GESTIÓN DE CIBERSEGURIDAD Y FRAMEWORK NIST: Un enfoque de gobernanza y estratégico, alineado al negocio

Hoy en día las empresas requieren abordar en forma eficiente la gestión de riesgos de ciberseguridad. Esto demanda gobernanza y un plan estratégico, para lo cual apoyarse en el Framework NIST es de gran valor.

Publicado el 30 Sep 2022

allavicini4

Cuando han ocurrido ciberataques del tipo ransomware u otro, que han afectado a diversas empresas y han tenido una repercusión mediática, los gerentes y/o la alta dirección solicitan servicios de Ethical Hacking como una solución de ciberseguridad al problema, para luego de “pasado el susto”, volver a sus tareas rutinarias, postergando los proyectos de seguridad.

Esto refleja la falta de conciencia en la protección de la información y un desconocimiento o incredulidad respecto a que los ciberatacantes son países u organizaciones criminales, con estructura jerárquica, estrategias y presupuestos. A modo de anécdota, una de ellas recientemente, y luego de atacar a una planta de petróleo en Estados Unidos, se atribuye y publica su “código de ética” en su sitio web con botón de pago en Bitcoin.

Recientemente hemos podido informarnos de un ataque a Cisco, y en Chile casos como Sernac, la filial de un gran banco y otros donde se han encriptado muchos servidores e interrumpido la operación de los procesos de negocio. Para abordar en forma eficiente la gestión de riesgos de ciberseguridad se requiere gobernanza y una combinación de múltiples estrategias, siendo fundamental la alineación a la misión y líneas de negocio de la compañía, por lo cual antes de abordar los proyectos que permitirían mitigar los riesgos de ciberataques, es importante desarrollar un plan estratégico que sea aprobado y luego liderado por la alta dirección.

Para dar inicio a esto, existe desde hace muchos años el Framework NIST, acrónimo de Instituto Nacional de Estándares y Tecnología dependiente del Departamento de Comercio de EEUU. Este marco de ciberseguridad ayuda a los negocios de todo tamaño a comprender mejor sus riesgos de ciberseguridad, administrarlos y reducirlos, junto a la protección de sus redes y datos.

¿Porqué es recomendable usar NIST?

Primero, porque es un estándar de nivel mundial, que nació en el departamento de defensa de EEUU, para proteger la infraestructura crítica de la nación y porque la gestión de ciberseguridad parte desde la alta dirección y debe ser analizada de acuerdo al giro y procesos de negocio de la organización, para luego involucrar a las gerencias internas y stakeholders.

Por otra parte, las funciones de NIST: Identificar, Proteger, Detectar, Responder y Recuperar, junto a sus niveles y perfiles, permiten diagnosticar el estado actual, mediante un “perfil actual” y generar un “perfil objetivo”, para tener una brecha que permita hacer un “plan de acción”, con un adecuado presupuesto de inversión y gasto, acorde a las reales necesidades de ciberseguridad de la empresa.

El marco NIST se relaciona con estándares, directrices y prácticas como ISO 27032, ISO 27002 y Cobit, proporcionando una taxonomía común y un mecanismo para que las organizaciones puedan:

Describir su postura actual de ciberseguridad.

Describir su objetivo deseado para la ciberseguridad.

Identificar y priorizar oportunidades de mejora dentro del contexto de un proceso continuo y repetible.

Evaluar el progreso hacia el objetivo deseado.

Comunicarse entre las partes interesadas internas y externas sobre el riesgo de seguridad cibernética.

NIST complementa, y no reemplaza, el proceso de gestión de riesgos y el programa de ciberseguridad de una empresa. La organización puede utilizar sus procesos actuales y aprovechar el marco para identificar oportunidades para fortalecer y comunicar la gestión del riesgo de ciberseguridad y, al mismo tiempo, se alinea con las prácticas de la industria, enfatizando que aplica a todo tipo de empresa y de cualquier tamaño.

Lo anterior, sobre todo si consideramos que la ciberseguridad es parte de la gestión de seguridad de la información, que a su vez es un pilar estratégico de la gestión de riesgo operacional. Sin embargo, es recomendable tener resueltas las políticas de seguridad de la información, con la ISO 27002:2022, o el Sistema de Gestión de Seguridad de la Información ISO 27001, para luego abordar NIST, ya que se requiere una madurez y toma de conciencia en aspectos que hoy son básicos de la seguridad, para que en paralelo o posteriormente se aborde una estrategia de gestión de ciberseguridad.

¿Qué te ha parecido este artículo?

¡Síguenos en nuestras redes sociales!

Redacción

Artículos relacionados

Artículo 1 de 4