Implementación del Marco de Ciberseguridad de NIST.

Asegurar la información sensible de una empresa es primordial para negocios de todos los tamaños. Sin embargo, las pequeñas y medianas empresas (PYMEs) a menudo se encuentran particularmente vulnerables debido a recursos y conocimientos limitados en ciberseguridad. Aquí es donde el Instituto Nacional de Estándares y Tecnología (NIST) proporciona una guía invaluable a través de su Marco de Ciberseguridad (CSF) y el Marco de Gestión de Riesgos (RMF). En este artículo, explicaré cómo el Marco de Ciberseguridad puede aplicarse efectivamente para mejorar la postura de seguridad de las PYMEs.

Marco de Ciberseguridad de NIST (CSF).

El Marco de Ciberseguridad de NIST puede ayudar a las organizaciones a gestionar y reducir sus riesgos de ciberseguridad a medida que inician o mejoran su programa de ciberseguridad. Está formado por un conjunto integral de mejores prácticas, estándares y recomendaciones destinadas a ayudar a las organizaciones a gestionar y reducir el riesgo de ciberseguridad.

El NIST-CSF está organizado por seis Funciones: Gobernar, Identificar, Proteger, Detectar, Responder y Recuperar. Juntas, estas Funciones proporcionan una vista integral para gestionar el riesgo de ciberseguridad.

1. Gobernar: La estrategia de gestión del riesgo de ciberseguridad de la organización, las expectativas y las políticas están establecidas, comunicadas y monitoreadas.

Comprender y evaluar las necesidades específicas de ciberseguridad. Debes determinar los riesgos y necesidades únicos de tu organización. Comienza discutiendo el entorno de riesgo actual y previsto, y la cantidad de riesgo que tu organización está dispuesta a aceptar. Para esto, puedes buscar aportes e ideas de toda la organización. Determina qué ha funcionado o no ha funcionado bien en el pasado y discútelo abiertamente.

Desarrollar una estrategia de gestión de riesgos de ciberseguridad a medida. Esto debe basarse en los objetivos específicos de ciberseguridad de tu organización, el entorno de riesgo y las lecciones aprendidas del pasado. Gestiona, actualiza y discute la estrategia a intervalos regulares. Los roles y responsabilidades deben estar claros.

Establecer políticas definidas de gestión de riesgos. Las políticas deben ser aprobadas por la gerencia y deben ser de toda la organización, repetibles y recurrentes, y deben alinearse con el entorno de amenazas cibernéticas actual, los riesgos y los objetivos de la misión. Incrusta las políticas en la cultura de la empresa para ayudar a impulsar e inspirar la capacidad de tomar decisiones informadas. Ten en cuenta las obligaciones legales, regulatorias y contractuales.

Desarrollar y comunicar prácticas de ciberseguridad organizacional. Estas deben ser sencillas y comunicarse regularmente. Deben reflejar la aplicación de la gestión de riesgos a los cambios en los requisitos de la misión o del negocio, las amenazas y el panorama técnico en general. Documenta las prácticas y compártelas dejando espacio para la retroalimentación y la agilidad para cambiar de rumbo.

Establecer y monitorear la gestión de riesgos de la cadena de suministro de ciberseguridad. Establecer estrategias, políticas y roles y responsabilidades, incluidos los de supervisar proveedores, clientes y socios. Incorpora requisitos en los contratos. Involucra a socios y proveedores en la planificación, respuesta y recuperación.

Implementar supervisión continua y puntos de control. Analiza los riesgos a intervalos regulares y monitorea continuamente (tal como lo harías con los riesgos financieros).

2. Identificar: Se entienden los riesgos de ciberseguridad actuales de la organización.

Identificar procesos y activos críticos del negocio. Primero considera cuáles actividades de tu organización absolutamente deben continuar para seguir en el negocio. Por ejemplo, esto podría ser mantener un sitio web para recibir pagos, proteger de manera segura la información del cliente/paciente o garantizar que la información crítica para tu organización permanezca accesible y precisa.

Mantener inventarios de hardware, software, servicios y sistemas. Debes saber qué computadoras y software usa tu organización, incluidos los servicios proporcionados por proveedores, porque estos son frecuentemente los puntos de entrada de los actores maliciosos. Este inventario podría ser tan simple como una hoja de cálculo. Considera incluir dispositivos y aplicaciones propiedad de la organización, arrendados y personales de los empleados.

Documentar flujos de información. Considera qué tipo de información recoge y usa tu organización (y dónde se ubican los datos y cómo se usan), especialmente cuando están involucrados contratos y socios externos.

Identificar amenazas, vulnerabilidades y riesgos a los activos. Informado por el conocimiento de amenazas internas y externas, los riesgos deben ser identificados, evaluados y documentados. Ejemplos de formas de documentarlos incluyen registros de riesgos: repositorios de información de riesgos, incluidos datos sobre riesgos a lo largo del tiempo. Asegúrate de que las respuestas a los riesgos sean identificadas, priorizadas y ejecutadas, y que los resultados sean monitoreados.

Las lecciones aprendidas se utilizan para identificar mejoras. Al llevar a cabo operaciones comerciales diarias, es importante identificar formas de refinar o mejorar aún más el desempeño, incluidas oportunidades para gestionar y reducir mejor los riesgos de ciberseguridad. Esto requiere un esfuerzo intencionado por parte de tu organización a todos los niveles. Si ocurre un incidente, evalúa lo sucedido. Prepara un informe posterior a la acción que documente el incidente, la respuesta, las acciones de recuperación realizadas y las lecciones aprendidas.

3. Proteger: Se utilizan salvaguardas para gestionar los riesgos de ciberseguridad de la organización.

Gestionar el acceso. Crea cuentas únicas para los empleados y asegura que los usuarios solo tengan acceso a los recursos necesarios. Autentica a los usuarios antes de que se les otorgue acceso a información, computadoras y aplicaciones. Gestiona y rastrea el acceso físico a instalaciones/dispositivos.

Capacitar a los usuarios. Capacita regularmente a los empleados para asegurar que estén al tanto de las políticas y procedimientos de ciberseguridad y que tengan el conocimiento y las habilidades para realizar tareas generales y específicas; explica cómo reconocer ataques comunes y reportar actividad sospechosa. Algunos roles pueden requerir capacitación adicional.

Proteger y monitorear tus dispositivos. Considera usar productos de seguridad de endpoints. Aplica configuraciones uniformes a los dispositivos y controla los cambios en las configuraciones de los dispositivos. Desactiva servicios o características que no apoyan las funciones de la misión. Configura sistemas y servicios para generar registros de logs. Asegúrate de que los dispositivos sean desechados de manera segura.

Proteger datos sensibles. Asegura que los datos sensibles almacenados o transmitidos estén protegidos mediante cifrado. Considera utilizar verificaciones de integridad para que solo se realicen cambios aprobados en los datos. Borra y/o destruye datos de manera segura cuando ya no sean necesarios o requeridos.

Gestionar y mantener software. Actualiza regularmente los sistemas operativos y las aplicaciones; habilita las actualizaciones automáticas. Sustituye el software obsoleto por versiones compatibles. Considera usar herramientas de software para escanear dispositivos en busca de vulnerabilidades adicionales y remediarlas.

Realizar copias de seguridad regularmente. Haz copias de seguridad de los datos en horarios acordados o utiliza capacidades de copia de seguridad integradas; las soluciones de software y en la nube pueden automatizar este proceso. Mantén al menos un conjunto de datos de respaldo frecuentemente fuera de línea para protegerlo contra el ransomware. Prueba que los datos respaldados se puedan restaurar exitosamente en los sistemas.

4. Detectar: Se encuentran y analizan posibles ataques y compromisos de ciberseguridad.

Monitorear continuamente redes, sistemas e instalaciones para detectar eventos potencialmente adversos. Desarrolla y prueba procesos y procedimientos para detectar indicadores de un incidente de ciberseguridad en la red y en el entorno físico. Recoge información de registro de múltiples fuentes organizativas para ayudar a detectar actividades no autorizadas.

Determinar y analizar el impacto y alcance estimado de los eventos adversos. Si se detecta un evento de ciberseguridad, tu organización debe trabajar rápidamente y a fondo para entender el impacto del incidente. Comprender los detalles sobre cualquier incidente de ciberseguridad ayudará a informar la respuesta.

Proporcionar información sobre eventos adversos al personal y herramientas autorizados. Cuando se detectan eventos adversos, proporciona información sobre el evento internamente al personal autorizado para asegurar que se tomen las acciones apropiadas de respuesta a incidentes.

5. Responder: Se toman acciones con respecto a un incidente de ciberseguridad detectado.

Ejecutar un plan de respuesta a incidentes una vez que se declara un incidente, en coordinación con terceros relevantes. Para ejecutar correctamente un plan de respuesta a incidentes, asegúrate de que todos conozcan sus responsabilidades; esto incluye entender cualquier requisito (por ejemplo, informes regulatorios, legales y de intercambio de información).

Categorizar y priorizar incidentes y escalarlos o elevarlos según sea necesario. Analiza lo que ha estado sucediendo, determina la causa raíz del incidente y prioriza qué incidentes requieren atención primero de tu organización. Comunica esta priorización a tu equipo y asegúrate de que todos comprendan a quién se debe comunicar la información sobre un incidente priorizado cuando ocurra.

Recoger datos de incidentes y preservar su integridad y procedencia. Recoger información de manera segura ayudará en la respuesta de tu organización a un incidente. Asegúrate de que los datos sean seguros después del incidente para mantener la reputación de tu organización y la confianza de los interesados. Almacenar esta información de manera segura también puede ayudar a informar planes de respuesta actualizados y futuros para ser aún más efectivos.

Notificar a los interesados internos y externos sobre cualquier incidente y compartir información del incidente con ellos, siguiendo las políticas establecidas por tu organización. Comparte información de manera segura, coherente con los planes de respuesta y acuerdos de intercambio de información. Notifica a socios comerciales y clientes sobre los incidentes de acuerdo con los requisitos contractuales.

Contener y erradicar incidentes. Ejecutar un plan de respuesta desarrollado y probado ayudará a tu organización a contener los efectos de un incidente y erradicarlo. La coordinación y comunicación significativa con los interesados puede resultar en una respuesta más efectiva y en la mitigación del incidente.

6. Recuperar: Los activos y operaciones afectados por un incidente de ciberseguridad son restaurados.

Comprender roles y responsabilidades. Entiende quién, dentro y fuera de tu negocio, tiene responsabilidades de recuperación. Sabe quién tiene acceso y autoridad para tomar decisiones para llevar a cabo tus esfuerzos de respuesta en nombre de la empresa.

Ejecutar tu plan de recuperación. Asegura la disponibilidad operativa de los sistemas y servicios afectados; prioriza y realiza tareas de recuperación.

Verifica tu trabajo. Es importante asegurar la integridad de las copias de seguridad y otros activos de recuperación antes de usarlos para reanudar las operaciones comerciales regulares.

Comunicarte con los interesados internos y externos. Considera cuidadosamente qué, cómo y cuándo se compartirá la información con varios interesados para que todas las partes interesadas reciban la información que necesitan, pero no se comparta información inapropiada. Comunica a tu personal cualquier lección aprendida y revisiones a los procesos, procedimientos y tecnologías (siguiendo las políticas ya establecidas por la organización). Este es un buen momento para capacitar o volver a capacitar al personal sobre las mejores prácticas de ciberseguridad.

Implementar el Marco de Ciberseguridad de NIST puede reforzar significativamente la seguridad de las pequeñas y medianas empresas. Estos marcos proporcionan un enfoque estructurado pero flexible para identificar, proteger, detectar, responder y recuperarse de amenazas de ciberseguridad. Al integrar estas mejores prácticas en sus operaciones diarias, las PYMEs no solo pueden proteger sus valiosos activos, sino también generar confianza con sus clientes y socios.

Como profesional de ciberseguridad, mi misión es ayudar a las empresas a navegar estos complejos marcos y adaptarlos a sus necesidades únicas. Con las estrategias y herramientas adecuadas en su lugar, incluso la empresa más pequeña puede lograr una sólida resiliencia en ciberseguridad.