Ciberseguridad: vivir en un mundo digital
Hoy en día es prácticamente inevitable que la tecnología digital y los datos sean esenciales para algún aspecto de nuestra vida. Podría ser tu trabajo, tus relaciones personales, tu situación de vida, etc. Si administras un negocio, lo más seguro es que dependas por completo de los dispositivos y los datos.
Desafortunadamente –y como se nos recuerda a diario– ciertas personas con malas intenciones están ansiosas por robar los datos que tú y tu empresa necesitan para funcionar. Sus motivaciones varían, pero en general los personajes maliciosos quieren sacar beneficios de tus dispositivos y datos, interrumpir su funcionamiento, o ambos.
¿Qué podemos hacer para lograr la mejor ciberseguridad posible en estas circunstancias?
Hay formas de lograr un nivel satisfactorio de ciberseguridad, que pueden incluir soluciones de seguridad de datos y también seguridad de bases de datos. Con frecuencia, la mejor manera de cumplir este objetivo es adoptar un modelo o marco de ciberseguridad. Este modelo proporciona la estructura y la metodología que necesitas para proteger tus activos digitales importantes.
¿Qué es un marco de ciberseguridad?
Un marco de ciberseguridad es, esencialmente, un sistema de estándares, pautas y buenas prácticas para gestionar los riesgos que surgen en el mundo digital. Por lo general, coinciden con los objetivos de seguridad de tu empresa, como evitar el acceso no autorizado al sistema con controles (como solicitar un nombre de usuario y contraseña).
Si el concepto es confuso, es más sencillo asociarlo al concepto original en inglés: framework. En el mundo físico, esto se refiere literalmente al sistema de vigas que sostienen un edificio. En el mundo de las ideas, se refiere a una estructura que sustenta un sistema o concepto. Un framework es una forma de organizar la información y, en la mayoría de los casos, tareas relacionadas.
Los marcos o modelos han existido por mucho tiempo. En la contabilidad financiera, por ejemplo, los marcos ayudan a los contadores a realizar un seguimiento de las transacciones financieras. Un marco contable se basa en conceptos como activos, pasivos, costos y controles. Los marcos de ciberseguridad adoptan el enfoque de marco al mundo del aseguramiento de activos digitales. El marco está diseñado para entregar a los administradores de seguridad una forma confiable y sistemática de mitigar el riesgo cibernético, sin importar cuán complejo pueda ser el entorno.
Los marcos de ciberseguridad a menudo se usan de manera obligatoria –o al menos con fuertes incentivos– en las empresas que desean cumplir con regulaciones estatales, industriales y de ciberseguridad internacional. Por ejemplo, para manejar transacciones con tarjeta de crédito, una empresa debe aprobar una auditoría que acredite su cumplimiento con el marco de los Estándares de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS, por sus siglas en inglés).
La ciberseguridad y los servicios de seguridad de TI mantienen a tu compañía a salvo.
Tipos de marcos de ciberseguridad
En la conferencia RSA del 2019, Frank Kim, ex CISO del Instituto SANS y uno de los principales expertos en ciberseguridad, entregó una gran explicación sobre los diversos tipos de marcos. Los dividió en tres categorías y esbozó sus propósitos:
Marcos de Control:
- Desarrollar una estrategia básica para el equipo de seguridad
- Proporcionar un conjunto de controles básicos
- Evaluar el estado técnico actual
- Priorizar la implementación de controles
Marcos programáticos:
- Evaluar el estado del programa de seguridad
- Construir un programa integral de seguridad
- Medir la seguridad del programa / análisis competitivo
- Simplificar la comunicación entre el equipo de seguridad y los líderes de empresa
Marcos de riesgo:
- Definir pasos clave del proceso para evaluar / gestionar el riesgo
- Estructurar el programa para la gestión del riesgo
- Identificar, medir y cuantificar el riesgo
- Priorizar las actividades de seguridad
Los marcos de ciberseguridad más conocidos
Existen muchos marcos diferentes, sin embargo unos pocos dominan el mercado. Además de PCI DSS, los marcos más populares incluyen:
- Marco del Instituto Nacional de Estándares y Tecnología (NIST) de EE. UU. para Mejorar la Ciberseguridad de la Infraestructura Crítica (NIST CSF)
- El Centro de Controles Críticos de Seguridad de Internet (CIS)
- Los marcos de la Organización Internacional de Estándares (ISO) ISO/IEC 27001 y 27002
El Marco NIST de Ciberseguridad
El Marco de NIST para Mejorar la Ciberseguridad de la Infraestructura Crítica, a veces llamado simplemente “Marco NIST de ciberseguridad”, y como su nombre lo indica, está destinado a ser utilizado para proteger infraestructura crítica como plantas de energía y represas de ataques ciberneticos. Sin embargo, sus principios pueden aplicarse a cualquier organización que busque una mejor seguridad. Es uno de varios estándares NIST que cubren la ciberseguridad.
Como la mayoría de los marcos, el marco NIST de ciberseguridad es complejo y de amplio alcance. El documento básico que lo describe tiene 41 páginas. La implementación real del marco puede involucrar miles de horas-persona y cientos de páginas de documentación, procedimientos, controles, etc. Sin embargo en la raíz, el marco es bastante sencillo de entender.
El núcleo del marco es una lista de funciones de ciberseguridad que siguen el patrón básico de defensa cibernética: identificar, proteger, detectar, responder y recuperarse. El marco proporciona un mecanismo organizado para identificar riesgos y activos que requieren protección. Enumera las formas en que la organización debe proteger estos activos mediante la detección de riesgos, respondiendo a las amenazas e incluso recuperando los activos en caso de un incidente de seguridad.
Por ejemplo, bajo el patrón de “proteger”, el marco contiene una categoría conocida como PR.DS, que significa "Protect Data Security” (“Proteger la seguridad de los datos"). Profundizando en el marco, PR.DS tiene siete subcategorías, cada una destinada a garantizar la protección de datos. Estos incluyen controles para proteger los datos en reposo (PR.DS-1), proteger los datos en tránsito (PR.DS-2), etc. Para cumplir con PR.DS-1, por ejemplo, la organización podría exigir el cifrado de datos en reposo.
CIS
CIS fue creado a fines de la década de 2000 por una coalición de expertos y voluntarios con el objetivo de crear un marco para proteger a las empresas de las amenazas de ciberseguridad. Se compone de 20 controles que son actualizados regularmente por expertos de todos los campos (gobierno, academia e industria) para ser consistentemente modernos y estar por delante de las amenazas de ciberseguridad.
CIS funciona bien para organizaciones que desean dar pequeños pasos. Su proceso se divide en tres grupos. Se comienza con lo básico, luego se pasa a lo fundacional y finalmente, a lo organizacional. CIS también es una gran opción si necesitas un marco adicional que pueda coexistir con otros estándares de compliance específicos de industria (como HIPAA y NIST).
Esta organización trabaja con puntos de referencia o pautas basadas en estándares de uso común, como los ya mencionados NIST e HIPAA, que no solo trazan mapas de los estándares de seguridad para ayudar a las empresas a cumplirlos, sino que ofrecen configuraciones de seguridad básicas alternativas para aquellos que no requieren cumplimiento, sino que desean mejorar su seguridad.
Estos estándares de comparación se dividen en dos niveles. Los primeros son recomendaciones para configuraciones esenciales de seguridad que no afectan el rendimiento de los servicios; y un segundo nivel más avanzado de estándares que ofrecen recomendaciones de seguridad de nivel superior, con un posible costo en rendimiento.
ISO/IEC 27001
ISO 27001/27002, también conocida como ISO 27K, es el estándar internacionalmente reconocido para la ciberseguridad. El marco establece (es decir, asume) que una organización que adopte ISO 27001 tendrá un Sistema de Gestión de Seguridad de la Información o SGSI (en inglés: Information Security Management System, o ISMS). Con eso en mente, ISO/IEC 27001 requiere que la administración maneje sistemáticamente los riesgos de seguridad de la información de la organización, teniendo en cuenta las amenazas y vulnerabilidades.
El marco requiere que la organización diseñe e implemente controles de seguridad de la información (InfoSec) que sean coherentes y completos. El objetivo de estos controles es mitigar riesgos ya identificados. A partir de ahí, el marco sugiere que la organización adopte un proceso de gestión de riesgos que esté en curso. Para obtener la certificación de conformidad con ISO 27001, una organización debe demostrarle al auditor que está utilizando lo que ISO denomina el "Ciclo PDCA".
Ciclo PDCA
El ciclo PDCA es un método de gestión empresarial que se centra en 4 pasos principales que deben implementarse continuamente a medida que se considera el cambio en la empresa. Los cuatro pasos son:
- Planear: significa establecer un SGSI junto con políticas, objetivos, procesos y procedimientos para la gestión de riesgos.
- Hacer: se refiere a la implementación del SGSI y su funcionamiento, incluyendo la implementación de políticas de InfoSec, procedimientos, etc.
- Verificar: implica el monitoreo y la revisión del SGSI, midiendo el desempeño del proceso en comparación con las políticas y los objetivos.
- Actuar: es el proceso de actualización y mejora del SGSI. Puede significar emprender acciones correctivas y preventivas, basándose en auditoría interna y revisión de la administración.
Las empresas y agencias gubernamentales adoptan la norma ISO 27001 con el fin de obtener compliance. De otra manera, es mucho trabajo que no conduce a mucho más. ISO certifica el cumplimiento a través del trabajo de auditores aprobados. Una empresa pasa por un proceso de solicitud de certificación con ISO, que generalmente implica trabajar con un consultor experimentado que también puede actuar como auditor y autoridad de certificación.
Los marcos de seguridad como GDPR ayudan a proteger los datos personales de los usuarios.
Otros marcos notables
Existen algunos marcos para una industria específica o escenarios de seguridad.
- COBIT, por ejemplo, es un marco de control para los sistemas de TI utilizados en la contabilidad financiera. Es una parte fundamental del cumplimiento de la Ley Sarbanes-Oxley.
- HIPAA, una ley diseñada para proteger la privacidad de los pacientes, comprende tanto un conjunto de regulaciones como un marco, de manera muy similar a PCI DSS. Es un conjunto específico de requisitos de control que se combinan con un proceso de certificación para dar fe del compliance.
- La norma GDPR de la UE que protege la información personal es algo más suave en su naturaleza. Las reglas son bastante claras, pero el compliance no está certificado por ninguna entidad específica, sino que debe ser auditado en muchos casos por los propios usuarios.
Cómo cumplir con múltiples regulaciones de ciberseguridad
Muchos negocios, especialmente aquellos que trabajan internacionalmente, deben cumplir con una serie de diferentes regulaciones de ciberseguridad. Los marcos pueden ser una excelente manera de enfrentar este complicado desafío. Te brindan una forma de definir, aplicar y monitorear los controles en múltiples regímenes de compliance.
La buena noticia es que los proveedores y consultores de seguridad están publicando una amplia guía sobre el cumplimiento de las regulaciones. Por ejemplo, con HIPAA es posible encontrar buenos recursos para cumplir con los pesados requisitos de las leyes. Estos incluyen salvoconductos administrativos, protecciones físicas y otros controles.
Conclusiones
Los marcos de seguridad cibernética proporcionan una base para lograr una postura de seguridad sólida y evitar violaciones de datos. En algunos casos, permiten que una organización se certifique conforme a una regulación específica. La adopción de un marco requiere dedicar tiempo y recursos al proyecto. Sin embargo, si se hace bien, ¡Vale la pena! El marco ofrece una forma organizada de darle seguridad a una empresa y luego medir continuamente la efectividad de los controles de seguridad establecidos por el marco.