La ciberseguridad se ha convertido en una expectativa básica para hacer negocios, y las empresas de Nueva Zelanda son parte de esa realidad global. La Oficina de Seguridad de las Comunicaciones del Gobierno (GCSB) denunciado recientemente 7.122 incidentes de ciberseguridad en un solo año, 343 de los cuales se consideran de alto impacto. De estos, el 32% estaban vinculados a grupos patrocinados por el estado y el 19% a actores con motivaciones financieras.

Esto nos dice dos cosas:

Las amenazas están moldeadas tanto por la actividad internacional como por los oportunistas locales, y
Las organizaciones neozelandesas forman parte de una conversación sobre seguridad global más amplia.

Sin embargo, las empresas locales, desde las pymes hasta las nuevas empresas, no necesitan reinventar la rueda. Pueden basarse en marcos globales bien establecidos que explican el «cómo» de la ciberseguridad y luego compararlos con el «qué» de los requisitos locales, como el Manual de Seguridad de la Información de Nueva Zelanda (NZISM).

Para las pequeñas y medianas empresas en particular, esta integración es poderosa. Significa que puede adoptar las mejores prácticas a una escala que tenga sentido para sus recursos y, al mismo tiempo, cumplir con los estándares que son importantes para los organismos gubernamentales, las entidades de la Corona y los clientes empresariales.

Kits de herramientas globales: OWASP, CIS, PTES

Como se indicó anteriormente, las empresas de Nueva Zelanda no necesitan empezar desde cero para crear una postura de seguridad sólida. Existen marcos globales bien establecidos que ofrecen orientación práctica, cada uno con un enfoque distinto pero diseñado para trabajar en conjunto. Tres de los más útiles son OWASP, CIS y PTES.

OWASP como guía para la seguridad de las aplicaciones

El Open Worldwide Application Security Project (OWASP) es uno de los nombres más reconocidos en ciberseguridad. Es una iniciativa impulsada por la comunidad que ofrece a los desarrolladores y equipos de seguridad herramientas prácticas y gratuitas para mantener las aplicaciones seguras.

Su recurso más famoso, el OWASP Top 10, destaca los riesgos más comunes y peligrosos de las aplicaciones web. Además, OWASP ofrece el estándar de verificación de seguridad de las aplicaciones (ASVS) y la guía de pruebas de seguridad web (WSTG), que profundizan en los requisitos y los enfoques de prueba.

OWASP cultiva una mentalidad de «seguridad desde el diseño». De hecho, la propia neozelandesa orientación para business.govt.nz para desarrolladores web hace referencia al Top 10 de OWASP, que muestra cómo estas mejores prácticas globales ya se han incorporado a las iniciativas locales.

Construyendo bases de seguridad sólidas con CIS

El Centro para la Seguridad de Internet (CIS) se centra en la ciberhigiene fundamental. Sus controles CIS (18 medidas de seguridad priorizadas) y CIS Benchmark (guías de configuración para sistemas y aplicaciones) son reconocidos mundialmente como elementos esenciales de la seguridad de TI.

Lo que hace que el CIS sea especialmente valioso para las pymes es su enfoque escalonado. Por ejemplo, Grupo de implementación 1 (IG1) está diseñado para organizaciones más pequeñas con recursos limitados, a veces con menos de diez miembros del personal. Esto significa que, cuando usa CIS, no tiene que implementar todo de una vez.

En su lugar, puedes empezar con un conjunto de acciones gestionables y de alto impacto, como garantizar que los dispositivos estén parcheados, que las cuentas utilicen la autenticación multifactor y que las configuraciones del sistema sigan las plantillas de prácticas recomendadas. Para muchas empresas neozelandesas, el CIS puede ser uno de los puntos de entrada más accesibles a la seguridad estructurada.

Validación de las defensas con PTES

A diferencia de OWASP y CIS, el Penetration Testing Execution Standard (PTES) se preocupa menos por qué defensas de ciberseguridad implementar y más por cómo probar si sus defensas se mantienen. El PTES define un proceso de siete fases, desde el análisis y la recopilación de inteligencia hasta la explotación, la posexplotación y la presentación de informes.

¿Por qué importa esto? Porque incluso si ha implementado el CIS y el OWASP, aún necesita saber si esas medidas se mantienen en la práctica. El PTES ofrece a los evaluadores de penetración y a sus clientes un lenguaje común y expectativas claras, lo que garantiza que los resultados sean consistentes, defendibles y factibles. De este modo, puede estar seguro de que sus inversiones en seguridad están dando los resultados esperados.

El Plataforma de pruebas de penetración como servicio (PTaaS) creada en Nueva Zelanda, Blacklock, ha incorporado la metodología PTES a su modelo de servicio, ya que combina los escaneos automatizados con las pruebas manuales de expertos. Esto brinda a los clientes tanto el rigor del PTES como la agilidad de las pruebas continuas y bajo demanda.

Juntos, OWASP, CIS y PTES cubren el aspecto táctico de la seguridad. Es decir, cómo diseñar, implementar y validar los controles. El siguiente paso es entender cómo se alinean con el propio manual de estrategias de Nueva Zelanda: el NZISM.

El NZISM y su papel en la seguridad de Nueva Zelanda

Si bien OWASP, CIS y PTES proporcionan las mejores prácticas y metodologías mundiales, Nueva Zelanda también tiene su propio estándar autorizado. Se llama Manual de seguridad de la información de Nueva Zelanda (NZISM). Mantenido por la GCSB, el NZISM establece los requisitos básicos para proteger la información y los sistemas gubernamentales.

A primera vista, eso puede parecer algo de lo que solo los departamentos gubernamentales deben preocuparse. Pero, en realidad, su aplicabilidad se extiende mucho más allá del sector público. Se espera que los vendedores, contratistas, consultores y entidades de la Corona que trabajan con agencias gubernamentales se alineen con el NZISM.

Para las empresas privadas, esto convierte al NZISM en algo más que un ejercicio centrado en el cumplimiento. También les brinda una ventaja competitiva. Cumplir con los requisitos del NZISM puede abrir la puerta a oportunidades gubernamentales y empresariales.

El NZISM también forma parte de un marco más amplio denominado Requisitos de Seguridad Protectora (PSR), que describe cómo el Gabinete espera que las agencias gestionen la información, el personal y la seguridad física.

Para las pymes y las empresas emergentes, la conclusión es simple: si bien los marcos globales ofrecen orientación sobre cómo crear y probar sus defensas, el NZISM proporciona el punto de referencia local de lo que esperan el gobierno de Nueva Zelanda y los principales clientes. Alinearlo significa no solo proteger su negocio, sino también demostrar madurez y confiabilidad a los socios locales que se preocupan por la seguridad.

Leer más: Configuración de ModSecurity con OWASP CRS — Parte 1

Comparación de un vistazo

Desde la distancia, estos marcos pueden parecer estándares que compiten entre sí. En realidad, sirven para diferentes propósitos. La siguiente tabla destaca su enfoque principal, su naturaleza, su audiencia y sus recursos clave. En conjunto, forman un conjunto de herramientas que las empresas neozelandesas pueden adaptar a su tamaño, sector y obligaciones reglamentarias.

Framework	Primary Focus	Nature	Target Audience	Key Resources
NZISM	Government Information Security	Mandatory (for government)	NZ Government Agencies, Vendors, Contractors	New Zealand Information Security Manual
OWASP	Application Security	Voluntary (community-led)	Developers, Security Professionals	OWASP Top 10, ASVS, WSTG
CIS	Foundational IT System Hygiene	Prioritized (actionable)	IT Managers, Security Practitioners	CIS Controls, CIS Benchmarks
PTES	Penetration Testing Methodology	Methodological (process)	Pen Testers, Clients	The 7 Phases of PTES

Hoja de ruta recomendada para las empresas de Nueva Zelanda

Entonces, ¿cómo se combinan estos marcos en la práctica? Para las empresas neozelandesas, especialmente las pymes y las nuevas empresas, el camino hacia una postura de seguridad más sólida puede dividirse en cuatro pasos prácticos.

Paso 1: Comience con CIS para la higiene básica de TI

Comience con los controles del CIS, especialmente con el Grupo de implementación 1 (IG1) si es un equipo pequeño. Estas medidas de seguridad abarcan aspectos esenciales como mantener un inventario actualizado de los dispositivos y el software, aplicar parches a los sistemas con prontitud y aplicar una autenticación sólida. Esto equivale a sentar una base segura para todo lo demás que construya.

Paso 2: Proteja las aplicaciones con las directrices de OWASP

Una vez que haya establecido lo básico, concéntrese en las aplicaciones, que suelen ser el punto de entrada para muchas amenazas. Utilice las 10 principales recomendaciones de OWASP para guiar a los desarrolladores y evaluadores sobre los riesgos más comunes, y aproveche recursos como ASVS y WSTG para obtener una mayor seguridad. Este paso ayuda a incorporar la seguridad a tus productos y servicios desde el principio.

Paso 3: Validar mediante pruebas de penetración de PTES

Los controles solo importan si funcionan según lo previsto. A prueba de penetración seguir la metodología PTES le brinda una garantía estructurada y profesional en ese sentido. El informe resultante ofrece tanto a los ejecutivos como a los equipos técnicos claridad sobre los riesgos, la remediación y la resiliencia en el mundo real.

Paso 4: alinearse con el NZISM para garantizar el cumplimiento y las oportunidades

Por último, conecte estos esfuerzos con el Manual de seguridad de la información de Nueva Zelanda. Hacerlo garantiza cumplir con las expectativas locales y, al mismo tiempo, abre las puertas a contratos gubernamentales y asociaciones empresariales.

En la práctica, muchas empresas neozelandesas con las que hemos trabajado comienzan con estos marcos globales para impulsar las mejoras de seguridad y, después, consideran al NZISM como un punto de referencia de cumplimiento con el que comprobar. Esto significa que el NZISM a menudo entra en el proceso como un ejercicio de mapeo o análisis de brechas una vez establecidos los controles fundamentales, en lugar de ser el modelo inicial para cada decisión de seguridad.

Share this post