Marco de Ciberseguridad NIST

Introducción

Se acabaron los días en que las empresas solo tenían que pensar en generar ingresos. Si bien el crecimiento siempre es bienvenido, las empresas también necesitan centrarse en reducir las interrupciones. Desde el tiempo de inactividad del sistema hasta la pérdida de datos críticos, las violaciones de ciberseguridad no solo interrumpen las operaciones habituales, sino que también impactan la reputación de la marca y la confianza del cliente a largo plazo. Desarrollado por el Instituto Nacional de Estándares y Tecnología, el Marco de Ciberseguridad NIST ahora es ampliamente considerado como el estándar de oro para la postura de ciberseguridad. Cuando se utiliza junto con evaluaciones de riesgo, análisis de costo-beneficio y monitoreo continuo, NIST ofrece las herramientas para que las empresas prevengan interrupciones de negocio inesperadas y mitiguen las pérdidas financieras.

Resumen de las herramientas de ciberseguridad NIST

Los estudios muestran que el 65% de los consumidores pierden la confianza en una empresa después de una violación de datos, y los precios de las acciones pueden caer alrededor del 5% el día que se divulga una violación. Se necesitan años o incluso décadas de trabajo para construir la credibilidad social de un negocio, y todo eso puede desaparecer en solo unos días.

La interconexión del ecosistema empresarial de hoy demuestra que los esfuerzos de ciberseguridad no deberían limitarse al trabajo de un solo departamento. El marco de ciberseguridad NIST es particularmente útil para cerrar la brecha entre los interesados técnicos y comerciales.Como un lenguaje y metodología comunes para discutir los riesgos y estrategias de ciberseguridad, el marco permite una mejor comunicación, toma de decisiones y alineación con objetivos empresariales más amplios. Esta característica lo distingue de otros marcos que pueden centrarse únicamente en aspectos técnicos. Además, la flexibilidad y adaptabilidad del marco es atractiva para organizaciones de todos los tamaños. Esto permite a las empresas adaptar sus programas de ciberseguridad a sus necesidades específicas mientras se mantienen alineadas con los requisitos regulatorios.

[herramienta pulsera="mty42ufndw"] Comencemos con los pilares del CSF de NIST, ya que proporcionan la columna vertebral que guía cómo una organización elige finalmente diseñar e implementar su programa de ciberseguridad. Actualmente, el marco está compuesto por seis áreas funcionales clave: Gobernar, Identificar, Proteger, Detectar, Responder y Recuperar. [cesta] En el área funcional de "Gobernar", el objetivo es establecer y mantener una gobernanza para una gestión efectiva de los riesgos de ciberseguridad. El objetivo es definir roles claros, objetivos alineados y estrategias de riesgo robustas. El enfoque de la función "Identificar" es comprender los riesgos para los activos críticos y priorizar las vulnerabilidades y amenazas para decisiones de riesgo informadas.

"Detectar" tiene como objetivo identificar rápidamente los eventos de ciberseguridad a través de procesos de monitoreo. Esto debería permitir una detección de incidentes rápida.

"Responder" implica desarrollar planes de respuesta para contener y mitigar eficazmente los incidentes cibernéticos. El objetivo aquí es respuestas oportunas y eficientes.

Por último, la función "Recuperar" se centra en planes de recuperación para restaurar las capacidades después de un incidente. En los desafortunados casos en que ocurrieron ciberataques, un sólido plan de recuperación permite una rápida restauración del sistema y del servicio para la continuidad del negocio.

Con ataques cibernéticos cada vez más sofisticados, es probable que el CSF de NIST se actualice con el tiempo. La versión 2.0 se lanzó en febrero para ampliar su alcance a todas las organizaciones, no solo a las de sectores críticos. Tenga en cuenta que uno de los seis pilares principales que mencionamos anteriormente, Gobernar, fue una nueva adición en la última iteración. Esto enfatiza el papel de la gobernanza y el apoyo a nivel empresarial en lo que respecta a los programas de ciberseguridad.

Visualizador de mitigación de riesgos

Ahora que hemos definido los parámetros de NIST, es hora de presentar algunas herramientas que se pueden utilizar para implementar las áreas de función mencionadas anteriormente. El análisis de riesgos proporciona un enfoque proactivo. Cuando se presenta a los ejecutivos de gestión y a los interesados, la posibilidad de riesgos provoca decisiones informadas y una eficiente asignación de recursos como medidas preventivas.

[herramienta pulsera="kju4tcyrsz"]

Cuando se trata de evaluar el estado actual de las medidas de ciberseguridad de una organización, gran parte de ese trabajo se asemeja a un análisis de brechas. En este visualizador, por ejemplo, los puntos de datos muestran tanto el nivel de seguridad actual como el nivel de seguridad esperado. En este caso, el eje y representa el valor empresarial del proyecto, lo que implica la importancia estratégica de las inversiones en ciberseguridad y el vínculo crítico entre las medidas de seguridad y el éxito empresarial general. En el eje x, el costo del proyecto ilustra las implicaciones financieras de las decisiones de ciberseguridad. En conjunto, un visualizador de mitigación de riesgos como este ayuda a las organizaciones a tomar decisiones informadas de ciberseguridad que se alinean con sus restricciones presupuestarias.

Dentro del CSF de NIST, los niveles de madurez juegan un papel fundamental en la evaluación de la ciberseguridad. Estos niveles de madurez, calificados en una escala de 0 a 5, ofrecen un método estructurado para evaluar el avance y la efectividad de varios componentes de NIST.

Este gráfico de radar traza las puntuaciones objetivo, las puntuaciones de políticas y las puntuaciones de prácticas para cada componente de NIST. Muestra áreas donde las medidas de ciberseguridad se alinean con las mejores prácticas y donde se necesitan mejoras para fortalecer la resiliencia de seguridad.En lugar de verse abrumados por las complejidades del conocimiento técnico, los interesados y los responsables de la toma de decisiones pueden utilizar esta visualización para identificar fácilmente las fortalezas, las debilidades y las áreas de mejora. Al aprovechar esta herramienta de evaluación, las organizaciones no solo pueden comparar su madurez en ciberseguridad con los estándares de la industria, sino también priorizar inversiones e iniciativas para fortalecer sus defensas y mitigar los riesgos cibernéticos.

Análisis de Costo Beneficio

En junio de 2017, el mundo presenció el ataque cibernético más devastador de la historia. El ataque NotPetya dejó marcas significativas en numerosas empresas multinacionales y perturbó profundamente la cadena de suministro global con su rápida propagación a través de redes interconectadas. Los daños totales del ataque superaron los $10 mil millones. Esa cifra por sí sola eliminó años de crecimiento empresarial. En 2020, los ataques costaron a los gobiernos y las empresas $1 billón, lo que equivale a aproximadamente el 1% del PIB mundial. Para las empresas individuales, el costo promedio de una sola violación de datos fue de $3.6 millones.

Aunque los programas de ciberseguridad no se consideran tradicionalmente como explícitamente "generadores de ingresos", ciertamente previenen la pérdida de ingresos, en millones y miles de millones. Claro, las medidas de ciberseguridad pueden parecer costosas de implementar, por lo que aquí es donde entra en juego el análisis de costo-beneficio.

[herramienta pulsera="g9xmv5pg10"]

El gasto adecuado en ciberseguridad puede minimizar los riesgos asociados con los ingresos, la reputación y los costos legales, al mismo tiempo que genera beneficios indirectos como una mejor alineación con el cumplimiento y un aumento de la productividad. Al comparar los costos de prevención con las posibles pérdidas por ciberataques, las organizaciones pueden determinar la forma más efectiva de entregar los resultados deseados mientras gestionan los riesgos dentro de su contexto empresarial único. En última instancia, el mejor enfoque encuentra un equilibrio entre suficientes inversiones para lograr protección sin gastar en exceso o invertir insuficientemente.

El monitoreo continuo es un paso ineludible cuando se trata de entender la efectividad general de las medidas de ciberseguridad. Estos paneles proporcionan una representación visual de las métricas de seguridad clave para identificar tendencias, anomalías y áreas que requieren atención.

Una forma de organizar esta información es categorizando el rendimiento basado en los seis pilares del NIST. por ejemplo, este panel muestra los pilares "Identificar" y "Proteger" y desglosa cada subtarea en "realizado", "realizado de manera incompleta" y "no realizado". Alternativamente, un panel de gráficos de medidores puede rastrear las áreas de cumplimiento de NIST a lo largo del tiempo.A un nivel más granular y para los miembros del equipo con roles más técnicos, el monitoreo de tiempo de actividad/tiempo de inactividad permite detectar cualquier anomalía de manera oportuna antes de que conduzcan a consecuencias más graves.

Conclusión

A medida que las organizaciones navegan por las complejidades de la ciberseguridad, el enfoque integral del marco NIST, con gobernanza, identificación, protección, detección, respuesta y recuperación, ofrece una vía estratégica para mejorar la resiliencia empresarial. Con la incorporación de herramientas como visualizadores de riesgo, evaluaciones de nivel de madurez, análisis de costo-beneficio y monitoreo continuo, las empresas pueden alinear los esfuerzos de ciberseguridad con objetivos empresariales más amplios en lugar de tratarlo como un departamento aislado. Con una sólida fortaleza de NIST CSF, las empresas no solo logran salvaguardar su dinero, sino también su reputación a largo plazo.