Normativas Sectoriales
HIPAA, SOX, ISO 27017/27018, NERC CIP y SWIFT CSP — Regulación especializada por industria
Fuentes Oficiales
- hhs.gov/hipaa — HIPAA (Dept. of Health and Human Services, USA)
- sec.gov — Sarbanes-Oxley Act (SOX, SEC)
- iso.org — ISO/IEC 27017:2015 (seguridad cloud providers)
- iso.org — ISO/IEC 27018:2019 (PII en cloud público)
- nerc.com — NERC CIP Standards (infraestructuras críticas energéticas)
- swift.com — SWIFT Customer Security Programme (CSP)
HIPAA — Sector Sanitario (USA)
La Health Insurance Portability and Accountability Act (1996) establece estándares para la protección de información de salud protegida (PHI — Protected Health Information) en los EE.UU. Aplica a covered entities (proveedores sanitarios, aseguradoras, cámaras de liquidación) y sus business associates.
Reglas HIPAA
- • Privacy Rule: derechos del paciente sobre su PHI
- • Security Rule: salvaguardas administrativas, físicas y técnicas para ePHI
- • Breach Notification Rule: notificación de brechas a HHS y afectados
- • Enforcement Rule: sanciones civiles y penales
Business Associate Agreement (BAA)
Contrato obligatorio con proveedores de servicios (cloud, TI, labs) que acceden a PHI. AWS, Google Cloud y Azure ofrecen BAA a clientes sanitarios bajo sus programas de cumplimiento.
SOX — Sarbanes-Oxley (Sector Financiero/Cotizadas USA)
La Sarbanes-Oxley Act (2002) aplica a empresas cotizadas en bolsas USA. La Sección 404 exige que la dirección y los auditores externos certifiquen la efectividad de los controles internos sobre la información financiera (ICFR).
Implicaciones TI (ITGC)
Los controles generales TI (IT General Controls) son clave en auditorías SOX:
ISO 27017 e ISO 27018 — Cloud
ISO/IEC 27017:2015
Controles de seguridad adicionales para proveedores y usuarios de servicios cloud, complementando ISO 27001/27002. Incluye 7 controles nuevos específicos de cloud.
Ej: responsabilidades compartidas, gestión de activos virtuales, seguridad de instancias
ISO/IEC 27018:2019
Código de prácticas para la protección de PII (información de identificación personal) en cloud público. Complementa ISO 27001 para cloud providers que tratan datos personales de clientes.
Muy relevante para cumplir RGPD en entornos cloud. AWS, Azure, GCP certificados ISO 27018.
NERC CIP — Infraestructuras Críticas Energéticas
Los estándares NERC CIP (Critical Infrastructure Protection) son obligatorios para propietarios y operadores de infraestructuras eléctricas críticas de América del Norte. Define controles de ciberseguridad para Bulk Electric System (BES) Cyber Systems.
CIP-002
Identificación BES Cyber Systems
CIP-003
Controles de seguridad para activos de bajo impacto
CIP-005
Perímetros de seguridad electrónica
CIP-006
Seguridad física de BES Cyber Systems
CIP-007
Gestión de seguridad de sistemas
CIP-011
Protección de información BES Cyber
SWIFT CSP — Sector Financiero Global
El Customer Security Programme (CSP) de SWIFT es obligatorio para todas las instituciones conectadas a la red SWIFT (mensajería financiera internacional). El CSCF (Customer Security Controls Framework) define controles obligatorios y recomendados organizados en 3 objetivos y 7 principios.
Entorno seguro
Restricción acceso internet, segregación de infraestructura crítica
Conoce y limita el acceso
Control de cuentas privilegiadas, MFA para administradores
Detecta y responde
Monitorización anormal de transacciones, respuesta a incidentes, software de integridad
¿Y las certificaciones profesionales?
Explora el mapa de certificaciones de ciberseguridad para profesionales: CISSP, CISM, OSCP, CompTIA y mucho más
Mapa de Certificaciones →