Las autoridades que establecen las normas de cumplimiento a menudo las actualizan para que sigan siendo pertinentes. Sin embargo, para las organizaciones que entran en el ámbito de estas normas, puede ser un reto mantenerse al día con las actualizaciones y asegurarse de que siguen cumpliendo las normas.
El Equipo de Respuesta Informática de la India (CERT-In), una división del Ministerio de Electrónica y Tecnología de la Información del Gobierno de la India, ha publicado ciertas directrices en virtud de la subsección 6 de la sección 70B de la Ley de Tecnología de la Información del 2000, relativas a las prácticas y procedimientos de seguridad de la información para la prevención, respuesta y reporte de incidentes cibernéticos.
Las partes interesadas del sector se mostraron desconcertadas por los requisitos y exigieron una enmienda; sin embargo, la agencia aclaró que los requisitos sólo eran aplicables a los proveedores de VPN que ofrecen servicios similares al proxy de internet para los suscriptores y no a los proveedores de servicios de VPN corporativos.
Conozca los requisitos para saber si su organización entra en el ámbito de esta ley. Profundicemos ahora en los requisitos y entendamos lo que se necesita para cumplir con la ley.
Extractos clave de las directrices del CERT-In
Estos son algunos de los principales extractos de las directrices del CERT-In. Puede consultar la lista completa aquí.
-
Todo proveedor de servicios, intermediario, centro de datos, organismo corporativo y organización gubernamental deberá informar obligatoriamente al CERT-In de los incidentes cibernéticos que entren en el ámbito del Anexo I en un plazo de seis horas desde que identifique dichos incidentes o se le informe de los mismos. Esto puede hacerse por correo electrónico, teléfono o fax.
-
Se debe designar un punto de contacto para proporcionar asistencia, tomar medidas o proporcionar la información necesaria sobre el incidente al CERT-In para facilitar una respuesta al incidente que incluya tanto acciones de protección como de prevención.
-
Los logs deben conservarse durante un periodo de 180 días y deben proporcionarse junto con el informe del incidente o cuando lo indique el CERT-In.
-
La información válida de los suscriptores y clientes, incluidos los nombres, el ID de correo electrónico y las direcciones, debe conservarse durante un período de cinco años después de cualquier cancelación o revocación del registro.
-
Toda la información recopilada para conocer el cliente debe conservarse durante un periodo de cinco años.
Desafíos para cumplir con las nuevas normas
Una de las principales razones citadas por las organizaciones para oponerse a las nuevas normas es que conservar los datos de los usuarios durante cinco años puede aumentar en gran medida los costos operativos. Además, las pequeñas y medianas empresas suelen tener dificultades para almacenar y verificar los datos de los usuarios.
Adicionalmente, los proveedores de servicios querían que se aclarara quién estaba obligado a cumplir estas nuevas normas. Es posible que algunos proveedores de servicios no puedan revelar información sensible ni siquiera bajo solicitud, ya sea porque no tienen la capacidad para recuperarla, porque revelar información sensible va en contra de la ética de la empresa o porque ofrecen servicios de enmascaramiento a los clientes y simplemente no disponen de estos datos.
Almacenar grandes cantidades de datos durante un periodo de cinco años obligaría a las organizaciones a invertir en más almacenamiento y a ampliar sus infraestructuras. Aunque las autoridades han aclarado que las nuevas normas se han establecido por motivos de seguridad y no de vigilancia, las organizaciones siguen siendo escépticas sobre las repercusiones de las nuevas normas en los próximos años.
Además, para aquellas organizaciones que tienen acuerdos de privacidad con sus clientes, cerrar sus negocios en la India sería la única opción si no se hacen las modificaciones adecuadas a las nuevas normas.
Mejores prácticas para cumplir con los nuevos requisitos del CERT-In
Aunque es difícil cumplir con las nuevas normas, no es imposible. A continuación están algunas de las mejores prácticas que pueden ayudarle a cumplir con las normas.
-
Disponer de un procedimiento de monitoreo de incidentes: Para notificar un incidente en las seis horas siguientes a su ocurrencia, es esencial contar con un proceso de monitoreo de incidentes. Sin embargo, se recomienda automatizar el proceso, ya que hacerlo manualmente puede llevar mucho tiempo.
-
Realizar auditorías de red con regularidad: Es esencial realizar auditorías internas con regularidad para comprobar la salud de la red mediante la recopilación y el análisis de los datos. Esto ayudará a identificar y categorizar la información sensible, para poder establecer una seguridad adicional.
-
Aplicar técnicas de control de acceso: Revisar y revocar el acceso privilegiado puede ayudar a reducir los incidentes de seguridad. Además, ayudará a identificar a los usuarios con privilegios de administrador y a monitorearlos continuamente para evitar que las cuentas se vean comprometidas.
-
Implementar políticas para proteger los logs archivados: Uno de los objetivos principales de la nueva norma es conservar los logs para su futuro análisis. Archivar los logs puede ayudar a cumplirla. Sin embargo, es importante proteger los archivos de log archivados y garantizar que no sean manipulados.
-
Implementar una solución de SIEM: Implementar una solución de SIEM puede ayudarle a mantenerse seguro. La solución también debe tener funciones de prevención de pérdida de datos y de nube estrechamente integradas para ayudar a las organizaciones a entender sus redes completamente.
Aunque las normas del CERT-In parecen difíciles de cumplir, si se toman las medidas adecuadas, las organizaciones pueden seguir cumpliendo con las últimas normativas y proteger sus redes.