Donde tantas opiniones, buenas intenciones aparecen, es pertinente contarles que existe un framework practico para gobernar la ciberseguridad, les traigo en esta edición #18 del blogdelciso.com, una revisión al CSF-NIST versión 1.1 abril 2018, como una oportunidad o simplemente para rescatar buenas ideas.

El CSF hace referencia a los siguientes estándares, directrices y mejores prácticas mundiales:

•      Control Objectives for Information and Related Technology (COBIT)

•      Council on CyberSecurity (CCS) Top 20 Critical Security Controls (CSC)

•      ANSI/ISA-62443-2-1 (99.02.01)-2009, Security for Industrial Automation and Control Systems: Establishing an Industrial Automation and Control Systems Security Program

•      ANSI/ISA-62443-3-3 (99.03.03)-2013, Security for Industrial Automation and Control Systems: System Security Requirements and Security Levels

•      ISO/IEC 27001:2013, Information technology –Security techniques –Information security management systems –Requirements

•      NIST SP 800-53 Rev. 4: NIST Special Publication 800-53 Revision 4, Security and Privacy

  •  Controls for Federal Information Systems and Organizations

EVOLUCIÓN DEL FRAMEWORK

El NIST desarrolló el Marco voluntario de manera coherente con su misión de promover la innovación y la competitividad industrial de los Estados Unidos.

El Marco ha sido desarrollado y promovido a través del compromiso continuo con los interesados en el gobierno, la industria y el mundo académico. Eso incluye un proceso abierto de revisión pública y comentarios, talleres y otros medios de participación. ¿Podríamos hacer algo así en CHILE?, yo creo que en un mediano plazo si, existen excelentes profesionales en nuestro país.

5 FASES DEL FRAMEWORK NIST

CSF-NIST se compone de 5 fases las cuales están divididas en objetivos de control y objetivos específicos sobre temática con énfasis en la infraestructura critica.

¿CONOZCO QUÉ DESEO PROTEGER?

Voy a plantear solo esta fase en forma de pregunta, para su mejor entendimiento los objetivos que plantea CSF-NIST con detalle solo en la primera parte que para mí es clave.

IDENTIFICAR

GESTIÓN DE ACTIVOS (ID.AM): Los datos, el personal, los dispositivos, los sistemas y las instalaciones que permiten a la organización alcanzar objetivos comerciales se identifican y administran de forma coherente con su importancia relativa para los objetivos de negocio y la estrategia de riesgos de la organización.

  • ID.AM-1: ¿Los dispositivos y sistemas físicos dentro de la organización están inventariados?
  • ID.AM-2: ¿Las plataformas de software y las aplicaciones dentro de la organización están inventariadas?
  • ID.AM-3: ¿La comunicación organizacional y los flujos de datos están mapeados?
  • ID.AM-4: ¿Los sistemas de información externos están catalogados?
  • ID.AM-5: ¿Los recursos (por ejemplo, hardware, dispositivos, datos y software) se priorizan en función de su clasificación, criticidad y valor comercial?
  • ID.AM-6: ¿Se establecen los roles y responsabilidades de ciberseguridad para toda la fuerza de trabajo y los terceros interesados (por ejemplo, proveedores, clientes,socios)?

ENTORNO EMPRESARIAL (ID.BE): Entorno empresarial (ID.BE): La misión, los objetivos, las partes interesadas y las actividades de la organización se entienden y se priorizan; esta información se utiliza para informar las funciones, responsabilidades y decisiones de gestión de riesgos de ciberseguridad.

  • ID.BE-1: ¿El papel de la organización en la cadena de suministro se identifica y se comunica?
  • ID.BE-2: ¿El lugar de la organización en la infraestructura crítica y su sector industrial se identifica y se comunica?
  • ID.BE-3: ¿Se establecen y comunican las prioridades para la misión, los objetivos y las actividades de la organización?
  • ID.BE-4: ¿Se establecen las dependencias y funciones críticas para la entrega de servicios críticos?
  • ID.BE-5: ¿Se establecen requisitos de resiliencia para respaldar la entrega de servicios críticos?

GOBERNANZA (ID.GV): Gobernanza (ID.GV): Las políticas, procedimientos y procesos para administrar y monitorear los requisitos regulatorios, legales, de riesgo, ambientales y operativos de la organización se entienden e informan a la administración sobre el riesgo de ciberseguridad.

  • ID.GV-1: ¿Se establece una política de seguridad de la información organizacional?
  • ID.GV-2: ¿Los roles y responsabilidades de seguridad de la información están coordinados y alineados con los roles internos y los socios externos?
  • ID.GV-3: ¿Los requisitos legales y regulatorios con respecto a la ciberseguridad, incluidas las obligaciones de privacidad y libertades civiles, se entienden y se manejan
  • ID.GV-4: ¿Los procesos de gobernanza y gestión de riesgos abordan los riesgos de ciberseguridad?

EVALUACIÓN DE RIESGOS (ID.RA): La organización entiende el riesgo de ciberseguridad para las operaciones de la organización (incluida la misión, las funciones, la imagen o la reputación), los activos de la organización y las personas.

  • ID.RA-1: ¿Las vulnerabilidades de los activos son identificadas y documentadas?
  • ID.RA-2: ¿La información de amenazas y vulnerabilidades se recibe de foros y fuentes de intercambio de información
  • ID.RA-3: ¿Las amenazas, tanto internas como externas, se identifican y documentan
  • ID.RA-4: ¿Se identifican los impactos y las probabilidades potenciales del negocio?
  • ID.RA-5: ¿Amenazas, vulnerabilidades, verosimilitudes e impactos se utilizan para determinar el riesgo?
  • ID.RA-6: ¿Se identifican y priorizan las respuestas al riesgo?

Estrategia de gestión de riesgos (ID.RM): las prioridades, limitaciones, tolerancias de riesgos y suposiciones de la organización se establecen y utilizan para respaldar las decisiones de riesgos operacionales.

  • ID.RM-1: ¿Los actores de la organización establecen, gestionan y acuerdan los procesos de gestión de riesgos?
  • ID.RM-2: ¿La tolerancia al riesgo organizacional se determina y se expresa claramente
  • ID.RM-3: ¿La determinación de tolerancia de riesgo de la organización se basa en su rol en la infraestructura crítica y el análisis de riesgo específico del sector?

Le interesa conocer más: https://www.nist.gov/cyberframework

CONCLUSIONES .

  1. Más cajas no solucionaran los problemas de Ciberseguridad.
  2. Debemos entender el negocio y ganar apoyo.
  3. En la Ciberseguridad las personas es el principal elemento.
  4. La concientización es la mejor Ciberseguridad, puesto que todas las organizaciones tienen puntos débiles y estos son las personas.
  5. Se debe tomar la implementación de Ciberseguridad, como un programa de mejora continua, solo tiene inicio y jamás un fin.
  6. No existe la única verdad, en Ciberseguridad cada framework tiene algo que aportar, por esto la simplicidad e integración del CSF-NIST con las demás buenas practicas lo hace una buena opción.