Organismos y normativas por países

Las normas de seguridad cibernética son leyes y estándares legales que rigen la forma en que las organizaciones protegen sus activos digitales, datos y redes de amenazas cibernéticas y violaciones de datos. Las normas de seguridad cibernética pueden estipular los tipos de controles que las organizaciones deben implementar, cómo deben protegerse los datos de los clientes, quién es responsable de garantizar la seguridad y cómo las organizaciones gestionan el riesgo en las redes de proveedores externos.

Suelen variar según la industria, la región y la sensibilidad de los datos involucrados. Para las organizaciones, cumplir con las normas de ciberseguridad es crucial no solo para proteger la información confidencial, sino también para evitar sanciones, consecuencias legales y daños a la reputación.

Indice

Diferentes tipos de leyes cibernéticas

Existen diferentes tipos de leyes cibernéticas en todo el mundo, estos son los principales tipos de leyes cibernéticas:

  • De Protección de Datos
  • Sobre delitos cibernéticos
  • De ciberseguridad
  • De derechos de autor y propiedad intelectual
  • Sobre comercio electrónico
  • De firma digital
  • Sobre nombres de dominio
  • De privacidad
  • De libertad de expresión
  • Sobre protección al consumidor

Principales regulaciones en materia de ciberseguridad

En Estados Unidos y en todo el mundo, varias regulaciones clave en materia de ciberseguridad desempeñan un papel importante en la configuración de las prácticas de seguridad:

  • Reglamento General de Protección de Datos (RGPD): una ley integral de protección de datos que se aplica a las organizaciones que operan en la Unión Europea o hacen negocios con ella. Se centra en proteger los datos personales de las personas, otorgándoles derechos sobre su información e imponiendo obligaciones estrictas a los encargados del tratamiento y del control de los datos. Las sanciones por incumplimiento pueden ser sustanciales.
  • Ley de Portabilidad y Responsabilidad de Seguros Médicos (HIPAA): Esta ley estadounidense se aplica al sector de la atención médica y se centra específicamente en la protección de la información médica confidencial de los pacientes. La HIPAA exige que las organizaciones de atención médica implementen medidas de seguridad administrativas, físicas y técnicas para proteger los registros médicos electrónicos (EHR) y otras formas de información médica personal.
  • Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS): este conjunto de estándares de seguridad está diseñado para proteger la información de las tarjetas de pago. Se aplica a todas las organizaciones que manejan transacciones con tarjetas de crédito y requiere medidas de seguridad estrictas para proteger los datos de los titulares de las tarjetas, incluido el cifrado, el control de acceso y las pruebas de vulnerabilidad periódicas.

Leyes de ciberseguridad en Estados Unidos (EE. UU.)

1. Gobierno federal

En Estados Unidos existen tres principales regulaciones federales en materia de ciberseguridad:

  • Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) (1996): promulgada por el 104.º Congreso de los Estados Unidos, la Ley de Portabilidad y Responsabilidad del Seguro Médico intenta controlar y modernizar el flujo de información médica y de atención médica.
  • La Ley Gramm-Leach-Bliley (1999) : promulgada por el 106.º Congreso de los Estados Unidos, la Ley Gramm-Leach-Bliley obligó a las instituciones financieras, es decir, a las empresas que ofrecen a los consumidores productos o servicios como préstamos, asesoramiento financiero o de inversión o seguros, a explicar sus prácticas de intercambio de información a sus clientes y a salvaguardar sus datos confidenciales.
  • Ley de Seguridad Nacional (2002): La Ley de Seguridad Nacional incluyó la Ley de Gestión de Seguridad de la Información Federal (FISMA), que intenta reconocer la importancia de la seguridad de la información para los intereses económicos y de seguridad nacional de los Estados Unidos.
  • La Ley de Intercambio de Información sobre Ciberseguridad (CISA): fomenta el intercambio de información sobre amenazas cibernéticas entre el gobierno y el sector privado.
  • La Ley Federal de Gestión de Seguridad de la Información (FISMA): obliga a las agencias federales a implementar programas integrales de seguridad de la información.

2. Gobierno estatal

Las regulaciones del gobierno estatal intentan mejorar la ciberseguridad al dar a conocer al público información valiosa, como la de las organizaciones con ciberseguridad débil.

  • Ley de Notificación de Violación de Seguridad (2003): Después de que se promulgó esta ley, las empresas que manejaban datos confidenciales de clientes (como nombres, números de tarjetas de crédito, números de seguro social, números de licencia de conducir, registros médicos o información financiera) debían revelar públicamente cualquier violación de seguridad o de datos que hubiera ocurrido dentro de su organización.
  • Proyecto de ley 1950 de la Asamblea de California (2004): esta regulación fue aprobada por la Legislatura del Estado de California en 2004 y exigía a las empresas que mantuvieran un nivel razonable de ciberseguridad, además de extender esas prácticas de seguridad a sus socios comerciales para mantener un estándar aceptable de ciberseguridad.

3. Reglamento propuesto

En los últimos años, el Congreso de Estados Unidos ha propuesto numerosos proyectos de ley que amplían las regulaciones sobre ciberseguridad:

  • Ley de Notificación y Seguridad de Datos del Consumidor: Esta ley amplía la Ley Gramm-Leach-Bliley al exigir a las instituciones financieras que revelen cualquier violación de datos o seguridad .
  • Ley de protección segura contra intrusiones cibernéticas (SPY ACT): la SPY ACT fue aprobada por la Cámara de Representantes de los EE. UU. en 2005, pero no fue aprobada por el Senado. Se centraba en estafas de phishing y spyware.
  • Ley de Ciberseguridad de 2012: Esta ley tampoco logró ser aprobada por el Senado de los EE. UU. cuando fue propuesta en 2012. Proponía una ley contra el delito cibernético y tenía como objetivo mejorar la infraestructura de ciberseguridad y protegerla de los ciberataques, que se alentaría a las empresas a adoptar a través de incentivos como la protección de la responsabilidad.
  • Plan de Acción de Seguridad Nacional sobre Ciberseguridad (CNAP): Desarrollado por el presidente Obama en 2016, el objetivo principal del plan era crear conciencia entre el público sobre la creciente amenaza de los delitos cibernéticos e informarles cómo podían mejorar y controlar la seguridad digital.

4. Otros esfuerzos gubernamentales

El gobierno federal de los Estados Unidos ha intentado mejorar la ciberseguridad destinando más recursos a la investigación y colaborando con el sector privado para establecer normas adecuadas y promulgar leyes cibernéticas importantes. Además, el gobierno ha puesto en marcha distintos programas de concienciación a través de las redes sociales para concienciar al público sobre las amenazas de los delitos cibernéticos.

Leyes de ciberseguridad en la Unión Europea (UE)

Existen cuatro normativas importantes en la Unión Europea en materia de ciberseguridad: ENISA, la Directiva NIS, la Ley de Ciberseguridad de la UE y el RGPD de la UE, que analizaremos brevemente:

  • Agencia de la Unión Europea para la Ciberseguridad (ENISA): ENISA es un organismo regulador que se creó con el objetivo de mejorar la seguridad de las redes y la información en todas las operaciones de interconexión de redes de la UE. Se creó en 2004 con tres objetivos principales: recomendar el curso de acción tras una violación de seguridad; elaborar políticas y brindar apoyo para su implementación y brindar apoyo directo.
  • Directiva NIS: En 2016, el Parlamento Europeo convirtió en política la Directiva de Redes y Sistemas de Información (NIS) con el objetivo de mejorar la ciberseguridad en general en todas las redes de la UE. Se centró principalmente en los proveedores de servicios digitales (DSP) y los operadores de servicios esenciales (OES). Los OES son organizaciones que participan en actividades sociales o económicas críticas y se verán gravemente afectadas por violaciones de seguridad o de datos. Tanto los DSP como los OES deben informar sobre cualquier incidente de este tipo a los Equipos de Respuesta a Incidentes de Seguridad Informática (CSIRT).
  • Ley de Ciberseguridad de la UE: La Ley de Ciberseguridad de la UE proporciona un marco de certificación para empresas de toda la UE en materia de ciberseguridad para productos, servicios y procesos digitales.
  • RGPD UE: El Reglamento General de Protección de Datos (RGPD) de la UE se estableció en 2016, pero no se aplicó hasta mayo de 2018. El RGPD de la UE tiene como objetivo establecer un estándar único de protección de datos entre todos los estados miembros de la UE.

Leyes y reglamentos de seguridad cibernética en la India

La India tiene estas leyes predominantes en materia de ciberseguridad:

  • Ley de Tecnología de la Información (2000): promulgada por el Parlamento de la India, la Ley de Tecnología de la Información fue creada para salvaguardar los sectores de gobierno electrónico, banca electrónica y comercio electrónico; pero ahora, su alcance se ha ampliado para abarcar todos los dispositivos de comunicación más recientes.
  • Código Penal de la India (IPC) (1980) : esta ley de prevención de delitos cibernéticos tiene relevancia principal para los fraudes cibernéticos relacionados con el robo de identidad y otro robo de información confidencial.
  • Ley de Sociedades (2013) : Con la Ley de Sociedades promulgada en 2013, la legislatura garantizó que se cubrieran todos los aspectos normativos, incluidos el e-discovery, la investigación forense cibernética y la diligencia en materia de ciberseguridad. La Ley de Sociedades establece directrices sobre las responsabilidades de los directores y líderes de las empresas en lo que respecta a la confirmación de las obligaciones en materia de ciberseguridad.
  • Cumplimiento del NIST: El Marco de Ciberseguridad (NCFS), autorizado por el Instituto Nacional de Estándares y Tecnología (NIST), contiene todas las pautas, estándares y mejores prácticas necesarias para abordar de manera responsable los riesgos de ciberseguridad.
  • Ley de Tecnología de la Información (Enmienda) de 2008: Aborda cuestiones relacionadas con los delitos cibernéticos y el comercio electrónico, proporcionando un marco legal para la protección de datos, las firmas digitales y las actividades cibernéticas.
  • Reglas de tecnología de la información, 2011: Las Reglas de tecnología de la información, 2011, se introdujeron para respaldar la Ley de TI y proporcionar pautas detalladas sobre varios aspectos del derecho cibernético.
  • Política Nacional de Seguridad Cibernética, 2013: La Política Nacional de Seguridad Cibernética, 2013, describe un marco estratégico para proteger el ciberespacio del país. Entre los objetivos principales se incluye elestablecimiento de un ciberespacio seguro y resistente para los ciudadanos, las empresas y el gobierno.
  • Normas de TI, 2021: Las Normas de TI, 2021, endurecen aún más las regulaciones en torno a los medios digitales y los sitios de redes sociales. Exigen la debida diligencia para los intermediarios, incluidos los mecanismos de resolución de quejas y el nombramiento de funcionarios de cumplimiento. La regulación de los contenidos digitales y las plataformas OTT (Over-The-Top), garantizando el cumplimiento de los estándares de contenido.
  • Ley de Protección de Datos Personales Digitales de 2023 (DPDP): La Ley DPDP de 2023 es una ley integral diseñada para proteger los datos personales en el ámbito digital.

Organismos de ciberseguridad a nivel mundial

En esta sección, profundizamos en los organismos reconocidos a nivel mundial que están a la vanguardia de la ciberseguridad. Estas organizaciones ofrecen a los estudiantes de ciberseguridad una educación y certificaciones cruciales y fomentan una red mundial de profesionales comprometidos con impulsar el campo de la educación en ciberseguridad.

Instituto SANS

El SANS Institute es una organización cooperativa de investigación y educación. Sus programas llegan actualmente a más de 165.000 profesionales de la seguridad de la información en todo el mundo. La misión de SANS es brindar educación y recursos a los profesionales de la seguridad de la información, la ciberseguridad y la TI.

Cloud Security Alliance

La Cloud Security Alliance (CSA) es la organización líder a nivel mundial dedicada a definir y generar conciencia sobre las mejores prácticas de seguridad y a ayudar a garantizar un entorno de computación en la nube seguro. La CSA aprovecha la experiencia en la materia de profesionales de la industria, asociaciones, gobiernos y sus miembros corporativos e individuales para ofrecer investigación, educación, certificación, eventos y productos específicos de seguridad en la nube.

Centro de Seguridad de Internet

El Centro para la Seguridad de Internet (CIS) es una organización sin fines de lucro impulsada por la comunidad, responsable de los Controles CIS y los Puntos de Referencia CIS, las mejores prácticas reconocidas mundialmente para proteger los sistemas y datos de TI.

CIISec (Instituto colegiado de seguridad de la información)

CIISec es el único instituto colegiado para profesionales de la ciberseguridad. Su misión es apoyar el desarrollo educativo y profesional de personas y organizaciones dentro de la profesión de la ciberseguridad, proporcionando un camino hacia el estatus colegiado y promoviendo los más altos estándares de ética y profesionalismo.

Foro de equipos de respuesta a incidentes y seguridad (FIRST)

FIRST es una organización de primer nivel y un líder mundial reconocido en materia de investigación forense cibernética nacional para respuesta a incidentes. Reúne a una variedad de equipos de seguridad de productos de respuesta a incidentes de seguridad informática de organizaciones gubernamentales, comerciales y educativas.

Código ISC2

ISC2 es una asociación internacional sin fines de lucro que se centra en inspirar un mundo cibernético seguro y protegido. ISC2, más conocida por la aclamada certificación Certified Information Systems Security Professional (CISSP), ofrece una cartera de credenciales que forman parte de un enfoque holístico de la tecnología, la gestión de riesgos y la seguridad.

ISACA

ISACA proporciona a los profesionales los conocimientos, las credenciales, la educación y la comunidad necesarios para avanzar en sus carreras y transformar sus organizaciones. Aprovecha la experiencia de su medio millón de profesionales comprometidos en las áreas de seguridad informática y cibernética, gobernanza, aseguramiento, riesgo e innovación.

Asociación de Seguridad de Sistemas de Información (ISSA)

La ISSA es una organización internacional sin fines de lucro formada exclusivamente por profesionales de la seguridad de la información y otros profesionales de la seguridad. Ofrece foros educativos, publicaciones y oportunidades de interacción entre pares que mejoran los conocimientos, las habilidades y el crecimiento profesional de sus miembros.

Foro de Seguridad de la Información (ISF)

La ISF es una organización líder a nivel mundial dedicada y autorizada a la seguridad cibernética, de la información y la gestión de riesgos. Ofrece una gama de herramientas y servicios, investigación independiente y orientación práctica para ayudar a las organizaciones a diseñar e implementar una estrategia de riesgo cibernético y desarrollar capacidades de resiliencia.

IAPP (Asociación Internacional de Profesionales de la Privacidad)

La IAPP es la comunidad y el recurso de privacidad de la información más grande y completo del mundo. Ayuda a los profesionales a desarrollar y avanzar en sus carreras y a las organizaciones a gestionar y proteger sus datos.

ASIS Internacional

ASIS International es una comunidad global de profesionales de seguridad, cada uno de los cuales tiene un papel en la protección de activos: personas, propiedades y/o información.

Alianza Nacional de Ciberseguridad

La Alianza Nacional de Ciberseguridad (NCSA) es una organización sin fines de lucro que permite a las personas utilizar Internet de forma segura.

CREST, Reino Unido

CREST es el organismo de acreditación y certificación sin fines de lucro que representa a la industria de profesionales de seguridad de la información técnica. Proporciona acreditaciones reconocidas internacionalmente para organizaciones que brindan servicios profesionales de seguridad de la información técnica.

Cyber ​​Scheme

Cyber ​​Scheme es un organismo aprobado por el gobierno del Reino Unido que certifica la competencia de los profesionales de la ciberseguridad. Ofrece una serie de exámenes que evalúan las habilidades de las personas en el área de pruebas de penetración.

Consejo de Seguridad Cibernética del Reino Unido

El Consejo de Ciberseguridad del Reino Unido es el organismo autorregulador de la profesión de ciberseguridad del Reino Unido. Desarrolla, promueve y supervisa estándares reconocidos a nivel nacional para el sector de la ciberseguridad y el desarrollo de la fuerza laboral, en apoyo de la Estrategia Nacional de Ciberseguridad del Gobierno del Reino Unido.

Principales agencias gubernamentales de ciberseguridad

Centro Australiano de Seguridad Cibernética (ACSC)

El ACSC opera bajo la Dirección de Señales de Australia (ASD) y sirve como centro de colaboración entre el sector privado y el sector público para prevenir y combatir las amenazas cibernéticas. Proporciona asesoramiento e información sobre cómo proteger a las personas y las organizaciones de las amenazas cibernéticas.

Centro Canadiense de Seguridad Cibernética (CCCS)

El CCCS es la autoridad canadiense en materia de ciberseguridad y brinda asesoramiento, orientación, servicios y apoyo especializados en materia de ciberseguridad a ciudadanos, empresas e instituciones gubernamentales canadienses. Su objetivo es proteger y fortalecer la capacidad de Canadá para combatir los delitos cibernéticos.

Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC-UK)

El NCSC-UK es la principal autoridad del Reino Unido en materia de ciberseguridad e inteligencia sobre amenazas. Su disciplina en materia de ciberseguridad proporciona un análisis único de las amenazas y ofrece asesoramiento al sector público y privado sobre las tendencias en materia de ciberseguridad y cómo abordar la ciberdelincuencia. El NCSC-UK también colabora con socios internacionales para mejorar la capacidad de ciberseguridad del Reino Unido.

Oficina Federal de Seguridad de la Información de Alemania (BSI)

La BSI en Alemania es responsable de gestionar la seguridad de los sistemas informáticos, sanitarios y de información y la seguridad de las comunicaciones del gobierno alemán. También proporciona información sobre los riesgos y amenazas relacionados con el uso de las tecnologías de la información y busca formas de contrarrestarlos.

Centro Nacional de Seguridad Cibernética de los Países Bajos (NCSC-NL)

El NCSC-NL trabaja para mejorar la defensa de los Países Bajos en el ámbito digital. Para ello, la alianza contra amenazas cibernéticas ofrece asesoramiento, responde a las amenazas y fomenta la cooperación y el intercambio de conocimientos entre entidades y organizaciones del sector público y privado.

Centro Nacional de Seguridad Cibernética de Noruega (NCSC-NO)

El NCSC-NO es la autoridad nacional de seguridad cibernética de Noruega. Brinda asesoramiento y comparte conocimientos sobre amenazas y gestión de vulnerabilidades, además de coordinar y gestionar incidentes cibernéticos graves a nivel nacional.

Equipo de respuesta ante emergencias informáticas de Nueva Zelanda (CERT NZ) y Centro Nacional de Seguridad Cibernética de Nueva Zelanda (NCSC-NZ)

CERT NZ y NCSC-NZ trabajan juntos para combatir las amenazas de delitos cibernéticos y mejorar la resiliencia cibernética y la seguridad nacional de Nueva Zelanda. Mientras que CERT NZ brinda asesoramiento y apoyo a empresas, organizaciones e individuos que se ven afectados por incidentes de ciberseguridad, el NCSC brinda servicios especializados de ciberseguridad, especialmente equipos de seguridad de productos, a organizaciones de importancia nacional.

Agencia de Internet y Seguridad de Corea (KISA)

En Corea del Sur, KISA es responsable de mejorar la fiabilidad del entorno de Internet y la seguridad de los usuarios. Proporciona servicios integrales para proteger el ciberespacio coreano, incluida la seguridad de Internet, la infraestructura de Internet y la autenticación digital.

Dirección Nacional de Ciberseguridad de Israel (DNISC)

El INCD es responsable de todas las iniciativas de defensa cibernética civil en Israel. Desarrolla e implementa políticas preventivas y medidas de defensa activa contra las amenazas cibernéticas, al tiempo que promueve tecnologías cibernéticas avanzadas.

Centro Nacional de Preparación y Estrategia para Incidentes de Ciberseguridad (NISC) y Centro de Coordinación del Equipo de Respuesta a Emergencias Informáticas (JPCERT) de Japón

El NISC brinda asesoramiento estratégico y de políticas sobre la fuerza laboral de ciberseguridad nacional al gobierno nacional de Japón, mientras que el JPCERT se coordina con los equipos de respuesta a incidentes en caso de un incidente cibernético para garantizar una respuesta rápida y efectiva.

Red de Equipos de Respuesta a Incidentes Cibernéticos (CSIRT) Gubernamentales de las Américas

CSIRT Americas es una red de agencias gubernamentales de ciberseguridad de todo el continente americano. Ofrece una plataforma para compartir información, colaborar en iniciativas de ciberseguridad, compartir inteligencia sobre amenazas y responder colectivamente a las amenazas cibernéticas.

Agencia de Seguridad Cibernética de Singapur (CSA)

La CSA supervisa de forma centralizada y especializada las funciones de ciberseguridad nacional de Singapur. Impulsa el desarrollo del sector, garantiza la seguridad de la infraestructura crítica del país y participa en asuntos internacionales de ciberseguridad.

Agencia Nacional de Seguridad Cibernética y de la Información de la República Checa (NÚKIB)

La NÚKIB es la autoridad administrativa central en materia de ciberseguridad de la República Checa. Es responsable de coordinar las actividades destinadas a garantizar la seguridad de los sistemas de información y comunicación que protegen la información crítica para el funcionamiento del Estado. También supervisa la protección de la información clasificada en los sistemas de información y comunicación y la protección criptográfica de la información sensible no clasificada.

ENISA – la agencia de ciberseguridad de la UE

ENISA es la agencia de la UE que se ocupa de la ciberseguridad. Proporciona apoyo a los Estados miembros, las instituciones de la UE y las empresas en áreas clave, incluida la implementación de la Directiva NIS.

Agencia de Seguridad Nacional de EE.UU.

El programa de ciberseguridad de la NSA previene y erradica las amenazas a los sistemas de seguridad nacional de Estados Unidos, con especial atención a la base industrial de defensa y a la mejora de la seguridad de las armas estadounidenses. También se esfuerza por promover la educación, la investigación y el desarrollo profesional en materia de ciberseguridad.

En conclusión, las principales organizaciones de ciberseguridad del mundo y las agencias nacionales de ciberseguridad desempeñan un papel crucial en la defensa de nuestro panorama digital y la preparación en materia de ciberseguridad, y en la provisión de recursos, capacitación, foros educativos y oportunidades de colaboración invaluables para profesionales y organizaciones por igual. Si nos mantenemos informados y en contacto con estas organizaciones, podemos enfrentar colectivamente el desafío de proteger nuestro mundo interconectado y nuestra integridad digital.

Contenido