Gestión de Riesgos en Seguridad de la Información

En seguridad informática los frameworks son herramientas esenciales que ayudan a las organizaciones a medir, gestionar y mitigar los riesgos cibernéticos de manera efectiva. 

  1. Framework de Ciberseguridad NIST (CSF) 

El Framework de ciberseguridad de NIST es una guía fundamental diseñada para ayudar a organizaciones a mejorar su madurez en seguridad. La versión actualizada CSF 2.0 introduce seis funciones clave:

  • Identificación: Comprender cuáles son los activos y recursos más importantes de la organización. Gestionar los riesgos de ciberseguridad para sistemas y entorno empresarial, activos, datos y cadenas de suministro.
  • Protección: Cubre parte de los controles de seguridad técnicos y físicos para desarrollar e implementar medidas de protección adecuadas y proteger la infraestructura crítica. 
  • Detección: Implementa medidas que alertan a una organización sobre los ciberataques. Las categorías de detección incluyen anomalías y eventos, supervisión continua de seguridad y procesos de detección.
  • Respuesta: Tomar medidas de respuesta respecto a un incidente de seguridad detectado. Incluyen la planificación de respuesta, las comunicaciones, el análisis, la mitigación y las mejoras.
  • Recuperación: Consiste en mantener planes para la resiliencia y garantizar la continuidad del negocio en caso de producirse un ciberataque.
  • Gobernanza: Centrada en los procesos de toma de decisiones relacionados con la ciberseguridad​.
  1. ISO/IEC 27001 y ISO/IEC 27002

Estos estándares internacionales proporcionan un marco para gestionar y proteger los activos de información. Los aspectos clave incluyen:

  • Establecer un enfoque sistemático para gestionar la información sensible de la empresa a través de cuatro fases: planificación, implementación, evaluación y mejora continua.
  • Asegurar la confidencialidad, integridad y disponibilidad de los datos.
  • Evaluar y mejorar regularmente la postura de seguridad de la organización a través de procesos de auditoría rigurosos​.

Cyber security words on cube blocks, closed padlock and computer data screen at background
  1. Marco de Gestión de Riesgos (RMF)

Desarrollado por NIST, el RMF proporciona un proceso estructurado que integra actividades de gestión de riesgos de seguridad, privacidad y cadena de suministro. El marco incluye pasos como:

  • Preparar a la organización para la gestión de riesgos.
  • Clasificar los sistemas de información con base en un análisis de impacto.
  • Seleccionar el conjunto de controles NIST SP 800-53 para proteger el sistema en función de las evaluaciones de riesgos.
  • Implementar, evaluar e implementar los controles de seguridad.
  • Evaluar y determinar si los controles están implementados, funcionando según lo previsto y produciendo los resultados deseados.
  • Autorizar los sistemas de información y monitoreo continuo​ (NIST)​.
  • Monitorear continuamente la implementación del control y los riesgos para el sistema.
  1. Controles CIS

Los controles del Centro de Seguridad en Internet (CIS) son un conjunto de acciones que brindan las mejores prácticas recomendadas para configurar de forma segura sistemas de TI, software, redes e infraestructura en la nube. Incluyen:

  • Puntos de referencia de sistemas operativos: cubren configuraciones de seguridad de los sistemas operativos centrales.
  • Puntos de referencia de software de servidor: cubren configuraciones de seguridad de software de servidor.
  • Puntos de referencia de proveedor de nube:  abordan configuraciones de seguridad por Servicios web de Amazon (AWS), Microsoft Azure, Google, IBM y otras nubes públicas populares.
  • Puntos de referencia de dispositivos móviles: abordan los sistemas operativos móviles, incluidos iOS y Android, y se centran en áreas como las opciones y configuraciones del desarrollador.
  • Puntos de referencia de dispositivos de red: ofrecen guías de configuración de seguridad generales y específicas del proveedor para dispositivos de red y hardware aplicable.
  • Puntos de referencia de software de desktop: cubren configuraciones de seguridad para algunas de las aplicaciones de software de escritorio más utilizadas.
  • Puntos de referencia de dispositivo de impresión multifunción: describen las mejores prácticas de seguridad para configurar impresoras multifuncionales en entornos de oficina y cubre temas como actualización de firmware, entre otros.
  1. Otros Marcos Notables

HIPAA: Asegura la protección de la información de salud en el sector sanitario.

GDPR: Regula la protección de datos y la privacidad en la Unión Europea​:

La implementación de estos frameworks hacen posible abordar sistemáticamente la gestión de riesgos de ciberseguridad, asegurando una protección integral contra el panorama cambiante de amenazas cibernéticas.

<em>Miriam Román</em>
Miriam Román

Social Media Manager TI, Global Cybersec

Autor



twitter facebook youtube