Lo bueno, lo malo y lo feo del marco de ciberseguridad de la NIST – “National Institute of Standards and Technology”
Una mirada al interior de las funciones de ciberseguridad que merecen su tiempo y las que no lo son.
Las evaluaciones de preparación del marco de control proporcionan información estratégica clave para el programa de ciberseguridad de una organización. Desde que apareció por primera vez en 2014, el marco de ciberseguridad del NIST se ha convertido constantemente en el marco más popular, especialmente para las empresas medianas con programas menos maduros que las grandes. Pero las 5 funciones, las 23 categorías y las 108 subcategorías no brindan todas las mismas ventajas a la organización: algunas son extremadamente importantes, otras casi insignificantes y algunas simplemente frustrantes.
Aquí están mis nominaciones «top 5» para las subcategorías Bueno (más importante), Malo (menos importante) y Feo (más frustrante) de NIST CSF.
Lo bueno: las cinco subcategorías más importantes
Elegir las 5 subcategorías más importantes fue la más desafiante de las tres etiquetas; en realidad, probablemente hay 20 o más que son realmente necesarias para desarrollar y ejecutar un programa de ciberseguridad sólido. Pero aprovecharé algunas de las idiosincrasias del marco como subcategorías demasiado amplias con inclusiones implícitas para salvar el día.
1. [PR.AC-7] Los usuarios, dispositivos y otros activos se autentican de acuerdo con el riesgo de la transacción.
La autenticación encabeza la lista porque incorpora lo que la mayoría de los profesionales cibernéticos creen que es el control más eficaz en nuestra autenticación estable: multifactor. Y combinado con el inicio de sesión único como es típico en estos días, las organizaciones pueden emplear MFA fácilmente para cualquier aplicación necesaria. En este punto, «conmensurado» se convierte en una decisión secundaria o condicional de volver a autenticarse o no.
2. [PR.IP-12] Se desarrolla e implementa un plan de gestión de vulnerabilidades.
No se equivoque, los profesionales de la ciberseguridad piensan que la gestión de vulnerabilidades es un componente clave de cualquier programa y es difícil de negar. Si bien creo que la independencia de los parches es un objetivo loable para cualquier organización, es fácil ver su importancia entre los medios y los reguladores.
3. [RS.MI-2] Se mitigan los incidentes
¿Cómo no incluir este? De hecho, los fatalistas en nuestro campo pueden querer que sea el número uno, pero todavía tengo la esperanza de que este no sea un ejercicio particularmente común para la mayoría de las empresas. Agregue todas las categorías de Análisis (RS.AN) y Mitigación (RS.MI) como inclusivas y esta es una obviedad.
4. [PR.DS-1] Los datos en reposo están protegidos
Nuevamente, aprovecharé la amplitud y la ambigüedad para reclamar mucho en esta subcategoría. Algunos profesionales de la ciberseguridad podrían sugerir que esta es la razón por la que existe nuestro campo. Las organizaciones perseguirán este resultado con derechos de acceso, filtros, registro, etc. Y sí, ¡necesitamos más encriptación!
5. [PR.IP-4] Se realizan, mantienen y prueban copias de seguridad de la información
Para esta subcategoría, me apartaré del cómodo mundo de la ambigüedad y me iré directo al grano. En otro año, puede haber subcategorías más importantes, pero aquí, ahora mismo, con el ransomware como una preocupación tan importante que causa pérdidas reales, debemos volver a lo básico con las copias de seguridad.
Lo malo: las cinco subcategorías menos importantes
Más de 50 de los controles en el marco existen únicamente como palabras en documentos que describen las diversas necesidades del programa. Para ser justos, este es un «marco», pero ningún papel va a detener el último ataque de ransomware. De acuerdo con el efecto sobre el riesgo como motivador principal, aquí están mis 5 subcategorías menos importantes.
1. [ID.BE-2] Se identifica y comunica el lugar de la organización en la infraestructura crítica y su sector industrial.
Esto se siente como “Fue una noche oscura y tormentosa” de NIST CSF. ¡Qué drama! ¡Qué mal humor! Afortunadamente, no hay necesidad de leer esta novela, especialmente porque está escrita en un inglés tan horrible (voz pasiva y participios pasados, ugh).
2. [PR.DS-4] Capacidad adecuada para garantizar que se mantenga la disponibilidad
Solo voy a afirmar que está fuera de alcance aquí. No es que sea insignificante, supongo, es tan obviamente necesario que no tiene sentido que los profesionales de la ciberseguridad le dediquen tiempo. Aquí hay poca implicación de un adversario inteligente como amenaza, por lo que no encaja y el potencial de disonancia cognitiva entre este elemento y la necesidad de destrucción de datos (PR.IP-6) es simplemente demasiado grande.
3. [PR.DS-8] Se utilizan mecanismos de verificación de integridad para verificar la integridad del hardware.
Si no está involucrado en el diseño de hardware. Es casi seguro que puede ignorar este. En muchos sentidos, esto es más importante que muchos de los controles en este marco, es solo que no hay mucho que hacer aquí y, al igual que con el número 2 anterior, solo limita con las responsabilidades tradicionales como profesionales de la ciberseguridad.
4. [DE.CM-5] Se detecta un código móvil no autorizado
Habiendo sido parte de una serie de iniciativas impulsadas por la comunidad, me estoy imaginando a un proveedor detestable que rompe todos los códigos de decoro no escritos al insistir en que el «código móvil» sea llamado como separado del «código malicioso» hasta que los organizadores se rindan. ahí está, conmemorado. Marque su casilla ahora y siga adelante.
5. [RC.IM-1] o [RC.IM-2] Los planes de recuperación incorporan las lecciones aprendidas o las estrategias de recuperación se actualizan
Elige tu opción. Tener uno no es el fin del mundo, pero no necesitas ambos.
Lo feo: las cinco subcategorías más frustrantes
1. [ID.BE-2] El lugar de la organización en la infraestructura crítica y su sector de la industria, se identifica y communicat ed
¡Nominado por segunda vez! Simplemente no podía dejar de lado lo extraño que sería para un profesional de ciberseguridad predicar al equipo ejecutivo y a la junta sobre su lugar. Sí, debería provenir de ellos; sí, ya lo ha hecho, para aquellas empresas que importan.
2. [PR.IP-8] Se comparte la eficacia de las tecnologías de protección
Nadie mide la eficacia de las tecnologías de protección, entonces, ¿cómo podrían compartirla?
3. [RS.CO-5] El intercambio voluntario de información se produce con las partes interesadas externas para lograr una conciencia más amplia de la situación de la seguridad cibernética.
«Y ahora unas palabras de nuestro patrocinador». Mire, me considero alguien que se preocupa mucho por mi comunidad y generalmente creo que las organizaciones deberían compartir información importante que saben que podría afectar a otros. Pero la idea de que debería incorporarse a un marco de control diseñado para proteger una organización es ridícula, por no mencionar el interés propio. Las empresas guardan secretos de forma rutinaria, a menudo por muy buenas razones. La relación entre reguladores y electores puede ser tenue en muchos casos. Y tiene un efecto absolutamente nulo en la postura de riesgo de una organización.
4. [RC.CO-2] La reputación se repara después de un incidente
La reputación es voluble. Las empresas con buena reputación a menudo no tienen que hacer nada para «reparar» su reputación después de un incidente; ya comprenden cómo comunicarse con los componentes clave, abordar el problema y continuar construyendo la relación. Pero la determinación de que la reputación ha sido reparada está fuera del control de cualquier organización; depende de las otras partes involucradas.
5. Cada subcategoría que incluye la palabra «comprender»
«¡Vuelve, es una trampa!» En algún momento, si alguna de estas subcategorías se pone a prueba, lo único que harán es demostrar cómo los seres humanos se comunican mal con frecuencia. Ya sea que la víctima lo use como excusa o como acusación de un profesional de la ciberseguridad, la determinación de «quién entendió qué» siempre se puede cuestionar en retrospectiva.
No se equivoquen NIST CSF es un componente importante de las estrategias de ciberseguridad de la mayoría de las organizaciones. La mejor manera de alinearse con él es a través de una Evaluación de preparación del CSF del NIST que identifica subcategorías priorizadas agregadas en proyectos procesables y compara el programa con otras empresas de tamaño similar en la misma industria.
Traducción del artículo original de IDC
https://blogs.idc.com/2021/03/31/the-good-the-bad-and-the-ugly-subcategories-of-the-nist-cybersecurity-framework/
MARZO 31 DE 2021