Con la creciente interconexión y la cantidad de información y activos digitales que las organizaciones almacenan y procesan, uno de los mayores desafíos de la actualidad es proteger esa información.
En consecuencia, los ataques cibernéticos se han vuelto más generalizados y sofisticados, impactando las infraestructuras críticas de muchas organizaciones y obteniendo acceso a sus activos más valiosos. Además de invertir en tecnología, las organizaciones deben recurrir a políticas relevantes y marcos estándar de la industria para informar mejor sus prácticas. Es un paso fundamental para mantener la seguridad de los datos y los sistemas y gestionar el riesgo de ciberseguridad de forma eficaz.
Un marco de ciberseguridad es un conjunto de estándares, pautas, lenguaje común y mejores prácticas que las organizaciones utilizan para gestionar mejor los riesgos de ciberseguridad y mejorar sus programas de ciberseguridad. Estas herramientas altamente beneficiosas también ayudan a las organizaciones a comunicarse de manera más sólida, tanto internamente como con terceros en áreas que incluyen compartir información sobre ataques.
Uno de estos marcos es el marco de ciberseguridad del NIST, ampliamente considerado el estándar de oro para abordar y administrar los riesgos de seguridad de una manera rentable, en función de las necesidades comerciales de una organización. Hoy profundizaremos en el marco de ciberseguridad del NIST y nos familiarizaremos con sus componentes y pautas.
Indice
Descripción general del marco de Ciberseguridad del NIST
Creado por el Instituto Nacional de Estándares y Tecnología (NIST), una agencia gubernamental que trabaja en muchas áreas de la tecnología, este marco para mejorar la ciberseguridad de la infraestructura crítica llenó el vacío creado por la falta de estándares unificados para la ciberseguridad y la gestión de riesgos en todas las organizaciones.
Este conjunto particular de estándares, pautas y prácticas se considera un elemento básico para cualquier organización que trabaje para construir o mejorar su programa de ciberseguridad, así como su capacidad para detectar, responder, prevenir y recuperarse de ciberataques.
El Marco no reemplaza el programa de gestión de riesgos o ciberseguridad de una organización; más bien, complementa el programa existente y proporciona valor al actuar como una herramienta de evaluación y gestión de riesgos y seguridad de alto nivel. Las organizaciones pueden aprovechar el Marco para identificar oportunidades para fortalecer y comunicar su gestión de riesgos de ciberseguridad mientras se alinean con las prácticas de la industria.
Está diseñado para empresas, agencias gubernamentales y organizaciones sin fines de lucro, independientemente de su enfoque o tamaño. Por lo general, una organización comienza utilizando el marco para desarrollar un «Perfil actual», que describe sus actividades de ciberseguridad y sus resultados. Luego, puede crear un «Perfil de destino» o adoptar un perfil de línea de base adaptado a su sector industrial o tipo de organización. Luego, puede definir pasos para permitir su transición de su perfil actual a su perfil de destino.
NIST describe el Marco como un enfoque basado en riesgos para la gestión de riesgos de ciberseguridad y, como tal, contiene tres componentes: Núcleo, Niveles de implementación y Perfiles. Cada componente fortalece la conexión entre las actividades que impulsan los resultados operativos y financieros de un negocio y las actividades de ciberseguridad en ese negocio.
Framework Core
El NIST Framework Core proporciona una recopilación de actividades que ayudan a las organizaciones a lograr resultados específicos, todas con ejemplos prácticos que las guiarán hacia esos resultados. Contiene referencias a estándares, pautas y prácticas de la industria que permiten la comunicación de actividades y resultados de ciberseguridad en toda la organización.
Diseñado para mejorar las prácticas de ciberseguridad existentes en una organización, los cuatro elementos del núcleo (funciones, categorías, subcategorías y referencias informativas) están dirigidos a objetivos específicos:
- Las funciones organizan actividades básicas de ciberseguridad en su nivel más alto, que son Identificar, Proteger, Detectar, Responder y Recuperar. Actúan como un esquema de las medidas y procesos de seguridad que todas las organizaciones deberían tener implementadas. Las funciones pueden ayudar a las organizaciones a comunicar las actividades de ciberseguridad en todas las organizaciones, desde las operaciones de alto nivel hasta el nivel ejecutivo, y presentar un ciclo de vida de seguridad, lo que ayuda a abordar las amenazas y aprender de las actividades anteriores.
- Las categorías representan segmentos de funciones y presentan grupos de actividades de ciberseguridad que son más detalladas que las funciones generalizadas. Algunos ejemplos de categorías son seguridad de datos, capacitación en concientización, control de acceso, entre otros.
- Las subcategorías van más en detalle que las categorías y muestran resultados específicos, así como actividades técnicas y de gestión. Apoyan cada logro de un resultado para una categoría. Los ejemplos incluyen políticas de seguridad de la información establecidas, vulnerabilidades identificadas y documentadas y amenazas de red y similares.
- Las referencias informativas se refieren a estándares, pautas y prácticas específicas de la industria. Son citas de actividades de ciberseguridad relacionadas de otros estándares o pautas y brindan información adicional sobre cómo lograr resultados en cada subcategoría.
Funciones principales
Ahora que tenemos una descripción general del Framework Core, es importante entrar en el meollo de cada una de las funciones y sus categorías y cómo puedes implementarlas en tu organización.
Identificar
Identificar, la primera de las cinco funciones del Marco, también proporciona la base para todas las demás actividades de ciberseguridad. Después de esta función, tu organización podrá identificar todos los sistemas y activos críticos de su infraestructura, aumentando la visibilidad, lo cual es de suma importancia con los avances en la computación en la nube y el aumento de la TI en la sombra.
Después de todo, no puedes asegurar lo que no puedes ver. Al mismo tiempo, ayuda a priorizar acciones que protegerán primero las áreas críticas, ya que generalmente contienen los datos más confidenciales (como propiedad intelectual, datos de clientes y registros financieros).
Las categorías en la función Identificar son:
- Gestión de activos
- Entorno empresarial
- Gobierno
- Evaluación de Riesgos y
- Estrategia de Gestión de Riesgos.
Proteger
Una vez que se identifican y priorizan la infraestructura y los activos críticos en la primera función, es hora de priorizar sus actividades de ciberseguridad en torno a su protección. Fiel a su nombre, la función Protect aumenta la capacidad de tu organización para minimizar los efectos de los incidentes de ciberseguridad y te ayuda a desarrollar las defensas que necesitas.
También se centra en la concienciación sobre las amenazas en toda la organización y se centra tanto en la tecnología de protección como en los procesos.
Las categorías de la función Proteger son:
- Control de acceso
- Sensibilización y formación
- Seguridad de datos
- Procesos y Procedimientos de Protección de la Información
- Mantenimiento y
- Tecnología de Protección.
Detectar
Mientras realizabas las dos primeras funciones, identificaste con éxito los activos y la infraestructura que necesitan protección y desarrollaste salvaguardas a su alrededor, todavía existe la posibilidad de que sufras una violación o incidente de seguridad. Es por eso que la función Detectar te permite desarrollar e implementar medidas para permitir la detección exitosa de eventos de seguridad de manera oportuna.
Las categorías de esta función incluyen:
- Anomalías y eventos
- Monitorización continua de seguridad y
- Procesos de detección.
Responder
Una vez que hayas detectado un incidente de seguridad, ¿qué sigue? Respondiendo a eso, la función Responder se ocupa de desarrollar e implementar actividades de ciberseguridad que responderán a un incidente de seguridad detectado y minimizarán sus efectos en el escenario de un ciberataque en toda regla.
Sus categorías incluyen:
- Planificación de respuesta
- Comunicaciones
- Análisis
- Mitigación y
- Mejoras.
Recuperar
Después de haber sufrido una infracción de seguridad o un incidente, por importantes que fueran tus acciones durante la detección y la respuesta, tus acciones posteriores son igualmente importantes. Al abordar la función de recuperación, tu organización trabajará para desarrollar e implementar un plan para la restauración de cualquier sistema afectado por el incidente, reduciendo el impacto y mejorando la resiliencia después de cualquier recurrencia futura del ataque.
Las categorías de funciones de recuperación incluyen:
- Planificación de recuperación
- Mejoras y
- Comunicaciones.
Niveles de implementación del marco
El Marco NIST no fue diseñado para ser utilizado por todas las organizaciones de manera única. Dependiendo de su postura actual de ciberseguridad, es posible que tengan prácticas avanzadas de gestión de riesgos, así como programas de seguridad, mientras que las pequeñas y medianas empresas pueden estar empezando a crear las suyas propias y no son tan conscientes de los riesgos.
Los Niveles de implementación van del Nivel 1 al Nivel 4, y NIST destaca el hecho de que no representan niveles de madurez, sino que están orientados a cómo una organización ve el riesgo de ciberseguridad y los procesos que tienen implementados para mitigarlo. Animan a las organizaciones a que consideren pasar al Nivel 4, pero solo cuando se considere una solución adecuada para reducir su nivel de riesgo y, al mismo tiempo, ser realista, en función de la rentabilidad.
Los Niveles están definidos por tres puntos: Proceso de Gestión de Riesgos, Programa de Gestión Integrada de Riesgos y Participación Externa.
Nivel 1: parcial
El nivel 1 marca el comienzo del viaje de gestión de riesgos de ciberseguridad para tu organización. En este Nivel, las prácticas de gestión de riesgos organizacionales no están formalizadas y se ejecutan de manera reactiva, en lugar de proactiva. También hay una falta de priorización de las actividades de ciberseguridad junto con una conciencia limitada de los riesgos y amenazas de ciberseguridad en toda la organización.
La gestión de riesgos, si está presente, se realiza caso por caso y la organización no está equipada con procesos que permitan el intercambio de información dentro, ni tiene ninguno para colaborar con terceros.
Nivel 2: Riesgo informado
En el Nivel 2, una organización está comenzando a formalizar su programa de ciberseguridad y su proceso de gestión de riesgos. La administración ha aprobado prácticas de gestión de riesgos, mientras que aún no se ha establecido una política para toda la organización, pero la priorización de las actividades de ciberseguridad está bien informada, según el panorama de amenazas y los objetivos comerciales.
Existe conciencia de ciberseguridad en toda la organización y el personal ha requerido recursos para realizar sus actividades de ciberseguridad. Todavía no existe un intercambio externo formal de información sobre ciberseguridad, aunque la organización conoce su parte en el ecosistema.
Nivel 3: repetible
Ahora llegamos a los programas de ciberseguridad más avanzados. Aquí, las prácticas de gestión de riesgos se presentan formalmente como una política y las prácticas de ciberseguridad se actualizan periódicamente con los cambios en la exposición al riesgo de la organización, el panorama de amenazas y las necesidades comerciales.
Toda la organización mantiene un alto nivel de conciencia, y el personal posee las habilidades y conocimientos adecuados para desempeñar sus funciones y deberes de ciberseguridad. La organización es consciente de su relación con los socios y el ecosistema y tiene un túnel de intercambio de información de ciberseguridad abierto que permite la colaboración.
Nivel 4: adaptable
Si tu organización se encuentra en el Nivel 4, ¡felicidades! Esto significa que ha alcanzado el santo grial del enfoque adaptativo para la gestión de riesgos de ciberseguridad y que sus prácticas de ciberseguridad se actualizan periódicamente con una mirada tanto a los incidentes pasados como a las lecciones aprendidas, así como al panorama actual de amenazas y predicciones futuras.
La respuesta a las amenazas es avanzada, adaptativa y se realiza de manera oportuna. La cultura de ciberseguridad en toda la organización se encuentra en su nivel más alto, y la organización comparte información activamente con los socios, lo que contribuye a mejorar la respuesta a los eventos de ciberseguridad y, al mismo tiempo, ingiere información externa.
Perfiles de marco
El Perfil del Marco actúa como una conjunción de las Funciones, Categorías y Subcategorías con las necesidades comerciales, la tolerancia al riesgo de ciberseguridad y los recursos actuales que posee la organización. Con el perfil, tu organización puede trabajar para establecer un proceso para reducir el riesgo que esté alineado con las mejores prácticas de la industria, el cumplimiento normativo y los objetivos comerciales.
Al principio, puede usar Perfiles para determinar su estado actual, así como el estado deseado de actividades específicas de ciberseguridad, y la creación del Perfil actual y objetivo puede ayudarte a identificar cualquier brecha que deba abordarse en tu camino para avanzar en tu postura de ciberseguridad y gestión de riesgos.
Cómo utilizar el marco de ciberseguridad del NIST
Ahora que estás familiarizado con todos los detalles y componentes del marco NIST, estás listo para implementarlo en tu organización. Pero, ¿cuáles son todas las formas en las que puedes utilizar el Framework? ¿Deberías deshacerte de tus procesos existentes y reemplazarlos con este estándar de la industria? Todo lo contrario. NIST recomienda que las organizaciones utilicen el Marco como una forma de complementar sus prácticas de ciberseguridad actuales, determinar las brechas en su enfoque de riesgo actual y comenzar a trabajar en mejoras.
Como poderosa herramienta de gestión de riesgos, el Marco se puede utilizar de estas formas distintas.
Revisa tus prácticas actuales de ciberseguridad
Con las actividades de ciberseguridad descritas en Framework Core, tu organización puede realizar una revisión básica de sus prácticas actuales y ver cómo se comparan con los diferentes niveles.
¿Logran los resultados deseados de las cinco funciones? ¿Cómo se compara su perfil actual con el perfil de destino? Por lo tanto, la revisión identifica brechas y margen de mejora. Incluso podrías descubrir que estás logrando los resultados de ciberseguridad deseados y administrar el riesgo de manera adecuada; esta es la razón por la que usar el Marco como punto de referencia es una herramienta eficaz para ver dónde te encuentras.
Desarrollar o mejorar tus prácticas de ciberseguridad
Entre las mejores formas de utilizar el marco de ciberseguridad del NIST, en nuestra opinión, se encuentran comenzar a crear sus prácticas de ciberseguridad o mejorarlas. Comenzando con la identificación de objetivos y prioridades comerciales, tu organización puede comenzar a tomar decisiones sobre la protección de activos y sistemas que serán el punto focal de mejora o desarrollo de nuevas prácticas.
Lo siguiente es la identificación de amenazas y vulnerabilidades en esos sistemas y activos. Seguir esos pasos es el proceso de evaluación de riesgos que ayudará a tu organización a determinar la probabilidad de un incidente de seguridad y el impacto que puede tener, todo lo cual ayudará a construir su perfil actual.
Después del perfil actual y repasando los resultados de ciberseguridad deseados, puedes crear el perfil de destino. Una comparación entre los dos puede brindarte un plan prioritario y procesable para mejorar tus prácticas de ciberseguridad existentes.
Todas las Categorías, Subcategorías y Perfiles se pueden personalizar para tus objetivos comerciales, riesgo actual, panorama de amenazas y presupuesto, así como también corroborarse con información externa de datos, estándares, regulaciones y similares específicos de la industria.
Comunicar las expectativas de ciberseguridad con las partes interesadas
Como se opera utilizando un lenguaje común, el NIST CSF se puede usar para comunicar los requisitos y las prácticas actuales de gestión de riesgos a las partes interesadas. Al utilizar el perfil actual, puede mostrar dónde se encuentra la organización en ese momento y compararlo con la competencia o los promedios de la industria.
Con Target Profile, puedes comunicar a las partes interesadas o incluso a los proveedores de servicios externos los requisitos para lograr un mayor nivel de gestión de riesgos en la organización. Para un CISO, el marco de ciberseguridad del NIST puede ser un activo insustituible para la comunicación a nivel de la junta.
Decisiones de compra
Se puede utilizar un marco para informar las decisiones sobre la compra de productos y servicios. Una vez que se compra un producto o servicio, el perfil también se puede usar para rastrear y abordar el riesgo de ciberseguridad residual.
Identificación de oportunidades para referencias informativas nuevas o revisadas
El marco se puede utilizar para identificar oportunidades para normas, directrices o prácticas nuevas o revisadas en las que las referencias informativas adicionales ayudarían a las organizaciones a abordar las necesidades emergentes.
Conclusión
Si bien puede parecer que el marco de ciberseguridad del NIST es un estándar largo, complejo y desafiante de comprender e implementar en tu organización, es un proceso que vale la pena como marco ampliamente utilizado tanto en el sector público como en el privado.
Los beneficios de implementar el Marco son claros: proporciona una mejor comprensión de los riesgos de seguridad actuales y las formas de administrarlos, prioriza las actividades, identifica las estrategias de mitigación, mide el ROI de las inversiones en ciberseguridad, puede ser tan rentable como lo necesite. be, y mejora la comunicación con las partes interesadas en todos los departamentos utilizando un lenguaje común.
La implementación del marco es voluntaria, lo que significa que no existe una forma correcta o incorrecta de hacerlo. Si estás interesado en mejorar la forma en que tu organización identifica, detecta, responde y se recupera del riesgo cibernético, NIST CSF es una gran herramienta para integrar en tu programa de ciberseguridad. Para maximizar sus beneficios, deberás personalizarlo y adaptarlo para cumplir con los procesos y prioridades comerciales específicos de tu organización.