Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Estandares SGSI
Estandares SGSI
mx/numero-11/buenas-pr
%C3%A1cticas-est%C3%A1ndares-y-normas
Pero surge una duda, ¿qué es un estándar y por qué son tan mencionados en la
actualidad? Pues bien, un estándar es un documento con un contenido de tipo técnico-
legal que establece un modelo o norma que refiriere lineamientos a seguir para cumplir
una actividad o procedimientos. Su uso se ha popularizado en la actualidad debido a que
se busca que los procesos y actividades de organizaciones y sus personas sean
repetibles, organizados, y estructurados. Por ello, entidades como ISO[1] (International
Standard Organization), IEEE[2] (Institute of Electrical and Electronics Engineers),
entre otras proponen estos documentos, los cuales se crean a partir de la experiencia de
diferentes grupos que participan durante el proceso de definición y al finalizar son
documentos de tipo público.
ISO 27001[3]
1
systems - Requirements) adoptado por ISO, basado en un estándar británico
denominado BS 7799. Es certificable y su primera publicación fue en el año 2005.
ISO 27002[4]
A través de este documento se puede identificar un marco de trabajo más amplio para
una organización cuando se desea implementar políticas de seguridad, establecer un
sistema de gestión de la seguridad de la información y con la madurez adecuada lograr
la certificación ISO 27001 que evalúa menos dominios.
ISO 27005[5]
CoBIT[6]
ITIL[7]
NIST SP 800-30[8]
Este documento contiene una guía desarrollada por el National Institute of Standards
and Technology (NIST). “Risk Management Guide for Information Technology
2
Systems – Recommendations of the National Institute of standards and Technology”.
Este documento fue creado en el año 2002 y ofrece pautas para la gestión del riesgo
buscando su evaluación, gestión, control y mitigación.
BS 25999[9]
Este estándar de origen británico, aborda los lineamientos que deben contemplarse para
la administración de la continuidad del negocio. A través de 2 partes. La primera ofrece
un marco de referencia para procesos, principios y terminología asociado a la
continuidad del negocio. En la segunda, se encuentran los requerimientos para
implementar, operar y mejorar un sistema de administración de la continuidad del
negocio.
Interactuando entre sí
Lograr una alineación entre los documentos antes indicados tiene un alto grado de
dificultad, pero a la vez es una oportunidad para crear un conjunto de métodos y
procedimientos complementarios que abarquen gran cantidad de puntos, logrando uno a
uno el aseguramiento de los activos, procesos y recursos tecnológicos de la
organización. Además, permiten crear consciencia en la importancia de la seguridad de
la información al personal que forma parte de la organización.
Pero no se puede dejar de lado que la continuidad del negocio es primordial para toda
organización, así que tomando como base BS 25999, se establecen los planes de
continuidad, los comités y grupos asociados al proceso.
Conclusiones
3
Uno de los mayores errores que pueden presentarse es creer que el cumplimiento de una
lista de chequeo o contar con un sello que certifica a una organización en estándares
internacionales como ISO 27001 significa que es una organización segura. Por otra
parte, es vital entender que este proceso de aplicación de normas o estándares a su vez
tiene implicaciones adicionales, como la necesidad de constantes actualizaciones de
acuerdo con los cambios que se presentan a nivel de los activos de información y
tecnológicos a través de los que se accede a ésta.
Entonces, podemos ver que existen múltiples opciones y podemos usarlas en conjunto o
progresivamente para lograr así hablar de seguridad de la información.
Para conocer más sobre los documentos antes mencionados, consulta los siguientes
enlaces de interés:
[1] http://www.iso.org/iso/home.html
[2] http://www.ieee.org/index.html
[3] https://mmujica.files.wordpress.com/2007/07/iso-27001-2005-espanol.pdf
[4] https://mmujica.files.wordpress.com/2007/07/iso-17799-2005-castellano.pdf
[5] http://www.27000.org/iso-27005.htm
[6] http://www.isaca.org/Knowledge-Center/cobit/Documents/CobiT_4.1.pdf
[7] http://itil.osiatis.es/Curso_ITIL/
[8] http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf
[9] http://www.bsigroup.com/en/Assessment-and-certification-services/management-
systems/Standards-and-Schemes/BS-25999/
4
https://www.deacosta.com/guia-rapida-para-entender-el-marco-de-trabajo-de-
ciberseguridad-del-nist/
David E. Acosta
Barcelona, Spain
Sin embargo, si se quisiese aprovechar lo mejor de cada uno de estos marcos de trabajo,
las mejores prácticas y metodologías de la industria y la experiencia de cientos de
voluntarios con el fin de establecer una línea de trabajo consistente y práctica para
abordar los riesgos de ciberseguridad actuales, muy seguramente la elección sería el
Marco de Trabajo de Ciberseguridad del NIST (NIST Cybersecurity Framework –
de aquí en adelante CSF).
5
En esta guía rápida se presentarán una serie de conceptos clave de este marco de trabajo,
con el fin de permitirle al lector entender de primera mano la teoría detrás de esta
iniciativa y las ventajas de su implementación.
Contenido
1 Historia y antecedentes
2 ¿Cuáles son los objetivos del marco de trabajo de ciberseguridad del NIST?
3 ¿Es obligatoria su implementación?
4 ¿A qué tipo de organizaciones aplica?
5 ¿Se puede implementar en organizaciones fuera de Estados Unidos?
6 ¿En qué estándares, directrices y mejores prácticas está basado?
7 ¿Cómo está esquematizado el CSF?
8 ¿Cómo se implementa el CSF?
9 ¿Qué herramientas de software existen para soportar la implementación del CSF?
10 Referencias
Historia y antecedentes
Es de anotar que esta iniciativa no es pionera en su campo. Desde mucho tiempo antes,
la OTAN (a través del Centro de Excelencia de Ciberdefensa Cooperativa – CCDCOE)
ya había desarrollado una serie de manuales orientados hacia la protección de
infraestructuras críticas para la defensa nacional, como es el caso del “Manual del
Marco de Trabajo de Ciberseguridad Nacional” (National Cyber Security
Framework Manual) publicado en 2012[4]. Igualmente, ISO/IEC con su estándar
ISO/IEC 27032:2012 “Information technology — Security techniques — Guidelines for
cybersecurity” había sentado un precedente en la definición de guías para la mejora de
ciberseguridad. Esto no quiere decir que el marco de trabajo de ciberseguridad del NIST
excluya estos documentos, al contrario, los complementa y mejora.
Las bases del CSF fueron establecidas directamente en la Orden Ejecutiva 13636:
6
Identificar estándares de seguridad y guías aplicables de forma trasversal a todos los
sectores de infraestructuras críticas
Establecer un lenguaje común para gestionar riesgos de ciberseguridad
Proveer un enfoque priorizado, flexible, repetible, neutral, basado en desempeño y
efectivo en términos de coste-beneficio basado en las necesidades del negocio
Ayudar a los responsables y operadores de infraestructuras críticas a identificar,
inventariar y gestionar riesgos informáticos
Establecer criterios para la definición de métricas para el control del desempeño en la
implementación
Establecer controles para proteger la propiedad intelectual, la privacidad de los
individuos y las libertades civiles cuando se ejecuten actividades de ciberseguridad
Identificar áreas de mejora que permitan ser gestionadas a través de colaboraciones
futuras con sectores particulares y organizaciones orientadas al desarrollo de
estándares
No introducir nuevos estándares cuando existan iniciativas ya desarrolladas que
cubran los objetivos de la orden ejecutiva.
De acuerdo con el NIST: “El marco de trabajo es una guía voluntaria, basada en
estándares, directrices y prácticas existentes para que las organizaciones de
infraestructura crítica gestionen mejor y reduzcan el riesgo de ciberseguridad. Además,
se diseñó para fomentar las comunicaciones de gestión del riesgo y la seguridad
cibernética entre los interesados internos y externos de la organización “.
En principio, no. Se trata de una guía de implementación discrecional con base en las
mejores prácticas y estándares de la industria. No obstante, es posible que socios de
negocio, clientes o incluso organizaciones gubernamentales requieran el cumplimiento
del marco de trabajo dentro de sus consideraciones contractuales.
7
Es importante tener presente que el marco de trabajo no es un documento estático, sino
que cada organización puede determinar – con base en sus necesidades – las actividades
que considera prioritarias, permitiendo de esa forma un despliegue personalizado y
paulatino.
Debido a que la base del marco de trabajo está fundamentada en la integración de los
criterios de diferentes estándares, directrices y mejores prácticas a nivel internacional,
su implementación no está limitada únicamente a Estados Unidos. De hecho, su
despliegue fuera de las fronteras de ese país agrega una nueva capa de cooperación e
integración global en ciberseguridad, tema que no está restringido a un ámbito
geográfico en particular.
El CSF está basado y/o hace referencia a los siguientes estándares, directrices y mejores
prácticas:
8
Proteger (Protect): Permite desarrollar e implementar las contramedidas y
salvaguardas necesarias para limitar o contener el impacto de un evento potencial de
ciberseguridad.
Detectar (Detect): Permite desarrollar e implementar las actividades apropiadas para
identificar la ocurrencia de un evento de ciberseguridad a través de la monitorización
continua.
Responder (Respond): Permite la definición y despliegue de actividades para
reaccionar frente a un evento de ciberseguridad identificado y mitigar su impacto.
Recuperar (Recover): Permite el despliegue de actividades para la gestión de
resiliencia y el retorno a la operación normal después de un incidente.
A su vez, cada una de estas funciones cuenta con categorías y sub-categorías con sus
referencias informativas relacionadas (estándares, directrices y prácticas).
9
Nivel 2 – Riesgos informados (Risk Informed): En este nivel las prácticas de gestión de
riesgo están aprobadas por la Dirección, pero pueden no estar establecidas como una
política global. Se cuenta con procedimientos y procesos definidos e implementados y
con personal cualificado. La participación externa se realiza de manera informal.
Nivel 3 – Repetible (Repeatable): En este nivel las prácticas formales de gestión de
riesgo son actualizadas regularmente como parte de la aplicación de análisis en
cambios en requerimientos de negocio, amenazas o tecnologías. Se ha establecido un
marco de colaboración formal con terceros.
Nivel 4 – Adaptativo (Adaptive): Las prácticas de ciberseguridad están basadas en
lecciones aprendidas e indicadores predictivos derivados de actividades previas y
actuales de ciberseguridad, a través de un proceso de mejora continua de adaptación
a los cambios. Estas tareas hacen parte de la cultura organizacional. Se colabora de
forma activa con terceros, compartiendo información de eventos de ciberseguridad.
Los perfiles se emplean para describir el estado actual (Current profile) y el estado
objetivo (Target profile) de determinadas actividades de ciberseguridad. El análisis
diferencial entre perfiles permite la identificación de brechas que deberían ser
gestionadas para cumplir con los objetivos de gestión de riesgos.
Para ello, se requiere la definición de un plan de acción que incluya una priorización de
actividades dependiendo de las necesidades de negocio y procesos de gestión de riesgos
de la organización. Este enfoque basado en el riesgo le permite a la organización
estimar los recursos necesarios (por ejemplo, personal y financiación) para lograr las
metas de ciberseguridad establecidas de una manera rentable y priorizada.
De acuerdo con las descripciones anteriores, la arquitectura global del marco de trabajo
de ciberseguridad quedaría de la siguiente manera:
10
Figura 3. Arquitectura del marco de trabajo de ciberseguridad del NIST (CSF)
Todas estas acciones deben ser implementadas dentro de un entorno de mejora continua,
permitiendo que de forma continua la organización optimice sus controles de seguridad
y escale a niveles superiores dentro del marco de trabajo.
11
Figura 4. Pasos para la implementación de un programa de ciberseguridad basado en el
CSF
Para facilitar el uso del contenido del CSF, el NIST ha desarrollado una hoja de
cálculo[11] en Microsoft Excel, que contiene las funciones, categorías, subcategorías y
referencias informativas organizadas de tal forma que se pueden adaptar para
convertirla en una hoja de trabajo.
Por otro lado, el programa Baldrige[13] (que permite el diseño de un enfoque integrado
de la gestión del desempeño organizacional) ha integrado los criterios del CSF dentro de
su marco de excelencia (“Baldrige Excellence Framework”) y el 15 de septiembre de
2016 ha publicado una versión preliminar del documento “Baldrige Cybersecurity
Excellence Builder[14]”. Se trata de un cuestionario de auto-evaluación que le permite
a la organización identificar su nivel de madurez en términos de ciberseguridad a través
de distintos niveles de madurez.
12
Finalmente, en la página de recursos de la industria del NIST[15] se pueden encontrar
gran cantidad de casos de estudio, guías de implementación, herramientas y recursos
educativos para apoyar las actividades de desarrollo de esta iniciativa.
Referencias
[2] NIST: RFI – Framework for Reducing Cyber Risks to Critical Infrastructure
http://csrc.nist.gov/cyberframework/rfi_comments.html
13
14