El CSF de NIST, utilizado con otra guía, puede ayudar a mapear el riesgo de las amenazas reales y cumplir mejor con los mandatos de seguridad, como la orden ejecutiva de seguridad cibernética de los EE. UU.
El gobierno federal de EE. UU. ha estado muy activo el año pasado, particularmente con la orden ejecutiva (EO) de seguridad cibernética y las tareas y objetivos asociados que surgieron de ella. Un marco y una fuente de la industria que ha recibido una mayor atención es el marco de seguridad cibernética (CSF, por sus siglas en inglés) del NIST.
El CSF surgió de otra EO, 13636, que es de 2013 y ordenó al NIST trabajar con las partes interesadas para desarrollar un marco voluntario para reducir el riesgo de la infraestructura crítica. Fue elaborado a través de esfuerzos coordinados con la industria y el gobierno, que han adoptado ampliamente el marco.
Así es como se compone el CSF, cómo algunos aspectos pueden ayudar a cumplir algunos de los objetivos recientes de EO de ciberseguridad y cómo cualquier organización puede usarlo para mapear mejor el riesgo de las amenazas.
¿Cuáles son los componentes del marco de ciberseguridad?
En su base, el CSF tiene tres componentes:
Core es esencialmente un conjunto de actividades y resultados de ciberseguridad deseados.
Los niveles de implementación son utilizados por las organizaciones adoptantes para brindar contexto cuando se trata de cómo las organizaciones ven la gestión de riesgos de seguridad cibernética.
Framework Profiles ayuda a proporcionar una alineación personalizada con los requisitos y objetivos de la organización cuando se trata de lograr resultados y reducir el riesgo organizacional e incluso en toda la industria.
Dentro de estos tres componentes hay áreas adicionales, como categorías y subcategorías dentro de las funciones, que se relacionan con los resultados de un programa de seguridad cibernética. NIST ya ha producido varios perfiles de marco de ejemplo , como para la fabricación, las elecciones y la red inteligente.
Uno de los aspectos más reconocibles de CSF son las funciones en las que divide las actividades: identificar, proteger, detectar, responder y recuperar. La razón por la que estas funciones son tan ampliamente reconocidas es porque son tanto prácticas como lógicas. Se alinean con las actividades y el ciclo de vida de la ciberseguridad y la gestión de riesgos dentro del programa de seguridad de una organización. Estas funciones también son aplicables a organizaciones en muchas industrias y verticales, lo que hace que CSF sea dinámico y adaptable.
Dado que CSF se basa en estándares, pautas y prácticas existentes, contiene actividades que son comunes entre otras guías líderes en la industria, como los controles críticos de CIS. Esto es evidente a través de actividades como "identificar procesos y activos empresariales críticos". Para aprovechar mejor los estándares, pautas y prácticas existentes, CSF también tiene lo que se denomina "Referencias informativas" que se alinean debajo de cada función y apuntan a los controles y referencias de seguridad del marco existente.
Cómo el marco de seguridad cibernética ayuda a habilitar el cumplimiento de EO
El CSF no se menciona explícitamente en la EO de seguridad cibernética reciente, pero se hace referencia extensa al NIST. Dado que CSF es su marco de gestión de riesgos insignia, estará vinculado a muchas de las actividades y tareas que NIST lleva a cabo como parte de la EO. Todas las tareas y actividades de ciberseguridad definidas en la EO se pueden mapear en las categorías funcionales de CSF como se discutió anteriormente.
Para promover una mayor adopción del CSF, el NIST ha publicado una guía que incluye NISTIR 8170 Enfoques para que las agencias federales usen el marco de ciberseguridad y NISTIR 8286 Integración de la ciberseguridad y la gestión de riesgos empresariales (ERM). Combinar esta guía con las tareas asociadas con la EO permitirá que las agencias federales aborden sus riesgos y deficiencias de seguridad existentes.
Un aspecto importante de la EO fue el impulso para que las agencias adoptaran la confianza cero (mencionado 11 veces). Aquí es donde las agencias, así como las organizaciones de la industria, pueden comenzar a ver sinergias reales entre CSF y los objetivos de EO. Por ejemplo, cuando se trata de confianza cero, el Centro Nacional de Excelencia en Seguridad Cibernética (NCCoE) del NIST ha proporcionado una guía que mapea los componentes de confianza cero aplicables a las funciones, categorías y subcategorías de CSF. Estos son componentes básicos de confianza cero, como motores de políticas, administradores, puntos de aplicación y componentes de seguridad más comunes, como SIEM.
Las agencias federales y las organizaciones de la industria pueden aprovechar el CSF como en el ejemplo anterior, para mapear los objetivos del programa de seguridad en las cinco funciones, categorías y subcategorías del CSF. Esto incluye herramientas de mapeo y aspectos de la pila tecnológica según los criterios de CSF. Un beneficio clave del CSF es su capacidad para ayudar a guiar las decisiones, independientemente del lugar que ocupe una persona dentro de la organización. Esto se aplica desde altos ejecutivos hasta negocios/procesos e implementación y operaciones.
Alineación de los objetivos del marco de ciberseguridad con las amenazas
Las organizaciones, el gobierno y la industria por igual pueden tomar medidas adicionales para alinear los objetivos de CSF con las amenazas reales. Una excelente manera de hacerlo es aprovechar las evaluaciones ATT&CK de MITRE , que emulan tácticas y técnicas antagónicas contra los principales productos de ciberseguridad. Luego, la información se pone a disposición de los usuarios finales de la industria para ver cómo se desempeñaron los productos y qué tan bien se alinean con los objetivos de seguridad de la organización. Otro recurso excelente de MITRE es el mapeo MITRE ATT&CK y NIST 800-53 del Center for Threat-Informed Defense. Mediante el uso de estos mapeos, las organizaciones podrían potencialmente cruzar la referencia del mapeo del Centro a las Referencias informativas en el CSF, que se relacionan con funciones y categorías específicas.
Con respecto a las amenazas reales, la autoevaluación y la medición a través del CSF también se pueden utilizar para mejorar la toma de decisiones sobre las prioridades de inversión. Un conjunto limitado de recursos y financiación es una realidad para todos los líderes de seguridad, independientemente de la industria. Identificar las brechas en el programa de seguridad y dirigir las inversiones a las áreas que presentan el riesgo más significativo puede brindar enormes beneficios. Por eso es importante que los líderes de seguridad se aseguren de que la implementación de los controles y las actividades de seguridad estén vinculados a los resultados de la organización y los objetivos comerciales. Hacerlo garantiza la alineación con el liderazgo empresarial, refuerza la aceptación de las iniciativas de seguridad y ayuda a que la empresa funcione de forma segura.
NIST CSF es un marco flexible para administrar el riesgo organizacional y la madurez del programa de seguridad. Sus casos de uso incluyen la gestión de requisitos cibernéticos, la notificación de riesgos de seguridad cibernética y la integración y alineación de procesos cibernéticos y de adquisición. Todos estos casos de uso son aplicables cuando se trata de cumplir con la gran cantidad de tareas y objetivos que surgieron en la EO de ciberseguridad de 2021.
Aprendiendo sobre el LCR
El CSF de NIST puede ser una herramienta valiosa para las organizaciones que mejoran la madurez de su programa de seguridad y buscan reducir el riesgo organizacional y cubrir funciones de seguridad críticas. Existen numerosos recursos para comenzar con CSF, sobre todo del propio NIST . Proporcionan aprendizaje en línea, presentaciones y documentación detallada del marco. Incluso hay un libro dedicado al NIST CSF. A medida que las organizaciones continúan mejorando su programa de seguridad, un marco dinámico y completo, mapeado a los estándares existentes es increíblemente valioso, y ese es el papel que desempeña el CSF de NIST.
Fuente: https://www.csoonline.com/article/3647874/using-the-nist-cybersecurity-framework-to-address-organizational-risk.html
No hay comentarios.:
Publicar un comentario