Certificación NCSC: Qué es, marco regulatorio y requisitos técnicos

La certificación del National Cyber Security Centre (NCSC) emerge como un estándar clave que busca garantizar la seguridad de los sistemas de información mediante la implementación de prácticas robustas de gestión de riesgos. Este artículo se propone desglosar la naturaleza de esta certificación, su marco regulatorio y los requisitos técnicos necesarios para su obtención.

A través de un análisis detallado, se explorarán las funciones del NCSC, las normativas que respaldan esta certificación y su relación con estándares internacionales, proporcionando así una guía comprensiva para las organizaciones que buscan fortalecer su postura de ciberseguridad.

¿Qué es la certificación NCSC?

La certificación del National Cyber Security Centre (NCSC) es un proceso formal de validación que prueba que una organización cumple con un conjunto específico de estándares de ciberseguridad. Este marco tiene como objetivo garantizar la protección de los sistemas de información y la integridad de los datos en un entorno digital que enfrenta constantemente amenazas cibernéticas.

La certificación NCSC está diseñada para ayudar a las organizaciones a identificar, evaluar y mitigar los riesgos asociados con la seguridad de la información. Proporciona un conjunto de directrices y mejores prácticas que abordan diversos aspectos de la ciberseguridad, incluyendo la gestión de incidentes, la protección de datos y la formación del personal. Además, busca fomentar una cultura organizativa de ciberseguridad, donde todos los empleados comprenden y adoptan prácticas seguras en su día a día.

Una de las características distintivas de la certificación NCSC es su enfoque en la mejora continua. Las organizaciones deben someterse a auditorías regulares, lo que les obliga a actualizar sus prácticas de seguridad y adaptarse a las nuevas amenazas y vulnerabilidades emergentes.

¿Qué hace el NCSC?

El NCSC (National Cyber Security Centre) es una organización del Reino Unido responsable de proteger la infraestructura digital del país frente a amenazas cibernéticas. Su objetivo principal es mejorar la seguridad cibernética de las instituciones públicas, empresas privadas, y ciudadanos, mediante la identificación de riesgos, el desarrollo de estrategias preventivas y la respuesta a incidentes. Algunas de las principales funciones del NCSC incluyen:

1. Monitoreo y detección de ciberamenazas: Identifica actividades maliciosas que puedan afectar a la infraestructura crítica, servicios esenciales o empresas.

2. Respuesta a incidentes cibernéticos: Ofrece asistencia técnica y coordinación cuando se producen ataques importantes, como violaciones de datos, ataques de ransomware, entre otros.

3. Asesoramiento y orientación: Publica guías, buenas prácticas y recomendaciones para ayudar a mejorar la ciberseguridad en organizaciones y en el público general.

4. Investigación y desarrollo: Trabaja en innovaciones tecnológicas para mejorar la resiliencia frente a amenazas emergentes.

5. Colaboración internacional: Trabaja con otros gobiernos y entidades globales para compartir información y fortalecer la seguridad cibernética a nivel mundial.

¿Quién la regula?

El NCSC (National Cyber Security Centre) es regulado y opera bajo la autoridad del GCHQ (Government Communications Headquarters), una de las principales agencias de inteligencia del Reino Unido. El GCHQ es responsable de la seguridad nacional en áreas como el espionaje electrónico, la protección contra amenazas cibernéticas y la criptografía.

En este sentido, el NCSC actúa como el brazo cibernético del GCHQ, que a su vez está bajo la supervisión del Parlamento del Reino Unido y las agencias reguladoras correspondientes, como el Comité de Inteligencia y Seguridad. Este comité parlamentario es el encargado de supervisar las operaciones del GCHQ, junto con otras agencias de inteligencia como el MI5 y el MI6, para garantizar que cumplan con la ley y los intereses nacionales.

Además, aunque el GCHQ y el NCSC tienen ciertas libertades operativas debido a la naturaleza de su trabajo en inteligencia y seguridad, están sujetos a la legislación británica, como la Ley de Poderes de Investigación de 2016 (Investigatory Powers Act), que regula las capacidades de vigilancia y recopilación de datos.

¿Cuáles son las multas por no cumplir con el NSC?

El NCSC (National Cyber Security Centre) del Reino Unido no tiene la autoridad directa para imponer multas por incumplimiento de sus recomendaciones o estándares de ciberseguridad. Sin embargo, su orientación se basa en buenas prácticas y normas que pueden estar alineadas con leyes y regulaciones más amplias del país.

Las sanciones por no cumplir con las regulaciones de ciberseguridad en el Reino Unido provienen generalmente de leyes como:

1. GDPR (Reglamento General de Protección de Datos)

   El GDPR, implementado en el Reino Unido como parte de la Ley de Protección de Datos de 2018, es una de las principales regulaciones que protege los datos personales. Si una organización no cumple con los requisitos de protección de datos y sufre una brecha de seguridad (por ejemplo, no garantizar adecuadamente la ciberseguridad), podría enfrentarse a multas sustanciales. Las sanciones pueden llegar hasta: 20 millones de euros o el 4% de la facturación global anual, lo que sea mayor.

2.  NIS Regulations (Network and Information Systems Regulations)

   Estas regulaciones son específicas para operadores de servicios esenciales (como energía, salud, transporte) y proveedores de servicios digitales. Están diseñadas para mejorar la seguridad de las redes y los sistemas de información. Las organizaciones que no cumplan con las normas de seguridad requeridas pueden enfrentarse a multas que alcanzan los 17 millones de libras en casos graves de incumplimiento.

3.  Ley de Ciberseguridad y Servicios Digitales

   Aunque el NCSC no puede multar directamente, la Ley de Servicios Digitales del Reino Unido establece que las organizaciones que gestionan datos o infraestructuras críticas deben seguir ciertos estándares de ciberseguridad. Las multas en este contexto pueden aplicarse si las organizaciones no implementan las medidas necesarias.

4. Investigatory Powers Act (Ley de Poderes de Investigación)

   Si las empresas no cooperan con las agencias gubernamentales en temas de seguridad nacional, como facilitar el acceso a comunicaciones cifradas en el contexto de una investigación legítima, podrían enfrentarse a sanciones legales.

   Una organización que no implemente controles básicos de ciberseguridad, como los mencionados en las guías del NCSC (por ejemplo, no parchar vulnerabilidades conocidas o no proteger adecuadamente los datos personales), podría ser sancionada si esas deficiencias resultan en una violación de datos bajo el GDPR o en una interrupción de servicios críticos bajo las NIS Regulations.

   Aunque el NCSC no aplica directamente multas, la falta de cumplimiento con las prácticas de ciberseguridad recomendadas puede llevar a sanciones bajo regulaciones más amplias como el GDPR y las NIS Regulations, con multas que pueden alcanzar hasta millones de euros o libras dependiendo de la gravedad del incumplimiento.

Relación con la norma NIST 800-88

La norma NIST 800-88 proporciona un enfoque técnico detallado para la eliminación segura de datos en dispositivos digitales. Aunque el NCSC y la NIST 800-88 pertenecen a distintos marcos regulatorios (Reino Unido y EE. UU.), los principios de ciberseguridad y eliminación segura de datos son comunes en ambos:

1. Principios de eliminación de datos: El NIST 800-88 clasifica los métodos de eliminación en tres categorías: Clear (limpiar), Purge (purgar) y Destroy (destruir). Estos conceptos son similares a las recomendaciones del NCSC para asegurar que los datos no puedan ser recuperados.

   El NCSC, al igual que la NIST, recomienda elegir métodos de eliminación de datos en función de la sensibilidad de la información. Para datos sensibles, se debe optar por métodos más destructivos (como la trituración física o la desmagnetización) en lugar de simples técnicas de borrado.

2. Evaluación del riesgo: Tanto el NCSC como el NIST fomentan la evaluación del riesgo como parte del proceso de eliminación de datos. Dependiendo de la criticidad y sensibilidad de la información, deben aplicarse controles más estrictos para garantizar que los datos no puedan ser recuperados de dispositivos obsoletos.

3. Requisitos de cumplimiento: Aunque las guías del NCSC no son regulaciones con carácter de ley, muchas de sus recomendaciones están diseñadas para ayudar a las organizaciones a cumplir con normativas como el GDPR, que requiere que los datos personales sean destruidos adecuadamente cuando ya no son necesarios. Esto coincide con los principios de la NIST 800-88, que busca asegurar que los datos eliminados no sean recuperables.

4. Auditoría y registro: Ambos marcos recomiendan que las organizaciones mantengan registros detallados de los procesos de eliminación de datos, ya que esto es crucial tanto para auditorías internas como para demostrar el cumplimiento ante las autoridades reguladoras.

   Aunque el NCSC del Reino Unido y la NIST 800-88 de EE. UU. operan en marcos regulatorios diferentes, tienen objetivos similares en cuanto a la protección de datos a través de la eliminación segura. Las organizaciones que siguen las guías del NCSC pueden beneficiarse al aplicar los métodos técnicos detallados en la NIST 800-88 para cumplir con los requisitos de eliminación segura de datos y así protegerse contra el acceso no autorizado a información sensible.

   La relación entre ambos marcos se centra en los principios compartidos de ciberseguridad, protección de datos y la gestión segura del ciclo de vida de la información.

   ¿Cómo puede Delete Technology  colaborar con el cumplimiento de la NCSC?

   Delete Technology puede facilitar el cumplimiento de la certificación del NCSC mediante la provisión de soluciones avanzadas de eliminación segura de datos que se alinean con las mejores prácticas internacionales, como las recomendaciones de la NIST 800-88. Sus técnicas incluyen la destrucción física de medios de almacenamiento y la sobrescritura criptográfica, garantizando la irrecuperabilidad de los datos críticos.

   Su experiencia en gestión de riesgos y protección de datos sensibles es clave para cumplir con los controles de seguridad establecidos por el NCSC, asegurando que la información se maneje y elimine según los estándares exigidos para la certificación.