TL;DR

¿Operas Infraestructura de Información Crítica (CII) en Singapur? El Código de Prácticas de Ciberseguridad (CCoP) no es una sugerencia, es ley según la Ley de Ciberseguridad.

Establece controles de seguridad mínimos en gobernanza, detección, respuesta, seguridad OT y más.

Incumpla un requisito y se enfrentará a sanciones. Este es el manual de Singapur para asegurar los servicios esenciales: no se permiten atajos.

Resumen del cuadro de mando del Código de Prácticas de Ciberseguridad (CCoP) de Singapur:

• Esfuerzo del desarrollador: Moderado (Requiere implementar controles específicos relacionados con SDLC seguro, control de acceso, seguridad de datos, gestión de vulnerabilidades, y soporte para auditorías de sistemas CII).
• Coste de herramientas: Moderado a alto (Requiere herramientas para la gestión de vulnerabilidades, logging/SIEM, control de acceso (PAM), cifrado, y potencialmente herramientas específicas de seguridad OT).
• Impacto en el Mercado: Crítico (Obligatorio para los propietarios designados de CII en Singapur; el incumplimiento afecta la capacidad de operar infraestructura crítica).
• Flexibilidad: Moderada (Especifica requisitos mínimos, pero se basa en estándares establecidos, lo que permite cierta flexibilidad en la implementación según el riesgo).
• Intensidad de la auditoría: Alta (Requiere auditorías de ciberseguridad regulares por auditores aprobados para verificar el cumplimiento con el CCoP y la Ley de Ciberseguridad).

¿Qué es el Código de Prácticas de Ciberseguridad de Singapur (CCoP)?

El Código de Prácticas de Ciberseguridad de Singapur (CCoP) para Infraestructuras de Información Críticas (CII) es un conjunto de estándares mínimos legalmente vinculantes emitidos por el Comisionado de Ciberseguridad bajo la Ley de Ciberseguridad de Singapur de 2018. Publicado por primera vez en 2018 y actualizado a CCoP 2.0 en 2022 (efectivo en julio de 2023 tras un período de gracia), describe las medidas de ciberseguridad que los propietarios designados de CII deben implementar para proteger sus sistemas.

Infraestructura de Información Crítica (CII) se refiere a los sistemas informáticos esenciales para la prestación continua de servicios esenciales en Singapur (p. ej., energía, agua, banca, atención médica, transporte, infocomunicaciones, gobierno, medios de comunicación). Los propietarios de sistemas CII designados están legalmente obligados a cumplir con el CCoP.

CCoP 2.0 está estructurado en torno a dominios clave que reflejan un programa integral de ciberseguridad:

• Gobernanza: Establecimiento de liderazgo en ciberseguridad, roles, responsabilidades y marco de gestión de riesgos.
• Identificación: Gestión de activos, evaluación de riesgos, comprensión de la postura de ciberseguridad.
• Protección: Implementación de salvaguardas como control de acceso, seguridad de datos (incluyendo cifrado y gestión de claves), seguridad de red, gestión de vulnerabilidades, configuraciones seguras, seguridad física y gestión de riesgos de la cadena de suministro. Incluye requisitos específicos para la Gestión de Acceso Privilegiado (PAM).
• Detección: Implementar capacidades de monitorización para detectar amenazas e incidentes de ciberseguridad (ej., SIEM, IDS/IPS).
• Respuesta y Recuperación: Desarrollo de planes de respuesta a incidentes y planes de continuidad del negocio/recuperación ante desastres.
• Ciberresiliencia: Medidas para asegurar que los sistemas puedan resistir y recuperarse de los ataques.
• Formación y concienciación en ciberseguridad: Educar al personal.
• Seguridad de la Tecnología Operacional (OT): Consideraciones específicas para sistemas de control industrial y entornos OT, introducidas de forma significativa en CCoP 2.0.

El CCoP se basa en gran medida en estándares internacionales y mejores prácticas (como NIST CSF, ISO 27001) pero los adapta a requisitos específicos y obligatorios para el contexto de la CII de Singapur.

¿Por qué es importante?

El CCoP es crucial por varias razones en Singapur:

• Requisito legal: Se emite bajo la Ley de Ciberseguridad de 2018, lo que hace que el cumplimiento sea obligatorio para todos los propietarios designados de CII.
• Protege Servicios Esenciales: Su objetivo es salvaguardar los servicios críticos (energía, agua, banca, etc.) de los que depende Singapur de ciberataques potencialmente debilitantes.
• Seguridad Nacional: Mejorar la seguridad de la CII es una cuestión de seguridad nacional.
• Eleva el nivel base de ciberseguridad: Establece un estándar mínimo de ciberseguridad consistente y elevado en todos los sectores críticos.
• Aborda las amenazas en evolución: CCoP 2.0 incorpora específicamente las lecciones aprendidas y aborda las amenazas más recientes, incluyendo tácticas, técnicas y procedimientos (TTPs) sofisticados, riesgos de la cadena de suministro y preocupaciones de seguridad OT.
• Refuerza la rendición de cuentas: Asigna responsabilidades claras a los propietarios de CII para implementar y mantener medidas de ciberseguridad, sujetas a supervisión regulatoria y auditorías.

Para las organizaciones que operan CII en Singapur, el cumplimiento de CCoP es fundamental para su licencia de operación y su contribución a la resiliencia nacional.

Qué y cómo implementar (Técnico y de Políticas)

La implementación del CCoP implica establecer una gobernanza sólida de ciberseguridad y desplegar controles técnicos y de procedimiento específicos en los dominios definidos:

1. Gobierno y Gestión de Riesgos:
   
   • Establecer roles, responsabilidades y el compromiso de la dirección en materia de ciberseguridad.
   • Implemente un marco de gestión de riesgos para identificar, evaluar y tratar los riesgos de ciberseguridad específicos de la CII.
2. Medidas de protección:
   
   • Control de acceso: Implementar autenticación fuerte (MFA), principios de mínimo privilegio, gestión de sesiones y soluciones robustas de Gestión de Acceso Privilegiado (PAM) para controlar el acceso a sistemas y datos CII.
   • Seguridad de los datos: Proteja los datos sensibles utilizando cifrado (en reposo y en tránsito) y una gestión segura de claves criptográficas. Implemente medidas de prevención de pérdida de datos.
   • Seguridad de Red: Segmentar redes, implementar firewalls, IDS/IPS y configuraciones de red seguras.
   • Gestión de vulnerabilidades: Implementar procesos y herramientas (escáneres) para identificar y remediar vulnerabilidades en sistemas y aplicaciones dentro de plazos definidos. Las prácticas de desarrollo de software seguro son esenciales.
   • Configuración Segura: Reforzar sistemas, deshabilitar servicios/puertos innecesarios y gestionar configuraciones de forma segura.
   • Riesgo de la cadena de suministro: Evalúa y gestiona los riesgos de ciberseguridad asociados con proveedores y prestadores de servicios externos.
3. Detección:
   
   • Implementar sistemas de Gestión de Información y Eventos de Seguridad (SIEM) y otras herramientas de monitorización para detectar anomalías e incidentes de seguridad potenciales en tiempo real. Asegurar un registro adecuado.
4. Respuesta y recuperación:
   
   • Desarrollar, mantener y probar regularmente Planes de Respuesta a Incidentes (IRP) y planes de Continuidad de Negocio/Recuperación ante Desastres (BC/DR). Asegurar que se realicen y prueben copias de seguridad seguras.
5. Seguridad OT (si aplica):
   
   • Implementar medidas de seguridad específicas adaptadas a entornos de Tecnología Operacional, abordando riesgos únicos de los sistemas de control industrial.
6. Formación y concienciación:
   
   • Realizar formación regular en ciberseguridad para todo el personal relevante.
7. Auditorías:
   
   • Contratar auditores aprobados por la CSA para realizar auditorías de ciberseguridad periódicas (al menos cada dos años) para verificar el cumplimiento del CCoP y la Ley.

La implementación requiere un enfoque holístico que combine tecnología (PAM, SIEM, cifrado, escáneres de vulnerabilidades), procesos bien definidos, políticas claras, formación continua y auditorías regulares. Soluciones como Thales CipherTrust (para seguridad de datos/gestión de claves) y BeyondTrust (para PAM) se utilizan a menudo para cumplir requisitos específicos de CCoP.

Errores comunes a evitar

Al implementar el CCoP, las organizaciones podrían encontrarse con estos problemas:

1. Enfoque Insuficiente en Gobernanza/Riesgos: Tratar el CCoP como puramente técnico sin establecer una gobernanza sólida, procesos de gestión de riesgos y supervisión de la dirección.
2. Identificación inadecuada de activos: No identificar con precisión todos los componentes y flujos de datos relacionados con la CII designada, lo que lleva a una protección incompleta.
3. Controles de Acceso Débiles: Particularmente en torno al acceso privilegiado, no implementar soluciones PAM robustas o no aplicar estrictamente el principio de mínimo privilegio.
4. Ignorar la Seguridad OT: Para organizaciones con entornos OT, no abordar los requisitos y riesgos específicos descritos en CCoP 2.0 para estos sistemas.
5. Mala gestión de vulnerabilidades: No disponer de procesos o herramientas eficaces para identificar y remediar vulnerabilidades dentro de los plazos requeridos.
6. Falta de monitorización/detección integrada: Implementar controles de seguridad pero carecer del registro y la monitorización centralizados (SIEM) necesarios para detectar incidentes de forma eficaz.
7. Planes de respuesta/recuperación no probados: Tener planes IRP y BC/DR en papel, pero no probarlos regularmente, lo que los hace ineficaces en una crisis real.
8. Documentación Insuficiente: No documentar adecuadamente las políticas, procedimientos, evaluaciones de riesgos, implementaciones de controles y evidencia de auditoría según lo requerido para la verificación del cumplimiento.

Qué podrían preguntar los auditores (Enfoque en el desarrollador)

Los auditores que evalúen el cumplimiento del CCoP para los sistemas CII examinarán los controles relevantes para el desarrollo de software y la seguridad de las aplicaciones:

• (Protección - Gestión de vulnerabilidades) "¿Qué procesos existen para identificar y remediar vulnerabilidades en aplicaciones a medida y componentes de software de terceros utilizados dentro de la CII?" (Mostrar resultados de SAST/SCA/DAST, registros de parches)
• (Protección - Control de Acceso) "¿Cómo se controla el acceso para los desarrolladores que trabajan en sistemas o aplicaciones CII? ¿Cómo se registran y monitorizan las actividades de desarrollo privilegiadas?"
• (Protección - Seguridad de Datos) "¿Cómo se manejan y protegen los datos sensibles (por ejemplo, cifrados) dentro de las aplicaciones que soportan la CII?"
• (Protección - Configuración Segura) "¿Cómo se asegura de que se apliquen configuraciones seguras a las aplicaciones y a la infraestructura de soporte?"
• (Detección) "¿Cómo contribuye el registro de la aplicación a las capacidades generales de monitorización y detección para la CII?"
• (Response/Recovery) "¿Cómo se consideran las dependencias de la aplicación en los planes de Continuidad del Negocio y Recuperación ante Desastres para la CII?"

Los auditores esperan pruebas de prácticas de desarrollo seguras, una gestión de vulnerabilidades robusta, configuración segura, controles de acceso apropiados y un registro eficaz integrado en el entorno CII.

Victorias rápidas para equipos de desarrollo

Los equipos de desarrollo que apoyan a CII pueden contribuir al cumplimiento de CCoP:

1. Integrar SAST/SCA: Integrar el análisis automatizado de código y el análisis de dependencias en las pipelines de CI/CD para aplicaciones relacionadas con CII.
2. Priorizar la remediación de vulnerabilidades: Centrarse en la corrección de vulnerabilidades críticas/altas identificadas dentro de plazos consistentes con las expectativas de CCoP.
3. Mejorar el registro de aplicaciones: Asegurar que las aplicaciones generen registros significativos para eventos de seguridad e integrarlos con sistemas SIEM centrales.
4. Desarrollo seguro de API: Implemente autenticación, autorización y validación de entrada robustas para las API que interactúan con sistemas CII.
5. Siga Estándares de Codificación Segura: Adhiérase a las directrices de codificación segura reconocidas (p. ej., OWASP) para minimizar las vulnerabilidades comunes.
6. Minimizar el manejo de datos: Diseñar aplicaciones para manejar la cantidad mínima necesaria de datos sensibles requerida para su función.

Ignora esto y... (Consecuencias del incumplimiento)

El incumplimiento por parte de un propietario de CII del CCoP u otros requisitos de la Ley de Ciberseguridad de Singapur de 2018 puede acarrear consecuencias significativas impuestas por la CSA:

• Sanciones económicas: La Ley permite multas por incumplimiento, aunque los importes específicos vinculados directamente al CCoP podrían depender de la naturaleza de la infracción y de las directrices emitidas. Las enmiendas de 2024 podrían aumentar los marcos de sanciones.
• Instrucciones del Comisario: El Comisario de Ciberseguridad puede emitir instrucciones requiriendo al propietario de la CII que tome medidas específicas para asegurar la CII o remediar el incumplimiento. El incumplimiento de las instrucciones es una infracción.
• Intervención Directa de la CSA: En casos graves donde un incidente representa una amenaza significativa, la CSA tiene poderes para tomar medidas directas para gestionar la amenaza de ciberseguridad relacionada con la CII.
• Impacto operativo: Las actividades de remediación requeridas o las intervenciones de la CSA pueden causar interrupciones operativas.
• Daño reputacional: El incumplimiento o los incidentes resultantes que afecten a servicios esenciales pueden dañar gravemente la confianza pública y la reputación de la organización.
• Responsabilidad legal: Dependiendo del impacto de un incidente resultante del incumplimiento, podrían surgir posibles responsabilidades civiles.

El cumplimiento es esencial para mantener la licencia de operación de servicios críticos en Singapur.

Preguntas frecuentes

¿Quién necesita cumplir con el CCoP?

Propietarios de sistemas informáticos designados como Infraestructura de Información Crítica (IIC) por el Comisionado de Ciberseguridad en virtud de la Ley de Ciberseguridad de Singapur de 2018. Estos son sistemas necesarios para la prestación continua de servicios esenciales en sectores como la energía, el agua, la banca, la salud, el transporte, etc.

¿Cuál es la versión actual del CCoP?

CCoP 2.0, publicado en julio de 2022, es la versión actual y sustituye a las versiones anteriores. Incluye requisitos actualizados, particularmente en torno a la seguridad OT y el riesgo de la cadena de suministro.

¿Es obligatorio el cumplimiento de CCoP?

Sí, para los propietarios designados de CII en Singapur, el cumplimiento del CCoP es un requisito legal según la Ley de Ciberseguridad de 2018.

¿Con qué frecuencia se requieren auditorías de CCoP?

Los propietarios de CII deben realizar auditorías de ciberseguridad de su cumplimiento con la Ley y el CCoP al menos una vez cada dos años, realizadas por un auditor aprobado por la CSA, a menos que el Comisionado indique lo contrario.

¿Cómo se relaciona CCoP con estándares internacionales como ISO 27001 o NIST CSF?

El CCoP se basa significativamente en estándares internacionales y mejores prácticas establecidas, incluyendo conceptos de ISO 27001, NIST CSF y otros. Adapta estos principios en requisitos específicos y obligatorios adaptados al contexto de la CII de Singapur. Obtener la ISO 27001 puede ayudar a cumplir muchos requisitos del CCoP, pero el cumplimiento del CCoP debe evaluarse específicamente.

¿Cuál es la diferencia entre CCoP y el PDPA de Singapur?

El CCoP se centra en la ciberseguridad de los sistemas de Infraestructura de Información Crítica designados. La Ley de Protección de Datos Personales (PDPA) rige la recopilación, el uso y la divulgación de datos personales por parte de las organizaciones de manera más amplia en Singapur. Si bien las medidas de ciberseguridad requeridas por el CCoP ayudan a proteger los datos personales que puedan residir en la CII, la PDPA tiene sus propias obligaciones específicas de protección de datos.

¿Dónde puedo encontrar el documento oficial de CCoP?

El oficial Código de Prácticas de Ciberseguridad para Infraestructuras de Información Críticas (CCoP 2.0) se puede encontrar en el sitio web de la Agencia de Ciberseguridad de Singapur (CSA).