Implementación del Marco de Gestión de Riesgos de NIST.
El NIST-RMF proporciona un proceso estructurado que integra actividades de seguridad de la información y gestión de riesgos en el ciclo de vida del desarrollo del sistema.
Es importante priorizar los requisitos de seguridad y asignar recursos a las necesidades de seguridad y privacidad de la información. Esta toma de decisiones se facilita mediante un Marco de Gestión de Riesgos (RMF) integral. Del mismo modo, el NIST-RMF ayudará a promover el desarrollo y la difusión de políticas y procedimientos de seguridad y privacidad.
La gestión de riesgos es un proceso integral que requiere que las organizaciones:
Enmarquen el Riesgo: Establezcan un contexto de riesgo describiendo el entorno en el que se toman decisiones basadas en riesgo y produzcan una estrategia de gestión de riesgos.
Evalúen el Riesgo: Identifiquen fuentes de amenazas y vulnerabilidades para la organización, el impacto potencial en la misión/negocio, la probabilidad y la incertidumbre de ocurrencia.
Respondan al Riesgo: Proporcionen una respuesta coherente a nivel organizacional desarrollando y evaluando cursos de acción alternativos, determinando el curso de acción adecuado e implementando la respuesta al riesgo.
Monitoreen el Riesgo: Verifiquen que las medidas de respuesta al riesgo planificadas estén implementadas, determinen la efectividad continua de la respuesta al riesgo y cómo se monitorea el riesgo a lo largo del tiempo.
Una clave para implementar un programa de gestión de riesgos exitoso en toda la organización es obtener el apoyo de la alta dirección. Para obtener este apoyo, puedes enfatizar que el objetivo principal del NIST-RMF es permitir que la organización lleve a cabo sus operaciones diarias y cumpla con sus misiones sin interrupciones.
El Marco de Gestión de Riesgos proporciona a las organizaciones varios beneficios clave:
- Un proceso estructurado pero flexible para gestionar el riesgo relacionado con la operación de la organización.
- Guía para determinar la mitigación de riesgos adecuada necesaria para proteger los sistemas y la infraestructura que apoyan la misión y los procesos empresariales de la organización.
- Una metodología repetible que equilibra objetivos comerciales clave y prioridades organizacionales con requisitos de seguridad y directrices políticas.
- Un proceso para resultados de monitoreo continuo y mejora continua de la postura de seguridad de la organización.
- Una metodología neutral en cuanto a tecnología que puede aplicarse a cualquier tipo de sistema de información sin modificaciones.
Hay siete pasos en el NIST-RMF: un paso preparatorio para asegurar que las organizaciones estén listas para ejecutar el proceso y seis pasos principales. Los pasos del NIST-RMF se enumeran en orden secuencial, pero los pasos que siguen al paso de Preparación pueden llevarse a cabo en un orden no secuencial. Las organizaciones tienen flexibilidad en cómo se implementan cada uno de los pasos y tareas del NIST-RMF, siempre que cumplan con todos los requisitos aplicables y gestionen efectivamente el riesgo de seguridad y privacidad.
Los siete pasos son esenciales para la ejecución exitosa del NIST-RMF.
1. Preparar: realizar actividades esenciales para ayudar a preparar a la organización para gestionar sus riesgos de seguridad y privacidad utilizando el NIST-RMF.
1.1 - Establecer Roles de Gestión de Riesgos: identificar y asignar a personas a roles específicos asociados con la gestión de riesgos de seguridad y privacidad.
1.2 - Establecer una Estrategia de Gestión de Riesgos: establecer una estrategia de gestión de riesgos para la organización que incluya una determinación de la tolerancia al riesgo.
1.3 - Evaluación de Riesgos – Organización: evaluar el riesgo de seguridad y privacidad a nivel organizacional y actualizar los resultados de la evaluación de riesgos de manera continua.
1.4 - Baselines de Control y Perfiles del CSF Adaptados a la Organización (opcional): establecer, documentar y publicar baselines de control adaptados a la organización y/o perfiles del marco de ciberseguridad.
1.5 - Identificación de Controles Comunes: identificar, documentar y publicar controles comunes a nivel organizacional que estén disponibles para ser heredados por los sistemas de la organización.
1.6 - Priorización de Nivel de Impacto: priorizar los sistemas organizacionales dentro del mismo nivel de impacto.
1.7 - Estrategia de Monitoreo Continuo – Organización: desarrollar e implementar una estrategia a nivel organizacional para monitorear continuamente la efectividad del control.
1.8 - Enfoque en la Misión o el Negocio: identificar las misiones, funciones empresariales y procesos de misión/negocio que el sistema está destinado a apoyar.
1.9 - Stakeholders del Sistema: identificar a los interesados que tienen interés en el diseño, desarrollo, implementación, evaluación, operación, mantenimiento o disposición del sistema.
1.10 - Identificación de Activos: identificar los activos que requieren protección.
1.11 - Límite de Autorización: determinar el límite de autorización del sistema.
1.12 - Tipos de Información: identificar los tipos de información que serán procesados, almacenados o transmitidos por el sistema.
1.13 - Ciclo de Vida de la Información: identificar y comprender todas las etapas del ciclo de vida de la información para cada tipo de información procesada, almacenada o transmitida por el sistema.
1.14 - Evaluación de Riesgos – Sistema: realizar una evaluación de riesgos a nivel de sistema y actualizar los resultados de la evaluación de riesgos de manera continua.
1.15 - Definición de Requisitos: definir los requisitos de seguridad y privacidad para el sistema y el entorno de operación.
1.16 - Arquitectura Empresarial: determinar la ubicación del sistema dentro de la arquitectura empresarial.
1.17 - Asignación de Requisitos: asignar requisitos de seguridad y privacidad al sistema y al entorno de operación.
1.18 - Registro del Sistema: registrar el sistema en oficinas de programas o de gestión organizacionales.
2. Categorizar: Informar los procesos y tareas de gestión de riesgos organizacionales determinando el impacto adverso de la pérdida de confidencialidad, integridad y disponibilidad de los sistemas e información organizacionales para la organización.
2.1 - Descripción del Sistema: documentar las características del sistema.
2.2 - Categorización de Seguridad: categorizar el sistema y documentar los resultados de la categorización de seguridad.
2.3 - Revisión y Aprobación de la Categorización de Seguridad: revisar y aprobar los resultados y la decisión de la categorización de seguridad.
3. Seleccionar: adaptar, seleccionar y documentar los controles necesarios para proteger el sistema y la organización de acuerdo con el riesgo para las operaciones y activos organizacionales, individuos y la Nación.
3.1 - Selección de Controles: seleccionar los controles para el sistema y el entorno de operación.
3.2 - Adaptación de Controles: adaptar los controles seleccionados para el sistema y el entorno de operación.
3.3 - Asignación de Controles: asignar controles de seguridad y privacidad al sistema y al entorno de operación.
3.4 - Documentación de Implementaciones de Control Planeadas: documentar los controles para el sistema y el entorno de operación en planes de seguridad y privacidad.
3.5 - Estrategia de Monitoreo Continuo – Sistema: desarrollar e implementar una estrategia a nivel de sistema para monitorear la efectividad de los controles que sea coherente con y complemente la estrategia de monitoreo continuo organizacional.
3.6 - Revisión y Aprobación de Planes: revisar y aprobar los planes de seguridad y privacidad para el sistema y el entorno de operación.
4. Implementar: realizar las actividades necesarias para traducir los controles de seguridad y privacidad identificados en el plan de seguridad del sistema en una implementación efectiva.
4.1 - Implementación de Controles: implementar los controles según lo especificado en los planes de seguridad y privacidad.
4.2 - Actualizar Información de Implementación de Controles: documentar cambios en las implementaciones de control planeadas basados en el estado implementado de los controles.
5. Evaluar: determinar si los controles seleccionados para la implementación están implementados correctamente, operan como se pretende y producen el resultado deseado con respecto a cumplir con los requisitos de seguridad y privacidad para el sistema y la organización.
5.1 - Selección de Evaluadores: seleccionar al evaluador apropiado o equipo de evaluación para el tipo de evaluación de control que se realizará.
5.2 - Plan de Evaluación: desarrollar, revisar y aprobar planes para evaluar los controles implementados.
5.3 - Evaluaciones de Controles: evaluar los controles de seguridad de acuerdo con los procedimientos de evaluación definidos en el plan de evaluación de seguridad.
5.4 - Informes de Evaluación: preparar los informes de evaluación que documenten los hallazgos y recomendaciones de las evaluaciones de control.
5.5 - Acciones de Remediación: realizar acciones de remediación iniciales en los controles y reevaluar los controles remediados.
5.6 - Plan de Acción y Cronograma: preparar el plan de acción y cronograma basado en los hallazgos y recomendaciones de los informes de evaluación.
6. Autorizar: proporcionar responsabilidad al exigir que un alto funcionario de la gerencia determine si el riesgo de seguridad y privacidad para las operaciones y activos organizacionales es aceptable.
6.1 - Paquete de Autorización: ensamblar el paquete de autorización y enviarlo al oficial autorizante para una decisión de autorización.
6.2 - Análisis y Determinación de Riesgo: analizar y determinar el riesgo de la operación o uso del sistema o la provisión de controles comunes.
6.3 - Respuesta al Riesgo: identificar e implementar un curso de acción preferido en respuesta al riesgo determinado.
6.4 - Decisión de Autorización: determinar si el riesgo de la operación o uso del sistema o la provisión o uso de controles comunes es aceptable.
6.5 - Informe de Autorización: informar sobre la decisión de autorización y cualquier deficiencia en los controles que represente un riesgo significativo de seguridad o privacidad.
7. Monitorear: mantener una conciencia situacional continua sobre la postura de seguridad y privacidad del sistema y la organización en apoyo de las decisiones de gestión de riesgos.
7.1 - Cambios en el Sistema y el Entorno: monitorear el sistema y su entorno de operación en busca de cambios que afecten la postura de seguridad y privacidad del sistema.
7.2 - Evaluaciones Continuas: evaluar los controles implementados dentro e inherentes al sistema de acuerdo con la estrategia de monitoreo continuo.
7.3 - Respuesta Continua al Riesgo: responder al riesgo basado en los resultados de actividades de monitoreo continuo, evaluaciones de riesgos y elementos pendientes en los planes de acción y cronogramas.
7.4 - Actualizaciones del Paquete de Autorización: actualizar planes, informes de evaluación y planes de acción y cronogramas basados en los resultados del proceso de monitoreo continuo.
7.5 - Informe de Seguridad y Privacidad: informar sobre el estado de seguridad del sistema (incluyendo la efectividad de los controles de seguridad empleados dentro e inherentes al sistema) a los funcionarios organizacionales apropiados de manera continua de acuerdo con la estrategia de monitoreo definida por la organización.
7.6 - Autorización Continua: revisar el estado de seguridad informado del sistema (incluyendo la efectividad de los controles de seguridad empleados dentro e inherentes al sistema) de manera continua de acuerdo con la estrategia de monitoreo para determinar si el riesgo para las operaciones, activos organizacionales, individuos, otras organizaciones o la Nación sigue siendo aceptable.
7.7 - Eliminación del Sistema: implementar una estrategia de desmantelamiento del sistema que ejecute las acciones requeridas cuando un sistema sea retirado del servicio.
Conclusión.
Entender qué constituye el riesgo y cómo se puede abordar y gestionar utilizando el NIST-RMF te permitirá hacer tu parte para asegurar la integridad y confiabilidad de los sistemas de tu organización.
El NIST-RMF no es un proceso que se realiza solo una vez; la gestión de riesgos es una actividad continua que apoya la misión organizacional y las funciones empresariales. Esta es una metodología neutral en cuanto a tecnología que puede aplicarse a cualquier tipo de sistema sin modificaciones.
Implementar el Marco de Gestión de Riesgos de NIST puede fortalecer significativamente la seguridad de las pequeñas y medianas empresas. Estos marcos proporcionan un enfoque estructurado pero flexible para identificar, proteger, detectar, responder y recuperarse de amenazas de ciberseguridad. Al integrar estas mejores prácticas en sus operaciones diarias, las PYMEs no solo pueden proteger sus valiosos activos, sino también generar confianza con sus clientes y socios.
Como profesional de ciberseguridad, mi misión es ayudar a las empresas a navegar estos marcos complejos y adaptarlos a sus necesidades únicas. Con las estrategias y herramientas adecuadas en su lugar, incluso la empresa más pequeña puede lograr una resiliencia robusta en ciberseguridad.