CIBERSEGURIDAD: REGULACIÓN, ESTÁNDARES Y FUNDAMENTOS
COMITÉ CIENTÍFICO DE LA EDITORIAL TIRANT LO BLANCH
María José Añón Roig
Catedrática de Filosofía del Derecho de la Universidad de Valencia
Ana Cañizares Laso
Catedrática de Derecho Civil de la Universidad de Málaga
Jorge A. Cerdio Herrán
Catedrático de Teoría y Filosofía de Derecho.
Instituto Tecnológico Autónomo de México
José Ramón Cossío Díaz
Ministro en retiro de la Suprema
Corte de Justicia de la Nación y miembro de El Colegio Nacional
María Luisa Cuerda Arnau
Catedrática de Derecho Penal de la Universidad Jaume I de Castellón
Manuel Díaz Martínez
Catedrático de Derecho Procesal de la UNED
Carmen Domínguez Hidalgo
Catedrática de Derecho Civil de la Pontificia
Universidad Católica de Chile
Eduardo Ferrer Mac-Gregor Poisot
Juez de la Corte Interamericana de Derechos Humanos
Investigador del Instituto de Investigaciones Jurídicas de la UNAM
Owen Fiss
Catedrático emérito de Teoría del Derecho de la Universidad de Yale (EEUU)
José Antonio García-Cruces González
Catedrático de Derecho Mercantil de la UNED
José Luis González Cussac
Catedrático de Derecho Penal de la Universidad de Valencia
Luis López Guerra
Catedrático de Derecho Constitucional de la Universidad Carlos III de Madrid
Ángel M. López y López
Catedrático de Derecho Civil de la Universidad de Sevilla
Marta Lorente Sariñena
Catedrática de Historia del Derecho de la Universidad Autónoma de Madrid
Javier de Lucas Martín
Catedrático de Filosofía del Derecho y Filosofía Política de la Universidad de Valencia Víctor Moreno Catena
Catedrático de Derecho Procesal de la Universidad Carlos III de Madrid
Francisco Muñoz Conde
Catedrático de Derecho Penal de la Universidad Pablo de Olavide de Sevilla
Angelika Nussberger
Catedrática de Derecho Constitucional e Internacional en la Universidad de Colonia (Alemania)
Miembro de la Comisión de Venecia
Héctor Olasolo Alonso
Catedrático de Derecho Internacional de la Universidad del Rosario (Colombia) y Presidente del Instituto Ibero-Americano de La Haya (Holanda)
Luciano Parejo Alfonso
Catedrático de Derecho Administrativo de la Universidad Carlos III de Madrid
Consuelo Ramón Chornet
Catedrática de Derecho Internacional Público y Relaciones Internacionales de la Universidad de Valencia
Tomás Sala Franco
Catedrático de Derecho del Trabajo y de la Seguridad Social de la Universidad de Valencia Ignacio Sancho Gargallo
Magistrado de la Sala Primera (Civil) del Tribunal Supremo de España
Elisa Speckmann Guerra
Directora del Instituto de Investigaciones Históricas de la UNAM
Ruth Zimmerling
Catedrática de Ciencia Política de la Universidad de Mainz (Alemania)
Fueron miembros de este Comité:
Emilio Beltrán Sánchez, Rosario Valpuesta Fernández y Tomás S. Vives Antón
Procedimiento de selección de originales, ver página web: www.tirant.net/index.php/editorial/procedimiento-de-seleccion-de-originales
CIBERSEGURIDAD: REGULACIÓN, ESTÁNDARES Y FUNDAMENTOS
Jersain Zadamig Llamas Covarrubias
tirant lo blanch
Ciudad de México, 2024
Copyright ® 2024
Todos los derechos reservados. Ni la totalidad ni parte de este libro puede reproducirse o transmitirse por ningún procedimiento electrónico o mecánico, incluyendo fotocopia, grabación magnética, o cualquier almacenamiento de información y sistema de recuperación sin permiso escrito del autor y del editor.
En caso de erratas y actualizaciones, la Editorial Tirant lo Blanch publicará la pertinente corrección en la página web www.tirant.com/mex/
© TIRANT LO BLANCH
DISTRIBUYE: TIRANT LO BLANCH MÉXICO
Av. Tamaulipas 150, Oficina 502 Hipódromo, Cuauhtémoc 06100 Ciudad de México
Telf.: +52 1 55 65502317
infomex@tirant.com
www.tirant.com/mex/ www.tirant.es
ISBN: 978-84-1169-640-1
MAQUETA: Innovatext
Si tiene alguna queja o sugerencia, envíenos un mail a: atencioncliente@tirant.com. En caso de no ser atendida su sugerencia, por favor, lea en www.tirant.net/index.php/empresa/politicas-de-empresa nuestro procedimiento de quejas.
Responsabilidad Social Corporativa: http://www.tirant.net/Docs/RSCTirant.pdf
© Jersain Zadamig Llamas CovarrubiasÍndice
Prólogo ................................................................................................................. 21 INTRODUCCIÓN PANORAMA ACTUAL DE LA CIBERSEGURIDAD 26 Ciberataques en México .............................................................................. 28 Madurez de México en ciberseguridad ...................................................... 33 IMPORTANCIA DE LA CIBERSEGURIDAD 36 DELIMITACIÓN DEL CONCEPTO DE CIBERSEGURIDAD ...................... 37 Diferencia entre ciberseguridad, seguridad de la información, protección de datos y privacidad ..................................................................... 38 Diferencia entre ciberseguridad, cibercrimen, ciberterrorismo y ciberinteligencia 39 FUNDAMENTOS DE CIBERSEGURIDAD PRINCIPIOS FUNDAMENTALES DE LA CIBERSEGURIDAD 43 Privilegios mínimos...................................................................................... 44 Seguridad por diseño y por defecto 45 Ciberseguridad priorizada .......................................................................... 47 Ciberresiliencia o resiliencia cibernética ................................................... 48 Ciberhigiene 50 Segregación/Separación de funciones ...................................................... 51 Fortificación (Hardening) 52 Defensa en General (defense-in-breadth) y Defensa en Profundidad (defense-in-depth) ............................................................................................... 54 Seguridad a Través de la Oscuridad (Security Through Obscurity) 55 Prevención de la delincuencia mediante el urbanismo (Crime prevention through environmental design) 56 Autenticación Multifactor (Multi Factor Authentication-MFA) ..................... 57 Gestión de riesgos y vulnerabilidades ......................................................... 59 Responsabilidad ........................................................................................... 59 Cifrado .......................................................................................................... 60 Monitoreo, Auditoría y Registro 62 Inteligencia de Amenazas y Cacería de Amenazas (Threat Intelligence y Threat Hunting) ....................................................................................... 63 MODELOS Y MARCOS IMPORTANTES PARA LA CIBERSEGURIDAD..... 64 Regulatorio (Integral, Sectorial y Autorregulado) .................................... 65 Tríada CIA/CID (Confidencialidad, Integridad y Disponibilidad) 66 AAA (Autenticación, Autorización y Auditoría) ........................................ 67
Control de Acceso 69 Cyber Kill Chain ............................................................................................. 71 Castle-and-Moat.............................................................................................. 73 Confianza Cero (Zero Trust) 74 Integración de modelos de madurez de capacidades (CMMI) ................ 75 MITRE ATT&CK .......................................................................................... 77 OSI (Open Systems Interconnection) 79 OSINT .......................................................................................................... 81 ACTORES, AMENAZAS, ATAQUES Y VULNERABILIDADES ..................... 82 Actores 83 Hackers .................................................................................................... 84 Script Kiddies .......................................................................................... 85 Thrill seekers 86 Hacktivistas .............................................................................................. 87 Insiders .................................................................................................... 89 Amenazas persistentes avanzadas (Advanced Persistent Threat-APT) 90 Estados-Nación ........................................................................................ 91 Grupos criminales ................................................................................... 92 Ciberterroristas 94 Amenazas ...................................................................................................... 95 Programas Maliciosos (Malware) ............................................................ 96 Virus informático 97 Gusanos informáticos (Worms) .......................................................... 98 Troyanos (Trojans) .............................................................................. 99 Droppers 100 Bombas Lógicas (Logic Bomb) ............................................................. 102 Malware de rescate (Ransomware) ...................................................... 103 Borradores/Limpiadores (Wipers) 104 Rootkits ................................................................................................. 106 Malware sin archivos (Fileless Malware) .............................................. 107 Bots y Botnets 108 Registrador de teclas (Keylogger) ........................................................ 109 Minería de criptomonedas maliciosa (Cryptojacking) ....................... 110 Puertas traseras (Backdoors) 112 Exploits ................................................................................................. 113 Grayware .............................................................................................. 114 Ataques y Vulnerabilidades 115 Ataques ............................................................................................... 116 Ingeniería Social ............................................................................ 116 Ataque de Denegación de Servicio (DoS) y Ataque de Denegación de Servicio Distribuido (DDoS) .................................... 120 Spoofing ........................................................................................... 121 Sniffing 123 Poisoning ......................................................................................... 124
destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión, por la que se modifican el Reglamento (UE) n.o 910/2014 y la Directiva (UE) 2018/1972 y por la que se deroga
Hijacking 126 Tunneling 128 Overflowing ...................................................................................... 129 Tampering ........................................................................................ 130 Inyección de código ...................................................................... 132 Ataques Basados en la Identidad. ................................................. 133 De repetición (Replay Attack) ......................................................... 135 Ingeniería Inversa (Reverse Engineering) ........................................ 136 De canal lateral (Side-channel attack).............................................. 137 Lateral/Indirecto ........................................................................... 138 Vulnerabilidades ................................................................................ 139 De Diseño 140 De Implementación 141 De Configuración 143 De día cero (Zero Day) 144 CVE, CWE, CAPEC, CVSS. ............................................................ 145 REGULACIONES Y NORMAS EN CIBERSEGURIDAD TRATADOS INTERNACIONALES .................................................................. 147 Convención sobre Ciberdelincuencia (Convenio de Budapest) 2001 ..... 150 Protocolo adicional al Convenio sobre la ciberdelincuencia relativo a la penalización de actos de índole racista y xenófoba cometidos por medio de sistemas informáticos .............................................. 154 Segundo Protocolo adicional al Convenio sobre la Ciberdelincuencia, relativo a la cooperación reforzada y la divulgación de pruebas electrónicas 155 Convención Internacional Integral sobre la Lucha contra la Utilización de las Tecnologías de la Información y las Comunicaciones con Fines Delictivos (ONU) – Borrador ......................................................... 157 Tratado entre México, Estados Unidos y Canadá (T-MEC) ...................... 159 UNIÓN EUROPEA (UE) ................................................................................. 161 Nivel de Madurez de la Unión Europea ..................................................... 161 Marco jurídico de ciberseguridad en la Unión Europea .......................... 162 Normativas específicas de ciberseguridad ............................................. 163 Directiva (UE) 2016/1148 relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión (NIS 1 / SRI 1) 163 Directiva (UE) 2022/2555 relativa a
la Directiva (UE)
(NIS 2 / SRI 2) ...................... 163
las medidas
2016/1148
Reglamento (UE) 2022/2554 sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) n.o 1060/2009, (UE) n. 648/2012, (UE) n.o 600/2014, (UE) n.o 909/2014 y (UE) 2016/1011. (Digital Operational Resilience Act (DORA)) .......................................
Directiva (UE) 2022/2557 relativa a la resiliencia de las entidades críticas y por la que se deroga la Directiva 2008/114/CE del Consejo.
Reglamento (UE) 2019/881 relativo a ENISA (Agencia de la Unión Europea para la Ciberseguridad) y a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación y por el que se deroga el Reglamento (UE) n. 526/2013 («Reglamento sobre la Ciberseguridad») (Cybersecurity Act)......................................................................................
Reglamento (UE) 2021/887 por el que se establecen
de Reglamento del Parlamento Europeo y del Consejo por el que se establecen medidas destinadas a reforzar la solidaridad y las capacidades en la Unión a fin de detectar amenazas e incidentes de ciberseguridad, prepararse para ellos y responder a ellos. COM (2023) 209 final 2023/0109(COD).
164
165
165
Índice 10
el Centro Europeo de Competencia Industrial, Tecnológica y de Investigación en Ciberseguridad y la Red de Centros Nacionales de Coordinación .............................................................................. 166 Reglamento (UE, Euratom) 2023/2841 por el que se establecen medidas destinadas a garantizar un elevado nivel común de ciberseguridad en las instituciones, los órganos y los organismos de la Unión. 167 Directiva 2013/40/UE relativa a los ataques contra los sistemas de información y por la que se sustituye la Decisión marco 2005/222/JAI del Consejo. ........................................................ 168 Recomendación (UE) 2017/1584 de la Comisión sobre la respuesta coordinada a los incidentes y crisis de ciberseguridad a gran escala ................................................................................ 168 Recomendación (UE) 2019/534 de la comisión Ciberseguridad de las redes 5G ............................................................................ 169 Propuestas de normativas específicas de ciberseguridad 170 Propuesta de Reglamento del Parlamento Europeo y del Consejo
a los requisitos
de ciberseguridad para los productos con
el Reglamento (UE)
170 Propuesta
(Cyber Solidarity Act) ..................................................................... 170
relativo
horizontales
elementos digitales y por el que se modifica
2019/1020. COM (2022) 454 final 2022/0272(COD). (Cyber Resilience Act)
Índice 11 Propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se modifica el Reglamento (UE) 2019/881 en lo que se refiere a los servicios de seguridad gestionados. COM (2023) 208 final 2023/0108(COD) (Amendment to the EU Cyber Security Act.) ................................................................................. 171 ESTADOS UNIDOS DE AMÉRICA (EUA) ..................................................... 172 ESTADOS UNIDOS MEXICANOS (MÉXICO) 172 Iniciativas de ley sobre legislación en ciberseguridad y ciberdelincuencia 172 Marco Jurídico Vigente Actual sobre ciberseguridad y cibercrimen........ 189 Seguridad y Criminal 191 Código Penal Federal ........................................................................ 191 Ley de la Guardia Nacional ............................................................... 191 Ley de la Policía Federal 192 Ley de Seguridad Interior ................................................................. 192 Ley de Seguridad Nacional ............................................................... 192 Ley Federal contra la Delincuencia Organizada 193 Ley Federal de Seguridad Privada .................................................... 193 Ley General de Acceso de las Mujeres a una Vida Libre de Violencia 194 Ley General del Sistema Nacional de Seguridad Pública................ 194 Ley General para Prevenir, Sancionar y Erradicar los Delitos en Materia de Trata de Personas y para la Protección y Asistencia a las Víctimas de estos Delitos .................................................... 194 Ley General para Prevenir y Sancionar los Delitos en Materia de Secuestro, Reglamentaria de la fracción XXI del artículo 73 de la Constitución Política de los Estados Unidos Mexicanos . 195 Ley Nacional de Ejecución Penal ..................................................... 195 Ley Nacional del Registro de Detenciones 196 Protección de Datos Personales, Transparencia y Archivo................... 196 Ley Federal de Protección de Datos Personales en Posesión de los Particulares. 196 Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados ....................................................................... 197 Ley Federal de Transparencia y Acceso a la Información Pública 197 Ley General de Transparencia y Acceso a la Información Pública. 198 Ley General de Archivos .................................................................... 198 Financiero y Mercantil 199 Ley de Instituciones de Crédito ........................................................ 199 Ley de Instituciones de Seguros y de Fianzas. .................................. 199 Ley de Sistemas de Pagos 199 Ley de Uniones de Crédito ............................................................... 200 Ley del Mercado de Valores .............................................................. 200 Ley General de Organizaciones y Actividades Auxiliares del Crédito. 201 Ley General de Sociedades Mercantiles ........................................... 201
Índice 12 Ley General de Títulos y Operaciones de Crédito 201 Ley para la Transparencia y Ordenamiento de los Servicios Financieros 202 Ley para Regular las Actividades de las Sociedades Cooperativas de Ahorro y Préstamo ................................................................. 202 Ley Para Regular las Agrupaciones Financieras............................... 203 Ley para Regular las Instituciones de Tecnología Financiera ......... 203 Ley para Regular las Sociedades de Información Crediticia. 204 Comercio y Consumidor ........................................................................ 204 Código de Comercio 204 Ley de Comercio Exterior ................................................................. 204 Ley Federal de Protección al Consumidor ....................................... 205 Procesal .................................................................................................... 205 Código Nacional De Procedimientos Civiles y Familiares ............... 205 Código Nacional de Procedimientos Penales 206 Fiscal ........................................................................................................ 206 Código Fiscal de la Federación. 206 Electoral................................................................................................... 207 Ley General de Instituciones y Procedimientos Electorales ........... 207 Ley General de los Medios de Impugnación en Materia Electoral 207 Propiedad Intelectual ............................................................................. 208 Ley Federal de Protección a la Propiedad Industrial 208 Ley Federal del Derecho de Autor ................................................... 208 Legislación diversa 209 Ley Aduanera ..................................................................................... 209 Ley Federal del Trabajo. .................................................................... 209 Ley de Amparo, Reglamentaria de los artículos 103 y 107 de la Constitución Política de los Estados Unidos Mexicanos .......... 209 Ley de Aviación Civil 210 Ley de Firma Electrónica Avanzada .................................................. 210 Ley Federal de Telecomunicaciones y Radiodifusión 211 Ley General de Educación ................................................................ 211 Ley General de los Derechos de Niñas, Niños y Adolescentes........ 212 Ley General de Salud ......................................................................... 212 Miscelánea ............................................................................................... 212 MARCOS Y ESTÁNDARES EN CIBERSEGURIDAD SERIE ISO/IEC 27000 ...................................................................................... 220 ISO/IEC 27000:2018 Information technology – Security techniques –Information security management systems – Overview and vocabulary .......................................................................................................... 220
Índice 13 ISO/IEC 27001:2022 Information security, cybersecurity and privacy protection – Information security management systems – Requirements 221 ISO/IEC 27002:2022 Information security, cybersecurity and privacy protection – Information security controls .......................................... 221 ISO/IEC 27003:2017 Information technology – Security techniques –Information security management systems – Guidance...................... 222 ISO/IEC 27004:2016 Information technology – Security techniques – Information security management – Monitoring, measurement, analysis and evaluation 222 ISO/IEC 27006:2015 Information technology – Security techniques –Requirements for bodies providing audit and certification of information security management systems .................................................. 223 ISO/IEC TS 27006-2:2021 Requirements for bodies providing audit and certification of information security management systems –Part 2: Privacy information management systems ........................ 224 ISO/IEC 27007:2020 Information security, cybersecurity and privacy protection – Guidelines for information security management systems auditing ......................................................................................... 224 ISO/IEC TS 27008:2019 Information technology – Security techniques – Guidelines for the assessment of information security controls ...... 225 ISO/IEC 27010:2015 Information technology – Security techniques –Information security management for inter-sector and inter-organizational communications 225 ISO/IEC 27011:2016 Information technology – Security techniques –Code of practice for Information security controls based on ISO/ IEC 27002 for telecommunications organizations .............................. 226 ISO/IEC 27013:2021 Information security, cybersecurity and privacy protection – Guidance on the integrated implementation of ISO/ IEC 27001 and ISO/IEC 20000-1 ......................................................... 226 ISO/IEC 27014:2020 Information security, cybersecurity and privacy protection – Governance of information security ............................... 227 ISO/IEC TR 27016:2014 Information technology – Security techniques – Information security management – Organizational economics .... 227 ISO/IEC 27017:2015 Information technology – Security techniques –Code of practice for information security controls based on ISO/ IEC 27002 for cloud services ................................................................. 227 ISO/IEC 27018:2019 Information technology – Security techniques –Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors ............................ 228 ISO/IEC 27019:2017 Information technology – Security techniques –Information security controls for the energy utility industry ............. 228
Índice 14 ISO/IEC 27021:2017 Information technology – Security techniques –Competence requirements for information security management systems professionals ............................................................................. 229 ISO/IEC TS 27022:2021 Information technology – Guidance on information security management system processes ................................... 229 ISO/IEC 27031:2011 Information technology – Security techniques –Guidelines for information and communication technology readiness for business continuity .................................................................. 230 ISO/IEC 27032:2023 Cybersecurity – Guidelines for Internet security ... 230 ISO/IEC 27033 Information technology – Security techniques – Network security ......................................................................................... 231 ISO/IEC 27033-1:2015 Information technology – Security techniques – Network security – Part 1: Overview and concepts 231 ISO/IEC 27033-2:2012 Information technology – Security techniques – Network security – Part 2: Guidelines for the design and implementation of network security 232 ISO/IEC 27033-3:2010 Information technology – Security techniques – Network security – Part 3: Reference networking scenarios – Threats, design techniques and control issues 232 ISO/IEC 27033-4:2014 Information technology – Security techniques – Network security – Part 4: Securing communications between networks using security gateways 233 ISO/IEC 27033-5:2013 Information technology – Security techniques – Network security – Part 5: Securing communications across networks using Virtual Private Networks (VPNs) 233 ISO/IEC 27033-6:2016. Information technology – Security techniques – Network security – Part 6: Securing wireless IP network access 234 ISO/IEC 27033-7:2023 Information technology – Network security –Part 7: Guidelines for network virtualization security .................. 234 ISO/IEC 27034. Information technology – Security techniques – Application security ........................................................................................ 234 ISO/IEC 27034-1:2011 Information technology – Security techniques – Application security – Part 1: Overview and concepts 235 ISO/IEC 27034-2:2015 Information technology – Security techniques – Application security – Part 2: Organization normative framework 235 ISO/IEC 27034-3:2018 Information technology – Application security – Part 3: Application security management process ................. 236 ISO/IEC 27034-5:2017 Information technology – Security techniques – Application security – Part 5: Protocols and application security controls data structure ..................................................... 236 ISO/IEC 27034-6:2016 Information technology – Security techniques – Application security – Part 6: Case studies ........................ 236
Índice 15 ISO/IEC 27034-7:2018 Information technology – Application security – Part 7: Assurance prediction framework 237 ISO/IEC 27035 Information technology – Information security incident management.................................................................................. 237 ISO/IEC 27035-1:2023 Information technology – Information security incident management – Part 1: Principles and process ........... 238 ISO/IEC 27035-2:2023 Information technology – Information security incident management – Part 2: Guidelines to plan and prepare for incident response 238 ISO/IEC 27035-3:2020 Information technology – Information security incident management – Part 3: Guidelines for ICT incident response operations ....................................................................... 239 ISO/IEC 27036 Cybersecurity – Supplier relationships ............................ 239 ISO/IEC 27036-1:2021 Cybersecurity – Supplier relationships – Part 1: Overview and concepts............................................................... 240 ISO/IEC 27036-2:2022 Cybersecurity – Supplier relationships – Part 2: Requirements.............................................................................. 240 ISO/IEC 27036-3:2023 Cybersecurity – Supplier relationships – Part 3: Guidelines for hardware, software, and services supply chain security 240 ISO/IEC 27036-4:2016 Information technology – Security techniques – Information security for supplier relationships – Part 4: Guidelines for security of cloud services. ...................................... 241 ISO/IEC 27037:2012 Information technology – Security techniques –Guidelines for identification, collection, acquisition and preservation of digital evidence .......................................................................... 241 ISO/IEC 27038:2014 Information technology – Security techniques –Specification for digital redaction 242 ISO/IEC 27039:2015 Information technology – Security techniques –Selection, deployment and operations of intrusion detection and prevention systems (IDPS) .................................................................... 242 ISO/IEC 27040:2015 Information technology – Security techniques –Storage security ...................................................................................... 243 ISO/IEC 27041:2015 Information technology – Security techniques –Guidance on assuring suitability and adequacy of incident investigative method 244 ISO/IEC 27042:2015 Information technology – Security techniques –Guidelines for the analysis and interpretation of digital evidence 244 ISO/IEC 27043:2015 Information technology – Security techniques –Incident investigation principles and processes .................................. 244 ISO/IEC 27050 Information technology – Electronic discovery .............. 245 ISO/IEC 27050-1:2019 Information technology – Electronic discovery – Part 1: Overview and concepts ............................................ 245
Índice 16 ISO/IEC 27050-2:2018 Information technology – Electronic discovery – Part 2: Guidance for governance and management of electronic discovery ........................................................................ 245 ISO/IEC 27050-3:2020 Information technology – Electronic discovery – Part 3: Code of practice for electronic discovery. .............. 246 ISO/IEC 27050-4:2021 Information technology – Electronic discovery – Part 4: Technical readiness. ................................................. 246 ISO/IEC 27070:2021 Information technology – Security techniques –Requirements for establishing virtualized roots of trust. 247 ISO/IEC 27071:2023 Cybersecurity – Security recommendations for establishing trusted connections between devices and services. 247 ISO/IEC 27099:2022 Information technology – Public key infrastructure – Practices and policy framework. .................................................... 247 ISO/IEC TS 27100:2020 Information technology – Cybersecurity –Overview and concepts .......................................................................... 248 ISO/IEC 27102:2019 Information security management – Guidelines for cyber-insurance ................................................................................ 248 ISO/IEC TR 27103:2018 Information technology – Security techniques – Cybersecurity and ISO and IEC Standards 249 ISO/IEC TS 27110:2021 Information technology, cybersecurity and privacy protection – Cybersecurity framework development guidelines 249 ISO/IEC 27400:2022 Cybersecurity – IoT security and privacy – Guidelines ........................................................................................................ 249 ISO/IEC 27402:2023 Cybersecurity – IoT security and privacy – Device baseline requirements ........................................................................... 250 ISO/IEC TR 27550:2019 Information technology – Security techniques – Privacy engineering for system life cycle processes 250 ISO/IEC 27551:2021 Information security, cybersecurity and privacy protection – Requirements for attribute-based unlinkable entity authentication ............................................................................................ 251 ISO/IEC 27553 Information security, cybersecurity and privacy protection – Security and privacy requirements for authentication using biometrics on mobile devices................................................................ 251 ISO/IEC 27553-1:2022 Information security, cybersecurity and privacy protection – Security and privacy requirements for authentication using biometrics on mobile devices – Part 1: Local modes 252 ISO/IEC 27555:2021 Information security, cybersecurity and privacy protection – Guidelines on personally identifiable information deletion ...................................................................................................... 252 ISO/IEC 27557:2022 Information security, cybersecurity and privacy protection – Application of ISO 31000:2018 for organizational privacy risk management ........................................................................... 253
Índice 17 ISO/IEC 27559:2022 Information security, cybersecurity and privacy protection – Privacy enhancing data de-identification framework .... 254 ISO/IEC TS 27560:2023 Privacy technologies – Consent record information structure 254 ISO/IEC TR 27563:2023 Security and privacy in artificial intelligence use cases – Best practices ....................................................................... 255 ISO/IEC TS 27570:2021 Privacy protection – Privacy guidelines for smart cities ............................................................................................. 255 ISO/IEC 27701:2019 Security techniques – Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management –Requirements and guidelines ............................................................... 256 ISO 27799:2016 Health informatics – Information security management in health using ISO/IEC 27002 256 OTROS ESTÁNDARES ISO SOBRE SEGURIDAD DE LA INFORMACIÓN, CIBERSEGURIDAD Y PROTECCIÓN DE LA PRIVACIDAD ................ 257 NORMAS ISO EN DESARROLLO 271 NIST (NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY) ......... 279 CSWP (cybersecurity white papers) ................................................................... 281 NIST CSWP Framework for Improving Critical Infrastructure Cybersecurity, Version 1.1. ....................................................................... 281 NIST CSWP 29 (Initial Public Draft) The NIST Cybersecurity Framework 2.0 282 Otros CSWP ............................................................................................ 282 SP 800 (guidance) .......................................................................................... 287 NIST SP 800-12 Rev. 1 An Introduction to Information Security. 287 NIST SP 800-18 Rev. 1 Guide for Developing Security Plans for Federal Information Systems. ................................................................ 287 NIST SP 800-30 Rev. 1 Guide for Conducting Risk Assessments. 287 NIST SP 800-34 Rev. 1 Contingency Planning Guide for Federal Information Systems .......................................................................... 288 NIST SP 800-35 Guide to Information Technology Security Services 288 NIST SP 800-37 Rev. 2 Risk Management Framework for Information Systems and Organizations: A System Life Cycle Approach for Security and Privacy 288 NIST SP 800-39 Managing Information Security Risk: Organization, Mission, and Information System View ......................................... 289 NIST SP 800-40 Rev. 4 Guide to Enterprise Patch Management Planning: Preventive Maintenance for Technology ............................. 289 NIST SP 800-45 Version 2 Guidelines on Electronic Mail Security ..... 289 NIST SP 800-46 Rev. 2 Guide to Enterprise Telework, Remote Access, and Bring Your Own Device (BYOD) Security ............................. 290 NIST SP 800-47 Rev. 1 Managing the Security of Information Exchanges 290 NIST SP 800-61 Rev. 2 Computer Security Incident Handling Guide. 290
CIBERSEGURIDAD PRÁCTICA
Índice 18 NIST SP 800-82 Rev. 3 Guide to Operational Technology (OT) Security .................................................................................................... 291 NIST SP 800-100 Information Security Handbook: A Guide for Managers .................................................................................................. 291 NIST SP 800-114 Rev. 1 User’s Guide to Telework and Bring Your Own Device (BYOD) Security 291 NIST SP 800-115 Technical Guide to Information Security Testing and Assessment ............................................................................... 292 NIST SP 800-150 Guide to Cyber Threat Information Sharing 292 NIST SP 800-160 Vol. 2 Rev. 1 Developing Cyber-Resilient Systems: A Systems Security Engineering Approach ...................................... 292 NIST SP 800-161 Rev. 1 Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations ............................. 293 NIST SP 800-184 Guide for Cybersecurity Event Recovery 293 NIST SP 800-209 Security Guidelines for Storage Infrastructure ........ 293 Otras orientaciones NIST SP .................................................................. 293 IR (interagency/internal reports) 306 NIST IR 8089 An Industrial Control System Cybersecurity Performance Testbed. ............................................................................... 306 NIST IR 8183 Rev. 1 Cybersecurity Framework Version 1.1 Manufacturing Profile. ................................................................................ 306 NIST IR 8188 Key Performance Indicators for Process Control System Cybersecurity Performance Analysis. ..................................... 307 NIST IR 8228 Considerations for Managing Internet of Things (IoT) Cybersecurity and Privacy Risks. 307 NIST IR 8259 Foundational Cybersecurity Activities for IoT Device Manufacturers. 307 NIST IR 8270 Introduction to Cybersecurity for Commercial Satellite Operations. ..................................................................................... 308 NIST IR 8276 Key Practices in Cyber Supply Chain Risk Management: Observations from Industry. .......................................................... 308 NIST IR 8286 Integrating Cybersecurity and Enterprise Risk Management (ERM). ................................................................................... 308 NIST IR 8374 Ransomware Risk Management: A Cybersecurity Framework Profile. 309 NIST IR 8432 Cybersecurity of Genomic Data. ..................................... 309 Otros IR ................................................................................................... 309 SP 1800 (practice guides) 312 FIPS (standards) ............................................................................................ 317
CUMPLIMIENTO 322 Regulaciones ................................................................................................ 322
Índice 19 Contratos y acuerdos 327 Contratos para la ciberseguridad ........................................................... 328 Otros documentos importantes ............................................................. 334 Incidentes Cibernéticos ............................................................................... 335 Notificación de incidentes de seguridad en materia de protección de datos. 337 Notificación de incidentes de seguridad en materia de instituciones de crédito. ....................................................................................... 340 GOBIERNO Y GOBERNANZA ........................................................................ 344 Arquitectura Estructural .............................................................................. 345 Documental 347 Roles y Responsabilidades ........................................................................... 350 Programa de ciberseguridad ....................................................................... 354 RIESGOS ........................................................................................................... 359 CONTROLES .................................................................................................... 365 CONSIDERACIONES FINALES ...................................................................... 371