Wallarm / Wallarm Learning Center / Requisitos de seguridad de protección (PSR): guía completa
DevSecOps
In

Requisitos de seguridad de protección (PSR): guía completa

8 Mins Read
¿Qué son los requisitos de seguridad de protección (PSR)?

¿Qué es el NCSC (Centro Nacional de Seguridad Cibernética)?

El Centro Nacional de Seguridad Cibernética (NCSC), conocido en inglés como National Cyber Security Centre, es una entidad soberana del Gobierno británico enfocada en otorgar asistencia y consejería en cuestiones relacionadas con la seguridad digital. Su fundación se efectuó en el año 2016 como parte integrante de la Agencia Gubernamental para la Seguridad de las Comunicaciones (GCHQ).

Responsabilidades y roles del NCSC

El NCSC desempeña una variedad de roles y asume múltiples responsabilidades. De manera primordial, suministra instrucciones y recomendaciones sobre cómo salvaguardarse de los riesgos cibernéticos. Esto comprende la publicación de manuales y materiales de consulta en internet, así como la implementación de seminarios y eventos formativos.

Además, el NCSC tiene encomendada la misión de actuar en respuesta a episodios de inseguridad digital. Esto puede implicar cooperar con las entidades afectadas para auxiliarlas en su recuperación, así como la indagación y análisis de la situación con el objetivo de adquirir aprendizajes y evitar situaciones similares en el futuro.

Relevancia del NCSC

La relevancia del NCSC se encuentra en su papel como valedor de la seguridad digital en Gran Bretaña. Mediante la provisión de asesoramiento y apoyo, el NCSC colabora en la defensa de las entidades frente a los riesgos cibernéticos y en reaccionar de forma eficiente al ocurrir incidentes.

Además, el NCSC tiene un papel trascendental en el fomento de la seguridad digital a escala nacional. Esto comprende la colaboración con otras entidades gubernamentales, tanto como con el sector industrial y académico, para aumentar la comprensión y la capacidad de reacción frente a los peligros digitales.

Análisis entre NCSC y otras entidades de seguridad digital

Institución Roles Responsabilidades
NCSC Otorgar instrucciones y consejo, reaccionar a episodios de inseguridad digital Salvaguardar el sistema público y privado de Gran Bretaña frente a riesgos digitales
NIST (Instituto Nacional de estándares y tecnología) Crear estándares y pautas para la protección de la información Ampliar la protección de la información en Estados Unidos
ANSSI (Agencia Nacional de Protección de Sistemas de Información) Otorgar asesoramiento y respaldo, regular la protección de la información Defensa de la información y los sistemas de información en Francia

Para finalizar, el NCSC se identifica como una institución vital para la seguridad digital en el Reino Unido. Ofrece respaldo y consejería valiosos y tiene un papel destacado en la defensa del país ante los peligros digitales.

¿Qué es el PSR?

Requisitos de seguridad de protección

La Estrategia de Fortificación y Resguardo en Materia de Ciberseguridad (EFRC) es un enfoque ideado por la Autoridad Nacional Española de Seguridad Digital (ANESD). El objetivo principal de esta guía consiste en brindar una estratagema firme y abrangente para que las organizaciones puedan resguardar sus complejos sistemas digitales y bases de datos ante potenciales amenazas cibernéticas.

Elementos Clave de la EFRC

La EFRC se apoya en una triada de principios indispensables: confidencialidad, integridad y disponibilidad. Estos elementos pilares constituyen el muro de protección virtual.

  1. Confidencialidad: Este principio se encauza a garantizar que los datos sólo sean accesibles para aquellos con autorización. Esto se logra a través de técnicas como encriptación, control de accesos, entre otros.

  2. Integridad: Este valor primordial tiene como intención proteger la información de alteraciones o eliminaciones no autorizadas. Salvaguardar este principio puede implicar la implementación de protocolos como alarmas de intrusión, backups regulares y similares.

  3. Disponibilidad: Este principio dicta que la información debe estar a disposición de los usuarios con permisos en el momento que lo requieran. Asuntosal respect pueden ser la replicación de datos, energía ininterrumpida y varias medidas de protección.

Componentes de la EFRC

La EFRC conjunta reglamentaciones, protocolos y soluciones tecnológicas las cuales las organizaciones deben aplicar para blindar sus sistemas y datos. Los componentes incluyen:

  • Normativas de Resguardo de Información: Estas establecen cómo la organización acreditará la protección de sus sistemas y datos. Puede introducir reglas relativas a la gestión de contraseñas, acceso a la red, manejo de brechas de seguridad, entre otros.

  • Protocolos de Resguardo: Estos especifican los pasos ordenados que los empleados deben seguir para cumplir con las normativas de resguardo de información. Un ejemplo puede ser una guía para crear contraseñas de alta seguridad o pautas a seguir en caso de brechas de seguridad.

  • Soluciones de Resguardo: Estas se refieren a las herramientas tecnológicas escogidas por la organización para proteger sus sistemas y datos. Algunos ejemplos de estas soluciones podrían ser firewalls, programas anti-malware, sistemas de alerta de intrusiones, entre otros.

Beneficios de la EFRC

La adecuada adopción de la EFRC puede ofrecer ventajas significativas a las organizaciones, como:

  • Reforzamiento del Resguardo de Información: Con el despliegue de la EFRC, las organizaciones pueden potenciar la seguridad de sus sistemas y datos.

  • Cumplimiento Legal: Marcos normativos relevantes, como el RGPD, obligan a las organizaciones a desplegar medidas de protección adecuadas. Utilizando la guía EFRC, las organizaciones pueden cumplir con estas obligaciones de una manera más ágil y eficaz.

  • Reducción de Riesgos de Seguridad: La EFRC asiste a las organizaciones en la disminución del riesgo de amenazas cibernéticas y en la mejora de su postura de seguridad.

En conclusión, la EFRC se convierte en un recurso imprescindible para organizaciones que buscan refinar su protección cibernética. Siguiendo sus protocolos, pueden incrementar eficazmente la seguridad de sus sistemas y bases de datos y estará alineadas con las normas de protección de información.

`

 

`

Principales políticas del PSR

Los lineamientos centrales de lo que denominamos "Criterios de Defensa en Seguridad" (CDS) giran alrededor de tres ámbitos fundamentales: Salvaguarda física, protección del equipo humano y custodia de la data. El propósito de tales lineamientos es entregar un esquema robusto y consistente que consolide la resguardo de los recursos informáticos y los individuos dentro de cualquier entidad gubernamental.

Salvaguarda Física

El término "Salvaguarda física" hace alusión a las estrategias de defensa empleadas para resguardar las estructuras físicas y los recursos que la entidad posee de amenazas como hurto, vandalismo, espionaje e incluso desastres naturales. Dichas estrategias pueden variar desde el control de acceso hasta vigilancia en video, defensa contra incendios y respaldo contra inundaciones.

Protección del Equipo Humano

La "Protección del equipo humano" se asocia con las estrategias de defensa que se emplean para resguardar a los trabajadores y miembros de la entidad. Estas estrategias podían conllevar desde la verificación de historiales, capacitación acerca de seguridad y puesta en funcionamiento de políticas y prácticas de defensa.

Custodia de la Data

La "Custodia de la data" hace alusión a las estrategias de defensa empleadas con el fin de consolidar la privacidad, estabilidad y disposibilidad de la data que la entidad posee. Entre dichas estrategias podemos encontrar el cifrado, control de acceso a la data, defensa contra malware y aplicación de políticas y prácticas de defensa de la data.

Los lineamientos del CDS también toman en cuenta la necesidad de una administración de riesgos eficaz. Dicha administración incluye identificar, considerar y tratar los riesgos de seguridad para mantenerse dentro de límites tolerables. La transacción de riesgos también demanda la puesta en práctica de estrategias de control apropiadas a fin de disminuir los riesgos detectados.

Además, los lineamientos del CDS exhortan a las entidades a aplicar un programa de sensibilización acerca de seguridad con el fin de que todo el equipo humano tenga claridad de sus obligaciones en seguridad y esté equipado para enfrentar las amenazas de seguridad de manera efectiva.

Como conclusión, los lineamientos centrales de los Criterios de Defensa en Seguridad proporcionan un esquema completo para la administración de la seguridad en las entidades gubernamentales. Al llevar a la práctica estos lineamientos, las entidades pueden consolidar la protección de sus recursos informáticos y de su equipo humano contra un sinfín de amenazas de seguridad.

Cumplimiento de los requisitos de PSR

El Proceso de Seguridad Protectora (PSP) es un mandato esencial para cualquier entidad que maneja datos delicados. Este protocolo incluye pasos que confirman que una entidad se adhiere a los criterios y mandatos establecidos por el Centro de Ciberseguridad Nacional (CCN).

Análisis del Estado Actual

El inicio del proceso PSP consiste en analizar el estado actual de seguridad de la entidad. Esto involucra llevar a cabo una inspección de seguridad para descubrir áreas que requieran mejoramiento. La inspección debe abarcar toda la seguridad: física, de datos y del personal.

Ejecución de Acciones de Seguridad

Tras analizar el estado actual, la entidad debe poner en marcha las acciones de seguridad necesarias para cumplir con los criterios del PSP. Estas acciones pueden incluir la implementación de sistemas de seguridad física, la formulación de reglamentaciones de seguridad informática y la formación del personal en buenas prácticas de seguridad.

Vigilancia y Reevaluación

Una vez ejecutadas las acciones de seguridad, es crucial supervisar y reevaluar regularmente su eficiencia. Esto puede involucrar inspecciones de seguridad recurrentes, la reconsideración de las reglamentaciones de seguridad y el ajuste de las acciones de seguridad si se requiere.

Documentación y Archivo

Para demostrar la adhesión a los criterios del PSP, la entidad debe documentar y archivar todas las acciones de seguridad que ha aplicado. Esto puede implicar la documentación de las reglamentaciones de seguridad, los informes de las inspecciones de seguridad y los certificados de las formaciones de seguridad del personal.

Reflexión Final

La adhesión al Proceso de Seguridad Protectora (PSP) es un procedimiento continuo que necesita de un compromiso constante de la entidad. Sin embargo, siguiendo estos pasos, una entidad puede asegurar que sigue los criterios y mandatos dictados por el Centro de Ciberseguridad Nacional (CCN), salvaguardando así sus datos y su personal.

Conclusión

El conjunto de Normativas Concretas para la Salvaguarda Cibernética (NCS) son esenciales en la resiliencia y salvaguarda de los datos y activos digitales que posee cualquier entidad. Las NCS ofrecen un marco sólido y completo para identificar y rastrear amenazas digitales, asegurando la implementación de procedimientos eficaces para la salvaguarda de los datos digitales, contra agresiones tanto internas como externas.

La Colaboración Eficaz de las NCS

Las NCS, además de ser un manual para fortalecer la seguridad de información y recursos digitales, ponen en acción protocolos determinados para la gestión de posibles amenazas, capacitación y enfrentamiento de extrapolaciones de seguridad. Así, infunden confianza en las organizaciones al estar seguras de que están poniendo en acción las estrategias de defensa correctas para su infraestructura digital, y estarán listas para responder de forma rápida y eficaz a una extrapolación de seguridad.

Necessidad de la Aplicación de las NCS

Adherir a las NCS no solo cumple con los requerimientos legales, sino que también desempeña un rol vital para preservar la reputación de cualquier entidad y mantener la confianza de los clientes y asociados. Las entidades que le resten importancia a las NCS pueden enfrentarse a penalidades severas, más el riesgo potencial de dañar su reputación y perder la confianza que los clientes y asociados han depositado en ellos.

Instauración de las NCS

La instauración de las NCS requiere de un plan bien estructurado y puntual. Esquema que va desde la detección de potenciales amenazas digitales, hasta la implementación de estrategias de seguridad correspondientes, capacitación y estar listos para situaciones de crisis digitales. Además, es de suma importancia la constante evaluación y actualización de estrategias de seguridad para que sean eficaces frente a las nuevas amenazas.

En resumen, las Normativas Concretas para la Salvaguarda Cibernética (NCS) son elementos vitales para la resiliencia y salvaguarda de los activos digitales. La adhesión y cumplimiento de éstas es fundamental para preservar la integridad corporativa y para mantener la confianza de los clientes y asociados de la entidad.

`

 

`

FAQ

A continuación, responderemos algunas de las preguntas más frecuentes sobre los Requisitos de Seguridad Protectora (PSR).

¿Qué son los Requisitos de Seguridad Protectora (PSR)?

Los Requisitos de Seguridad Protectora (PSR) son un conjunto de normas y directrices diseñadas para ayudar a las organizaciones a proteger sus sistemas y datos de amenazas cibernéticas. Estos requisitos se centran en tres áreas clave: la seguridad física, la seguridad del personal y la seguridad de la información.

¿Quién necesita cumplir con los PSR?

Todas las organizaciones que manejan información sensible o clasificada del gobierno deben cumplir con los PSR. Esto incluye a las empresas privadas que trabajan en contratos gubernamentales, así como a los departamentos y agencias gubernamentales.

¿Cómo puedo saber si mi organización cumple con los PSR?

La mejor manera de determinar si su organización cumple con los PSR es realizar una evaluación de seguridad. Esto implica revisar sus políticas y procedimientos actuales, así como su infraestructura de TI, para asegurarse de que cumplen con las directrices del PSR.

¿Qué sucede si no cumplo con los PSR?

Si su organización no cumple con los PSR, puede enfrentarse a una serie de consecuencias. Esto puede incluir la pérdida de contratos gubernamentales, multas y sanciones, así como daños a su reputación. En casos graves, también puede enfrentar acciones legales.

¿Cómo puedo asegurarme de que mi organización cumple con los PSR en el futuro?

Para asegurarse de que su organización cumple con los PSR en el futuro, es importante implementar un programa de cumplimiento continuo. Esto puede incluir la realización de evaluaciones de seguridad regulares, la formación del personal en las mejores prácticas de seguridad y la actualización de sus políticas y procedimientos a medida que cambian las directrices del PSR.

¿Dónde puedo encontrar más información sobre los PSR?

Puede encontrar más información sobre los PSR en el sitio web del Centro Nacional de Seguridad Cibernética (NCSC). También puede ser útil consultar con un experto en seguridad cibernética o un abogado especializado en derecho de la tecnología de la información.

Esperamos que esta sección de preguntas frecuentes le haya proporcionado una mejor comprensión de los Requisitos de Seguridad Protectora. Si tiene más preguntas, no dude en ponerse en contacto con nosotros.

Referencias

Para entender a fondo las Demandas de Salvaguarda en Seguridad (DSS), es recomendable hacer referencia a los siguientes recursos:

  1. El prestigioso organismo en cuestiones de protección digital, el NCSC (Centro Nacional de Seguridad Cibernética), ofreció en su estudio de 2020 un panorama completo respecto a las DSS y sus implicaciones en varios sectores. Pueden acceder a su informe desde: https://www.ncsc.gov.uk/guidance/protective-security-requirements-guide.

  2. La Estructura Integral de Seguridad Cibernética, exhibida por el Departamento de Protección Nacional de EE. UU. en 2019, destaca el valor de instaurar salvaguardas digitales, imprescindibles para las DSS. Se puede acceder al documento desde: https://www.dhs.gov/cybersecurity-framework.

  3. Las normativas y estrategias gubernamentales del Reino Unido de 2018 expusieron las protocolos de seguridad que las instituciones del gobierno deben adoptar, estas incluyen las DSS. Para aprender más: https://www.gov.uk/government/publications/government-security-policy-framework.

  4. La Guía para la Administración de Riesgos de Información Segura, proporcionada por el Instituto Nacional de Patrones y Tecnología (NIST) en 2018, sugiere métodos para combatir amenazas vinculadas a los datos, un aspecto esencial en las DSS. El documento se encuentra en: https://www.nist.gov/publications/guide-information-security-risk-management.

  5. El Estatuto de Comportamiento Profesional, publicado por la Agrupación Mundial de Profesionales en Salvaguarda de Información (ISC)² en 2017, prescriben comportamientos convenientes de los expertos en seguridad digital, crucial para comprender las DSS. Para acceder: https://www.isc2.org/Ethics.

  6. El estándar ISO 27001, entregada por el Organismo Mundial de Estándares (ISO) en 2013, clarifica el procedimiento para crear una gestión de seguridad de la información, requisito primordial para las DSS. La norma está disponible en: https://www.iso.org/standard/54534.html.

Estos recursos componen una base firme para la interpretación de las DSS y su puesta en acción efectiva. Pero, es fundamental tener presente que las DSS son un grupo de demandas en constante transformación, por lo que es crucial estar al día con las políticas y normas más actuales.

See Wallarm in action
“Wallarm really protects our service and provides good visibility and user-friendly control.”
Learning Objectives
WEBINAR
Wallarm Innovation Update: Improving Your API Security Posture With GraphQL Protection And API Policy Enforcement
Sign up for our comprehensive webinar
REGISTER
Mukhadin Beschokov
Author |
Verified Expert
20+ years IT expertise in system engineering, security analysis, solutions architecture. Proficient in OS (Windows, Linux, Unix), programming (C++, Python, HTML/CSS/JS, Bash), DB (MySQL, Oracle, MongoDB, PostgreSQL). Skilled in scripting (PowerShell, Python), DevOps (microservices, containers, CI/CD), web development (Node.js, React, Angular). Successful track record in managing IT systems.