La creciente complejidad de la gestión del riesgo cibernético ha dejado a muchas organizaciones abrumadas e inseguras de por dónde empezar. De hecho, la etapa de planificación de un programa de gestión de riesgos cibernéticos puede ser la parte más desafiante del proceso. Esto no debería sorprendernos; si se hace correctamente, la planificación suele ser la parte más difícil de cualquier proyecto.
Tome la construcción de una casa, por ejemplo. La planificación arquitectónica es engorrosa y los planos son tremendamente caros. Pero sin el pensamiento adecuado y los recursos invertidos en la planificación de una casa, los cimientos podrían literalmente desmoronarse. Asimismo, el trabajo fundamental de un programa de gestión de riesgos cibernéticos es esencial y puede determinar la eficacia a largo plazo del programa.
Saber cómo priorizar las actividades de riesgo cibernético es un desafío y un área en la que muchas organizaciones necesitan orientación. Estas organizaciones deben hacerse la primera pregunta: "¿Qué puedo hacer ahora mismo que ofrezca la mayor inversión en seguridad?" Afortunadamente, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) del Departamento de Seguridad Nacional (DHS) y el Instituto Nacional de Estándares y Tecnología (NIST) han surgido como fuentes de información valiosa, mejores prácticas, herramientas y marcos.
CISA está desarrollando una amplia gama de mejores prácticas de seguridad cibernética que las agencias federales deben seguir, en parte en respuesta a la reciente Orden Ejecutiva 14028 sobre seguridad cibernética.. Aunque no es obligatorio para la industria, CISA sugiere que la industria considere adoptar esta guía para mejorar sus programas de seguridad cibernética y su postura de riesgo general. Este esfuerzo es un excelente ejemplo de una asociación público-privada donde el gobierno federal, en este caso, CISA, está ayudando a la industria a abordar problemas complejos de gestión de riesgos cibernéticos, de forma gratuita. La industria puede y debe hacer un uso completo de esta guía experta, ya que este es un recurso que de otro modo vendría en forma de un costoso servicio de asesoramiento de gestión de riesgos cibernéticos. Es como tener un maestro arquitecto que proporcione un plano completamente desarrollado para la casa de sus sueños de forma totalmente gratuita: sería una tontería no aprovecharlo.
Un gran ejemplo de esta guía emergente es la administración y parches de vulnerabilidades. Las organizaciones de todos los tamaños en todas las industrias están abrumadas por los resultados e informes del escáner de vulnerabilidades. Comprender en qué vulnerabilidades enfocarse y cuándo puede ser muy útil. CISA emitió recientemente una hoja de ruta de gestión de vulnerabilidades para ayudar a las organizaciones a comenzar. Si tiene un buen programa de parches y administración de vulnerabilidades, entonces puede usar esta guía para verificar su trabajo. También es importante tener en cuenta que este es solo el primer paso. CISA planea mantener y actualizar esta guía con el tiempo.
En el caso de una brecha cibernética, es posible que muchas organizaciones no sepan cómo responder. CISA también ha desarrollado valiosas guías y guías de respuesta a incidentes y vulnerabilidades . Este marco es un punto de partida sólido y se puede adaptar para abordar requisitos organizacionales específicos. Las organizaciones con planes de respuesta a incidentes existentes pueden usar esta guía para reevaluar y mejorar sus planes actuales, si corresponde.
CISA y NIST también se han centrado recientemente en la plaga cibernética conocida como ransomware. De manera similar a otras pautas proporcionadas aquí, CISA ha desarrollado una lista de verificación de ransomware que las organizaciones deben usar para reducir la probabilidad de ataques de ransomware e incluye orientación sobre cómo responder a un ataque de ransomware. Esta información se puede utilizar para establecer un plan para abordar el ransomware o validar y mejorar las estrategias existentes.
Además, NIST está desarrollando un marco de gestión de riesgos de ransomware más extenso.basado en el ampliamente aclamado NIST Cybersecurity Framework (CSF). Esencialmente, NIST está creando un perfil basado en CSF que prioriza ciertos objetivos de seguridad cibernética entre las categorías y subcategorías de NIST CSF que son críticas para reducir la probabilidad de una violación de ransomware. La lista de verificación de ransomware CISA se puede asignar al marco de ransomware CSF para las organizaciones que desean implementar un proceso más extenso y formalizado. Aunque aún no está finalizado, el borrador del perfil de ransomware CSF es un buen punto de partida. Al igual que CISA, NIST también mantiene sus marcos a lo largo del tiempo, mejorando y mejorando continuamente la información para abordar la naturaleza en constante evolución del riesgo cibernético. A diferencia de muchos otros marcos de gestión de riesgos cibernéticos, tanto CISA como NIST ofrecen sus herramientas de gestión de riesgos cibernéticos de clase mundial (marcos, controles, estándares, etc.).
Está claro que CISA y NIST están haciendo un esfuerzo conjunto para ayudar a las organizaciones a abordar la abrumadora tarea de administrar el riesgo cibernético, y se espera una guía adicional y mejorada en los próximos meses.
El valor de esta información no puede exagerarse. Cada organización debe utilizar estos recursos para establecer un programa defendible de gestión de riesgos cibernéticos basado en las mejores prácticas y estándares reconocidos. Después de todo, así como no se puede construir una casa sin un plan, las organizaciones no tienen esperanzas de mantenerse un paso por delante de los piratas informáticos sin saber por dónde empezar. Ya es hora de que aprovechen el arquitecto gratuito que tienen al alcance de la mano.
Fuente: https://www.forbes.com/sites/forbestechcouncil/2022/01/24/free-expert-guidance-cisa-and-nist-demystify-critical-cyber-risk-management/
No hay comentarios.:
Publicar un comentario