Las criptomonedas como Bitcoin y Ripple cambiaron el mundo de más formas de las imaginables. Aunque aportan numerosos beneficios a la economía de las finanzas, atraen mucha atención de los ciberdelincuentes. Después de todo, son monedas virtuales, y pueden perderse o ser robados como cualquier moneda almacenada digitalmente.

Y dado que son mucho más jóvenes que sus contrapartes tradicionales (monedas como el dólar estadounidense y el euro), son más vulnerables a varios ataques. También, las organizaciones que se ocupan de las criptomonedas son muy jóvenes, con algunas empresas de tan solo dos o tres años como Binance, uno de los principales intercambios de criptomonedas del planeta, se fundó en 2017.

Entonces, apenas existen estándares recomendados y probados por la industria para proteger las criptomonedas, a diferencia de las monedas tradicionales. Por ejemplo, existe PCI DSS (Estándar de seguridad de datos de la industria de tarjetas de pago) para las organizaciones que solicitan, Procesando, o almacenar información de tarjetas de crédito. Se puede decir que PCI DSS es un estándar de seguridad para organizaciones que trabajan con monedas tradicionales.

Sin embargo, todo cambió con la introducción del Estándar de seguridad de criptomonedas (CCSS). Entonces, ¿Qué es este estándar? y ¿cómo ayuda a las organizaciones?

¿Qué es el Estándar de seguridad de criptomonedas?

El estándar de seguridad de criptomonedas (CCSS) es “un conjunto de requisitos para todos los sistemas de información que utilizan criptomonedas, incluidos los intercambios, aplicaciones web, y soluciones de almacenamiento de criptomonedas. Al estandarizar las técnicas y metodologías utilizadas por los sistemas de todo el mundo, los usuarios finales podrán tomar fácilmente decisiones informadas sobre qué productos y servicios utilizar y con qué empresas desean alinearse, ”Según el Consorcio de Certificación de Criptomonedas (C4), la organización que define estos estándares.

El Estándar de seguridad de criptomonedas (CCSS), al igual que otras regulaciones federales y estándares de la industria, como el Reglamento general de protección de datos (GDPR) y el Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS), ayuda a proteger los sistemas de información y realizar evaluaciones de riesgos de ciberseguridad. permitiendo a las organizaciones confirmar que los datos propios y de los clientes están seguros. CCSS es un avance muy necesario en el mundo de la cadena de bloques y las criptomonedas.

La razón son las criptomonedas, gracias a su creciente popularidad y precios, se han convertido en objetivos lucrativos para los ciberdelincuentes. Es decir, Las empresas que trabajan con tecnología blockchain y / o criptomonedas corren un alto riesgo de ser atacadas. Es por eso que CCSS es esencial para estas organizaciones.

Por ejemplo, 2019 fue testigo de la mayor cantidad de hacks de criptomonedas.

¿Cómo ayuda CCSS a proteger las organizaciones de cadenas de bloques y criptomonedas?

El Estándar de seguridad de criptomonedas (CCSS) establece las metodologías y técnicas utilizadas para la seguridad de la información por las organizaciones de cadenas de bloques y criptomonedas, como la mayoría de los estándares de datos. Se creó para complementar los estándares de seguridad de la información existentes como ISO 27001:2013 al introducir las mejores prácticas de seguridad para criptomonedas como Bitcoin y Ethereum.

Eso significa que las empresas solicitan almacenamiento o trabajar con criptomonedas de cualquier manera debe seguir estándares probados por la industria, luego siga la CCSS también.

CCSS compila una lista de 10 aspectos de la seguridad de los sistemas de información que trabajan con criptomonedas. Estos aspectos de seguridad son técnicas únicas para lograr una parte de un sistema de información. Entre estos diez aspectos, su valor mínimo define el valor general del sistema de información según este estándar. CCSS define tres niveles de seguridad:Nivel I, Nivel II, y Nivel III:el Nivel I tiene la seguridad más baja entre los tres niveles, y Nivel III con la mejor y más completa protección de acuerdo con el Estándar de Seguridad de Criptomonedas.

El Estándar de seguridad de criptomonedas organiza estos aspectos en dos dominios:Gestión de activos criptográficos y Operaciones de criptomonedas. Bajo el segundo dominio, solicita auditorías de seguridad, lo que significa que las organizaciones deben someterse a evaluaciones de riesgos de ciberseguridad y revisiones de terceros de sus controles de seguridad, sistemas políticas, y procesos.

Estas evaluaciones de riesgos ayudan a los equipos de seguridad a validar que los controles de seguridad instalados funcionan correctamente como se esperaba, ya que estas evaluaciones incluyen pruebas de penetración y vulnerabilidad para encontrar áreas de ataque potenciales. Por ejemplo, Crypto.com, uno de los intercambios establecidos, obtuvo CCSS Nivel III y completó una evaluación detallada de riesgo cibernético en diciembre de 2019 para validar su infraestructura de seguridad.

Sin embargo, CCSS establece claramente que su alcance se mantiene dentro del límite de las criptomonedas de los sistemas de información. Es decir, no cubre lo comun, prácticas y estándares de seguridad conocidos para mejorar la ciberseguridad. Es por eso que CCSS debe implementarse de manera complementaria después de seguir los estándares de la industria conocidos en ciberseguridad como ISO 27001, PCI DSS, HIPAA, FINRA, y GDPR.

CCSS Nivel I

Un sistema de información con CCSS Nivel I ha demostrado durante la auditoría que protegen sus activos de información con fuertes niveles de seguridad. Es decir, el sistema de información pudo abordar la mayoría de los riesgos introducidos en sus activos de información, gracias a sus controles de seguridad que cumplen con los estándares de la industria. Y aunque es el nivel más bajo del Estándar de seguridad de criptomonedas, todavía afirma que el sistema proporciona una gran seguridad para los activos de criptomonedas.

CCSS Nivel II

Un sistema de información que ha alcanzado CCSS Nivel II ha demostrado que protegen sus activos de información con fuertes niveles de seguridad junto con controles mejorados. Abordan la mayoría de los riesgos sobre sus activos de información, y además, utiliza tecnologías de seguridad descentralizadas como múltiples firmas, superando la mayoría de los estándares de la industria. También, brindan seguridad redundante si alguna clave o persona se ve comprometida o no está disponible, proporcionando así una seguridad reforzada.

CCSS Nivel III

Un sistema de información etiquetado con CCSS Nivel III ha demostrado con éxito durante la auditoría que emplean los niveles más altos de seguridad para proteger sus activos de información. Superan los controles mejorados con políticas y procedimientos estándar que se aplican en cada paso de sus procesos comerciales. También, requieren que múltiples actores aprueben todas las acciones críticas, Implementar medidas de autenticación avanzadas para verificar la autenticidad de los datos. distribuir sus activos geográfica y organizativamente para mitigar el riesgo de que una persona u organización se vea comprometida durante un ataque, proporcionando así la máxima seguridad.

Este artículo se publicó por primera vez en: 23 de julio, 2020