TL;DR

¿Infraestructuras críticas de información (ICI) en Singapur? El Código de Prácticas de Ciberseguridad (CCoP) no es una sugerencia, sino una ley en virtud de la Ley de Ciberseguridad.

Establece controles de seguridad mínimos en materia de gobernanza, detección, respuesta, seguridad OT, etc.

Si se incumple un requisito, hay que pagar multas. Este es el manual de Singapur para bloquear servicios esenciales: no se permiten atajos.

Resumen de la puntuación del Código de Prácticas de Ciberseguridad (CCoP) de Singapur:

• Esfuerzo del desarrollador: Moderado (Requiere implementar controles específicos relacionados con SDLC seguro, control de acceso, seguridad de datos, gestión de vulnerabilidades, apoyo a auditorías para sistemas de ICI).
• Coste de las herramientas: Moderado a alto (requiere herramientas para la gestión de vulnerabilidades, registro/SIEM, control de acceso (PAM), cifrado, potencialmente herramientas específicas de seguridad OT).
• Impacto en el mercado: Crítico (obligatorio para los propietarios de ICI designados en Singapur; el fallo afecta a la capacidad de explotación de infraestructuras críticas).
• Flexibilidad: Moderada (Especifica requisitos mínimos pero basados en normas establecidas, permitiendo cierta flexibilidad en la aplicación en función del riesgo).
• Intensidad de auditoría: Alta (Requiere auditorías periódicas de ciberseguridad por parte de auditores autorizados para verificar el cumplimiento de la CCoP y la Ley de Ciberseguridad).

¿Qué es el Código de buenas prácticas de ciberseguridad de Singapur (CCoP)?

El Código de Prácticas de Ciberseguridad de Singapur (CCoP) para Infraestructuras Críticas de Información (ICI) es un conjunto de normas mínimas jurídicamente vinculantes emitidas por el Comisionado de Ciberseguridad en virtud de la Ley de Ciberseguridad de Singapur de 2018. Publicado por primera vez en 2018 y actualizado a CCoP 2.0 en 2022 (efectivo en julio de 2023 después de un período de gracia), describe las medidas de ciberseguridad que los propietarios designados de ICI deben implementar para proteger sus sistemas.

Las Infraestructuras Críticas de Información (ICI ) son sistemas informáticos esenciales para la prestación continua de servicios esenciales en Singapur (por ejemplo, energía, agua, banca, sanidad, transporte, infocomm, gobierno, medios de comunicación). Los propietarios de los sistemas designados como ICI están legalmente obligados a cumplir la CCoP.

CCoP 2. 0 se estructura en torno a dominios clave que reflejan un programa integral de ciberseguridad:

• Gobernanza: Establecer el liderazgo, las funciones, las responsabilidades y el marco de gestión de riesgos en materia de ciberseguridad.
• Identificación: Gestión de activos, evaluación de riesgos, comprensión de la postura de ciberseguridad.
• Protección: Implantación de salvaguardias como el control de acceso, la seguridad de los datos (incluidos el cifrado y la gestión de claves), la seguridad de la red, la gestión de vulnerabilidades, las configuraciones seguras, la seguridad física y la gestión de riesgos de la cadena de suministro. Incluye requisitos específicos para la gestión de acceso privilegiado (PAM).
• Detección: Implementar capacidades de monitorización para detectar amenazas e incidentes de ciberseguridad (por ejemplo, SIEM, IDS/IPS).
• Respuesta y recuperación: Desarrollo de planes de respuesta a incidentes y planes de continuidad de negocio/recuperación de desastres.
• Ciberresiliencia: Medidas para garantizar que los sistemas puedan resistir ataques y recuperarse de ellos.
• Formación y concienciación en ciberseguridad: Educar al personal.
• Seguridad de la tecnología operativa (OT): Consideraciones específicas para sistemas de control industrial y entornos OT, introducidas de forma significativa en CCoP 2.0.

La CCoP se basa en gran medida en las normas y mejores prácticas internacionales (como NIST CSF, ISO 27001), pero las adapta en requisitos específicos y obligatorios para el contexto de las ICI de Singapur.

¿Por qué es importante?

La CCoP es crucial por varias razones en Singapur:

• Requisito legal: Se emite en virtud de la Ley de Ciberseguridad de 2018, lo que hace que su cumplimiento sea obligatorio para todos los propietarios de ICI designados.
• Protege los servicios esenciales: Su objetivo es salvaguardar los servicios esenciales (energía, agua, banca, etc.) de los que depende Singapur frente a ciberataques potencialmente debilitadores.
• Seguridad nacional: Mejorar la seguridad de las ICI es una cuestión de seguridad nacional.
• Eleva el nivel básico de ciberseguridad: Establece un nivel mínimo coherente y elevado de ciberseguridad en todos los sectores críticos.
• Aborda las amenazas en evolución: La CCoP 2.0 incorpora específicamente las lecciones aprendidas y aborda las amenazas más recientes, incluidas las tácticas, técnicas y procedimientos (TTP) sofisticados, los riesgos de la cadena de suministro y los problemas de seguridad OT.
• Obliga a rendir cuentas: Impone responsabilidades claras a los propietarios de ICI para que apliquen y mantengan medidas de ciberseguridad, sujetas a supervisión y auditorías reglamentarias.

Para las organizaciones que operan con ICI en Singapur, el cumplimiento de la CCoP es fundamental para su licencia de funcionamiento y su contribución a la resiliencia nacional.

Qué y cómo aplicar (técnica y política)

La aplicación de la PCC implica establecer una sólida gobernanza de la ciberseguridad y desplegar controles técnicos y de procedimiento específicos en los ámbitos definidos:

1. Gobernanza y gestión de riesgos:
   
   • Establezca funciones, responsabilidades y un compromiso de gestión claros en materia de ciberseguridad.
   • Implantar un marco de gestión de riesgos para identificar, evaluar y tratar los riesgos de ciberseguridad específicos de las ICI.
2. Medidas de protección:
   
   • Control de acceso: Implantar autenticación fuerte (MFA), principios de mínimo privilegio, gestión de sesiones y soluciones robustas de Gestión de Acceso Privilegiado (PAM) para controlar el acceso a los sistemas y datos de las ICI.
   • Seguridad de los datos: Proteger los datos sensibles mediante cifrado (en reposo y en tránsito) y gestión segura de claves criptográficas. Aplique medidas de prevención de pérdida de datos.
   • Seguridad de redes: Segmentar redes, implementar cortafuegos, IDS/IPS y configuraciones de red seguras.
   • Gestión de vulnerabilidades: Implantar procesos y herramientas (escáneres) para identificar y corregir vulnerabilidades en sistemas y aplicaciones dentro de plazos definidos. Las prácticas de desarrollo de software seguro son esenciales.
   • Configuración segura: Endurezca los sistemas, desactive servicios/puertos innecesarios y gestione las configuraciones de forma segura.
   • Riesgos de la cadena de suministro: Evaluar y gestionar los riesgos de ciberseguridad asociados a proveedores externos y proveedores de servicios.
3. Detección:
   
   • Implantar sistemas de gestión de eventos e información de seguridad (SIEM) y otras herramientas de supervisión para detectar anomalías y posibles incidentes de seguridad en tiempo real. Garantice un registro adecuado.
4. Respuesta y recuperación:
   
   • Desarrollar, mantener y probar periódicamente planes de respuesta a incidentes (IRP) y planes de continuidad de negocio/recuperación de desastres (BC/DR). Garantizar la realización y comprobación de copias de seguridad seguras.
5. Seguridad OT (si procede):
   
   • Aplicar medidas de seguridad específicas adaptadas a los entornos de tecnología operativa, abordando los riesgos exclusivos de los sistemas de control industrial.
6. Formación y sensibilización:
   
   • Impartir formación periódica sobre ciberseguridad a todo el personal pertinente.
7. Auditorías:
   
   • Contratar a auditores autorizados por la CSA para que realicen auditorías periódicas de ciberseguridad (al menos cada dos años) con el fin de verificar el cumplimiento de la CCoP y la Ley.

La implantación requiere un enfoque holístico que combine tecnología (PAM, SIEM, cifrado, escáneres de vulnerabilidades), procesos bien definidos, políticas claras, formación continua y auditorías periódicas. Soluciones como Thales CipherTrust (para seguridad de datos/gestión de claves) y BeyondTrust (para PAM) se utilizan a menudo para cumplir requisitos específicos de CCoP.

Errores comunes que hay que evitar

Al aplicar la CCoP, las organizaciones pueden encontrarse con estos problemas:

1. Insuficiente gobernanza/enfoque de riesgos: Tratar la CCoP como algo puramente técnico sin establecer una gobernanza sólida, procesos de gestión de riesgos y supervisión de la gestión.
2. Identificación inadecuada de los activos: No identificar con precisión todos los componentes y flujos de datos relacionados con la ICI designada, lo que conduce a una protección incompleta.
3. Controles de acceso deficientes: Sobre todo en lo que respecta a los accesos privilegiados, al no implantar soluciones PAM sólidas ni aplicar estrictamente los privilegios mínimos.
4. Ignorar la seguridad OT: Para las organizaciones con entornos OT, no abordar los requisitos y riesgos específicos descritos en CCoP 2.0 para estos sistemas.
5. Gestión deficiente de las vulnerabilidades: No disponer de procesos o herramientas eficaces para identificar y corregir las vulnerabilidades en los plazos requeridos.
6. Falta de supervisión/detección integradas: Implantación de controles de seguridad pero carencia del registro y supervisión centralizados (SIEM) necesarios para detectar incidentes con eficacia.
7. Planes de respuesta/recuperación no probados: Disponer sobre el papel de planes IRP y BC/DR, pero no ponerlos a prueba con regularidad, lo que los hace ineficaces en una crisis real.
8. Documentación insuficiente: No documentar adecuadamente las políticas, los procedimientos, las evaluaciones de riesgos, las implantaciones de controles y las pruebas de auditoría necesarias para la verificación del cumplimiento.

Lo que podrían preguntar los auditores (Enfoque en el desarrollador)

Los auditores que evalúen el cumplimiento de las PCC para los sistemas de ICI examinarán los controles pertinentes para el desarrollo de software y la seguridad de las aplicaciones:

• (Protección - Gestión de vulnerabilidades) "¿Qué procesos existen para identificar y corregir vulnerabilidades en aplicaciones a medida y componentes de software de terceros utilizados en las ICI?" (Mostrar resultados de SAST/SCA/DAST, registros de aplicación de parches)
• (Protección - Control de acceso) "¿Cómo se controla el acceso de los desarrolladores que trabajan en sistemas o aplicaciones de ICI? ¿Cómo se registran y supervisan las actividades de desarrollo privilegiadas?"
• (Protección - Seguridad de datos) "¿Cómo se manejan y protegen los datos sensibles (por ejemplo, encriptados) dentro de las aplicaciones que soportan la ICI?"
• (Protección - Configuración segura) "¿Cómo garantiza que se aplican configuraciones seguras a las aplicaciones y a la infraestructura de apoyo?"
• (Detección) "¿Cómo contribuye el registro de aplicaciones a las capacidades generales de supervisión y detección de las ICI?"
• (Respuesta/Recuperación) "¿Cómo se tienen en cuenta las dependencias de las aplicaciones en los planes de Continuidad de Negocio y Recuperación de Desastres para la ICI?"

Los auditores esperan pruebas de prácticas de desarrollo seguras, una sólida gestión de vulnerabilidades, una configuración segura, controles de acceso adecuados y un registro eficaz integrado en el entorno de las ICI.

Ganancias rápidas para los equipos de desarrollo

Los equipos de desarrollo que apoyan las ICI pueden contribuir al cumplimiento de la CCoP:

1. Integrar SAST/SCA: Incorporar el análisis automatizado de código y dependencias en los procesos CI/CD para aplicaciones relacionadas con las ICI.
2. Priorizar la corrección de vulnerabilidades: Centrarse en solucionar las vulnerabilidades críticas/altas identificadas dentro de unos plazos coherentes con las expectativas de la CCoP.
3. Mejore el registro de aplicaciones: Asegúrese de que las aplicaciones producen registros significativos para los eventos de seguridad e intégrelos con los sistemas SIEM centrales.
4. Desarrollo seguro de API: Implemente autenticación, autorización y validación de entrada sólidas para las API que interactúan con los sistemas de ICI.
5. Siga las normas de codificación segura: Adhiérase a las directrices de codificación segura reconocidas (por ejemplo, OWASP) para minimizar las vulnerabilidades comunes.
6. Minimizar el manejo de datos: Diseñar aplicaciones que manejen el mínimo de datos sensibles necesarios para su función.

Ignore esto y... (Consecuencias del incumplimiento)

El incumplimiento por parte del propietario de una ICI de la CCoP u otros requisitos en virtud de la Ley de Ciberseguridad de Singapur de 2018 puede dar lugar a consecuencias significativas aplicadas por la CSA:

• Sanciones económicas: La Ley permite imponer multas por incumplimiento, aunque las cantidades específicas vinculadas directamente a la CCoP podrían depender de la naturaleza de la infracción y de las directivas emitidas. Las enmiendas de 2024 podrían aumentar los marcos sancionadores.
• Instrucciones del Comisario: El Comisario de Ciberseguridad puede emitir instrucciones exigiendo al propietario de la ICI que tome medidas específicas para proteger la ICI o subsanar el incumplimiento. El incumplimiento de las instrucciones constituye un delito.
• Intervención directa de la CSA: En casos graves en los que un incidente suponga una amenaza significativa, la CSA tiene poderes para tomar medidas directas para gestionar la amenaza de ciberseguridad relativa a las ICI.
• Impacto operativo: Las actividades de corrección necesarias o las intervenciones de CSA pueden causar interrupciones operativas.
• Daños a la reputación: El incumplimiento o los incidentes resultantes que afecten a servicios esenciales pueden dañar gravemente la confianza pública y la reputación de la organización.
• Responsabilidad jurídica: En función del impacto de un incidente derivado de un incumplimiento, podrían surgir posibles responsabilidades civiles.

El cumplimiento es esencial para mantener la licencia de explotación de servicios críticos en Singapur.

PREGUNTAS FRECUENTES

¿Quién debe cumplir la CCoP?

Propietarios de sistemas informáticos designados como Infraestructuras Críticas de Información (ICI ) por el Comisionado de Ciberseguridad en virtud de la Ley de Ciberseguridad de Singapur de 2018. Se trata de sistemas necesarios para la prestación continua de servicios esenciales en sectores como la energía, el agua, la banca, la sanidad, el transporte, etc.

¿Cuál es la versión actual de la CCoP?

CCoP 2.0, publicada en julio de 2022, es la versión actual y sustituye a las anteriores. Incluye requisitos actualizados, sobre todo en materia de seguridad operativa y riesgo de la cadena de suministro.

¿Es obligatorio el cumplimiento de la CCoP?

Sí, para los propietarios designados de ICI en Singapur, el cumplimiento de la CCoP es un requisito legal en virtud de la Ley de Ciberseguridad de 2018.

¿Con qué frecuencia son necesarias las auditorías CCoP?

Los propietarios de ICI deben llevar a cabo auditorías de ciberseguridad sobre su cumplimiento de la Ley y de los PCC al menos una vez cada dos años, realizadas por un auditor autorizado por la CSA, a menos que el Comisionado disponga otra cosa.

¿Qué relación guarda la CCoP con normas internacionales como ISO 27001 o NIST CSF?

La CCoP se basa en gran medida en las normas y mejores prácticas internacionales establecidas, incluidos los conceptos de ISO 27001, NIST CSF y otros. Adapta estos principios en requisitos específicos y obligatorios adaptados al contexto de las ICI de Singapur. La obtención de la ISO 27001 puede ayudar a cumplir muchos de los requisitos de la CCoP, pero su cumplimiento debe evaluarse específicamente.

¿Cuál es la diferencia entre la CCoP y la PDPA de Singapur?

La CCoP se centra en la ciberseguridad de los sistemas de infraestructuras críticas de información designados. La Ley de Protección de Datos Personales (PDPA) regula la recogida, uso y divulgación de datos personales por parte de las organizaciones en Singapur. Mientras que las medidas de ciberseguridad exigidas por la CCoP ayudan a proteger los datos personales que puedan residir en las ICI, la PDPA tiene sus propias obligaciones específicas de protección de datos.

¿Dónde puedo encontrar el documento oficial de la CCoP?

El Código oficial de Prácticas de Ciberseguridad para Infraestructuras Críticas de Información (CCoP 2.0) puede consultarse en el sitio web de la Agencia de Ciberseguridad de Singapur (CSA).