Cómo los marcos de ciberseguridad pueden mejorar la comunicación y comprensión en las empresas
Los profesionales de ciberseguridad a menudo enfrentan la maldición del conocimiento: comprender tanto sobre ciberseguridad que resulta difícil comunicarlo de manera sencilla a quienes no están en el campo. Sin embargo, los marcos de ciberseguridad pueden facilitar que todos en el negocio comprendan, asimilen y comuniquen sobre seguridad, según dijo Frank Kim, fundador de la firma de consultoría de seguridad ThinkSec y director de currículo en el Instituto SANS, durante una presentación en RSA 2019.
El problema con los marcos de seguridad comunes es que a menudo se presentan en largos PDF que pueden generar más confusión, afirmó Kim. Para hacer que los marcos de ciberseguridad sean más comprensibles, los separó en tres categorías: marcos de control, marcos de programa y marcos de riesgo.
Kim usó la analogía de una persona que se convierte en chef para describir cada uno de estos marcos. Antes de que un chef comience a cocinar, debe hacer una lista de ingredientes para su comida (el marco de control). Luego, debe determinar la receta para ensamblar esos ingredientes en una comida (el marco de programa). Finalmente, debe descubrir dónde va a servir esa comida, en términos de lo que sus clientes desean en una experiencia de restaurante (el marco de riesgo).
1. Marcos de control
Ejemplos: NIST 800-53; CIS Controls (CSC)
A menudo, cuando un profesional de seguridad ingresa a un nuevo entorno para construir y administrar un equipo, se encuentra con una organización que es relativamente inmadura desde una perspectiva de TI y seguridad, dijo Kim. En esos casos, desean determinar el conjunto básico de controles a implementar.
Los profesionales de ciberseguridad utilizan marcos de control para:
Cómo habilitar el sistema de auditoría en CentOS 7 para una mayor seguridad- Identificar un conjunto básico de controles
- Evaluar el estado de las capacidades técnicas
- Priorizar la implementación de controles
- Desarrollar un plan inicial para el equipo de seguridad
NIST SP 800-53 es un catálogo completo de controles de seguridad y privacidad, en el que los controles se pueden implementar según la prioridad o los baselines de control seguros (bajo impacto, impacto moderado o alto impacto). CIS Controls, por otro lado, ha publicado los 20 controles de seguridad críticos principales que utiliza el Departamento de Estado de EE.UU., según Kim.
2. Marcos de programa
Ejemplos: ISO 27001; NIST CSF
Los profesionales de ciberseguridad utilizan un marco de programa para:
- Evaluar el estado del programa de seguridad en general
- Construir un programa de seguridad integral
- Medir la madurez y realizar comparaciones de la industria
- Simplificar la comunicación con los líderes empresariales
La serie ISO 27000 es una familia de estándares relacionados con la seguridad de la información, dijo Kim. ISO 27001 implica los requisitos del sistema de gestión de seguridad de la información y define las áreas de enfoque en la construcción de un programa de seguridad, incluyendo el contexto organizacional, el liderazgo, la planificación, el apoyo, la documentación, la operación, la evaluación del desempeño y la mejora.
El Marco de Ciberseguridad de NIST (NIST CSF) ayuda a identificar, proteger, detectar, responder y recuperarse, según Kim. Está compuesto por tres partes: Core, Implementation Tiers y Profiles, y define un lenguaje común para gestionar el riesgo. Esto ayuda a las organizaciones a plantearse las preguntas: ¿Qué estamos haciendo hoy? ¿Cómo lo estamos haciendo? ¿A dónde queremos llegar? ¿Cuándo queremos llegar allí?, explicó Kim.
Los marcos de control y de programa se pueden usar juntos y se complementan entre sí, y la asignación los conecta, según Kim.
Cómo acceder y navegar de forma segura en la Dark Web3. Marcos de riesgo
Ejemplos: NIST 800-39, 800-37, 800-30; ISO 27005; FAIR
Los marcos de riesgo permiten a los profesionales de ciberseguridad asegurarse de que están gestionando su programa de una manera útil para los interesados en toda la organización y ayudan a determinar cómo priorizar las actividades de seguridad, dijo Kim.
Los profesionales de ciberseguridad utilizan marcos de riesgo para:
- Definir los pasos clave del proceso para evaluar y gestionar el riesgo
- Estructurar el programa de gestión de riesgos
- Identificar, medir y cuantificar el riesgo
- Priorizar las actividades de seguridad
NIST Security ofrece tres marcos conocidos relacionados con el riesgo: NIST SP 800-39 (define el proceso general de gestión de riesgos), NIST SP 800-37 (el marco de gestión de riesgos para sistemas de información federales) y NIST SP 800-30 (progreso de evaluación de riesgos). ISO 27005 define un enfoque sistemático para gestionar el riesgo en una organización, mientras que FAIR es un estándar internacional respaldado por dos organizaciones, según Kim.
Cómo comenzar con un marco de ciberseguridad
Las empresas pueden seguir los siguientes pasos para comenzar a determinar el marco de seguridad adecuado, según Kim:
- Inmediatamente: Identifica los marcos de seguridad que ya estás utilizando en tu organización
- En tres meses: Determina cómo esos marcos aprovechan sus fortalezas y se asignan entre sí para cumplir con los objetivos de cumplimiento y regulación
- En seis meses: Actualiza tu plan de programa de seguridad para aprovechar cada uno de los tres marcos y socializa el plan con líderes técnicos, de operaciones y ejecutivos.
"A medida que madure tu programa de seguridad, puedes elegir uno o más marcos de cada categoría para trabajar juntos y mejorar el estado de tus actividades de seguridad en general", concluyó Kim.
Estudio revela que el 68% de las unidades USB usadas aún contienen datos anterioresEn Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Cómo los marcos de ciberseguridad pueden mejorar la comunicación y comprensión en las empresas , tenemos lo ultimo en tecnología 2023.
Artículos Relacionados