- ¿Cómo es posible que los marcos de seguridad brindan seguridad y crean confianza? Cada marco es distinto, pero pretendemos responder esa pregunta.
- La industria todavía se encuentra un poco en el salvaje oeste en este sentido.
Hoy haremos una breve explicación sobre qué es el estándar de seguridad de criptomonedas (CCSS), hablaremos sobre este desarrollo que es, relativamente nuevo en el mundo de la cripto-ciberseguridad.
Las criptomonedas como Bitcoin, Ethereum y tokens NFT se encuentran en un momento en donde su popularidad está creciendo de manera exagerada. Sin embargo, la industria que apoya el desarrollo e intercambio de estos activos, todavía parece estar en el pasado.
Mirándolo como si fuéramos un ciudadano estadounidense, encontramos varios jugadores legítimos en este espacio: Coinbase, Gemini, FTX, etc. Sin embargo, el consumidor estadounidense de estos servicios se basa en el boca a boca para encontrar un proveedor que genere confianza.
Marcos de seguridad 101
Este es un tema de confianza. Es algo complejo para nosotros, con marcos de seguridad como PCI, HIPPA y varios estándares NIST; la adhesión y, en muchas ocasiones, la certificación de un marco de seguridad puede volverse una herramienta sumamente útil en esta lucha para darle confianza al consumidor.
Pero entonces ¿Cómo los marcos de seguridad brindan seguridad y crean confianza? Cada marca es distinta, pero existe tres categorías generales.
- Basado en el control: los marcos de control como NIST SP 800-53, encuentran riesgos y prescriben controles para encargarse de estos. Son muy útiles porque se adoptan fácilmente y son capaces de proporcionar un impulso considerable en la seguridad.
- Basado en programas: es más complejo de adoptar e implementar que el marco anterior, pero tiene un gran beneficio. No únicamente tiene un “programa” tangible que puede señalar si alguien pregunta, sino que, además puede articular de forma simple su estado de seguridad actual a su liderazgo. Esta es un área en la que, en ciberseguridad, en muchas ocasiones se quedan algo cortos.
- Basado en el riesgo: los marcos como ISO27005 y NIST 800-39 se encargan del problema creado por los marcos de control y programas; no pueden tener en cuenta el contexto específico de cada organización. Con un marco basado en riesgos, se hace una evaluación de riesgos por adelantado y los resultados de esta, impulsan el desarrollo del programa. Esto nos da como resultado un programa de seguridad priorizado y personalizado, dejando de lado la simplicidad.
El estándar de seguridad de criptomonedas (CCSS)
Encontraremos intercambios como Gemini, que cumplen con SOC2 e ISO27001; se necesitaba un marco que fuera capaz de abordar desafíos y riesgos específicos que presenta el mundo de las criptomonedas.
Para el Estándar de Seguridad de Criptomonedas del Crypto Consortium (C4), el CCSS es un estándar de seguridad que tiene como principal objetivo asegurar los sistemas que usan criptomonedas.
Se trata de una definición amplia, pero es buena, porque no limitará su aplicación a casos de uso específico. ¿Qué quiere decir esto? El espacio de las criptomonedas cuenta con un estándar de seguridad dedicado, el cual fue diseñado de forma específica para los proveedores de servicios de criptomonedas, como los mencionados intercambios.
Como este espacio es una novedad, el estándar todavía se encuentra como un borrador, uno que podemos apreciar a través de GitHub.
El estándar de por sí, parece un marco de control, con diez controles y tres niveles de implementación, que se encuentra enfocado principalmente a la seguridad de los materiales criptográficos. Esto tiene mucho sentido, debido a que el mayor riesgo que nos podemos encontrar en la industria criptografía está en la seguridad de las transacciones de datos y moneda.
Estos controles son:
- Seguridad de generación de claves criptográficas.
- Protocolo de compromiso de clave.
- Seguridad de creación de billetera.
- Política de saneamiento de datos.
- Seguridad de almacenamiento y uso de claves.
- Política de titular de claves (concesión y revocación de permisos)
- Prueba de reserva.
- Registros de auditoría.
En caso de que deseemos ver los detalles de cada control, desde GitHub es posible consultar el repositorio.