Javier Carreño
Escrito por Javier Carreño el 02 marzo, 2021

Controles de Ciberseguridad ¿En que debemos pensar?

Me gustaría definir algunos conceptos clave como seguridad de la información, seguridad informática y ciberseguridad, para dejar las cosas en su justo lugar, e intentar corregir de alguna manera desviaciones conceptuales que he percibido como consecuencia de océanos de información que parecen infinitos en internet, y hacen que usuarios se pierdan en un laberinto de información como le ocurrió a Kyrie Irving, estrella de la NBA, quien en un momento dado afirmó que la tierra era plana, ya que el algoritmo de recomendaciones de youtube le mostró muchas veces esta teoría al jugador de baloncesto.

Tengo que aclarar que Kyrie Irving reconoció su error y después pidió disculpas por sus declaraciones. En internet encuentras cualquier tipo de información, que debe ser filtrada en muchas ocasiones pues los motores de búsqueda son capaces de distorsionar nuestras ideas cuando un algoritmo nos presenta un resultado al ser tendencia, solo por que ha sido consultado ciento de millones de veces.

Creo firmemente que estamos en la obligación de fomentar un efecto multiplicador de los conceptos básicos que fundan los cimientos del conocimiento, si todos aportamos un grano de arena podemos ayudar al crecimiento intelectual.

<<< Riesgos de almacenamiento en la nube ¿qué tener en cuenta? >>>

Y usted dirá, ¿De qué va todo esto?. Simplemente he observado que con el pasar del tiempo, se pueden mezclar definiciones sin el análisis adecuado y conducir a una entropía conceptual, metafóricamente hablando, vivirá en un plato de espagueti si esto llegase a ocurrir. En el peor de los casos, arrastrará a su organización hacia un abismo y lo plasmará en sus organigramas, al maximizar de manera inorgánica el valor de un concepto y depreciando otro por su popularidad basado en los algoritmos de búsqueda.

En este contexto quiero dejar claro lo siguiente, La Seguridad de la Información refleja la estrategia del negocio para proteger la información a través de análisis de riesgos, normativas, políticas definidas o un plan director.

La seguridad informática es una parte específica del primero, y aquí en este campo se realiza configuración segura de componentes tecnológicos como el hardening, y utiliza tecnologías de la información como antivirus, detección de intrusos, métodos de autenticación electrónica como MFA (Multi-factor authentication), cifrado de datos y se parametrizan eventos de auditoría entre otras cosas.

La ciberseguridad se ocupa de la seguridad en el ciberespacio, es decir, la intersección entre la seguridad de las aplicaciones, las redes, internet y las infraestructuras críticas. Gráficamente se vería de la siguiente manera.

Seguridad de la información

Figura 1. Relación entre Seguridad de la información, Seguridad Informática y Ciberseguridad

Quiero recalcar que la ciberseguridad en este momento no es ni más ni menos importante que los 2 conceptos anteriores, no los desplaza, deben estar allí en su conjunto. Es posible que la dinámica del mercado evolucione lo que conocemos actualmente, de hecho en diciembre del 2020 se publicó la ISO/IEC TS 27100, que contiene nuevas definiciones, y habrá que esperar su proceso de madurez.

Aclarado esto quiero, veamos los controles de ciberseguridad, y aquí también hay mucha tela que cortar puesto que dependerá del gusto del consumidor, como quiere comerse el pastel, ya que existen diferentes frameworks que nos ayudan a gestionar la ciberseguridad.

ISO por ejemplo nos ofrece el estándar ISO/IEC 27032, publicado en Julio del 2012, cuya revisión debe estar próxima a salir este año. No debemos menospreciar los controles técnicos indicados en la ISO/IEC 27002 que son aplicables, o Cobit que ya tiene su versión más reciente 2019 o NIST SP 800-53 Rev. 5.

También tenemos el marco para mejorar la ciberseguridad de la infraestructura crítica, versión 1.1 de NIST, también conocido como Cybersecurity Framework (CSF). Originalmente este marco se publicó en febrero del 2014, en su versión 1.0 pero se refinó y se publicó nuevamente en abril del 2018 y su hoja de ruta destacó las "áreas de mejora" clave para un mayor desarrollo, alineación y colaboración.

<<< Proteger nuestros datos con métodos de protección de la información >>>

Así que como verán, hay muchas opciones. Tome la que más se adapte a su organización y su capacidad, recuerde que los controles que decida implementar en materia de ciberseguridad deben estar orientados a las aplicaciones, las redes, internet y las infraestructuras críticas. Para ser didácticos y teniendo el material gratuito de NIST tómelo como punto de partida.

Este framework referencial está compuesto de tres partes fundamentales, funciones, categorías y subcategorías que a su vez se subdividen, y nos ayuda a identificar nuestros controles, establecerlos y definir la estrategia de ciberseguridad.

Las funciones son simultáneas y continuas de alto nivel divididas en cinco partes: Identificar, Proteger, Detectar, Responder y Recuperar. Cuando se consideran juntas, estas funciones proporcionan una visión estratégica de alto nivel del ciclo de vida del proceso de ciberseguridad de una organización.

Las categorías se encuentran en un nivel inferior y se dividen en veintitrés partes y están distribuidas a lo largo de las 5 funciones.

Las subcategorías cuentan con un nivel más detallado y conforman en total 108 subcategorías que permiten implementaciones, guiados por controles referenciales de otros marcos normativos. No siendo estos últimos los únicos, el espíritu del NIST es brindar un marco de trabajo flexible.

Función  Categoría Subcategoría Referencias informativas
IDENTIFICAR
(ID)

Gestión de activos (ID.AM):
Los datos, el personal, los dispositivos, los sistemas y las instalaciones que permiten a la organización  alcanzar los objetivos empresariales se identifican y se administran de forma coherente con su importancia relativa para los objetivos organizativos y la estrategia de riesgos de la organización.

ID.AM-1: Los dispositivos y sistemas físicos dentro de la organización están inventariados. CIS CSC 1
COBIT 5 BAI09.01, BAI09.02
ISA 62443-2-1:2009 4.2.3.4
ISA 62443-3-3:2013 SR 7.8
ISO/IEC 27001:2013 A.8.1.1, A.8.1.2
NIST SP 800-53 Rev. 4 CM-8, PM-5
ID.AM-2: Las plataformas de software y las aplicaciones dentro de la organización están inventariadas. CIS CSC 2
COBIT 5 BAI09.01, BAI09.02, BAI09.05
ISA 62443-2-1:2009 4.2.3.4
ISA 62443-3-3:2013 SR 7.8
ISO/IEC 27001:2013 A.8.1.1, A.8.1.2, A.12.5.1
NIST SP 800-53 Rev. 4 CM-8, PM-5

Figura 2: Ejemplo de ruta de Controles de la NIST

 

Niveles de Implementación: es aquí donde se evalúa el  riesgo de seguridad cibernética y se aplican los procesos para gestionar el mismo. Tome en cuenta que debe tener identificados sus activos y establecer la metodología de riesgo que quiera aplicar, aunque si no tiene alguna preferencia este marco le provee una metodología con 4 niveles. Al momento de gestionar su riesgo que no todos los controles deberán ser implementados a su máximo nivel, todo dependerá del apetito del riesgo y los costos asociados.

Perfiles del Frameworks: tiene que ver con la comprensión del contexto interno y externo de la organización, los niveles de riesgo que la empresa está dispuesta a tolerar para alcanzar sus objetivos y los recursos que dispone. En esta fase se identifica nuestra postura actual de ciberseguridad que se conocerá como "perfil actual" y se crea también el "perfil objetivo" que debe estar alineado con la estrategia y los objetivos del negocio. Esto nos da una visibilidad de nuestras oportunidades y debilidades para redefinir nuestras prioridades en cuanto a contratación, capacitación, políticas, procedimientos y adquisición de tecnologías.

Cómo se habrá dado cuenta en este pequeño resumen, los controles de ciberseguridad no son algo que usted debe tomarse a la ligera, no sacamos controles de una máquina de churros. Hay que tomarse el tiempo para identificarlos, observarlos desde varios ángulos y tomar las medidas correspondientes en base a un análisis previo, para diseñarlos a la medida según las necesidades de su organización, de esta forma garantizamos el uso adecuado de nuestros recursos ya que no son infinitos y tomaremos las medidas adecuadas que nos conducirán a buen puerto, para aumentar la seguridad de la información de nuestra organización.

Nueva llamada a la acción

Escrito por Javier Carreño 2 marzo, 2021
Javier Carreño