Estándar de seguridad para el manejo de criptomonedas en sistemas informáticos
CCSS, o Cryptocurrency Security Standard por sus siglas en inglés, es un conjunto de requerimientos para todos los sistemas de información que utilizan criptomonedas, estos incluyen a las casas de cambio o exchanges, aplicaciones web y soluciones de almacenaje para criptomonedas.
Estandarizar técnicas y metodologías en estos sistemas brinda la posibilidad a los usuarios finales de disponer de herramientas e información relevante para la toma de decisiones respecto de que plataformas o servicios utilizar a la hora del manejo de sus activos en forma de criptomonedas.
CCSS está diseñado para complementar los estándares de seguridad existentes como ISO 27001:2013, introduciendo una guía con las mejores prácticas de seguridad en lo que respecta al manejo de criptoactivos. Este estándar no está diseñado para sustituir o reemplazar los estándares existentes y de hecho, implementar CCSS ignorando otros estándares terminan comprometiendo el resto de los aspectos en la seguridad de los sistemas.
Al igual que con cualquier estándar, los profesionales de seguridad y / o auditores con conocimientos y experiencia son necesarios al implementar cualquier sistema de información para garantizar la cobertura de todas las clases de ataque, así como el manejo adecuado de todos los riesgos potenciales.
FUNCIONAMIENTO
CCSS cubre una lista de 10 aspectos de seguridad para cualquier sistema de información que guarde, transfiera o acepte criptomonedas. Podemos definir a un sistema de información como un grupo de tecnologías, profesionales, políticas y procedimientos que trabajan juntos con el fin de proveer un entorno seguro.
Los aspectos de seguridad son técnicas que se utilizan para implementar seguridad en una parte dentro de un sistema de información. El valor mínimo de los 10 aspectos de seguridad determinan el puntaje general para un sistema de información dentro de un umbral de tres niveles, donde en cada nivel se produce un aumento de seguridad. El nivel 1 es el mínimo y ofrece métricas acerca de un fuerte nivel de seguridad, mientras que el nivel 3 es el más alto y ofrece la seguridad más completa de todas.
El resumen de este estándar puede verse en el gráfico a continuación donde se muestra el ejemplo en una compañía ficticia que se encuentra en el nivel 1 dentro del estándar CCSS. Si bien podemos notar que este ejemplo incluye algunos aspectos de seguridad que se encuentran dentro del nivel 2 o nivel 3, la empresa es clasificada en forma general como nivel 1 debido a que cubre de manera consistente todos los aspectos dentro de éste nivel de seguridad.
ALCANCES
El estándar CCSS se enfoca en auditar los controles que involucran solamente a las partes referentes al manejo de criptomonedas dentro de un sistema de información, es importante aclarar esto ya que no influye sobre los estándares o prácticas respecto de la seguridad en el resto de las porciones del sistema auditado. Por esta razón hay que considerar a CCSS como una parte separada dentro del un conjunto de recomendaciones que son aplicadas a los estándares y mejores prácticas de seguridad dentro de los sistemas para garantizar la continuidad, la recuperación ante un escenario de desastre, la prevención contra intrusiones a la red en general, la seguridad física y el manejo de vulnerabilidades.
APLICACIONES
CCSS se aplica a cualquier sistema informático que haga uso de criptomonedas en cualquier parte de sus procesos. Esto incluye (pero no se encuentra solamente limitado) a:
- Casas de cambio o Exchanges (Sistemas que permiten intercambiar criptomonedas por otras formas de dinero)
- Marketplaces o Sitios de Venta (Sistemas que permiten la compra de bienes o servicios a cambio de criptomonedas
- Juegos (Sistemas que permiten utilizar criptomonedas para entretenimiento)
- Procesadores de Cripto (Sistemas que permiten procesar pagos en criptomonedas)
- Almacenamiento (Sistemas que permiten la recepción y transmisión de criptomonedas entre personas)
- Cualquier otro sistema que involucre el manejo de criptomonedas en alguna parte de sus procesos
CCSS está dividido en tres niveles donde cada nivel implica un incremento en la seguridad.
- Nivel 1: Todos los sistemas que alcancen el nivel 1 fueron auditados y probaron la disposición de un fuerte nivel de seguridad en el manejo de los activos critpo. La mayoría de los riesgos para el manejo de activos fueron auditados, controlados y demostraron alinearse con los estándares de la industria. Si bien el nivel 1 es el más bajo, representa igualmente un fuerte nivel de seguridad en sus sistemas.
- Nivel 2: Este nivel representa una prueba de auditoría que excede los fuertes niveles de seguridad junto con controles adicionales mejorados. Aparte de cubrir la mayoría de los riesgos en lo que respecta al manejo de activos implementan el uso de tecnologías de seguridad descentralizada y exceden los estándares de la industria proveyendo sistemas de redundancia si alguna clave o usuario resulta comprometido.
- Nivel 3: Este nivel representa una prueba de auditoría que supera los niveles mejorados de seguridad mediante el uso de políticas y procedimientos formalizados que refuerzan cada etapa dentro del proceso de negocio. Para alcanzar este nivel se requieren múltiples actores y una serie de acciones críticas como son los mecanismos de autenticación avanzada que aseguran la autenticidad de toda la información, y los activos son distribuidos de manera organizada y geográfica con el fin de obtener resiliencia ante cualquier tipo de compromiso.
Fuente: https://cryptoconsortium.org/standards/CCSS
+20 años en infraestructura IT, consultoría y tecnologías disruptivas.
Diplomado en Cripto economías, Blockchains, Criptomonedas y Contratos inteligentes – Instituto Tecnológico de Buenos Aires.
+10 años de experiencia en trading de acciones, futuros financieros y criptoactivos.
