¿Qué es la CISA?
La Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA, por sus siglas en inglés) es un organismo del Departamento de Seguridad Nacional de los Estados Unidos (DHS) responsable de la ciberseguridad y la protección de las infraestructuras en todos los niveles de gobierno, de coordinar los programas de ciberseguridad con los estados del país y de mejorar las medidas de protección del gobierno frente a ciberataques procedentes de actores privados y de Estados nación.
La CISA es responsable de ayudar a salvaguardar las infraestructuras críticas y las reuniones públicas de la nación mejorando la capacidad de las partes interesadas para mitigar los riesgos. A tal fin, la CISA lidera un esfuerzo de colaboración para garantizar la seguridad, resiliencia y fiabilidad de los sistemas cibernéticos de la nación. La CISA impulsa los esfuerzos nacionales colaborando con socios del sector privado, el mundo académico y la Administración para crear una fuerza de trabajo en ciberseguridad diversa, fomentar el desarrollo y el uso de tecnologías seguras, y promover las mejores prácticas.
¿Qué es la Confianza Cero?
Según lo definido por el Instituto Nacional de Estándares y Tecnología (NIST) en la publicación 800-207, «la confianza cero es el término que designa un conjunto en evolución de paradigmas de ciberseguridad que desplazan las defensas desde perímetros estáticos basados en la red para centrarlas en los usuarios, los activos y los recursos».
Para establecer directrices de confianza cero, el NIST y la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) analizaron cómo se protegían las redes federales y cómo se protegían los datos y los activos dentro de dichas redes en todo el sector.
El NIST y la CISA concluyeron que la mayoría de las organizaciones dependen en gran medida de sus defensas basadas en el perímetro, como los cortafuegos o las VPN, para controlar el acceso inicial a las redes. Pero una vez que los usuarios obtenían acceso a la red, sus actividades no se supervisaban ni rastreaban adecuadamente. Las medidas tradicionales de seguridad perimetral suelen considerar de confianza a todos los usuarios una vez dentro de una red, incluidos los actores de amenazas y los usuarios internos malintencionados. La confianza cero ayuda a las organizaciones a prevenir las brechas de datos y a proteger los activos asumiendo que ninguna entidad es de confianza, ni dentro ni fuera de la red. El modelo de confianza cero reconoce que, en lo que respecta a la seguridad, la confianza es una vulnerabilidad.
¿Qué es el Modelo de Madurez de Confianza Cero 2.0 de la CISA?
El Modelo de Madurez de Confianza Cero (ZTMM, por sus siglas en inglés) de la CISA proporciona un enfoque para avanzar en los esfuerzos continuos de modernización relacionados con la confianza cero en un entorno y un panorama tecnológico en rápida evolución. El modelo ZTMM es uno de los múltiples caminos que puede seguir una organización al diseñar e implementar su plan de transición hacia arquitecturas de confianza cero, de conformidad con la Orden Ejecutiva (EO) 14028 «Mejorar la ciberseguridad de la nación» (3)(b)(ii),¹ que exige que las agencias elaboren un plan para implantar una Arquitectura de Confianza Cero (ZTA, por sus siglas en inglés). Aunque el modelo ZTMM está adaptado a las agencias federales, tal como exige la Orden Ejecutiva 14028, todas las organizaciones deberían revisar y considerar la adopción de los enfoques expuestos en este documento.
¿Cuáles son los pilares del Modelo de Madurez de Confianza Cero 2.0 de la CISA?
El Modelo de Madurez de Confianza Cero de la CISA se divide en cinco pilares fundamentales de la confianza cero: identidad, dispositivos, redes, aplicaciones y cargas de trabajo, y datos. Cada pilar recoge requisitos que se ajustan a los niveles de madurez (tradicional, inicial, avanzada, óptima).
- Identidad: se centra en verificar y autenticar a los usuarios y a los dispositivos asociados.
- Dispositivos: garantiza que los dispositivos sean seguros y estén gestionados adecuadamente, con independencia de su propiedad.
- Redes: pone el énfasis en gestionar el tráfico de red interno y externo en lugar de depender exclusivamente de los perímetros.
- Aplicaciones y cargas de trabajo: aplica controles de acceso granulares y políticas de protección tanto para aplicaciones locales como en la nube.
- Datos: supervisión continua y cifrado de los datos, con independencia de su estado.
El modelo ZTMM de la CISA también incorpora tres capacidades transversales:
- Visibilidad y análisis: proporciona información detallada sobre el tráfico de red y la postura de seguridad.
- Automatización y orquestación: simplifica tareas y automatiza los procesos de seguridad.
- Gobernanza: establece políticas y estándares para la gestión de la seguridad.
¿Qué organizaciones pueden utilizar el modelo ZTMM 2.0 de la CISA?
El modelo ZTMM 2.0 de la CISA fue desarrollado como una guía para que las agencias del Gobierno de los Estados Unidos mantengan y mejoren la ciberseguridad mientras transforman digitalmente sus procesos y sistemas. No obstante, ha demostrado ser lo suficientemente flexible como para que lo adopten voluntariamente empresas y organizaciones grandes y pequeñas de todos los sectores industriales.
¿Cuáles son las sanciones por incumplimiento del modelo ZTMM 2.0 de la CISA?
El cumplimiento del modelo ZTMM de la CISA es voluntario. Sin embargo, demostrar que una organización sigue las buenas prácticas del Marco del NIST puede proporcionar una capa de defensa frente a multas y sanciones en caso de una brecha de datos, al evidenciar los esfuerzos de buena fe de la organización en materia de seguridad de la información.
¿Cómo puede ayudar Thales a cumplir el modelo ZTMM 2.0 de la CISA?
Las soluciones de Thales pueden ayudar a las organizaciones a cumplir los requisitos del Modelo de Madurez de Confianza Cero 2.0 de la CISA al simplificar el cumplimiento y automatizar la seguridad, reduciendo la carga de los equipos de seguridad y cumplimiento normativo.
Otras normativas clave en materia de protección de datos y seguridad
PCI HSM
MANDATO | EN VIGOR
La especificación PCI HSM define un conjunto de estándares de cumplimiento de seguridad lógica y física para los HSM, específicamente orientados al sector de los pagos. La certificación de cumplimiento PCI HSM depende del cumplimiento de dichos estándares.
DORA
REGLAMENTO | EN VIGOR
DORA tiene como objetivo reforzar la seguridad informática de las entidades financieras para garantizar que el sector financiero en Europa sea resiliente frente al creciente volumen y gravedad de los ciberataques.
Leyes de notificación de brechas de datos
REGLAMENTO | EN VIGOR
Los requisitos de notificación de brechas de datos tras la pérdida de información personal han sido promulgados por países de todo el mundo. Varían según la jurisdicción, pero casi universalmente incluyen una cláusula de «puerto seguro».
GLBA
REGLAMENTO | EN VIGOR
La Ley Gramm-Leach-Bliley (GLBA), también conocida como la Ley de Modernización de los Servicios Financieros de 1999, exige que las instituciones financieras expliquen a sus clientes sus prácticas de intercambio de información y protejan los datos sensibles.