CSF-NIST una oportunidad para tiempos donde la ciberseguridad es difusa.

Donde tantas opiniones, buenas intenciones aparecen, es pertinente contarles que existe un framework practico para gobernar la ciberseguridad, les traigo en esta edición #18 del blogdelciso.com, una revisión al CSF-NIST versión 1.1 abril 2018, como una oportunidad o simplemente para rescatar buenas ideas.

El CSF hace referencia a los siguientes estándares, directrices y mejores prácticas mundiales:

•      Control Objectives for Information and Related Technology (COBIT)

•      Council on CyberSecurity (CCS) Top 20 Critical Security Controls (CSC)

•      ANSI/ISA-62443-2-1 (99.02.01)-2009, Security for Industrial Automation and Control Systems: Establishing an Industrial Automation and Control Systems Security Program

•      ANSI/ISA-62443-3-3 (99.03.03)-2013, Security for Industrial Automation and Control Systems: System Security Requirements and Security Levels

•      ISO/IEC 27001:2013, Information technology –Security techniques –Information security management systems –Requirements

•      NIST SP 800-53 Rev. 4: NIST Special Publication 800-53 Revision 4, Security and Privacy

  •  Controls for Federal Information Systems and Organizations

EVOLUCIÓN DEL FRAMEWORK

El NIST desarrolló el Marco voluntario de manera coherente con su misión de promover la innovación y la competitividad industrial de los Estados Unidos.

El Marco ha sido desarrollado y promovido a través del compromiso continuo con los interesados en el gobierno, la industria y el mundo académico. Eso incluye un proceso abierto de revisión pública y comentarios, talleres y otros medios de participación. ¿Podríamos hacer algo así en CHILE?, yo creo que en un mediano plazo si, existen excelentes profesionales en nuestro país.

5 FASES DEL FRAMEWORK NIST

CSF-NIST se compone de 5 fases las cuales están divididas en objetivos de control y objetivos específicos sobre temática con énfasis en la infraestructura critica.

¿CONOZCO QUÉ DESEO PROTEGER?

Voy a plantear solo esta fase en forma de pregunta, para su mejor entendimiento los objetivos que plantea CSF-NIST con detalle solo en la primera parte que para mí es clave.

IDENTIFICAR

GESTIÓN DE ACTIVOS (ID.AM): Los datos, el personal, los dispositivos, los sistemas y las instalaciones que permiten a la organización alcanzar objetivos comerciales se identifican y administran de forma coherente con su importancia relativa para los objetivos de negocio y la estrategia de riesgos de la organización.

  • ID.AM-1: ¿Los dispositivos y sistemas físicos dentro de la organización están inventariados?
  • ID.AM-2: ¿Las plataformas de software y las aplicaciones dentro de la organización están inventariadas?
  • ID.AM-3: ¿La comunicación organizacional y los flujos de datos están mapeados?
  • ID.AM-4: ¿Los sistemas de información externos están catalogados?
  • ID.AM-5: ¿Los recursos (por ejemplo, hardware, dispositivos, datos y software) se priorizan en función de su clasificación, criticidad y valor comercial?
  • ID.AM-6: ¿Se establecen los roles y responsabilidades de ciberseguridad para toda la fuerza de trabajo y los terceros interesados (por ejemplo, proveedores, clientes,socios)?

ENTORNO EMPRESARIAL (ID.BE): Entorno empresarial (ID.BE): La misión, los objetivos, las partes interesadas y las actividades de la organización se entienden y se priorizan; esta información se utiliza para informar las funciones, responsabilidades y decisiones de gestión de riesgos de ciberseguridad.

  • ID.BE-1: ¿El papel de la organización en la cadena de suministro se identifica y se comunica?
  • ID.BE-2: ¿El lugar de la organización en la infraestructura crítica y su sector industrial se identifica y se comunica?
  • ID.BE-3: ¿Se establecen y comunican las prioridades para la misión, los objetivos y las actividades de la organización?
  • ID.BE-4: ¿Se establecen las dependencias y funciones críticas para la entrega de servicios críticos?
  • ID.BE-5: ¿Se establecen requisitos de resiliencia para respaldar la entrega de servicios críticos?

GOBERNANZA (ID.GV): Gobernanza (ID.GV): Las políticas, procedimientos y procesos para administrar y monitorear los requisitos regulatorios, legales, de riesgo, ambientales y operativos de la organización se entienden e informan a la administración sobre el riesgo de ciberseguridad.

  • ID.GV-1: ¿Se establece una política de seguridad de la información organizacional?
  • ID.GV-2: ¿Los roles y responsabilidades de seguridad de la información están coordinados y alineados con los roles internos y los socios externos?
  • ID.GV-3: ¿Los requisitos legales y regulatorios con respecto a la ciberseguridad, incluidas las obligaciones de privacidad y libertades civiles, se entienden y se manejan
  • ID.GV-4: ¿Los procesos de gobernanza y gestión de riesgos abordan los riesgos de ciberseguridad?

EVALUACIÓN DE RIESGOS (ID.RA): La organización entiende el riesgo de ciberseguridad para las operaciones de la organización (incluida la misión, las funciones, la imagen o la reputación), los activos de la organización y las personas.

  • ID.RA-1: ¿Las vulnerabilidades de los activos son identificadas y documentadas?
  • ID.RA-2: ¿La información de amenazas y vulnerabilidades se recibe de foros y fuentes de intercambio de información
  • ID.RA-3: ¿Las amenazas, tanto internas como externas, se identifican y documentan
  • ID.RA-4: ¿Se identifican los impactos y las probabilidades potenciales del negocio?
  • ID.RA-5: ¿Amenazas, vulnerabilidades, verosimilitudes e impactos se utilizan para determinar el riesgo?
  • ID.RA-6: ¿Se identifican y priorizan las respuestas al riesgo?

Estrategia de gestión de riesgos (ID.RM): las prioridades, limitaciones, tolerancias de riesgos y suposiciones de la organización se establecen y utilizan para respaldar las decisiones de riesgos operacionales.

  • ID.RM-1: ¿Los actores de la organización establecen, gestionan y acuerdan los procesos de gestión de riesgos?
  • ID.RM-2: ¿La tolerancia al riesgo organizacional se determina y se expresa claramente
  • ID.RM-3: ¿La determinación de tolerancia de riesgo de la organización se basa en su rol en la infraestructura crítica y el análisis de riesgo específico del sector?

Le interesa conocer más: https://www.nist.gov/cyberframework

CONCLUSIONES .

  1. Más cajas no solucionaran los problemas de Ciberseguridad.
  2. Debemos entender el negocio y ganar apoyo.
  3. En la Ciberseguridad las personas es el principal elemento.
  4. La concientización es la mejor Ciberseguridad, puesto que todas las organizaciones tienen puntos débiles y estos son las personas.
  5. Se debe tomar la implementación de Ciberseguridad, como un programa de mejora continua, solo tiene inicio y jamás un fin.
  6. No existe la única verdad, en Ciberseguridad cada framework tiene algo que aportar, por esto la simplicidad e integración del CSF-NIST con las demás buenas practicas lo hace una buena opción.

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios .

WordPress.com.

Subir ↑

A %d blogueros les gusta esto: