Marco de ciberseguridad
Bienvenidas, bienvenidos, vamos a describir que es el marco de ciberseguridad del Instituto Nacional de Estándares y Tecnología, o comúnmente conocido como NIST, en su sitio refieren que es una división del Departamento de Comercio de los Estados Unidos.
Nosotros lo ubicaremos como el marco de seguridad cibernética del NIST que ayuda a las empresas de todos los tamaños a comprender, administrar y reducir su riesgo de seguridad cibernética, así como a proteger sus redes informáticas y datos.
Abiertamente, el marco de ciberseguridad del NIST es un consejo que las organizaciones pueden seguir si así lo desean, este se basa en estándares, pautas y mejores prácticas existentes y está destinado para ayudarnos a administrar mejor y reducir el riesgo de ciberseguridad, en la práctica considero que se creó para facilitar que las partes interesadas tanto internas como externas hablen sobre la gestión de riesgos y ciberseguridad, unificando criterios.
Fuera de Estados Unidos, este marco no representa más que buenas prácticas, ya que no es una ley universal, un estándar, una norma ISO, en México no tiene injerencia regulatoria, me imagino que en muchos países es así, no perdamos esto de vista para que no pretendan vendernos erróneamente el concepto.
Pues bien, el Instituto Nacional de Estándares y Tecnología (NIST) creó el Marco de Seguridad Crítica (CSF) para que las organizaciones privadas en los Estados Unidos pudieran hacer un plan para asegurar la infraestructura crítica, sabemos que ha sido traducido a otros idiomas y es utilizado por los gobiernos de Japón e Israel, entre otros lugares.
Específicamente les puedo decir que el marco de ciberseguridad del NIST (NIST CSF) les dice a las personas cómo administrar y reducir los riesgos de seguridad en la infraestructura de TI, esto quiere decir que no está perfilado únicamente para el área de IT, en la actualidad es mucho más amplio su campo de integración al negocio, de esta manera, el CSF se compone de estándares, pautas y mejores prácticas que se pueden usar para prevenir, detectar y responder a los ataques cibernéticos.
Pienso que el CSF de NIST es más útil para organizaciones pequeñas o menos reguladas, especialmente aquellas que intentan crear conciencia sobre la seguridad, esto según lo vemos en la experiencia de cada quien, sin embargo, considero que las organizaciones más grandes que ya tienen un programa de seguridad de TI enfocado pueden encontrar el marco menos útil, es de mayor impacto si estás iniciando con el plan de ciberseguridad del negocio y aún no te defines por algún marco, framework, norma, estándar, esto sin duda es un tema de discusión al interior del negocio.
“La industria privada y el gobierno de USA trabajaron juntos para hacer del marco una medida voluntaria”
El marco de ciberseguridad del NIST es un estándar global para la ciberseguridad que se utiliza como base para muchas leyes y otros estándares, NIST crea estándares, pautas, mejores prácticas y otros recursos de seguridad cibernética para satisfacer las necesidades de las empresas originalmente estadounidenses, las agencias federales y el público en general.
“El marco hace una amplia gama de cosas, desde brindar información específica que las organizaciones pueden usar de inmediato hasta realizar investigaciones a largo plazo que anticipan cambios en la tecnología y nuevos desafíos”
Nuevamente, les comento que algunas de las tareas que NIST tiene que ver con la seguridad cibernética están establecidas por leyes federales, órdenes ejecutivas y políticas de Estados Unidos.
Por ejemplo:
La Oficina de Administración y Presupuesto (OMB, por sus siglas en inglés) requiere que todas las agencias federales sigan los estándares y consejos de seguridad cibernética de NIST para los sistemas que no forman parte de la seguridad nacional.
Las necesidades de las empresas estadounidenses y del público en general impulsan el trabajo de ciberseguridad del NIST.
Para los que estamos fuera de dicho país, debemos de trabajar arduamente para involucrar a las partes interesadas en el establecimiento de prioridades y asegurarnos de que nuestros recursos se utilicen para abordar los problemas más importantes que se enfrentan en materia de ciberseguridad.
“De forma Global, NIST trabaja para comprender y manejar mejor los riesgos de privacidad, algunos de los cuales están directamente relacionados con la ciberseguridad”
A mi entender las principales prioridades del NIST son la criptografía, la educación y la fuerza laboral, las tecnologías emergentes, la gestión de riesgos, la gestión de identidades y accesos, las mediciones, la privacidad, las redes y las plataformas fiables, recomiendo tener más atención en estas áreas.
- Permitir la gestión de riesgos y la seguridad a largo plazo.
- Las cadenas de suministro y las listas de proveedores se verán afectadas
- Cerrar la brecha entre las partes interesadas técnicas y comerciales
- La capacidad del marco para cambiar y adaptarse.
- Construido para satisfacer futuras necesidades de cumplimiento y regulación
¿Qué es el marco de ciberseguridad del NIST básico?
NIST Cybersecurity Framework (CSF) se compone de tres partes principales:
- El núcleo del marco.
- Los perfiles.
- Los niveles de implementación.
El propósito de estos niveles es dar contexto a las partes interesadas para que puedan determinar en qué medida sus organizaciones muestran los rasgos del marco, veamos:
Framework Core:
Es una lista de actividades y resultados de ciberseguridad deseados, escritos en un lenguaje claro y común, esto es de gran ayuda para las organizaciones en su administración y reducción del riesgo de seguridad cibernética, mientras se suma a las formas en que ya practican la seguridad cibernética y la gestión de riesgos, en algunos sitios.
Perfil del Marco:
El Perfil del Marco es cómo las necesidades y objetivos de una organización, la voluntad de asumir riesgos y los recursos coinciden con los resultados deseados del Núcleo del Marco, entonces, los perfiles se utilizan principalmente para encontrar y clasificar oportunidades para mejorar los estándares de seguridad de una organización y reducir el riesgo.
Niveles de implementación:
Los niveles de implementación del marco muestran cómo piensa una organización sobre la gestión de riesgos de seguridad cibernética, los ayudan a determinar qué nivel de rigor es adecuado para ellos y, a menudo, se usan como una forma de hablar sobre las posibilidades de tener riesgos, la prioridad de la misión y el presupuesto.
Las funciones son el nivel de abstracción más general del framework, valga la comparación, sin embargo, son como la columna vertebral del núcleo del marco, que es cómo se unen todas las demás partes, son cinco funciones del marco de ciberseguridad del NIST:
- Identificar
- Proteger
- Detectar
- Responder
- Recuperar
Funciones del marco NIST
Estoy seguro de que estas cinco funciones fueron elegidas por NIST, considerando las partes más importantes de un programa de ciberseguridad completo y exitoso, me gusta mucho por qué facilita que las organizaciones hablen sobre cómo gestionan el riesgo de ciberseguridad a un alto nivel y toman decisiones sobre la gestión de riesgos.
Identificar:
La función de identificación ayuda a una organización a comprender cómo administrar el riesgo de seguridad cibernética para los sistemas, las personas, los activos, los datos y las capacidades, hay que comprender el contexto comercial, los recursos que respaldan las funciones críticas y los riesgos de ciberseguridad relacionados, de igual manera permite a una organización enfocar y priorizar sus esfuerzos de acuerdo con su estrategia de gestión de riesgos y las necesidades comerciales.
Ejemplos de categorías de resultados dentro de esta función:
- Averiguar cuáles son los activos físicos y de software de la organización para que se pueda construir un programa de gestión de activos sobre ellos
- Identificar el entorno empresarial en el que trabaja la organización, incluido su lugar en la cadena de suministro y el sector de infraestructura crítica.
- Averiguar cuáles son las políticas de ciberseguridad de la organización y qué significan para el programa de Gobernanza, averiguar cuáles son los requisitos legales y reglamentarios para las capacidades de ciberseguridad de la organización.
- Identificar las debilidades de los activos, las amenazas a los recursos internos y externos de la organización y las actividades de respuesta al riesgo como punto de partida para las organizaciones.
- Evaluación de riesgos, elegir una estrategia de gestión de riesgos para la organización, incluida la decisión de cuánto riesgo está dispuesta a asumir la organización.
- Determinar una estrategia para administrar los riesgos de la cadena de suministro, incluidas las prioridades, las restricciones, las tolerancias al riesgo y las suposiciones utilizadas para respaldar las decisiones de riesgo.
Proteger:
La función Proteger explica cómo asegurarse de que se entreguen los servicios de infraestructura crítica, ayuda a que sea posible limitar o detener los efectos de un posible evento de ciberseguridad.
Ejemplos:
- Protecciones para la gestión de identidad y control de acceso de la organización, incluido el acceso físico y remoto
- Educar y capacitar al personal, incluida la capacitación de usuarios privilegiados y basados en roles, para ayudarlos a hacer mejor su trabajo.
- Configurar la protección de seguridad de datos de acuerdo con la estrategia de riesgo de la organización para proteger la privacidad, la integridad y la disponibilidad de la información
- Poner en marcha Procesos y Procedimientos de Protección de la Información para mantener seguros los sistemas y activos de información y gestionar su protección
- Las actividades de mantenimiento, incluido el mantenimiento remoto, ayudan a proteger los recursos de una organización
- Administrar la tecnología de protección para asegurarse de que las políticas, los procedimientos y los acuerdos de la organización estén en línea con la seguridad y la resiliencia de los sistemas y activos.
Detectar:
La función Detectar describe las cosas correctas que se deben hacer para averiguar si ha ocurrido un evento de ciberseguridad, permite encontrar eventos de ciberseguridad de manera oportuna.
Ejemplos:
- Asegurarse de que se encuentren anomalías y eventos y de que se entiendan sus posibles efectos.
- Implementar el monitoreo continuo de seguridad para vigilar los eventos de ciberseguridad y verificar qué tan bien funcionan las medidas de protección, como la red y las actividades físicas.
- Mantenerse al día con los procesos de detección para estar al tanto de eventos extraños
Responder:
La función de respuesta incluye los pasos correctos a seguir cuando se encuentra un incidente de ciberseguridad, ayuda a que sea posible limitar los efectos de un posible incidente de ciberseguridad.
Ejemplos:
- Asegurándose de que las personas actúen durante y después de un incidente, se lleva a cabo la planificación.
- Gestionar las comunicaciones con las partes interesadas, la policía y las partes interesadas externas durante y después de un evento, según sea necesario.
- Se realiza un análisis para garantizar que las respuestas sean efectivas y para ayudar con las actividades de recuperación, como el análisis forense y la determinación de los efectos de los incidentes.
- Las actividades llamadas “mitigación” se realizan para evitar que un evento empeore y terminarlo.
- Las mejoras se realizan utilizando lo que la organización ha aprendido de las actividades de detección y respuesta actuales y pasadas.
Recuperar:
La función de recuperación determina lo que se debe hacer para mantener actualizados los planes de resiliencia y reparar las capacidades o servicios que se vieron afectados por un incidente de seguridad cibernética, ayuda a las empresas a volver a sus operaciones normales rápidamente después de un incidente de ciberseguridad, en mi experiencia, esto disminuye el daño causado por el incidente.
Ejemplo:
- Garantizar que la organización utilice los procesos y procedimientos de planificación de la recuperación para reparar los sistemas y/o los activos dañados por los ataques cibernéticos.
- Usar lo que hemos aprendido y lo que hemos visto de las revisiones de las estrategias existentes para realizar cambios.
- Coordinar las comunicaciones entre el interior y el exterior durante y después de un incidente de ciberseguridad.
NIST requiere que las empresas que venden bienes y servicios al gobierno federal, ya sea directamente o/a través de otra empresa, sigan ciertas reglas de seguridad, por lo tanto, las empresas en Estados Unidos y las empresas externas que tienen negocios con dichas empresas y que trabajan en la cadena de suministro federal de los Estados Unidos, deben seguir tanto la Publicación especial 800-53 del NIST como la Publicación especial 800-171 del NIST.
El NIST 800-171 se aplica a las pequeñas empresas que no hacen negocios directamente con el gobierno, tienen que seguir las normas federales de cumplimiento, por otro lado, los contratistas principales que trabajan directamente con el gobierno han estado siguiendo reglas de cumplimiento como NIST SP 800-53 durante mucho tiempo.
El documento NIST 800-53 es una guía completa para asegurarse de que los sistemas de información federales sean seguros, se menciona que en general, los contratistas principales del DoD (Departamento de Defensa), pero no los subcontratistas que trabajan para los principales proveedores, deben seguir NIST 800-53, si operan sistemas de información federales en nombre del gobierno.
“Para algunos, es el estándar de oro sobre cómo construir un programa de ciberseguridad es el Marco NIST, pues bien, ahora qué sabea qué es el Marco NIST y cómo funciona, es posible que se pregunte ¿cómo utilizarlo mejor en nuestra organización?”
Cinco pasos más importantes para una implementación exitosa del marco NIST
Establezca una lista de objetivos:
Su empresa quiere usar el marco NIST, lo cual es genial, el primer paso para lograr esto es hacer una lista de objetivos de seguridad de datos para que pueda medir qué tan bien lo está haciendo, los objetivos se pueden establecer en función de las respuestas a las siguientes preguntas:
- ¿Qué tan aversa al riesgo es su organización?
- ¿Dónde debería su organización poner más énfasis en la seguridad?
- ¿Cuánto quiere gastar en mantener su información segura?
Al establecer objetivos, puede hacer un plan de acción, dar un alcance a sus esfuerzos de seguridad y asegurarse de que todos en su organización sepan lo que se debe hacer.
Cree un perfil:
Aunque el marco NIST es un conjunto de reglas voluntarias, se puede usar en muchas industrias diferentes, en mi experiencia, la forma en que debe usarse para su negocio puede ser muy diferente de cómo debe usarse para un negocio en un campo diferente, de esta manera, debe crear un perfil que enumere las necesidades específicas de su negocio para que el marco se ajuste de manera efectiva para satisfacer esas necesidades.
Con la ayuda de los niveles de implementación, la seguridad de su organización puede pasar del Nivel 1, que es reactivo a los eventos de seguridad, me refiero al Nivel 4, que es proactivo.
Establecer dónde se encuentra ahora:
Hacer una evaluación de riesgos detallada es el siguiente paso para implementar el marco NIST en su organización, una evaluación de riesgos detallada puede decirle a su empresa cuáles de sus prácticas y esfuerzos actuales de seguridad cibernética cumplen con los estándares NIST y cuáles deben mejorarse.
Puede calificar sus esfuerzos de seguridad por su cuenta utilizando código abierto u otras herramientas de software, o puede contratar a un experto en seguridad cibernética para que realice una evaluación exhaustiva para su organización.
Elabore un plan de acción y realice un análisis de brechas:
Cuando se realiza la evaluación de riesgos, los resultados deben compartirse con las partes interesadas clave, en los resultados, debe haber una lista de debilidades y amenazas para las operaciones, los activos y las personas de la organización.
Ahora que ha encontrado las brechas o vulnerabilidades en sus necesidades de seguridad cibernética, puede hacer un análisis para descubrir cómo solucionar las brechas y reducir la superficie de ataque, usando los puntajes de la evaluación de riesgos, su organización puede hacer un plan de lo que se debe atender primero y en qué orden.
Implementación:
Con una imagen clara de los esfuerzos actuales de seguridad cibernética de su organización a partir de la evaluación de riesgos y el análisis de brechas y una idea de lo que quiere lograr de sus objetivos y plan de acción, es hora de implementar el Marco de Seguridad Cibernética del NIST.
Considero que es importante recordar que sus esfuerzos de seguridad cibernética no deben detenerse cuando implementa el marco NIST, mi consejo para que el marco funcione, es que debe monitorearse y mejorarse constantemente para que se ajuste a las necesidades de su negocio.
Situaciones negativas sin un plan de ciberseguridad
Tanto en términos de pérdida de productividad como de daño a la reputación de una empresa, las filtraciones de datos pueden tener efectos graves:
Pérdida de negocio:
Si le roban sus datos, podría perder su trabajo como contratista del gobierno de Estados Unidos y de forma general, su empresa podría perder muchos clientes y perder ingresos en el futuro.
Efecto negativo en la reputación:
Los clientes no quieren dar su información privada a una empresa que tiene mala reputación por no tomarse en serio la seguridad de los datos, en este caso, si no sigue los estándares del NIST, podría dañar mucho la reputación de su empresa.
Cargos de un delito o una demanda:
Si resulta que una violación de la seguridad cibernética fue causada por un descuido o que puso en riesgo los datos a propósito, podría ser acusado de un delito, su negocio podría tener que pagar multas o incluso ser demandado por romper un contrato.
Impacto en la productividad:
Una violación importante de datos podría tener un gran efecto en la productividad de su empresa, tan pronto como se entera de un problema, debe solucionarlo de acuerdo al plan de ciberseguridad y de continuidad del negocio, sabemos que esto quita recursos de otras tareas importantes para que puedan usarse para hacer frente a la brecha, que es la emergencia en cuestión.
Tema de reflexión:
¿Cuáles son las debilidades del marco de ciberseguridad del NIST para la seguridad en la nube?
A medida que las organizaciones utilizan entornos de nube híbrida y multinube más complejos para respaldar estrategias a largo plazo para trabajar desde casa, el marco de ciberseguridad del NIST pasa por alto los siguientes problemas importantes de seguridad en la nube:
Informes y archivos de auditoría:
Muchas organizaciones se sorprenderían al saber que no existe un estándar NIST que diga que los archivos de registro deben conservarse durante más de 30 días, cuando piensa en la cantidad de información que hay en los registros, se trata de una cantidad de tiempo muy breve, les comento que esta falta de retención dificulta que las organizaciones, especialmente las grandes empresas, realicen informes.
Como dato, les comento que regularmente lleva más de cuatro meses en promedio encontrar una violación de datos, el límite actual de 30 días simplemente no es suficiente, entonces, al mantener los registros de auditoría durante más tiempo, los equipos de TI pueden estar seguros de que tienen los datos forenses que necesitan para investigar las posibles causas de los incidentes de seguridad, si lo hacemos, esta capacidad también es una parte importante para mantenerse en línea con las leyes de privacidad de datos como GDPR.
Responsabilidad compartida:
Muchas personas no saben quién está a cargo de la seguridad en la nube, especialmente en las empresas que utilizan entornos de nube híbrida o multinube, las plataformas en la nube de alto nivel como SaaS tienen muchas tareas de seguridad impulsadas por TI.
La gestión de acceso e identidad son responsabilidades compartidas en las soluciones PaaS y SaaS, se necesita un plan de implementación efectivo para configurar un proveedor de identidad, configurar servicios administrativos, establecer y configurar identidades de usuario y configurar controles de acceso a servicios.
Más organizaciones están trasladando sus aplicaciones comerciales a entornos alojados en la nube como parte de proyectos de transformación digital y trabajando para el progreso del bien común (WFH), aun cuando el modelo de “responsabilidad compartida” deja en claro lo que un proveedor de la nube y sus usuarios deben hacer para mantener sus datos seguros, aún existen problemas con las aplicaciones de monitoreo de seguridad y visibilidad que deben corregirse, les recomiendo no obviar, porque a medida que más empresas se trasladan a la nube para ahorrar dinero y mejorar el funcionamiento de sus negocios, es más importante que nunca cerrar estas brechas para alcanzar el nivel más alto de seguridad.
Delegación de inquilinos:
NIST implica el acceso con privilegios mínimos, pero no dice nada sobre la delegación de inquilinos o los “inquilinos virtuales”, entonces, los inquilinos virtuales evitan que los administradores jueguen con partes del entorno a las que no pertenecen.
Permiten que los administradores controlen sus áreas “virtuales”, lo que ayuda a proteger los datos y recursos de Microsoft 365, sobre manera cuando se trata de PII y propiedad intelectual, tiene sentido que la falta de delegación de inquilinos genere importantes problemas de seguridad, recomiendo para las organizaciones, especialmente las grandes con muchas ubicaciones, que deben pensar en usar herramientas que ayuden a separar el acceso a las diferentes unidades comerciales para mejorar la seguridad general.
Reglas y roles para el administrador:
Se pueden decir alrededor de 75 cosas sobre el administrador de aplicaciones de Microsoft, pero ni la gente de Microsoft ni la gente de TI empresarial saben lo que significan, son demasiadas, entonces, si a un usuario se le asigna el rol de administrador de la aplicación, es casi imposible saber exactamente qué tipo de acceso tiene ese usuario.
Esto genera riesgos de seguridad que no son necesarios, el personal de TI tiene que hacer cosas como crear nuevas cuentas de usuario y cambiar contraseñas como parte de sus trabajos, pero estas tareas no encajan fácilmente en una sola función; son más fluidos, debido a esto, los métodos de seguridad tradicionales, como el control de acceso basado en roles (RBAC), no funcionan tan bien.
Control de acceso funcional (FAC):
El control de acceso funcional (FAC) es una forma de obtener acceso con privilegios mínimos, considero que RBAC es una forma de pensar en ello, definitivamente el enfoque FAC, es compatible con NIST y es una forma más detallada de decidir qué puede hacer un administrador de TI, esto permite a las organizaciones otorgar la cantidad correcta de acceso a los usuarios correctos, lo que mejora la seguridad.
Al pasar de los años, me he dado cuenta de que la seguridad es el mayor problema para casi dos tercios de las organizaciones cuando se trata de adoptar la nube, aun cuando no se quiera aceptar, no siempre es una transición transparente, en el contexto de este artículo considero que esto hace que el marco de ciberseguridad del NIST sea una herramienta útil para los líderes de TI que deseamos mantener los datos seguros.
Les recuerdo, maximizar los recursos para blindar nuestros datos, no obstante, siendo realistas, reitero para que las organizaciones sepan que seguir los estándares recomendados no las protege de todos los posibles problemas de seguridad, mientras más pequeña sea la superficie de ataque es mejor, reducir los vectores de ataque, mitigar lo más pronto posible y lo que no quieren hacer muchas empresas, capacita a tus empleados en ciberseguridad, con información de calidad.
Muchas gracias por leerme, en breve publicaré un complemento más de CIS y sus controles y realizaré un comparativo entre NIST e ISO/IEC 27001.
Espero que le sea de utilidad esta introducción al marco NIST, ¿Sería interesante ver algo del cumplimiento de NIST?, ¿Qué les parece?
Su amigo,
Views: 28