Cumplimiento del compendio alemán BSI IT-Grundschutz
El IT-Grundschutz-Kompendium de la BSI es el estándar base de Alemania para la seguridad de la información. Descubra cómo ImmuniWeb ayuda a su organización a cumplir con los requisitos de seguridad de sus aplicaciones web y móviles.
BSI IT-Grundschutz-Kompendium Compliance
El IT-Grundschutz-Kompendium es la metodología central y el catálogo de controles publicado por la Oficina Federal de Seguridad de la Información de Alemania (BSI). Define un enfoque estructurado y básico para la seguridad de la información y sirve de base para la certificación ISO/IEC 27001 basada en IT-Grundschutz. El catálogo oficial completo está disponible en el sitio web del BSI (bsi.bund.de).
¿Qué es el BSI IT-Grundschutz-Kompendium?
La BSI (Bundesamt für Sicherheit in der Informationstechnik) es la autoridad nacional de ciberseguridad de Alemania. Su IT-Grundschutz-Kompendium organiza los requisitos de seguridad en bloques modulares (Bausteine), agrupados en capas orientadas a procesos y a sistemas que cubren la organización y el personal, las aplicaciones, los sistemas de TI, las redes y los sistemas de control industrial.
Cada módulo contiene requisitos específicos categorizados como protección Básica, Estándar y Alta. Junto con las Normas BSI 200-1, 200-2 y 200-3, el Kompendium ofrece a las organizaciones una forma repetible y auditable de establecer un nivel adecuado de seguridad y de obtener la certificación ISO 27001 sobre la base de IT-Grundschutz. Esta página hace referencia a la actual Edición 2025 del Kompendium.
¿Quién debe cumplir con IT-Grundschutz?
IT-Grundschutz es obligatorio para las autoridades federales alemanas y está ampliamente adoptado en todo el sector público, por los operadores de infraestructuras críticas (KRITIS) y por sus proveedores y contratistas. Las organizaciones del sector privado también lo utilizan como una hoja de ruta práctica hacia ISO 27001 y para demostrar una postura de seguridad robusta al operar en Alemania y en la región DACH en general.
Requisitos clave de IT-Grundschutz para la seguridad de aplicaciones
Aunque el Kompendium abarca toda la extensión de la seguridad de la información, los módulos más relevantes para la seguridad de aplicaciones —y para ImmuniWeb— son:
- CON.8 — Desarrollo de software (Software-Entwicklung): desarrollo seguro y pruebas de seguridad del software a lo largo de su ciclo de vida.
- CON.10 — Desarrollo de aplicaciones web (Entwicklung von Webanwendungen): diseño seguro y programación de aplicaciones web, incluida la validación de entrada, codificación de salida, autenticación y protección de sesiones.
- APP.3.1 — Aplicaciones web y servicios web (Webanwendungen und Webservices): protección de aplicaciones y servicios web desplegados contra ataques comunes (OWASP), con controles de acceso y registros adecuados.
- APP.1.4 — Aplicaciones móviles (Mobile Anwendungen / Apps): asegurar aplicaciones móviles, incluyendo la minimización de permisos, el almacenamiento seguro de datos en el dispositivo y la protección de datos en tránsito.
Nota. La aplicabilidad varía según el tipo de aplicación. CON.8, CON.10 y APP.3.1 se aplican a aplicaciones web, mientras que CON.8 y APP.1.4 se aplican a aplicaciones móviles.
Cómo ImmuniWeb le ayuda a cumplir con IT-Grundschutz
Las pruebas de seguridad de aplicaciones web y móviles de ImmuniWeb respaldan directamente los requisitos de desarrollo seguro y protección de aplicaciones de los módulos pertinentes de IT-Grundschutz. El mapeo a continuación se divide por tipo de aplicación.
Para aplicaciones web — CON.8.A5, CON.10.A, APP.3.1.A
| Requisito | Lo que requiere | Productos ImmuniWeb |
|---|---|---|
| CON.8.A5 | Pruebas de seguridad del software durante todo el ciclo de desarrollo. | ImmuniWeb On-Demand, Neuron, Continuous |
| CON.10.A | Desarrollo seguro de aplicaciones web: validación de entradas, codificación de salidas, autenticación y protección de sesiones. | ImmuniWeb On-Demand, Neuron, Continuous |
| APP.3.1.A | Protección de aplicaciones y servicios web desplegados contra ataques comunes (OWASP), con control de acceso y registro. | ImmuniWeb On-Demand, Neuron, Continuous, Discovery |
Para aplicaciones móviles — CON.8.A5, APP.1.4.A
| Requisito | Lo que requiere | Productos ImmuniWeb |
|---|---|---|
| CON.8.A5 | Pruebas de seguridad del software a lo largo del ciclo de vida del desarrollo (aplicable a aplicaciones móviles). | ImmuniWeb MobileSuite, Neuron Mobile |
| APP.1.4.A | Seguridad de las aplicaciones móviles: minimización de permisos, almacenamiento seguro en el dispositivo y protección de los datos en tránsito. | ImmuniWeb MobileSuite, Neuron Mobile, Continuous |
ImmuniWeb On-Demand ofrece pruebas de penetración manuales de aplicaciones web con un SLA de cero falsos positivos; ImmuniWeb Neuron y Neuron Mobile proporcionan escaneos automatizados de seguridad web y móvil; ImmuniWeb MobileSuite cubre pruebas de penetración móviles completas; e ImmuniWeb Continuous integra las pruebas en su pipeline de CI/CD para un SDLC seguro. ImmuniWeb Discovery mapea y supervisa su superficie de ataque externa.
¿Por qué es importante el cumplimiento de IT-Grundschutz?
IT-Grundschutz es el estándar de facto para la seguridad de la información en Alemania y la vía reconocida para la certificación ISO 27001 basada en IT-Grundschutz. Para las entidades del sector público y los operadores KRITIS, el cumplimiento suele ser un requisito contractual o regulatorio.
Más allá del cumplimiento normativo, cumplir con los módulos de seguridad de aplicaciones reduce el riesgo de brechas originadas en aplicaciones web y móviles vulnerables —uno de los vectores de ataque más comunes— y demuestra debida diligencia ante reguladores, socios y clientes.