Las ciber amenazas son muchas y cada día aumentan. Para enfrentarlas, las organizaciones cuentan con presupuestos limitados, por lo mismo necesitan determinar cuál es el estado actual de su seguridad de la información, identificar vulnerabilidades y elaborar planes de mitigación por etapas, que prioricen sus principales riesgos.
Assertiva posee amplia experiencia asesorando a la banca, retail, telcos y empresas de servicios financieros en la determinación de brechas de seguridad y de cumplimiento normativo. Hemos desarrollado un servicio de evaluación de ciberseguridad basado en el Cybersecurity Framework (CSF) del NIST, que es un marco con origen en el gobierno de EEUU y hoy es un estándar ampliamente reconocido a nivel mundial, que permite establecer una línea base para ayudar a mejorar la gestión del ciber riesgo y la resiliencia en las organizaciones.
Podemos ayudarte a “tomar una foto” a tu ciberseguridad.
Conversémoslo en info@asseriva.biz
En 2013, el gobierno de EEUU emite una orden ejecutiva (la 13.636) para dotar al país de un enfoque que “introduce esfuerzos para compartir información sobre amenazas de ciberseguridad y construir un marco de trabajo para reducir los riesgos en la infraestructura crítica”.
El encargado de confeccionar este ”Cybersecurity Framework” (CSF) fue el NIST (Instituto Nacional de Estándares y Tecnología), ya que es una agencia no reguladora que actúa como una fuente imparcial de datos y prácticas científicas, incluidas las prácticas de ciberseguridad. La misión del NIST es promover la innovación en Estados Unidos y la competitividad industrial.
En el nivel superior de abstracción, el Framework posee 5 funciones que actúan como columna vertebral de todos los elementos que constituyen el CSF. Estas 5 funciones (identificar, proteger, detectar, responder y recuperar) fueron seleccionadas porque ayudan a las organizaciones a representar de manera simple la gestión de riesgos de ciberseguridad, permitiendo decisiones para la administración de esos riesgos.
Las claves: framework core, tiers y profiles
3 son los elementos principales del CSF: niveles (Tiers), núcleo (core) y perfiles (profile). Su utilización ayuda a las organizaciones a:
– identificar sus vulnerabilidades,
– priorizar su resolución en el tiempo en planes de mitigación y
– evolucionar hacia una organización mejor preparada cada vez.
El core es un conjunto de actividades deseables de ciberseguridad, organizadas en categorías, alineadas a referencias de información. El core está diseñado para resultar intuitivo y servir como una capa de traducción que permita la comunicación con un lenguaje simple, no técnico, entre equipos multidisciplinarios.
Las categorías fueron diseñadas para cubrir de una manera amplia los objetivos de ciberseguridad de una organización, sin entrar en mayores detalles. Las categorías cubren tópicos de cibernética, mundo físico y personas, con foco en los resultados del negocio.
Hay 108 subcategorías, que son un nivel de abstracción más profunda del core, que son declaraciones basadas en resultados para sentar las bases de la creación o mejora de un programa de ciberseguridad.
El Framework se adapta a las necesidades de la organización, ya que está orientado a los resultados y no condiciona a la manera que la organización consigue esos resultados.
Los tiers definen cuál es el grado de rigor con el que las organizaciones adhieren al Framework NIST, qué tan bien integradas están las decisiones de riesgo de ciberseguridad respecto del riesgo más amplio y el grado con el que la organización comparte y recibe información de ciberseguridad desde terceros.
Los Tiers no representan necesariamente niveles de madurez. Las organizaciones podrían definir un grado objetivo, asegurándose que estará de acuerdo a las metas de la organización, que reduce los riesgos a niveles aceptables para la organización y le resulte factible implementar.
Finalmente, se considera la confección de un profile (perfil), que es la definición de cómo una organización adopta el CFP de manera que se adapte a sus necesidades de negocio y su realidad. No hay una “manera errónea” o “correcta” de adoptar el CSF. Un perfil representa los resultados basados en las necesidades comerciales que una organización ha seleccionado de las categorías y subcategorías del marco.
En general se definen al menos dos, un perfil actual y una perfil objetivo:
¿Sabes con certeza cuál es el estado de tus ciber vulnerabilidades?
Conversémoslo en info@asseriva.biz
Fuente: https://www.nist.gov/cyberframework