1 of 19

Ciberseguridad como Marco

2 of 19

Presentación

Ana Lucero

Lic. En Sistemas, Mag. en Seguridad Informática. Directora de TILO Cybersecurity Services. Miembro de las mesas de Ciberseguridad y Transformación Digital en CUTI. Miembro de ISACA Cap. Mvd. Consultora, Auditora de Seguridad de la Información.

3 of 19

Ciberseguridad como marco

¿Qué es un marco de ciberseguridad?

NIST Cybersecurity Framework como marco de referencia que aborda las diferentes dimensiones de la ciberseguridad y se basa en la gestión de riesgos

4 of 19

Ciberseguridad como marco

Ejemplos

5 of 19

Ciberseguridad como marco

¿Porqué es importante para la transformación digital?

Evolución de la digitalización
Riesgos en el uso de la tecnología y procesos online
Nuevas amenazas en el mundo digital
Necesidad de alinear objetivos estratégicos del negocio con inversiones en seguridad
La ciberseguridad no es solo un tema de las áreas de Tecnología
Gestionar la ciberseguridad a través de un macro permite una visión general de los componentes organizacionales a considerar

6 of 19

NIST CSF

Publicado en 2014 inicialmente para operadores de infraestructuras críticas

Orden Ejecutiva 13636
O.E. 13.800 oblig. Ag. Gub Federales
Voluntario otras org
Technology Neutral
Vendor Neutral
Visión general / holística

Mejora de Ciberseguridad de Infraestructuras Críticas (Orden Ejecutiva 13.636)

En dicha orden se delegaba en el NIST (National Institute of Standards and Technology) el desarrollo de un marco de trabajo para la reducción de riesgos asociados con este tipo de entornos, con el soporte del Gobierno, la industria y los usuarios.

El resultado de este trabajo multidiciplinario, fue la primera version del Marco, el 12 de febrero de 2014.

Las bases del CSF fueron establecidas directamente en la Orden Ejecutiva 13636:

Identificar estándares de seguridad y guías aplicables de forma trasversal a todos los sectores de infraestructuras críticas
Establecer un lenguaje común para gestionar riesgos de ciberseguridad
Proveer un enfoque priorizado, flexible, repetible, neutral, basado en desempeño y efectivo en términos de coste-beneficio basado en las necesidades del negocio
Ayudar a los responsables y operadores de infraestructuras críticas a identificar, inventariar y gestionar riesgos informáticos
Establecer criterios para la definición de métricas para el control del desempeño en la implementación
Establecer controles para proteger la propiedad intelectual, la privacidad de los individuos y las libertades civiles cuando se ejecuten actividades de ciberseguridad
Identificar áreas de mejora que permitan ser gestionadas a través de colaboraciones futuras con sectores particulares y organizaciones orientadas al desarrollo de estándares
No introducir nuevos estándares cuando existan iniciativas ya desarrolladas que cubran los objetivos de la orden ejecutiva.

De acuerdo con el NIST: “El marco de trabajo es una guía voluntaria, basada en estándares, directrices y prácticas existentes para que las organizaciones de infraestructura crítica gestionen mejor y reduzcan el riesgo de ciberseguridad. Además, se diseñó para fomentar las comunicaciones de gestión del riesgo y la seguridad cibernética entre los interesados internos y externos de la organización “.

De acuerdo con lo anterior, los objetivos del marco de trabajo en su implementación en una organización se podrían catalogar en los siguientes puntos:

Describir la postura actual de ciberseguridad
Describir el estado objetivo de ciberseguridad
Identificar y priorizar oportunidades de mejora en el contexto de un proceso continuo y repetible
Evaluar el progreso hacia el estado objetivo
Comunicación entre las partes interesadas internas y externas sobre el riesgo de ciberseguridad

Todo esto enmarcado en un enfoque orientado a la gestión del riesgo.

En 2017 se hizo obligatoria para agencias federales

Effective immediately, each agency head shall use The Framework for Improving Critical Infrastructure Cybersecurity (the Framework) developed by the National Institute of Standards and Technology, or any successor document, to manage the agency's cybersecurity risk. Each agency head shall provide a risk management report to the Secretary of Homeland Security and the Director of the Office of Management and Budget (OMB) within 90 days of the date of this order.

7 of 19

Objetivos del CSF

Identificar estándares y guías aplicables transversalmente a sectores de infraestructuras críticas
Lenguaje común para gestión de riesgos
Apoyar en la gestión del riesgo
Identificar y establecer controles
Identificar áreas de mejora

Mejora de Ciberseguridad de Infraestructuras Críticas (Orden Ejecutiva 13.636)

En dicha orden se delegaba en el NIST (National Institute of Standards and Technology) el desarrollo de un marco de trabajo para la reducción de riesgos asociados con este tipo de entornos, con el soporte del Gobierno, la industria y los usuarios.

El resultado de este trabajo multidiciplinario, fue la primera version del Marco, el 12 de febrero de 2014.

Las bases del CSF fueron establecidas directamente en la Orden Ejecutiva 13636:

Identificar estándares de seguridad y guías aplicables de forma trasversal a todos los sectores de infraestructuras críticas
Establecer un lenguaje común para gestionar riesgos de ciberseguridad
Proveer un enfoque priorizado, flexible, repetible, neutral, basado en desempeño y efectivo en términos de coste-beneficio basado en las necesidades del negocio
Ayudar a los responsables y operadores de infraestructuras críticas a identificar, inventariar y gestionar riesgos informáticos
Establecer criterios para la definición de métricas para el control del desempeño en la implementación
Establecer controles para proteger la propiedad intelectual, la privacidad de los individuos y las libertades civiles cuando se ejecuten actividades de ciberseguridad
Identificar áreas de mejora que permitan ser gestionadas a través de colaboraciones futuras con sectores particulares y organizaciones orientadas al desarrollo de estándares
No introducir nuevos estándares cuando existan iniciativas ya desarrolladas que cubran los objetivos de la orden ejecutiva.

De acuerdo con el NIST: “El marco de trabajo es una guía voluntaria, basada en estándares, directrices y prácticas existentes para que las organizaciones de infraestructura crítica gestionen mejor y reduzcan el riesgo de ciberseguridad. Además, se diseñó para fomentar las comunicaciones de gestión del riesgo y la seguridad cibernética entre los interesados internos y externos de la organización “.

De acuerdo con lo anterior, los objetivos del marco de trabajo en su implementación en una organización se podrían catalogar en los siguientes puntos:

Describir la postura actual de ciberseguridad
Describir el estado objetivo de ciberseguridad
Identificar y priorizar oportunidades de mejora en el contexto de un proceso continuo y repetible
Evaluar el progreso hacia el estado objetivo
Comunicación entre las partes interesadas internas y externas sobre el riesgo de ciberseguridad

Todo esto enmarcado en un enfoque orientado a la gestión del riesgo.

En 2017 se hizo obligatoria para agencias federales

Effective immediately, each agency head shall use The Framework for Improving Critical Infrastructure Cybersecurity (the Framework) developed by the National Institute of Standards and Technology, or any successor document, to manage the agency's cybersecurity risk. Each agency head shall provide a risk management report to the Secretary of Homeland Security and the Director of the Office of Management and Budget (OMB) within 90 days of the date of this order.

8 of 19

Uso del CSF

Describir la postura actual de ciberseguridad
Describir el estado objetivo de ciberseguridad
Identificar y priorizar oportunidades de mejora en el contexto de un proceso continuo y repetible
Evaluar el progreso hacia el estado objetivo
Comunicación entre las partes interesadas internas y externas sobre el riesgo de ciberseguridad

Enfoque orientado a la GESTIÓN DEL RIESGO

NIST is a non-regulatory federal agency within the U.S. Department of Commerce. NIST's mission is to promote U.S. innovation and industrial competitiveness by advancing measurement science, standards, and technology in ways that enhance economic security and improve our quality of life.

https://www.liquidweb.com/blog/nist-cybersecurity-framework/ ESTO ES IMPORTANTE

ES UNA HERRAMIENTA PARA GESTIONAR Y CONTROLAR RIESGOS CON VISIÓN HOLISTICA Y NO TAN TECNICA

Las bases del CSF fueron establecidas directamente en la Orden Ejecutiva 13636:

Identificar estándares de seguridad y guías aplicables de forma trasversal a todos los sectores de infraestructuras críticas
Establecer un lenguaje común para gestionar riesgos de ciberseguridad
Proveer un enfoque priorizado, flexible, repetible, neutral, basado en desempeño y efectivo en términos de coste-beneficio basado en las necesidades del negocio
Ayudar a los responsables y operadores de infraestructuras críticas a identificar, inventariar y gestionar riesgos informáticos
Establecer criterios para la definición de métricas para el control del desempeño en la implementación
Establecer controles para proteger la propiedad intelectual, la privacidad de los individuos y las libertades civiles cuando se ejecuten actividades de ciberseguridad
Identificar áreas de mejora que permitan ser gestionadas a través de colaboraciones futuras con sectores particulares y organizaciones orientadas al desarrollo de estándares
No introducir nuevos estándares cuando existan iniciativas ya desarrolladas que cubran los objetivos de la orden ejecutiva.

De acuerdo con el NIST: “El marco de trabajo es una guía voluntaria, basada en estándares, directrices y prácticas existentes para que las organizaciones de infraestructura crítica gestionen mejor y reduzcan el riesgo de ciberseguridad. Además, se diseñó para fomentar las comunicaciones de gestión del riesgo y la seguridad cibernética entre los interesados internos y externos de la organización “.

De acuerdo con lo anterior, los objetivos del marco de trabajo en su implementación en una organización se podrían catalogar en los siguientes puntos:

Describir la postura actual de ciberseguridad
Describir el estado objetivo de ciberseguridad
Identificar y priorizar oportunidades de mejora en el contexto de un proceso continuo y repetible
Evaluar el progreso hacia el estado objetivo
Comunicación entre las partes interesadas internas y externas sobre el riesgo de ciberseguridad

Todo esto enmarcado en un enfoque orientado a la gestión del riesgo.

9 of 19

Características

Facilidad de entendimiento, lenguaje común
Visión holística de la ciberseguridad, no solamente técnica
Concebido como un proceso continuo, mejorable: plan, do, check, act
Alineado a las mejores prácticas internacionales por ejemplo:

ISO/IEC 27001
Cobit 5
NIST SP 800-53 Rev.4
Otros

10 of 19

Estructura

Core

Resultados deseados organizados en una jerarquía y alineados a prácticas y marcos internacionales (guías y controles)

Perfiles

Perfil actual
Perfil deseado
Hoja de ruta
Mitigación de riesgos
Elección de los resultados (subcategorías)

Niveles de implementación

Medida cualitativa de las prácticas de gestion de riesgos de ciberseguridad de la organización

Core:

Es un conjunto de actividades de ciberseguridad, resultados esperados y referencias aplicables que son comunes a los sectores de infraestructuras críticas, en términos de estándares de la industria, directrices y prácticas que permiten la comunicación de actividades de ciberseguridad y sus resultados a lo largo de la organización, desde el nivel ejecutivo hasta el nivel de implementación/operación.

Perfiles:

Los perfiles se emplean para describir el estado actual (Current profile) y el estado objetivo (Target profile) de determinadas actividades de ciberseguridad. El análisis diferencial entre perfiles permite la identificación de brechas que deberían ser gestionadas para cumplir con los objetivos de gestión de riesgos.

Niveles de implementación – Tiers:

Los niveles de implementación le permiten a la organización catalogarse en un umbral predefinido en función de las prácticas actuales de gestión de riesgo, el entorno de amenazas, los requerimientos legales y regulatorios, los objetivos y misión del negocio y las restricciones de la propia empresa.

Nivel 1 – Parcial (Partial): En este nivel las prácticas de gestión de riesgos de ciberseguridad no están formalizadas (ad-hoc) y actúan por lo general de forma reactiva. La priorización de actividades no se encuentra alineada con los objetivos de riesgo organizacionales, el entorno de amenazas ni con los requerimientos de negocio. Se cuenta con una mínima participación externa en términos de colaboración y compartición de información.
Nivel 2 – Riesgos informados (Risk Informed): En este nivel las prácticas de gestión de riesgo están aprobadas por la Dirección, pero pueden no estar establecidas como una política global. Se cuenta con procedimientos y procesos definidos e implementados y con personal cualificado. La participación externa se realiza de manera informal.
Nivel 3 – Repetible (Repeatable): En este nivel las prácticas formales de gestión de riesgo son actualizadas regularmente como parte de la aplicación de análisis en cambios en requerimientos de negocio, amenazas o tecnologías. Se ha establecido un marco de colaboración formal con terceros.
Nivel 4 – Adaptativo (Adaptive): Las prácticas de ciberseguridad están basadas en lecciones aprendidas e indicadores predictivos derivados de actividades previas y actuales de ciberseguridad, a través de un proceso de mejora continua de adaptación a los cambios. Estas tareas hacen parte de la cultura organizacional. Se colabora de forma activa con terceros, compartiendo información de eventos de ciberseguridad.

11 of 19

12 of 19

Estructura core

13 of 19

Estructura core

Funciones

Identificar
Proteger
Detectar
Responder
Recuperar

Es el nivel más alto en el que se detalla el ciclo de ciberseguridad

Entendible por todos

Define la amplitud de la ciberseguridad

Categorías

Subdivisiones temáticas de las funciones, ej. Identificar: gestión de activos, gestión de riesgos, gobernanza, etc.

Subcategorías

Nivel temático más específico dentro de la categoría. Ej., Gestión de Activos:

Inventario de activos físicos
Inventario de SW y aplicaciones
Etc.

14 of 19

15 of 19

NIST CSF

Amplio uso (Fuente de la imagen: Statista)

16 sectores de infraestructura crítica lo utilizan
>20 estados lo pusieron en práctica
15 traducciones internacionales y adaptaciones
Más de 1,7 millones de downloads en 2022

(Fuente: NIST https://www.nist.gov/industry-impacts/cybersecurity-framework)

16 of 19

Uso internacional

16

Fuente: NIST – presentación

https://www.nist.gov/cyberframework

17 of 19

Casos de éxito

17

Fuente: NIST – presentación

https://www.nist.gov/cyberframework

18 of 19

Desafíos y perspectivas NIST CSF

Evolución tecnológica desde su creación
Migración hacia la Cloud
Datacenters híbridos
Estrategias multi-cloud
Cloud a nivel Gobierno
Requisitos de compliance
Modelo de responsabilidad compartida
IT, OT, IoT
Hybrid work
Estrategias Zero trust
Versión 2,0 (RFI a junio 2022)

18

19 of 19

Muchas gracias!

Contacto

Linkedin: anakarinalucero https://www.linkedin.com/in/anakarinalucero/

19

CSF Links de interés

https://www.nist.gov/cyberframework

Twitter @NISTcyber