, la seguridad de la red y la formación de concienciación sobre seguridad. Los controles de CIS se actualizan periódicamente para abordar las amenazas emergentes y el entorno tecnológico en evolución.
  • Bancos de pruebas de CIS: los bancos de pruebas de CIS proporcionan directrices de configuración detalladas para proteger plataformas y sistemas tecnológicos específicos. Estos bancos de pruebas describen los ajustes y las configuraciones recomendados para sistemas operativos, aplicaciones y dispositivos de red a fin de garantizar la seguridad y reducir las vulnerabilidades. Los bancos de pruebas de CIS se crean a través de un proceso basado en consenso que involucra comentarios de expertos, proveedores y profesionales de ciberseguridad.

Los estándares de seguridad de CIS son conocidos por su naturaleza práctica y procesable, ya que proporcionan instrucciones paso a paso y recomendaciones de configuración específicas. Están ampliamente adoptados en todos los sectores y las organizaciones los utilizan como referencia para evaluar, mejorar y mantener la seguridad de sus sistemas y redes de TI.

La organización de CIS actualiza periódicamente sus estándares y bancos de pruebas de seguridad para abordar las amenazas emergentes, los avances tecnológicos y los cambios en los requisitos normativos. Los estándares de seguridad de CIS están disponibles para el público y las organizaciones pueden aprovecharlos como un recurso valioso para mejorar su posición de ciberseguridad y reducir el riesgo de ataques cibernéticos.

Criterios de seguridad Defense Information Systems Agency (DISA)

Defense Information Systems Agency (DISA) establece y proporciona estándares y directrices de seguridad para el Departamento de Defensa (Department of Defense, DoD) de los EE. UU. y sus sistemas de información. DISA es responsable de garantizar la operación segura y la defensa de la infraestructura de información global del DoD.

DISA ha desarrollado varios estándares y directrices de seguridad para proteger la información confidencial y garantizar la integridad, disponibilidad y confidencialidad de los sistemas del DoD. Algunos de los estándares y directrices de seguridad clave que proporciona DISA incluyen:
  • Guías de implementación técnica de seguridad (Security Technical Implementation Guides, STIG): las STIG son un conjunto de directrices y estándares de configuración para varios sistemas operativos, aplicaciones y dispositivos de red. Proporcionan instrucciones detalladas sobre cómo proteger y configurar estos sistemas para que cumplan con los requisitos de seguridad del DoD. Las STIG abarcan una amplia gama de tecnologías como Windows, Linux, dispositivos Cisco, bases de datos y servidores web.
  • Guías de requisitos de seguridad (Security Requirements Guides, SRG): las SRG son documentos completos que describen los requisitos de seguridad para plataformas, sistemas o aplicaciones de tecnología específicos. Proporcionan instrucciones sobre cómo proteger y configurar los sistemas de acuerdo con las directivas de seguridad del DoD. Las SRG abordan varios dominios de seguridad, lo que incluye control de acceso, identificación y autenticación, auditoría y responsabilidad, y cifrado.
  • Visor de Guías de implementación técnica de seguridad (Security Technical Implementation Guides, STIG): DISA proporciona una herramienta de visor de STIG que ayuda a las organizaciones a evaluar e implementar recomendaciones de STIG. El visor de STIG automatiza el proceso de comprobación de las configuraciones del sistema según los requisitos de STIG, lo que permite a las organizaciones identificar y corregir las vulnerabilidades de seguridad de manera más eficiente.
  • Administración de vulnerabilidades de aseguramiento de la información (Information Assurance Vulnerability Management, IAVM): DISA mantiene el programa IAVM que identifica y administra vulnerabilidades en los sistemas del DoD. Las alertas de IAVM proporcionan información oportuna sobre vulnerabilidades y revisiones de seguridad. Las organizaciones dentro del DoD deben aplicar estas revisiones de inmediato para mitigar posibles riesgos.
  • Plan de implementación de disciplina de ciberseguridad (Cybersecurity Discipline Implementation Plan, CDIP) del DoD: el CDIP describe la implementación y la administración de las prácticas de ciberseguridad en el DoD. Proporciona directrices y prácticas recomendadas para la gestión de riesgos, la protección de los sistemas, la respuesta a incidentes y el fomento de una cultura de conciencia sobre ciberseguridad.

Los estándares y directrices de seguridad de DISA tienen un papel fundamental para garantizar la seguridad y la resistencia de los sistemas y activos de información del DoD. Se actualizan y refinan constantemente para abordar amenazas emergentes y alinearse con las prácticas de ciberseguridad en constante evolución. Se espera que las organizaciones del DoD cumplan estos estándares para mantener la seguridad de sus sistemas y redes.

Criterios de seguridad Federal Information Security Management Act (FISMA)

La Ley Federal de Administración de la Seguridad de la Información (FISMA, Federal Information Security Management Act) es una ley federal de Estados Unidos promulgada en 2002. La FISMA establece un marco para proteger los sistemas de información y administrar los riesgos de ciberseguridad dentro de las agencias gubernamentales federales y sus contratistas. La FISMA exige que las agencias federales desarrollen, implementen y mantengan programas de seguridad de la información para proteger la información confidencial del gobierno.

Si bien la FISMA en sí no proporciona estándares de seguridad detallados, establece requisitos para que las agencias federales sigan determinadas directrices y estándares de seguridad, incluidos los establecidos por el Instituto Nacional de Estándares y Tecnología (National Institute of Standards and Technology, NIST). La publicación especial del NIST (SP) 800-53, titulada "Controles de seguridad y privacidad para sistemas y organizaciones de información federal", es un documento clave al que se hace referencia en la FISMA.

NIST SP 800-53 proporciona un catálogo de controles de seguridad que las agencias federales deben implementar para proteger sus sistemas de información. Los controles abarcan varias áreas, como el control de acceso, la respuesta a incidentes, la administración de la configuración, el cifrado, la seguridad de red y la evaluación y autorización de seguridad. Los controles se clasifican en familias y están adaptados para cumplir con requisitos de seguridad específicos.

La FISMA exige que las agencias federales desarrollen y mantengan un enfoque basado en riesgos para la seguridad de la información. Esto implica realizar evaluaciones de riesgos, implementar controles de seguridad basados en los riesgos identificados, probar y evaluar periódicamente la eficacia de estos controles y garantizar un seguimiento continuo de los sistemas de información.

Conforme a la FISMA, las agencias federales también deben someterse a evaluaciones de seguridad anuales, incluidas auditorías independientes, para evaluar la efectividad de sus programas y controles de seguridad de la información. Los resultados de estas evaluaciones se envían a la Oficina de Administración y Presupuesto (Office of Management and Budget, OMB) y al Congreso.

El cumplimiento de la FISMA es crucial para que las agencias federales demuestren su compromiso con la protección de la información gubernamental y garanticen la seguridad de sus sistemas de información. Ayuda a establecer un enfoque estandarizado para la seguridad de la información en todas las entidades gubernamentales federales y se alinea con otros marcos y estándares de seguridad, como el Marco de ciberseguridad de NIST y el Marco de manejo de riesgos de NIST.

Es importante tener en cuenta que las exigencias de la FISMA pueden evolucionar con el tiempo y las agencias deben consultar las instrucciones más recientes que proporcionen el NIST y otros estándares de seguridad.

Criterios de seguridad de la Organización Internacional de Normalización (ISO)

La Organización Internacional de Normalización (International Organization for Standardization, ISO) es una entidad de estandarización internacional independiente y no gubernamental que desarrolla y publica estándares internacionales en varios sectores. La ISO también ha creado una serie de estándares de seguridad relacionados específicamente con los sistemas de administración de seguridad de la información (information security management systems, ISMS). El más conocido de ellos es ISO/IEC 27001.

ISO/IEC 27001: el estándar ISO/IEC 27001 especifica los requisitos para establecer, implementar, mantener y mejorar continuamente un ISMS dentro del contexto de una organización. Proporciona un enfoque numérico y basado en riesgos para administrar la seguridad de la información confidencial. El estándar abarca áreas como la evaluación de riesgos, las directivas de seguridad de la información, la administración de activos, el control de acceso, el manejo de incidentes y la conformidad. ISO/IEC 27001 lo adoptan ampliamente organizaciones a nivel mundial y sirve como banco de pruebas para la administración de seguridad de la información.

ISO/IEC 27002: ISO/IEC 27002 (anteriormente conocido como ISO/IEC 17799) es un código de prácticas para controles de seguridad de la información. Ofrece instrucciones y recomendaciones para implementar controles y protecciones de seguridad basados en las prácticas recomendadas de administración de seguridad de la información. ISO/IEC 27002 abarca una amplia gama de áreas de seguridad, como seguridad organizativa, seguridad de recursos humanos, seguridad física y ambiental, manejo de comunicaciones y operaciones, y conformidad.

ISO/IEC 27005: ISO/IEC 27005 proporciona directrices para realizar evaluaciones de riesgos en el contexto de la seguridad de la información. Ofrece un enfoque estructurado para identificar, analizar, evaluar y tratar los riesgos de seguridad de la información. ISO/IEC 27005 ayuda a las organizaciones a evaluar el impacto potencial de los riesgos, determinar la tolerancia al riesgo y tomar decisiones fundamentadas sobre la implementación de controles de seguridad adecuados.

ISO/IEC 27017 e ISO/IEC 27018: estos estándares se centran específicamente en la seguridad de nube. ISO/IEC 27017 proporciona directrices para implementar controles de seguridad de la información en entornos informáticos en la nube, mientras que ISO/IEC 27018 ofrece instrucciones para proteger datos personales en la nube y aborda inquietudes de privacidad relacionadas con los servicios en la nube.

ISO/IEC 27701: este estándar es una extensión de ISO/IEC 27001 y proporciona directrices para implementar un sistema de administración de la privacidad de la información (Privacy Information Management System, PIMS). ISO/IEC 27701 ayuda a las organizaciones a establecer y mantener controles para proteger los datos personales y cumplir con las regulaciones de privacidad, como el Reglamento General de Protección de Datos (RGPD).

Los estándares de seguridad ISO proporcionan un marco para que las organizaciones establezcan prácticas efectivas de administración de seguridad de la información. El cumplimiento de estos estándares demuestra un compromiso con la protección de la información confidencial, el manejo de riesgos y la implementación de controles de seguridad robustos. Las organizaciones pueden solicitar la certificación ISO a través de un proceso de auditoría formal que realizan organismos de certificación acreditados para validar su adhesión a los estándares de seguridad ISO.