ESC

Escribe para buscar entre todos los artículos

Volver al archivo
· 3 min de lectura

CSF-NIST una oportunidad para tiempos donde la ciberseguridad es difusa

Revisión del framework CSF-NIST versión 1.1 como herramienta práctica para gobernar la ciberseguridad con énfasis en la fase de identificación.

Donde tantas opiniones y buenas intenciones aparecen, es pertinente contarles que existe un framework práctico para gobernar la ciberseguridad. Les traigo una revisión al CSF-NIST versión 1.1 de abril 2018, como una oportunidad o simplemente para rescatar buenas ideas.

El CSF hace referencia a los siguientes estándares:

  • Control Objectives for Information and Related Technology (COBIT)
  • Council on CyberSecurity (CCS) Top 20 Critical Security Controls (CSC)
  • ANSI/ISA-62443-2-1 (99.02.01)-2009
  • ANSI/ISA-62443-3-3 (99.03.03)-2013
  • ISO/IEC 27001:2013
  • NIST SP 800-53 Rev. 4

5 FASES DEL FRAMEWORK NIST

CSF-NIST se compone de 5 fases, las cuales están divididas en objetivos de control y objetivos específicos sobre temática con énfasis en la infraestructura crítica.

IDENTIFICAR

GESTIÓN DE ACTIVOS (ID.AM)

  • ID.AM-1: ¿Los dispositivos y sistemas físicos dentro de la organización están inventariados?
  • ID.AM-2: ¿Las plataformas de software y las aplicaciones dentro de la organización están inventariadas?
  • ID.AM-3: ¿La comunicación organizacional y los flujos de datos están mapeados?
  • ID.AM-4: ¿Los sistemas de información externos están catalogados?
  • ID.AM-5: ¿Los recursos se priorizan en función de su clasificación, criticidad y valor comercial?
  • ID.AM-6: ¿Se establecen los roles y responsabilidades de ciberseguridad para toda la fuerza de trabajo y los terceros interesados?

ENTORNO EMPRESARIAL (ID.BE)

  • ID.BE-1: ¿El papel de la organización en la cadena de suministro se identifica y se comunica?
  • ID.BE-2: ¿El lugar de la organización en la infraestructura crítica y su sector industrial se identifica y se comunica?
  • ID.BE-3: ¿Se establecen y comunican las prioridades para la misión, los objetivos y las actividades de la organización?
  • ID.BE-4: ¿Se establecen las dependencias y funciones críticas para la entrega de servicios críticos?
  • ID.BE-5: ¿Se establecen requisitos de resiliencia para respaldar la entrega de servicios críticos?

GOBERNANZA (ID.GV)

  • ID.GV-1: ¿Se establece una política de seguridad de la información organizacional?
  • ID.GV-2: ¿Los roles y responsabilidades de seguridad de la información están coordinados y alineados con los roles internos y los socios externos?
  • ID.GV-3: ¿Los requisitos legales y regulatorios con respecto a la ciberseguridad, incluidas las obligaciones de privacidad y libertades civiles, se entienden y se manejan?
  • ID.GV-4: ¿Los procesos de gobernanza y gestión de riesgos abordan los riesgos de ciberseguridad?

EVALUACIÓN DE RIESGOS (ID.RA)

  • ID.RA-1: ¿Las vulnerabilidades de los activos son identificadas y documentadas?
  • ID.RA-2: ¿La información de amenazas y vulnerabilidades se recibe de foros y fuentes de intercambio de información?
  • ID.RA-3: ¿Las amenazas, tanto internas como externas, se identifican y documentan?
  • ID.RA-4: ¿Se identifican los impactos y las probabilidades potenciales del negocio?
  • ID.RA-5: ¿Amenazas, vulnerabilidades, verosimilitudes e impactos se utilizan para determinar el riesgo?
  • ID.RA-6: ¿Se identifican y priorizan las respuestas al riesgo?

ESTRATEGIA DE GESTIÓN DE RIESGOS (ID.RM)

  • ID.RM-1: ¿Los actores de la organización establecen, gestionan y acuerdan los procesos de gestión de riesgos?
  • ID.RM-2: ¿La tolerancia al riesgo organizacional se determina y se expresa claramente?
  • ID.RM-3: ¿La determinación de tolerancia de riesgo de la organización se basa en su rol en la infraestructura crítica y el análisis de riesgo específico del sector?

¿Le interesa conocer más? https://www.nist.gov/cyberframework

CONCLUSIONES

  • Más cajas no solucionarán los problemas de ciberseguridad.
  • Debemos entender el negocio y ganar apoyo.
  • En la ciberseguridad las personas son el principal elemento.
  • La concientización es la mejor ciberseguridad, puesto que todas las organizaciones tienen puntos débiles y estos son las personas.
  • Se debe tomar la implementación de ciberseguridad como un programa de mejora continua: solo tiene inicio y jamás un fin.
  • No existe la única verdad; en ciberseguridad cada framework tiene algo que aportar, por esto la simplicidad e integración del CSF-NIST con las demás buenas prácticas lo hace una buena opción.
SV
Autor

Sebastián Vargas

CISO & Fundador de TTPSEC SpA. Más de 15 años en ciberseguridad, governance, riesgo y compliance. Escribiendo sobre seguridad de la información desde 2018.

LinkedIn Medium

¿Te sirve el contenido?

Recomendarme en LinkedIn
Volver al archivo