Los 8 principales marcos de ciberseguridad en Australia

A diferencia de Estados Unidos, Australia actualmente no cuenta con estándares mínimos obligatorios claros de ciberseguridad para las empresas.

Es probable que esto cambie en el futuro cercano. El gobierno australiano está siendo presionado para que siga el ejemplo de Estados Unidos y mejore la postura del país en materia de ciberseguridad.

Cuando se complete esta reforma de seguridad nacional, probablemente se introducirán normas regulatorias específicas para cada sector a fin de fortalecer las vulnerabilidades específicas de cada uno. Mientras tanto, las empresas australianas están gravemente expuestas a los actores amenazantes de los Estados-nación y, por lo tanto, deben asumir ahora su resiliencia ante las amenazas cibernéticas.

Una interrupción de cuatro semanas de las infraestructuras digitales críticas causada por un ciberataque costaría a la economía australiana 30.000 millones de dólares australianos (1,5 % del PIB) o 163.000 puestos de trabajo.

Para ayudar en el esfuerzo de fortalecer la resiliencia del país ante las amenazas cibernéticas, hemos compilado una lista de los principales controles y marcos de ciberseguridad existentes en Australia.

Indice

Essential Eight

Fue desarrollado por el Centro Australiano de Seguridad Cibernética (ASCS) en 2017 para ayudar a las empresas australianas a mitigar las amenazas de seguridad cibernética y las violaciones de datos. Este marco es recomendado por la Dirección Australiana de Señales (ASD) para todas las organizaciones australianas.

Essential Eight (también conocido como ASD Essential Eight) se compone de ocho estrategias básicas de mitigación, o controles de seguridad, que se dividen en tres objetivos principales.

¡Cada una de las estrategias enumeradas en cada objetivo está vinculada a una directriz de implementación publicada por el Gobierno australiano.

Objetivo 1: Prevenir los ciberataques

Esta estrategia inicial tiene como objetivo proteger los sistemas internos de software malicioso como malware, ransomware y otras amenazas cibernéticas.

El objetivo 1 incluye 4 controles de seguridad.

  • Parchear vulnerabilidades de aplicaciones
  • Control de aplicaciones
  • Fortalecimiento de aplicaciones de usuario
  • Configuración de los ajustes de macro de MS Office

Objetivo 2: Limitar el alcance de los ciberataques

Este objetivo tiene como objetivo limitar la profundidad de penetración de todas las inyecciones maliciosas. Esto se logra mediante el descubrimiento y la reparación de todas las vulnerabilidades de seguridad para que los actores de amenazas no puedan explotarlas.

El objetivo 1 incluye 3 controles de seguridad:

  • Parchear vulnerabilidades del sistema operativo
  • Restringir el acceso de administrador
  • Implementar la autenticación multifactor (MFA)

Objetivo 3: Recuperación de datos y disponibilidad del sistema

Este objetivo cubre la etapa final de los incidentes de seguridad cibernética. Los recursos de datos confidenciales deben respaldarse continuamente para respaldar la disponibilidad del sistema mediante la recuperación inmediata de datos.

Este objetivo incluye el 8º y último control de seguridad: Copias de seguridad diarias.

Para cada estrategia de mitigación, la Dirección de Señales de Australia recomienda que el marco Essential Eighth se implemente en tres fases:

  • Nivel de madurez uno: parcialmente alineado con los objetivos de la estrategia de mitigación.
  • Nivel de madurez dos : mayormente alineado con los objetivos de la estrategia de mitigación.
  • N. de madurez tres : totalmente alineado con los objetivos de la estrategia de mitigación.

La base mínima recomendada para la protección contra amenazas cibernéticas es el nivel de madurez tres.

¿A qué industrias se aplica el criterio de los ocho principios esenciales?

La Dirección de Señales de Australia recomienda que todas las entidades y empresas del Gobierno australiano implementen el marco Essential Eight para las mejores prácticas de ciberseguridad.

¿Son los Ocho Elementos Esenciales obligatorios para las empresas australianas?

El gobierno federal australiano impondrá el marco Essential Eight a las 98 entidades no corporativas de la Commonwealth. Se espera que las entidades comerciales corporativas y no corporativas (NCCE) cumplan con este marco. Para evaluar el cumplimiento, estas entidades se someterán a una auditoría integral cada 5 años a partir de junio de 2022.

Anteriormente, se esperaba que las entidades gubernamentales cumplieran únicamente con las cuatro estrategias principales de las Ocho Estrategias Esenciales. Pero después de que una auditoría revelara una resiliencia cibernética abismal en varios departamentos gubernamentales, las expectativas de cumplimiento se han ampliado a las ocho estrategias con la inclusión de las NCCE.

Desde 2018, es obligatorio para todas las empresas con una facturación anual de al menos 3 millones de dólares informar a la OAIC sobre las violaciones de datos, independientemente de que hayan adoptado o no el marco Essential Eight.

Marco australiano de ciberseguridad del sector energético (AESCSF)

El Marco de Ciberseguridad del Sector Energético Australiano (AESCSF) es una evaluación anual de la resiliencia de la ciberseguridad en todo el sector energético australiano.

El AESCSF se desarrolló en 2018 como un esfuerzo de colaboración entre:

  • El Operador del Mercado Energético Australiano (AEMO)
  • Gobierno australiano
  • El Grupo de Trabajo de la Industria de la Seguridad Cibernética (CSIWG)
  • Centro de Infraestructura Crítica (CIC)
  • Centro Australiano de Seguridad Cibernética (ACSC)

En un esfuerzo por aplicar el más alto nivel de protección contra amenazas cibernéticas a las infraestructuras energéticas australianas, la AESCSF combina aspectos de marcos de seguridad reconocidos con un enfoque de gestión de riesgos como:

  • Marco de seguridad cibernética del NIST (del Instituto Nacional de Estándares y Tecnología)
  • NIST SP 800-53
  • Modelo de madurez de la capacidad de ciberseguridad (C2M2 )
  • Norma NIST SP 800-53
  • COBIT‍
  • Essential Eight
  • Esquema de notificación de violaciones de datos (NDB )
  • ISO/IEC 27001
  • Principios australianos de privacidad

¿A qué industrias se aplica el Marco de Ciberseguridad del Sector Energético Australiano (AESCSF)?

El AESCSF ha sido diseñado para el sector energético australiano.

¿Es el Marco de Ciberseguridad del Sector Energético Australiano (AESCSF) obligatorio para las empresas australianas?

El AESCSF no es un marco de seguridad obligatorio para el sector energético australiano. Sin embargo, dado que las infraestructuras críticas están siendo blanco de los cibercriminales, se recomienda este marco por sus programas de vías de madurez claras.

Controles del CIS

Los controles del Centro de Seguridad de Internet (CIS) son un conjunto de diferentes medidas de seguridad diseñadas para proteger los sistemas de los ciberataques más comunes. Estas estrategias de mitigación se han diseñado para interrumpir el ciclo de vida de los ciberataques.

El marco CIS se ha actualizado recientemente de la versión 7.1 a la versión 8. La versión 8 está más alineada con las últimas tendencias de transformación digital que están ampliando el panorama de amenazas. Estas incluyen:

  • La prevalencia de acuerdos de trabajo desde casa
  • Mayor dependencia de soluciones basadas en la nube
  • Aumento de puntos finales móviles
  • Mayor adopción de la virtualización
  • La transición a fuerzas de trabajo híbridas que oscilan entre entornos de oficina y hogar

Otro cambio obvio en la versión 8 de CIS es la reducción de controles: han pasado de 20 a 18.

La lista actualizada de controles del CIS se detalla a continuación:

  • Inventario y control de activos empresariales
  • Inventario y control de activos de software
  • Protección de datos
  • Configuración segura de activos y software empresariales
  • Gestión de cuentas
  • Gestión del control de acceso
  • Evaluación continua de vulnerabilidades
  • Gestión de registros de auditoría
  • Navegador web y protecciones para correo electrónico
  • Defensas contra malware
  • Recuperación de datos
  • Gestión de infraestructura de red
  • Monitoreo y defensa de redes
  • Concientización y capacitación en seguridad
  • Gestión de proveedores de servicios
  • Seguridad del software de aplicación
  • Gestión de la respuesta a incidentes
  • Pruebas de penetración

Diferencia entre controles CIS y puntos de referencia CIS

Los controles CIS son una lista de estrategias recomendadas para proteger sistemas y dispositivos. Los puntos de referencia CIS son estrategias de fortalecimiento para productos de proveedores específicos.

La gama de indicadores de referencia de CIS incluye más de 100 prácticas recomendadas de seguridad de más de 25 proveedores.

¿A qué industrias se aplica el marco CIS?

Los controles CIS no son específicos de la industria, cualquier organización puede fortalecer su postura de seguridad implementando controles CIS.

Los controles CIS son especialmente beneficiosos para las industrias que almacenan grandes cantidades de información confidencial de los usuarios finales, como las de finanzas, atención médica, educación y derecho.

¿Son obligatorios los controles CIS para las empresas australianas?

Al momento de escribir esto, la adopción del marco de controles del CIS no es un requisito obligatorio para las empresas australianas.

Los controles CIS no son obligatorios, pero se recomiendan por la protección superior de datos confidenciales que ofrecen. Debido a que este marco es independiente de la industria, se puede confirmar fácilmente que cumple con la mayoría de los requisitos de seguridad.

Matriz de controles en la nube (CCM)

Esta Matriz de Control de la Nube (CCM) es un marco de seguridad cibernética para entornos de computación en la nube. Este marco de control fue creado por la Cloud Security Alliance (CSA), una organización sin fines de lucro dedicada a promover las mejores prácticas para la seguridad de la computación en la nube.

El CCM cubre los componentes principales de la tecnología de la nube en 16 dominios que se ramifican en 133 objetivos de control. Este marco se puede utilizar para detectar deficiencias de seguridad en los esfuerzos de implementación de la nube y brindar orientación sobre los controles de seguridad que podrían remediarlas.

El CCM es particularmente eficaz porque adapta sus controles a importantes normas y regulaciones de seguridad, tales como:

  • Asociación Internacional de Abogados de Protección de la Infancia (AICP)
  • Evaluaciones compartidas de BITS
  • Certificado BSI C5 en alemán
  • Ley PIPEDA de Canadá
  • Fundación CIS AWS
  • COBIT
  • COPPA
  • ENISA IAF
  • Directiva 95/46/CE sobre protección de datos de la UE
  • RAMP federal
  • Ley FERPA
  • GAP
  • Ley HIPAA/HITECH
  • LCR HITRUST
  • ISO/IEC 27001
  • ISO/IEC 27002
  • Ley Federal de México
  • ISO/IEC 27017
  • ISO/IEC 27018
  • CIP del NERC
  • Norma SP800-53 del Instituto Nacional de Normas y Tecnología
  • NZISMO
  • ODCA UM: PA
  • PCI DSS
  • IEC 62443-3-3
  • C5.

CCM atiende a todas las partes en una relación de computación en la nube: clientes de la nube y proveedores de soluciones de la nube.

Clientes de la nube

El CCM ofrece el Cuestionario de Iniciativa de Evaluación de Consenso (CAIQ) para los clientes que desean examinar las medidas de seguridad de sus proveedores de nube, es decir, qué controles de seguridad se implementan para los productos PaaS, IaaS y SaaS. El CAIQ se actualizó recientemente a la versión 4.

Proveedores de soluciones en la nube (CSP)

Los proveedores que ofrecen productos en la nube pueden enviar autoevaluaciones al CAIQ para demostrar su cumplimiento de los estándares de CMS. Esta prueba de cumplimiento se puede enviar a los clientes o utilizar para solicitar el registro de seguridad, confianza, garantía y riesgo (STAR).

Estar incluido en este registro tiene dos ventajas. La primera es que el cumplimiento de la matriz CCM es verificado por la CSA, lo que fortalece el atractivo de la relación con los proveedores. La segunda es que los proveedores incluidos en el registro tienen toda su documentación de control de seguridad disponible públicamente, lo que reduce la complejidad de las evaluaciones de los proveedores.

¿Es la Matriz de Control de la Nube obligatoria para las empresas australianas?

La matriz CCM no es un requisito obligatorio en Australia. Sin embargo, este marco está diseñado para adaptarse a las reglamentaciones y marcos obligatorios.

La Cloud Security Alliance ha creado una serie de asignaciones a la Matriz de Control de la Nube (CCM).

CSA actualiza periódicamente esta lista, por lo que si el mapeo del marco de ciberseguridad que necesitas no está incluido en esta lista, comunícate con CSA para confirmar si estará incluido en el futuro.

Objetivos de control de la tecnología de la información (COBIT)

COBIT fue desarrollado por el IT Governance Institute (ITGI) y la Information Systems Audit and Control Association (ISACA). Este marco de gestión de TI está diseñado para respaldar el desarrollo, la organización y la implementación de procesos que mejoren la gobernanza de TI y las mejores prácticas de ciberseguridad.

El marco COBIT se utiliza habitualmente para lograr el cumplimiento de la Ley Sarbanes-Oxley (SOX). Sin embargo, en casos de uso general, COBIT permite a las organizaciones evaluar la eficacia de sus inversiones en TI en función de sus objetivos comerciales.

COBIT 2019 es la última versión del marco, actualizada a partir de COBIT 5. COBIT 5 fue el marco más celebrado porque reforzaba la rendición de cuentas, lo que impedía que las partes interesadas

El marco COBIT 2019 consta de 6 principios, que se describen a continuación. También se enumeran los 5 principios que rigen el marco COBIT 5 a modo de comparación.

Principios COBIT 2019:

  • Proporcionar valor a las partes interesadas
  • Enfoque holístico
  • Sistema de gobernanza dinámico
  • La gobernanza es distinta de la gestión
  • Adaptado a las necesidades de la empresa
  • Sistema de gobernanza de extremo a extremo

Principios COBIT 5:

  • Satisfacer las necesidades de las partes interesadas
  • Cubrir la empresa de principio a fin
  • Aplicación de un único marco integrado
  • Facilitar un enfoque holístico
  • Separar la gobernanza de la gestión

¿A qué industrias se aplica COBIT?

COBIT respalda a todas las organizaciones que dependen de la distribución confiable de información relevante. Esta amplia categorización incluye tanto a entidades gubernamentales como a organizaciones del sector privado.

¿Es el marco COBIT obligatorio para las empresas australianas?

COBIT no es un marco obligatorio de ciberseguridad en Australia. Sin embargo, dado que las empresas australianas que emiten y registran valores en los Estados Unidos deben cumplir con SOX, este grupo haría bien en implementar COBIT, ya que respalda el cumplimiento de SOX.

Marco de políticas de seguridad y protección del gobierno australiano (PSPF)

El Marco de Política de Seguridad Protectora (PSPF) permite a las entidades del Gobierno australiano proteger a su personal, su información y sus activos. Su objetivo es fomentar una cultura de seguridad positiva en todas las entidades. Esta protección es válida en suelo australiano y en el extranjero.

El PSPF tiene como objetivo implementar las siguientes políticas. Cada política está vinculada a las pautas de requisitos básicos.

  • Seguridad de la información
  • Gobernanza de seguridad
  • Seguridad del personal
  • Seguridad física

Hay cinco principios del PSPF que representan los resultados de seguridad deseados:

  • La seguridad es responsabilidad de todos: una cultura de seguridad positiva respalda el logro de resultados de seguridad.
  • La seguridad facilita el funcionamiento del gobierno: los servicios pueden prestarse de manera más eficiente si son seguros.
  • Las medidas de seguridad protegen los activos y las personas de los riesgos cibernéticos asociados.
  • Cada departamento asume la responsabilidad de sus riesgos inherentes y residuales.
  • Las respuestas a incidentes de seguridad deben revisarse y mejorarse continuamente.

¿A qué industrias se aplica el PSPF?

El Marco de Política de Seguridad Protectora (PSPF) se aplica a todas las entidades gubernamentales australianas y a las entidades no corporativas de la Commonwealth.

¿Es obligatorio el Marco de Política de Seguridad Protectora (PSPF) para las empresas australianas?

El PSPF debe aplicarse a las entidades del Gobierno australiano y a las entidades gubernamentales no corporativas de acuerdo con sus perfiles de riesgo.

El PSPF se convirtió en un requisito fundamental para los organismos gubernamentales en 2018 cuando el Fiscal General estableció el marco como una política del gobierno australiano.

Este marco también se considera la mejor práctica de ciberseguridad para todas las agencias estatales y territoriales de Australia.

Ley australiana de seguridad de infraestructuras críticas de 2018

La Ley de Seguridad de Infraestructura Crítica de Australia de 2018 (Ley SOCI) busca proteger las infraestructuras australianas de ciberataques extranjeros. La gama de poderes, funciones y obligaciones de esta ley se aplica a activos de infraestructura crítica específicos en los sectores de electricidad, gas, agua y puertos.

Hay tres directivas principales de la Ley Australiana de Seguridad de Infraestructura Crítica:

  • Los propietarios y operadores de infraestructuras críticas deben registrar todos los activos relevantes.
  • Los propietarios y operadores de infraestructuras críticas deben proporcionar al Departamento del Interior toda la información requerida que pueda respaldar los esfuerzos de seguridad del centro.
  • Esos propietarios y operadores de infraestructuras críticas deben cumplir con todas las instrucciones del Ministro del Interior que respalden la mitigación de los riesgos de seguridad nacional cuando se hayan agotado todos los demás esfuerzos de mitigación de riesgos.

El 10 de diciembre de 2020, el gobierno australiano presentó el Proyecto de Ley de Enmienda a la Legislación de Seguridad para ampliar la definición de infraestructuras críticas en la Ley SOCI.

Esta enmienda amplía la aplicación de la Ley SOCI a 11 clases de infraestructuras críticas, entre las que se incluyen:

  • Comunicaciones
  • Almacenamiento y procesamiento de datos
  • Defensa
  • Servicios y mercados financieros
  • Alimentos y comestibles
  • Atención sanitaria y médica
  • Transporte
  • Educación superior e investigación
  • Energía
  • Tecnología espacial
  • Agua y alcantarillado

El marco de la Ley SOCI ha sido objeto de reformas para fortalecer la ciberseguridad de las infraestructuras críticas de Australia.

¿A qué industrias se aplica la Ley Australiana de Seguridad de Infraestructura Crítica?

La Ley Australiana de Seguridad de Infraestructura Crítica de 2018 se aplica a los sectores de electricidad, gas, agua y puertos que poseen una gama específica de activos críticos.

¿Es la Ley de Seguridad de Infraestructura Crítica de 2018 obligatoria para las empresas australianas?

Al momento de escribir esto, no hay anuncios que exijan el cumplimiento de SOCI 2018.

ISO/IEC 38500

La ISO/IEC 38500 es una norma internacional para un marco de gobernanza de TI. Garantiza la seguridad de todos los procesos y decisiones de gestión que afectan el uso actual y futuro de las tecnologías de la información.

La norma ISO/IEC 38500 permite que varias partes se hagan cargo de la postura de seguridad de una empresa, lo que incluye:

  • Gerentes ejecutivos
  • Usuarios con acceso a todos los recursos de la organización.
  • Proveedores externos
  • Especialistas técnicos
  • Consultores
  • Auditores

Este marco se sustenta en seis principios:

  • Establecer responsabilidades claras
  • Apoyar los objetivos de la organización
  • Realizar adquisiciones estratégicas
  • Asegurarse de que se superen los KPI
  • Garantizar el cumplimiento de las normas
  • Considerar todos los factores humanos

¿Es la norma ISO/IEC 38500 obligatoria para las empresas australianas?

ISO 38500 es un estándar internacional para la seguridad de TI, por lo que se espera que las empresas australianas cumplan con este marco.

Todos los tipos de empresas deben esforzarse por cumplir con la norma ISO 38500, incluidas:

  • Empresas públicas y privadas
  • Entidades gubernamentales
  • Sin fines de lucro
  • Empresas de todos los tamaños, independientemente de su uso de TI.

Organismos de Ciberseguridad

En Australia, cabe destacar los siguientes organismos de ciberseguridad:

Centro australiano de seguridad cibernética

El Centro Australiano de Seguridad Cibernética (ACSC, por sus siglas en inglés) es una responsabilidad conjunta del Fiscal General y el Ministro de Defensa. El ACSC es la principal capacidad de seguridad cibernética de Australia, y reúne a los elementos operativos de seguridad cibernética del Gobierno de la Dirección de Señales de Australia, la Organización de Inteligencia de Defensa, la Organización de Ciencia y Tecnología de Defensa, el Equipo de Respuesta a Incidentes Cibernéticos de la ADF, CERT Australia, la Policía Federal Australiana, la Comisión Australiana contra el Crimen y la Organización Australiana de Inteligencia de Seguridad.

El ACSC trabaja con agencias de la Commonwealth, los estados y los territorios, y en conjunto con el sector privado para proporcionar un centro para una mayor colaboración. El objetivo del ACSC es facilitar el intercambio de información, generar conciencia sobre las amenazas cibernéticas y minimizar los riesgos de seguridad relacionados con la adopción de nuevas tecnologías y servicios.

Opera dentro de un marco existente y se guía por mandatos legislativos y de políticas, como se establece en la Ley de la Policía Federal Australiana de 1979, la Ley de Servicios de Inteligencia de 2001, la Ley de la Comisión Australiana contra el Crimen de 2002 y la Ley de la Organización Australiana de Inteligencia de Seguridad de 1979.

Dirección de Señales de Australia

La Dirección de Señales de Australia (ASD) es un miembro vital de la comunidad de seguridad nacional de Australia y trabaja en todo el espectro de operaciones que requieren las agencias de seguridad e inteligencia de señales contemporáneas: inteligencia, ciberseguridad y operaciones ofensivas en apoyo del Gobierno australiano y la Fuerza de Defensa Australiana (ADF).

El Centro Australiano de Seguridad Cibernética se encuentra dentro de la ASD y es la autoridad técnica del Gobierno australiano en materia de seguridad cibernética.

ASD reúne capacidades para mejorar la resiliencia cibernética nacional de Australia y sus servicios ACSC incluyen:

  • La línea directa de seguridad cibernética australiana, a la que se puede contactar las 24 horas del día, los 7 días de la semana.
  • Publicar alertas, asesoramiento técnico, avisos y notificaciones sobre amenazas importantes a la ciberseguridad.
  • Monitorización de amenazas cibernéticas e intercambio de inteligencia con socios, incluso a través de la plataforma de intercambio de inteligencia sobre amenazas cibernéticas (CTIS).
  • Asesoramiento técnico y asistencia para ayudar a las entidades australianas a responder a incidentes de ciberseguridad.
  • Ejercicios nacionales y actividades de mejora para mejorar la resiliencia de la seguridad cibernética de las entidades australianas.
  • Colaborar con organizaciones e individuos australianos en cuestiones de seguridad cibernética a través del Programa de Asociación de Seguridad Cibernética de ASD.