NEMIA

Normativa Nacional e Internacional

Marco normativo y regulatorio de ciberseguridad en Uruguay y en el ámbito internacional

Leyes y Decretos

Estándares internacionales

  • Normas ISO/IEC relacionadas con Ciberseguridad y Seguridad de la Información
  • ISO/IEC 27001 — Sistema de Gestión de Seguridad de la Información (SGSI) - Es la norma principal de la familia 27000. Establece los requisitos para implementar, mantener y mejorar de forma continua un Sistema de Gestión de Seguridad de la Información (SGSI) dentro de una organización. Se basa en un enfoque de gestión de riesgos, mediante el cual la organización identifica amenazas, vulnerabilidades e impactos, y define controles para proteger la confidencialidad, integridad y disponibilidad de la información. Incluye requisitos sobre políticas de seguridad, roles y responsabilidades, control documental, auditorías internas y mejora continua. Es una norma certificable, utilizada como estándar internacional para demostrar cumplimiento en materia de seguridad de la información.
  • ISO/IEC 27002 — Controles de Seguridad de la Información - Funciona como complemento directo de la ISO 27001. Proporciona un catálogo estructurado de controles de seguridad, organizados en dominios tales como seguridad organizacional, control de accesos, criptografía, seguridad física, seguridad de redes, desarrollo seguro, monitoreo, gestión de incidentes, entre otros. No impone obligaciones, sino que sirve como guía de buenas prácticas para seleccionar e implementar controles que permitan tratar los riesgos identificados en el SGSI.
  • ISO/IEC 27005 — Gestión de Riesgos de Seguridad de la Información - Desarrolla en profundidad la metodología de gestión de riesgos exigida por la ISO 27001. Describe procesos para la identificación de activos, amenazas y vulnerabilidades, el análisis de impacto, la evaluación del nivel de riesgo y la definición de tratamientos (mitigar, transferir, aceptar o evitar). Es clave para fundamentar técnicamente las decisiones de seguridad adoptadas por una organización.
  • ISO/IEC 27035 — Gestión de Incidentes de Seguridad de la Información - Proporciona directrices para establecer un proceso formal de gestión de incidentes de seguridad, incluyendo preparación, detección, reporte, evaluación, respuesta, recuperación y lecciones aprendidas. Resulta fundamental para equipos de respuesta a incidentes (CSIRT/CERT) y para organizaciones que deben demostrar capacidad de respuesta ante ciberataques o vulneraciones.
  • ISO/IEC 27037 — Identificación, Recolección y Preservación de Evidencia Digital - Establece principios y procedimientos para el manejo de evidencia digital, asegurando que su identificación, adquisición y preservación mantengan la integridad, autenticidad y trazabilidad. Es ampliamente utilizada en contextos de informática forense y procesos judiciales, ya que orienta sobre cómo evitar la contaminación o alteración de la evidencia.
  • ISO/IEC 27041, 27042 y 27043 — Investigación Digital Forense - Conjunto de normas orientadas a la metodología de investigación forense digital. La 27041 se centra en la validez de los métodos de investigación. La 27042 aborda el análisis e interpretación de evidencia digital. La 27043 describe principios y procesos generales de investigación de incidentes digitales. Son relevantes en investigaciones técnicas, peritajes y análisis post-incidente.
  • ISO/IEC 27017 — Seguridad en Servicios en la Nube - Extiende la ISO 27002 con controles específicos para entornos de computación en la nube, abordando responsabilidades compartidas entre proveedor y cliente, segregación de entornos, virtualización y protección de datos alojados en infraestructuras cloud.
  • ISO/IEC 27018 — Protección de Datos Personales en la Nube Pública - Se centra en la protección de información personal identificable (PII) tratada por proveedores de servicios cloud que actúan como encargados del tratamiento. Establece controles de privacidad, transparencia, limitación de uso de datos y medidas de seguridad específicas.
  • ISO/IEC 27019 — Seguridad en Sistemas de Control Industrial (ICS/SCADA) - Adapta controles de seguridad de la información a entornos de infraestructuras críticas, como energía, industria y sistemas de control industrial, donde la disponibilidad y seguridad operacional son prioritarias.
  • ISO/IEC 27032 — Directrices para la Ciberseguridad - Proporciona orientación específica sobre ciberseguridad, abordando amenazas en línea como malware, phishing, ataques de denegación de servicio, así como la cooperación entre organizaciones, usuarios y proveedores de servicios.
  • ISO/IEC 27033 — Seguridad de Redes - Conjunto de normas que cubre el diseño, implementación y gestión de arquitecturas de red seguras, incluyendo segmentación, control de tráfico, protección perimetral y seguridad en comunicaciones.
  • ISO/IEC 27701 — Sistema de Gestión de Información de Privacidad (PIMS) - Es una extensión de la ISO 27001 que integra la gestión de privacidad y protección de datos personales en el SGSI, estableciendo controles y responsabilidades para responsables y encargados del tratamiento.
  • ISO/IEC 22301 — Gestión de Continuidad del Negocio - Norma complementaria que regula la implementación de un Sistema de Gestión de Continuidad del Negocio, incluyendo análisis de impacto, planes de recuperación ante desastres y resiliencia operativa frente a incidentes tecnológicos y ciberataques.
  • Convenio de Budapest sobre la Ciberdelincuencia - Tratado internacional del Consejo de Europa que establece un marco común para combatir los delitos informáticos. Busca que los países armonicen sus leyes penales sobre ciberdelitos (acceso ilícito, fraude informático, daño a sistemas, entre otros) y define mecanismos de cooperación internacional, preservación de evidencia digital y asistencia judicial entre Estados. Es la referencia global más importante en materia de persecución de la ciberdelincuencia.