Cumplimiento del Marco de Seguridad de la Información de Pakistán (PISF)
El Pakistan Information Security Framework (PISF) define los controles nacionales de ciberseguridad, incluida la seguridad de las aplicaciones web y un SDLC seguro. Descubra cómo ImmuniWeb le ayuda a cumplir.
Cumplimiento del Marco de Seguridad de la Información de Pakistán (PISF)
El Marco de Seguridad de la Información de Pakistán (PISF) es el marco nacional de ciberseguridad publicado por PKCERT, el Equipo Nacional de Respuesta a Emergencias Informáticas de Pakistán. Agrupa los requisitos de seguridad en dominios y controles que se espera que las organizaciones adopten —y demuestren durante las auditorías— para proteger sus sistemas, aplicaciones y datos. Entre ellos, los controles de seguridad de aplicaciones del Dominio 11 son directamente relevantes para cualquier organización que desarrolle o ejecute aplicaciones web y móviles. El marco oficial se publica en el sitio web de PKCERT (pkcert.gov.pk).
¿Qué es el Marco de Seguridad de la Información de Pakistán (PISF)?
El PISF es el marco nacional de Pakistán para la seguridad de la información, publicado por PKCERT (el CERT nacional, establecido en 2024 y que opera bajo la División del Gabinete). Traduce las expectativas nacionales de ciberseguridad en un conjunto estructurado de dominios, cada uno de los cuales contiene controles específicos y auditables que las organizaciones implementan para proteger sus activos de información.
El PISF está diseñado para su adopción en el mundo real: las organizaciones realizan una evaluación de brechas frente a los controles, elaboran una hoja de ruta de implementación y se preparan para auditorías formales. Para respaldar esto, PKCERT ha introducido un esquema de registro para consultores de ciberseguridad en seguridad de TI, seguridad de Tecnología Operativa (OT) y seguridad en la nube, organizado en niveles profesionales, para que las evaluaciones de brechas y la preparación para auditorías se realicen con un estándar consistente.
El PISF se enmarca dentro de las reformas más amplias de ciberseguridad de Pakistán, incluida la Cybersecurity Act 2025, que establece la National Cybersecurity Authority (NCA) y amplía el mandato de PKCERT para la respuesta nacional a incidentes y la threat intelligence.
Cómo encaja el PISF en el panorama de la ciberseguridad de Pakistán
El PISF no existe de forma aislada. Complementa las iniciativas nacionales y las normas sectoriales, y se alinea conceptualmente con los estándares internacionales, lo que lo hace familiar para las organizaciones que ya trabajan hacia la ISO 27001 o el NIST:
- PKCERT & NCA: respuesta nacional a incidentes, avisos e inteligencia sobre amenazas; el PISF es el marco de control al que se alinean las organizaciones.
- Cybersecurity Act 2025: crea la National Cybersecurity Authority y fortalece las obligaciones nacionales.
- Expectativas del sector: las instituciones financieras también cumplen con los requisitos de seguridad del Banco Estatal de Pakistán; el PISF proporciona una línea base común entre todos los sectores.
- Alineación internacional: El modelo de controles y dominios de PISF refleja la norma ISO/IEC 27001 y el NIST Cybersecurity Framework, y sus controles de seguridad de aplicaciones se alinean claramente con el OWASP Top 10 y las mejores prácticas de secure-SDLC.
¿Quiénes deben cumplir con PISF?
El PISF está dirigido a organizaciones cuya seguridad afecta materialmente a la resiliencia nacional, y a los proveedores que les prestan servicios:
- Cuerpos gubernamentales y entidades del sector público.
- Operadores de infraestructura crítica nacional (energía, telecomunicaciones, transporte, etc.).
- Servicios financieros — bancos y fintech, complementando las expectativas del State Bank of Pakistan.
- Proveedores y distribuidores de tecnología que crean u operan sistemas y aplicaciones para lo anterior.
En la práctica, el cumplimiento es un ciclo: una evaluación de brechas frente a los controles del PISF, una hoja de ruta de implementación para cerrar las brechas, la recopilación de evidencias, una auditoría formal y un monitoreo continuo. Cualquier organización que desarrolle o ejecute aplicaciones web y móviles orientadas a Internet que manejen datos sensibles deberá satisfacer los controles de seguridad de aplicaciones del Domain 11.
Cómo está estructurado el PISF: Dominios y Controles
El PISF organiza los requisitos en dominios numerados, cada uno de los cuales contiene controles individuales identificados mediante códigos (por ejemplo, el dominio de seguridad de aplicaciones mencionado en esta página es el Domain 11). Los controles describen una expectativa específica y verificable: lo que debe estar en su lugar y ser demostrable ante un auditor.
Esta página se centra en los dos controles más relevantes para la seguridad de aplicaciones: EDC-WAS-07.6 (Web Application Security) y ESSDLC-SDLC-2.1 (Secure Software Development Life Cycle). La redacción exacta de cada control debe tomarse siempre del documento oficial del PISF publicado por PKCERT.
Requisitos de seguridad de aplicaciones del PISF en profundidad
EDC-WAS-07.6 — Seguridad de aplicaciones web
Este control aborda la seguridad de las aplicaciones web: se espera que las organizaciones protejan las aplicaciones web contra vulnerabilidades comunes y las prueben periódicamente. En la práctica, esto significa defenderse contra el OWASP Top 10 (inyección, control de acceso roto, fallos de autenticación y más), validar la entrada y codificar la salida, asegurar sesiones y APIs, y verificar —mediante pruebas— que estas protecciones realmente sostienen antes y después del lanzamiento.
ESSDLC-SDLC-2.1 — Ciclo de vida del desarrollo de software seguro
Este control requiere que la seguridad se integre a lo largo del ciclo de vida del desarrollo de software, en lugar de añadirse al final. Esto implica el modelado de amenazas y los requisitos de seguridad desde el inicio, la codificación segura y la revisión de código durante el desarrollo, las pruebas de seguridad antes del lanzamiento y las pruebas continuas en CI/CD: el enfoque «shift-left», también conocido como DevSecOps.
Vulnerabilidades comunes de las aplicaciones web que PISF espera que aborde
Los controles de seguridad de las aplicaciones se corresponden estrechamente con el OWASP Top 10, la lista estándar del sector de los riesgos de aplicaciones web más críticos. Tanto los auditores como los atacantes los buscan:
- Control de acceso roto — los usuarios acceden a datos o acciones que no deberían.
- Fallos Criptográficos: cifrado débil o ausente que expone datos sensibles.
- Inyección: inyección SQL, de comandos u otra mediante entrada no validada.
- Insecure Design — falta de controles de seguridad por diseño, no solo por errores.
- Security Misconfiguration: configuración predeterminada, incompleta o insegura.
- Componentes vulnerables y obsoletos: bibliotecas y frameworks sin parches.
- Fallos de identificación y autenticación — gestión deficiente de inicios de sesión, sesiones o credenciales.
- Fallos de integridad del software y los datos: actualizaciones no fiables, procesos de CI/CD inseguros.
- Security Logging & Monitoring Failures — ataques que pasan desapercibidos.
- Server-Side Request Forgery (SSRF): el servidor es engañado para realizar solicitudes maliciosas.
Para las aplicaciones móviles, la referencia equivalente es el OWASP Mobile Top 10 (almacenamiento de datos inseguro, comunicación insegura, criptografía débil, etc.). Detectar estos problemas de manera fiable requiere probar la aplicación en ejecución, no solo revisar la documentación.
Creación de un SDLC seguro para PISF (ESSDLC-SDLC-2.1)
Un SDLC seguro integra una actividad de seguridad en cada fase. Esto es lo que un auditor espera ver demostrado:
| Fase del SDLC | Actividad de seguridad | ImmuniWeb |
|---|---|---|
| Requisitos | Requisitos de seguridad, modelado de amenazas | - |
| Diseño | Revisión de la arquitectura y el diseño seguro | - |
| Implementación | Estándares de codificación segura, revisión de código | - |
| Pruebas | DAST, pruebas de penetración manuales | On-Demand, Neuron, MobileSuite, Neuron Mobile |
| Lanzamiento / CI-CD | Controles de pruebas automatizadas en el pipeline | Continuous |
| Operaciones | Escaneo continuo, repruebas periódicas, ASM | Continuous, Discovery |
Cómo prepararse para una auditoría de PISF (Paso a paso)
- Defina el alcance de sus activos. Realice un inventario de las aplicaciones web, las APIs y las aplicaciones móviles orientadas a Internet mediante la gestión de la superficie de ataque (ImmuniWeb Discovery).
- Ejecute una evaluación de brechas de sus aplicaciones contra los controles del Dominio 11 (seguridad de aplicaciones web, SDLC seguro).
- Pruebe aplicaciones web con pruebas de penetración manuales (On-Demand) y análisis automatizados (Neuron).
- Pruebe las aplicaciones móviles con MobileSuite y Neuron Mobile.
- Remedie y vuelva a probar utilizando informes accionables y sin falsos positivos para generar evidencia de auditoría.
- Integrar las pruebas en CI/CD con Continuous para cumplir continuamente con el control de secure-SDLC.
- Mantener las pruebas mediante monitoreo continuo y pruebas periódicas entre auditorías.
Cómo ImmuniWeb le ayuda a cumplir con el PISF
ImmuniWeb soporta directamente los controles de seguridad de aplicaciones del Dominio 11 mediante pruebas que generan evidencia clara y lista para auditorías.
| Requisito | Lo que requiere | Productos ImmuniWeb |
|---|---|---|
| EDC-WAS-07.6 | Asegure y pruebe periódicamente las aplicaciones web contra vulnerabilidades (OWASP Top 10), con remediación oportuna. | ImmuniWeb On-Demand, Neuron, Continuous |
| ESSDLC-SDLC-2.1 | Integrar pruebas de seguridad en cada fase del SDLC (DevSecOps, CI/CD). | ImmuniWeb Continuous, Neuron, On-Demand |
ImmuniWeb On-Demand ofrece pruebas de penetración manuales en aplicaciones web con un SLA de cero falsos positivos e informes listos para el cumplimiento normativo. ImmuniWeb Neuron y Neuron Mobile proporcionan escaneos automatizados de aplicaciones web y móviles. ImmuniWeb MobileSuite abarca pruebas de penetración completas para aplicaciones móviles. ImmuniWeb Continuous integra las pruebas en CI/CD para un SDLC seguro, e ImmuniWeb Discovery mapea su superficie de ataque externa para que ninguna aplicación quede sin probar.
PISF frente a marcos internacionales
Si ya trabajas con normas internacionales, PISF te resultará familiar, y las mismas pruebas de ImmuniWeb son compatibles con todas ellas:
| Framework | Perspectiva de la seguridad de aplicaciones | Cómo mapea ImmuniWeb |
|---|---|---|
| PISF (Pakistan) | Ámbito 11: seguridad de aplicaciones web + SDLC seguro | Pruebas de penetración web/móvil, escaneo, pruebas en CI/CD |
| ISO/IEC 27001 | Controles técnicos del Anexo A | Pruebas de penetración y escaneo como evidencia de control |
| NIST CSF 2.0 | funciones Protect / Detect | Pruebas de aplicaciones y monitoreo continuo |
| PCI DSS 4.0.1 | Req 6 (secure dev) y Req 11 (testing) | Pruebas de penetración de aplicaciones web + escaneo de vulnerabilidades |
| OWASP ASVS | Niveles de verificación para aplicaciones web | Pruebas alineadas con los requisitos de ASVS |
Pruebas de penetración vs. escaneo de seguridad para PISF
Ambos son necesarios. El escaneo automatizado (DAST) ofrece una cobertura amplia y frecuente, siendo ideal para pruebas continuas en CI/CD; las pruebas de penetración manuales identifican vulnerabilidades complejas y de lógica de negocio que los escáneres pasan por alto, y proporcionan la profundidad que esperan los auditores. Para el PISF, combine el escaneo continuo con pruebas de penetración manuales periódicas y vuelva a probar tras cambios significativos.
Lista de verificación de cumplimiento de PISF (Seguridad de aplicaciones)
- Inventario completo de aplicaciones web, APIs y aplicaciones móviles orientadas a Internet
- Aplicaciones web probadas contra el Top 10 de OWASP
- Aplicaciones móviles probadas conforme al OWASP Mobile Top 10
- Pruebas de seguridad integradas en el pipeline CI/CD (SDLC seguro)
- Hallazgos subsanados y re-evaluados, con evidencia conservada
- Monitoreo continuo y re-pruebas periódicas en vigor
- Informes listos para auditoría mapeados a los controles del Dominio 11
Por qué es importante el cumplimiento del PISF
El PISF se está convirtiendo en la referencia común para la madurez en ciberseguridad en Pakistán, especialmente para el sector público, las infraestructuras críticas y los servicios financieros. Demostrar el cumplimiento respalda los contratos gubernamentales y empresariales, las auditorías y las relaciones regulatorias, y transmite confianza a socios y clientes.
También aborda riesgos reales. Pakistán ha experimentado filtraciones de datos de alto perfil, y las aplicaciones web y móviles siguen siendo algunos de los puntos de entrada más explotados por los atacantes. Cumplir con los controles del Domain 11 —mediante pruebas reales, no solo documentación— reduce significativamente la probabilidad de una brecha, interrupción del servicio, pérdidas económicas y daños a la reputación.
Preguntas frecuentes
Glosario
- PKCERT —Equipo Nacional de Respuesta ante Emergencias Informáticas de Pakistán — editor del PISF.
- NCA — National Cybersecurity Authority, established under the Cybersecurity Act 2025.
- Dominio / Control — El PISF agrupa los requisitos en dominios; cada control es una expectativa específica y auditable.
- Secure SDLC — Un ciclo de vida de desarrollo de software con una actividad de seguridad integrada en cada fase.
- DAST —Dynamic Application Security Testing — prueba de una aplicación en ejecución para detectar vulnerabilidades.
- Pruebas de penetración — Pruebas manuales dirigidas por expertos que detectan vulnerabilidades complejas y de lógica de negocio.
- OWASP Top 10 — La lista estándar de la industria de los riesgos de seguridad más críticos en aplicaciones web.
- Evaluación de brechas — Una revisión de los controles actuales frente a PISF para identificar las carencias antes de una auditoría.