Para garantizar la mejor experiencia de navegación, active JavaScript en su navegador web. Sin él, muchas funciones del sitio web no estarán disponibles.


Total de pruebas:
485,773,462
737,046
130,956

Cumplimiento del Reglamento de Seguridad de la Información de los Emiratos Árabes Unidos

El Reglamento de Garantía de la Información de los EAU establece controles de seguridad para proteger la infraestructura de información crítica. Conoce cómo ImmuniWeb respalda sus controles técnicos con gestión de vulnerabilidades y pruebas de penetración.

Tiempo de lectura:8 min. Actualizado:8 de julio de 2025
Cumplimiento del Reglamento de seguridad de la información de los EAU (1.1)
Rellene los campos resaltados en rojo a continuación.

Hable con un especialista sobre
el cumplimiento del UAE Information Assurance Regulation (1.1)

  • Comience su prueba gratuita de los productos de ImmuniWeb
  • Reciba precios personalizados
  • Hable con nuestros expertos técnicos.
Gartner Cool Vendor
SC Media
Innovador de IDC
*
*
Privado y confidencialSus datos permanecerán privados y confidenciales.

Cumplimiento del Reglamento de seguridad de la información de los EAU (1.1)

¿Qué es la Regulación IA de los EAU?

El Reglamento de IA establece un conjunto de controles de seguridad basados en el riesgo para las organizaciones que operan la infraestructura crítica de información de los EAU. El IAS subyacente contiene 188 controles organizados en dos familias: controles de gestión (gobernanza, gestión de riesgos, políticas, formación y cumplimiento) y controles técnicos (control de acceso, operaciones, comunicaciones y seguridad de aplicaciones e infraestructura).

El Reglamento de IA establece un conjunto de controles de seguridad basados en el riesgo para las organizaciones que operan la infraestructura crítica de información de los EAU. El IAS subyacente contiene 188 controles organizados en dos familias: controles de gestión (gobernanza, gestión de riesgos, políticas, formación y cumplimiento) y controles técnicos (control de acceso, operaciones, comunicaciones y seguridad de aplicaciones e infraestructura).

See how ImmuniWeb supports the UAE IA Regulation's technical controls - vulnerability management and penetration testing of your critical applications.Request a demo· or run a free Community Edition test.

¿Quién debe cumplir con el Reglamento IA de los EAU?

El IA Regulation se aplica a:

  • Entidades gubernamentales de los EAU: organismos gubernamentales federales y locales.
  • Entidades críticas que operan en los sectores de Infraestructura Nacional Crítica (CII) identificados por las autoridades.
  • Otras organizaciones de forma voluntaria, como recomienda encarecidamente el regulador.

Las aplicaciones web, móviles y de API que soportan servicios críticos corresponden a los controles técnicos de la IAS.

Requisitos clave del IA Regulation para la seguridad de las aplicaciones

Dentro de los controles técnicos, varias áreas impulsan el trabajo de seguridad de aplicaciones:

  • Gestión de vulnerabilidades: identificar, evaluar y remediar vulnerabilidades en sistemas y aplicaciones.
  • Pruebas de seguridad / pruebas de penetración: evaluar la seguridad de los sistemas y aplicaciones críticos, incluidas las pruebas de penetración para dominios de mayor prioridad.
  • Configuración segura y seguridad de aplicaciones: endurecer y desarrollar de forma segura las aplicaciones que respaldan los servicios críticos.

Controles técnicos de la Regulación IA de los EAU en profundidad

Gestión de vulnerabilidades y pruebas de penetración

Los controles técnicos del IAS exigen que las organizaciones gestionen las vulnerabilidades y prueben la seguridad de sus sistemas críticos. Las pruebas de penetración y el escaneo de vulnerabilidades de las aplicaciones web y móviles, así como de las API que soportan servicios críticos, identifican los problemas que deben remediarse y proporcionan evidencia para las auditorías.

Asegurar aplicaciones e infraestructura críticas

Los controles de seguridad de la aplicación y la infraestructura requieren que los sistemas que soportan los servicios críticos estén endurecidos y desarrollados de manera segura. Incorporar las pruebas en el desarrollo y volver a probar tras los cambios mantiene estas aplicaciones seguras y demuestra la efectividad de los controles.

Riesgos comunes en aplicaciones web y móviles a abordar

Las vulnerabilidades en la aplicación que los controles técnicos esperan que se aborden coinciden estrechamente con el OWASP Top 10:

  • Control de acceso roto — los usuarios acceden a datos o acciones que no deberían.
  • Fallos Criptográficos: cifrado débil o ausente que expone datos sensibles.
  • Inyección — Inyección SQL, de comandos u otro tipo a través de entradas no validadas.
  • Insecure Design — controles de seguridad ausentes por diseño, no solo por errores.
  • Security Misconfiguration: configuración por defecto, incompleta o insegura.
  • Componentes vulnerables y desactualizados — librerías y frameworks sin parches.
  • Fallos de identificación y autenticación: gestión débil de inicios de sesión, sesiones o credenciales.
  • Fallos en la integridad del software y de los datos: actualizaciones no fiables, procesos de CI/CD inseguros.
  • Fallos en el registro y monitoreo de seguridad: ataques que pasan desapercibidos.
  • Server-Side Request Forgery (SSRF) — el servidor es engañado para realizar solicitudes maliciosas.

For mobile apps, the OWASP Mobile Top 10 is the equivalent reference (insecure data storage, insecure communication, weak cryptography, and so on). Reliably finding these issues requires testing the running application, not just a documentation review.

Cómo apoyar el UAE IA Regulation con ImmuniWeb

  1. Identifique los activos críticos. Realice un inventario de las aplicaciones y APIs expuestas a Internet que apoyan servicios críticos con ImmuniWeb Discovery.
  2. Gestione las vulnerabilidades con Neuron scanning y tracked remediation.
  3. Realiza pruebas de penetración en aplicaciones web y móviles con On-Demand y MobileSuite.
  4. Configuración y desarrollo seguros con Continuous en CI/CD.
  5. Remediar y volver a probar con informes accionables y sin falsos positivos.
  6. Prepare evidencia para las evaluaciones y auditorías de controles IAS.

Cómo ImmuniWeb le ayuda a cumplir con la Regulación de IA de los EAU

ImmuniWeb respalda los controles técnicos del Reglamento IA —gestión de vulnerabilidades y pruebas de penetración— con evidencia lista para la evaluación.

Requisito Lo que requiere Productos ImmuniWeb
Pruebas de penetración Evalúa la seguridad de los sistemas y aplicaciones críticos. On-Demand, MobileSuite
Vulnerability management Identificar, evaluar y remediar vulnerabilidades. Neuron, Discovery
Configuración segura y seguridad de aplicaciones Endurece y desarrolla de forma segura las aplicaciones críticas. Continuous, On-Demand

ImmuniWeb On-Demand y MobileSuite ofrecen pruebas de penetración web y móviles; Neuron y Neuron Mobile proporcionan escaneos automatizados; Continuous integra las pruebas en CI/CD; y Discovery mapea la superficie de ataque de sus servicios críticos, generando evidencia para las evaluaciones de controles IAS.

UAE IA Regulation frente a marcos internacionales

Si ya trabaja con estándares internacionales, las mismas pruebas de ImmuniWeb apoyan todos ellos:

Framework Perspectiva de la seguridad de aplicaciones Cómo mapea ImmuniWeb
UAE IA Regulation Gestión de vulnerabilidades + pruebas de penetración Pruebas de penetración web/móvil, escaneo, ASM
UAE PDPL Medidas de seguridad para la protección de datos Las mismas pruebas cubren ambos
ECC de la NCA de Arabia Saudí Essential Cybersecurity Controls Las mismas pruebas cubren ambos
ISO/IEC 27001 Controles técnicos del Anexo A Pruebas como evidencia de controles

Pruebas de penetración frente a escaneo de seguridad

Both are needed. El escaneo automatizado (DAST) proporciona una cobertura amplia y frecuente, siendo ideal para las pruebas continuas en CI/CD; las pruebas de penetración manuales detectan vulnerabilidades de lógica de negocio y complejas que los escáneres pasan por alto, y ofrecen la profundidad que esperan los auditores y reguladores. Combina el escaneo continuo con pruebas de penetración manuales periódicas, y vuelve a probar tras cambios significativos.

Lista de verificación de cumplimiento (Application Security)

  • Critical apps, APIs and assets identified and inventoried
  • Aplicaciones web probadas contra el Top 10 de OWASP
  • Aplicaciones móviles probadas conforme al OWASP Mobile Top 10
  • Gestión de vulnerabilidades implementada (controles técnicos)
  • Pruebas de penetración realizadas en dominios de mayor prioridad
  • Los hallazgos se remedian y se revalidan; se conserva la evidencia.
  • Evidencia preparada para las evaluaciones y auditorías de los controles de la IAS

Por qué es importante el cumplimiento del UAE IA Regulation

El IA Regulation es obligatorio para las entidades gubernamentales de los EAU y los operadores de infraestructuras críticas, y la SIA supervisa su aplicación. El incumplimiento puede dar lugar a un mayor escrutinio, auditorías, sanciones financieras proporcionales a la gravedad y, en algunos casos, a la suspensión de las operaciones.

Dado que las aplicaciones web, móviles y de API que soportan servicios críticos representan la principal superficie de ataque, la gestión de vulnerabilidades demostrable y las pruebas de penetración se encuentran entre las formas más directas de acreditar los controles técnicos IAS.

Preguntas frecuentes

  • P
    What is the UAE Information Assurance Regulation?
    A
    El marco nacional de los EAU (versión 1.1) para la protección de la infraestructura de información crítica, implementado a través de la TDRA y supervisado por la Agencia de Inteligencia de Señales (anteriormente NESA), basado en las Normas de Garantía de la Información (IAS) de los EAU.
  • P
    ¿Quién supervisa el Reglamento de IA?
    A
    La Agencia de Inteligencia de Señales de los EAU (SIA), anteriormente la Autoridad Nacional de Seguridad Electrónica (NESA), con el reglamento impartido a través de la TDRA.
  • P
    ¿A quién obliga el Reglamento de IA?
    A
    Entidades gubernamentales de los EAU y organizaciones que operan infraestructuras nacionales críticas; se recomienda encarecidamente a otras organizaciones adoptar voluntariamente las normas.
  • P
    ¿Cuáles son los controles del IAS?
    A
    188 controles de seguridad en las categorías de gestión y técnicas, con prioridades asignadas desde P1 (obligatorio) hasta P4 (basado en el riesgo).
  • P
    ¿El Reglamento de Garantía de Información exige pruebas de penetración?
    A
    Los controles técnicos exigen la gestión de vulnerabilidades y las pruebas de seguridad, incluidas las pruebas de penetración para los dominios de mayor prioridad.
  • P
    ¿Cómo ayuda ImmuniWeb a cumplir con la normativa de Garantía de Información (IA) de los EAU?
    A
    Por proporcionar penetration testing y vulnerability management para las aplicaciones web, móviles y APIs que respaldan servicios críticos, junto con evidencia para las evaluaciones IAS.
Rellene los campos resaltados en rojo a continuación.

Hable con un especialista sobre
el cumplimiento del UAE Information Assurance Regulation (1.1)

  • Comience su prueba gratuita de los productos de ImmuniWeb
  • Reciba precios personalizados
  • Hable con nuestros expertos técnicos.
Gartner Cool Vendor
SC Media
Innovador de IDC
*
*
Privado y confidencialSus datos permanecerán privados y confidenciales.
Hable con un experto