En el actual mundo de la seguridad de la información existen por lo menos una docena de normas, marcos y mejores prácticas que nos adentran dentro del camino de la protección de los datos. Por nombrar solo algunas de ellas, estan: COBIT, ISO 27001, NIST SP 800-53. Elegir cual es la que más se ajusta a la organización no es una dicisión fácil de tomar pero que se debe hacer ya que atacar el asunto de forma desorganizada puede traer consecuencias no deseadas, por ello, si se quisiese aprovechar lo mejor de cada uno de estas normas, marcos de trabajo, mejores prácticas y metodologÃas de la industria con el fin de establecer una lÃnea de trabajo consistente y práctica para abordar los riesgos de ciberseguridad actuales, muy seguramente la elección serÃa el Marco de Ciberseguridad del NIST (NIST Cybersecurity Framework).
Este marco está basado y/o hace referencia a los siguientes estándares, directrices y mejores prácticas:
- Control Objectives for Information and Related Technology (COBIT)
- Council on CyberSecurity (CCS) Top 20 Critical Security Controls (CSC)
- ANSI/ISA-62443-2-1 (99.02.01)-2009, Security for Industrial Automation and Control Systems: Establishing an Industrial Automation and Control Systems Security Program
- ANSI/ISA-62443-3-3 (99.03.03)-2013, Security for Industrial Automation and Control Systems: System Security Requirements and Security Levels
- ISO/IEC 27001:2013, Information technology --Security techniques --Information security management systems --Requirements
- NIST SP 800-53 Rev. 4: NIST Special Publication 800-53 Revision 4, Security and Privacy Controls for Federal Information Systems and Organizations
Los objetivos del marco de ciberseguridad del NIST son:
- Identificar estándares de seguridad y guÃas aplicables de forma trasversal a todos los sectores de infraestructuras crÃticas.
- Establecer un lenguaje común para gestionar riesgos de ciberseguridad.
- Proveer un enfoque priorizado, flexible, repetible, neutral, basado en desempeño y efectivo en términos de coste-beneficio basado en las necesidades del negocio.
- Ayudar a los responsables y operadores de infraestructuras crÃticas a identificar, inventariar y gestionar riesgos informáticos.
- Establecer criterios para la definición de métricas para el control del desempeño en la implementación.
- Establecer controles para proteger la propiedad intelectual, la privacidad de los individuos y las libertades civiles cuando se ejecuten actividades de ciberseguridad.
- Identificar áreas de mejora que permitan ser gestionadas a través de colaboraciones futuras con sectores particulares y organizaciones orientadas al desarrollo de estándares.
- No introducir nuevos estándares cuando existan iniciativas ya desarrolladas que cubran los objetivos de la orden ejecutiva.
De acuerdo con lo anterior, los objetivos del marco de trabajo en su implementación en una organización se podrÃan catalogar en los siguientes puntos:
- Describir la postura actual de ciberseguridad
- Describir el estado objetivo de ciberseguridad
- Identificar y priorizar oportunidades de mejora en el contexto de un proceso continuo y repetible
- Evaluar el progreso hacia el estado objetivo
- Comunicación entre las partes interesadas internas y externas sobre el riesgo de ciberseguridad
Todo esto enmarcado en un enfoque orientado a la gestión del riesgo.
El Cybersecurity Framework de NIST utiliza un lenguaje común para guiar a las compañÃas de todos los tamaños a gestionar y reducir los riesgos de ciberseguridad y proteger su información.
El marco comtempla un conjunto de actividades de ciberseguridad, resultados y referencias informativas que son usuales a través de los sectores de infraestructura crÃtica. AsÃ, proporciona la orientación detallada para el desarrollo de perfiles individuales de la organización. Mediante el uso de los perfiles, el marco ayudará a la organización a alinear sus actividades de ciberseguridad con sus requisitos de negocio, tolerancias de riesgo y recursos. Por su parte, los niveles de implementación del marco (tiers) proporcionan un mecanismo para que las empresas puedan ver y comprender las caracterÃsticas de su enfoque para la gestión del riesgo de ciberseguridad.
El framework Core consta de cinco funciones:
- Identificar (Identify): Permite determinar los sistemas, activos, datos y competencias de la organización, su contexto de negocio, los recursos que soportan las funciones crÃticas y los riesgos de ciberseguridad que afectan este entorno.
- Proteger (Protect): Permite desarrollar e implementar las contramedidas y salvaguardas necesarias para limitar o contener el impacto de un evento potencial de ciberseguridad.
- Detectar (Detect): Permite desarrollar e implementar las actividades apropiadas para identificar la ocurrencia de un evento de ciberseguridad a través de la monitorización continua.
- Responder (Respond): Permite la definición y despliegue de actividades para reaccionar frente a un evento de ciberseguridad identificado y mitigar su impacto.
- Recuperar (Recover): Permite el despliegue de actividades para la gestión de resiliencia y el retorno a la operación normal después de un incidente.
Niveles de implementación del marco
Los niveles de Implementación le permiten a la organización catalogarse en un umbral predefinido en función de las practicas actuales de gestión de riesgo, el entorno de amenazas, los requerimientos legales y regulatorios, los objetivos y misión del negocio y las restricciones de la propia empresa.
Perfiles del Marco
Los perfiles se emplean para describir el estado actual (Current profile) de determinadas actividades de ciberseguridad. El análisis diferencial entre perfiles permite la identificación de brechas que deberÃan ser gestionadas para cumplir con los objetivos de gestión de riesgos. De acuerdo con las descripciones anteriores, la arquitectura global del marco de trabajo de ciberseguridad quedarÃa de la siguiente manera:
Implementación del marco
Para implementar un programa de ciberseguridad basado en el CSF del NIST, se debe seguir los siguientes pasos:
- Paso 1 – Priorización y definición de alcance: Mediante la identificación de los objetivos y misión del negocio y las prioridades de alto nivel en términos organizacionales, se decide de forma estratégica el entorno de aplicabilidad de los controles. Este entorno puede ser toda la organización, una lÃnea de negocio en particular o un proceso, teniendo presente que cada uno de estos elementos puede tener diferentes niveles de tolerancia al riesgo.
- Paso 2 – Orientación: Se identifican los sistemas, activos, requerimientos regulatorios, amenazas y vulnerabilidades vinculadas al entorno de aplicabilidad definido.
- Paso 3 – Crear un perfil actual: A través de las funciones del marco básico y empleando las categorÃas y subcategorÃas, se obtienen los resultados de implementación de controles en el entorno.
- Paso 4 – Ejecutar un análisis de riesgos: Se ejecuta un análisis de riesgos que permita determinar la probabilidad y el impacto de eventos de ciberseguridad en el entorno analizado.
- Paso 5 – Crear un perfil objetivo: Se establecen los objetivos que en términos de ciberseguridad la organización pretende cubrir.
- Paso 6 – Determinar, analizar y priorizar las brechas detectadas: Mediante el análisis diferencial entre el perfil actual y el perfil objetivo, se define un plan de acción priorizado en términos de coste/beneficio, que permita la determinación de recursos y acciones de mejora.
- Paso 7 – Implementar el plan de acción: Se procede con la alineación de controles y despliegue de mejoras de forma paulatina y monitorizada.
A manera de conclusión se puede afirmar que el marco de ciberseguridad del NIST ofrece el mejor complendio de lo contemplado en las normas, marcos y mejores prácticas que tratan acerca de la protección de la información. Es sin lugar a dudas un forma fácil y rápida de abordar el tema de protección de la información con respecto a los riesgos digitales.
No hay comentarios:
Publicar un comentario