Cumplimiento del Reglamento de Seguridad de la Información de los Emiratos Árabes Unidos
El Reglamento de Garantía de la Información de los EAU establece controles de seguridad para proteger la infraestructura de información crítica. Conoce cómo ImmuniWeb respalda sus controles técnicos con gestión de vulnerabilidades y pruebas de penetración.
Cumplimiento del Reglamento de seguridad de la información de los EAU (1.1)
¿Qué es la Regulación IA de los EAU?
El Reglamento de IA establece un conjunto de controles de seguridad basados en el riesgo para las organizaciones que operan la infraestructura crítica de información de los EAU. El IAS subyacente contiene 188 controles organizados en dos familias: controles de gestión (gobernanza, gestión de riesgos, políticas, formación y cumplimiento) y controles técnicos (control de acceso, operaciones, comunicaciones y seguridad de aplicaciones e infraestructura).
El Reglamento de IA establece un conjunto de controles de seguridad basados en el riesgo para las organizaciones que operan la infraestructura crítica de información de los EAU. El IAS subyacente contiene 188 controles organizados en dos familias: controles de gestión (gobernanza, gestión de riesgos, políticas, formación y cumplimiento) y controles técnicos (control de acceso, operaciones, comunicaciones y seguridad de aplicaciones e infraestructura).
See how ImmuniWeb supports the UAE IA Regulation's technical controls - vulnerability management and penetration testing of your critical applications.Request a demo· or run a free Community Edition test.
¿Quién debe cumplir con el Reglamento IA de los EAU?
El IA Regulation se aplica a:
- Entidades gubernamentales de los EAU: organismos gubernamentales federales y locales.
- Entidades críticas que operan en los sectores de Infraestructura Nacional Crítica (CII) identificados por las autoridades.
- Otras organizaciones de forma voluntaria, como recomienda encarecidamente el regulador.
Las aplicaciones web, móviles y de API que soportan servicios críticos corresponden a los controles técnicos de la IAS.
Requisitos clave del IA Regulation para la seguridad de las aplicaciones
Dentro de los controles técnicos, varias áreas impulsan el trabajo de seguridad de aplicaciones:
- Gestión de vulnerabilidades: identificar, evaluar y remediar vulnerabilidades en sistemas y aplicaciones.
- Pruebas de seguridad / pruebas de penetración: evaluar la seguridad de los sistemas y aplicaciones críticos, incluidas las pruebas de penetración para dominios de mayor prioridad.
- Configuración segura y seguridad de aplicaciones: endurecer y desarrollar de forma segura las aplicaciones que respaldan los servicios críticos.
Controles técnicos de la Regulación IA de los EAU en profundidad
Gestión de vulnerabilidades y pruebas de penetración
Los controles técnicos del IAS exigen que las organizaciones gestionen las vulnerabilidades y prueben la seguridad de sus sistemas críticos. Las pruebas de penetración y el escaneo de vulnerabilidades de las aplicaciones web y móviles, así como de las API que soportan servicios críticos, identifican los problemas que deben remediarse y proporcionan evidencia para las auditorías.
Asegurar aplicaciones e infraestructura críticas
Los controles de seguridad de la aplicación y la infraestructura requieren que los sistemas que soportan los servicios críticos estén endurecidos y desarrollados de manera segura. Incorporar las pruebas en el desarrollo y volver a probar tras los cambios mantiene estas aplicaciones seguras y demuestra la efectividad de los controles.
Riesgos comunes en aplicaciones web y móviles a abordar
Las vulnerabilidades en la aplicación que los controles técnicos esperan que se aborden coinciden estrechamente con el OWASP Top 10:
- Control de acceso roto — los usuarios acceden a datos o acciones que no deberían.
- Fallos Criptográficos: cifrado débil o ausente que expone datos sensibles.
- Inyección — Inyección SQL, de comandos u otro tipo a través de entradas no validadas.
- Insecure Design — controles de seguridad ausentes por diseño, no solo por errores.
- Security Misconfiguration: configuración por defecto, incompleta o insegura.
- Componentes vulnerables y desactualizados — librerías y frameworks sin parches.
- Fallos de identificación y autenticación: gestión débil de inicios de sesión, sesiones o credenciales.
- Fallos en la integridad del software y de los datos: actualizaciones no fiables, procesos de CI/CD inseguros.
- Fallos en el registro y monitoreo de seguridad: ataques que pasan desapercibidos.
- Server-Side Request Forgery (SSRF) — el servidor es engañado para realizar solicitudes maliciosas.
For mobile apps, the OWASP Mobile Top 10 is the equivalent reference (insecure data storage, insecure communication, weak cryptography, and so on). Reliably finding these issues requires testing the running application, not just a documentation review.
Cómo apoyar el UAE IA Regulation con ImmuniWeb
- Identifique los activos críticos. Realice un inventario de las aplicaciones y APIs expuestas a Internet que apoyan servicios críticos con ImmuniWeb Discovery.
- Gestione las vulnerabilidades con Neuron scanning y tracked remediation.
- Realiza pruebas de penetración en aplicaciones web y móviles con On-Demand y MobileSuite.
- Configuración y desarrollo seguros con Continuous en CI/CD.
- Remediar y volver a probar con informes accionables y sin falsos positivos.
- Prepare evidencia para las evaluaciones y auditorías de controles IAS.
Cómo ImmuniWeb le ayuda a cumplir con la Regulación de IA de los EAU
ImmuniWeb respalda los controles técnicos del Reglamento IA —gestión de vulnerabilidades y pruebas de penetración— con evidencia lista para la evaluación.
| Requisito | Lo que requiere | Productos ImmuniWeb |
|---|---|---|
| Pruebas de penetración | Evalúa la seguridad de los sistemas y aplicaciones críticos. | On-Demand, MobileSuite |
| Vulnerability management | Identificar, evaluar y remediar vulnerabilidades. | Neuron, Discovery |
| Configuración segura y seguridad de aplicaciones | Endurece y desarrolla de forma segura las aplicaciones críticas. | Continuous, On-Demand |
ImmuniWeb On-Demand y MobileSuite ofrecen pruebas de penetración web y móviles; Neuron y Neuron Mobile proporcionan escaneos automatizados; Continuous integra las pruebas en CI/CD; y Discovery mapea la superficie de ataque de sus servicios críticos, generando evidencia para las evaluaciones de controles IAS.
UAE IA Regulation frente a marcos internacionales
Si ya trabaja con estándares internacionales, las mismas pruebas de ImmuniWeb apoyan todos ellos:
| Framework | Perspectiva de la seguridad de aplicaciones | Cómo mapea ImmuniWeb |
|---|---|---|
| UAE IA Regulation | Gestión de vulnerabilidades + pruebas de penetración | Pruebas de penetración web/móvil, escaneo, ASM |
| UAE PDPL | Medidas de seguridad para la protección de datos | Las mismas pruebas cubren ambos |
| ECC de la NCA de Arabia Saudí | Essential Cybersecurity Controls | Las mismas pruebas cubren ambos |
| ISO/IEC 27001 | Controles técnicos del Anexo A | Pruebas como evidencia de controles |
Pruebas de penetración frente a escaneo de seguridad
Both are needed. El escaneo automatizado (DAST) proporciona una cobertura amplia y frecuente, siendo ideal para las pruebas continuas en CI/CD; las pruebas de penetración manuales detectan vulnerabilidades de lógica de negocio y complejas que los escáneres pasan por alto, y ofrecen la profundidad que esperan los auditores y reguladores. Combina el escaneo continuo con pruebas de penetración manuales periódicas, y vuelve a probar tras cambios significativos.
Lista de verificación de cumplimiento (Application Security)
- Critical apps, APIs and assets identified and inventoried
- Aplicaciones web probadas contra el Top 10 de OWASP
- Aplicaciones móviles probadas conforme al OWASP Mobile Top 10
- Gestión de vulnerabilidades implementada (controles técnicos)
- Pruebas de penetración realizadas en dominios de mayor prioridad
- Los hallazgos se remedian y se revalidan; se conserva la evidencia.
- Evidencia preparada para las evaluaciones y auditorías de los controles de la IAS
Por qué es importante el cumplimiento del UAE IA Regulation
El IA Regulation es obligatorio para las entidades gubernamentales de los EAU y los operadores de infraestructuras críticas, y la SIA supervisa su aplicación. El incumplimiento puede dar lugar a un mayor escrutinio, auditorías, sanciones financieras proporcionales a la gravedad y, en algunos casos, a la suspensión de las operaciones.
Dado que las aplicaciones web, móviles y de API que soportan servicios críticos representan la principal superficie de ataque, la gestión de vulnerabilidades demostrable y las pruebas de penetración se encuentran entre las formas más directas de acreditar los controles técnicos IAS.