Si estás buscando garantizar la seguridad de tu negocio, es vital que conozcas qué son los controles de ciberseguridad, cómo se conforman y qué es lo que pueden hacer. Aquí te hablamos sobre todo eso, así como algunos ejemplos de controles o frameworks.
Me gustaría comenzar este artículo definiendo algunos conceptos clave como seguridad de la información, seguridad informática y ciberseguridad, para dejar las cosas en su justo lugar, e intentar corregir de alguna manera desviaciones conceptuales que he percibido como consecuencia de océanos de información que parecen infinitos en internet, y hacen que usuarios se pierdan en un laberinto de información.
Un gran ejemplo de esto es lo que ocurrió con Kyrie Irving, estrella de la NBA, quien en un momento dado afirmó que la tierra era plana, ya que el algoritmo de recomendaciones de Youtube le mostró muchas veces esta teoría al jugador de baloncesto (sin embargo, tengo que aclarar que Kyrie Irving reconoció su error y después pidió disculpas por sus declaraciones).
En internet encuentras cualquier tipo de información que debe ser filtrada en muchas ocasiones, pues los motores de búsqueda son capaces de distorsionar nuestras ideas cuando un algoritmo nos presenta un resultado al ser tendencia, solo porque ha sido consultado ciento de millones de veces.
Y usted dirá, "¿De qué va todo esto?". Simplemente he observado que con el pasar del tiempo, se pueden mezclar definiciones sin el análisis adecuado y conducir a una entropía conceptual.
En el peor de los casos, arrastrará a su organización hacia un abismo y lo plasmará en sus organigramas, al maximizar de manera inorgánica el valor de un concepto y depreciando otro por su popularidad basado en los algoritmos de búsqueda.
En este contexto quiero dejar claras las siguientes definiciones.
Seguridad de la información refleja la estrategia del negocio para proteger la información a través de análisis de riesgos, normativas, políticas definidas o un plan director.
Seguridad informática es una parte específica del primero, y aquí en este campo se realiza configuración segura de componentes tecnológicos como el hardening, y utiliza tecnologías de la información como antivirus, detección de intrusos, métodos de autenticación electrónica como MFA (Multi-Factor Authentication), cifrado de datos y se parametrizan eventos de auditoría entre otras cosas.
Ciberseguridad se ocupa de la seguridad en el ciberespacio, es decir, la intersección entre la seguridad de las aplicaciones, las redes, internet y las infraestructuras críticas.
Gráficamente, estas tres definiciones coexisten de la siguiente manera.
Figura 1. Relación entre Seguridad de la información, Seguridad Informática y Ciberseguridad.
Quiero recalcar que la ciberseguridad en este momento no es ni más ni menos importante que los dos conceptos anteriores, deben estar allí en su conjunto.
Es posible que la dinámica del mercado evolucione lo que conocemos actualmente, de hecho en diciembre del 2020 se publicó la ISO/IEC TS 27100, que contiene nuevas definiciones, y habrá que esperar su proceso de madurez.
Aclarado esto quiero, veamos los controles de ciberseguridad, y aquí también hay mucha tela que cortar, puesto que la decisión de cuál elegir dependerá del gusto del consumidor, ya que existen diferentes frameworks que nos ayudan a gestionar la ciberseguridad.
Por ejemplo, ISO nos ofrece el estándar ISO/IEC 27032, publicado en julio del 2012, cuya revisión debe estar próxima a salir este año. No debemos menospreciar los controles técnicos indicados en la ISO/IEC 27002 que son aplicables, o Cobit que ya tiene su versión más reciente 2019 o NIST SP 800-53 Rev. 5.
También tenemos el marco para mejorar la ciberseguridad de la infraestructura crítica, versión 1.1 de NIST, también conocido como Cybersecurity Framework (CSF).
Originalmente este marco se publicó en febrero del 2014, en su versión 1.0 pero se refinó y se publicó nuevamente en abril del 2018 y su hoja de ruta destacó las "áreas de mejora" clave para un mayor desarrollo, alineación y colaboración.
<<< Proteger nuestros datos con métodos de protección de la información >>>
Así que como verán, hay muchas opciones; tome la que más se adapte a su organización y su capacidad. Recuerde que los controles que decida implementar en materia de ciberseguridad deben estar orientados a las aplicaciones, las redes, internet y las infraestructuras críticas, para ser didácticos y teniendo el material gratuito de NIST como punto de partida.
Este framework referencial está compuesto de tres partes fundamentales: funciones, categorías y subcategorías, que a su vez se subdividen, y nos ayuda a identificar nuestros controles, establecerlos y definir la estrategia de ciberseguridad.
Las funciones son simultáneas y continuas de alto nivel divididas en cinco partes:
Cuando se consideran juntas, estas funciones proporcionan una visión estratégica de alto nivel del ciclo de vida del proceso de ciberseguridad de una organización.
Las categorías se encuentran en un nivel inferior y se dividen en veintitrés partes y están distribuidas a lo largo de las 5 funciones mencionadas anteriormente.
Las subcategorías cuentan con un nivel más detallado y conforman en total 108 subcategorías que permiten implementaciones, guiados por controles referenciales de otros marcos normativos.
Función | Categoría | Subcategoría | Referencias informativas |
IDENTIFICAR (ID) |
Gestión de activos (ID.AM): |
ID.AM-1: Los dispositivos y sistemas físicos dentro de la organización están inventariados. | CIS CSC 1 COBIT 5 BAI09.01, BAI09.02 ISA 62443-2-1:2009 4.2.3.4 ISA 62443-3-3:2013 SR 7.8 ISO/IEC 27001:2013 A.8.1.1, A.8.1.2 NIST SP 800-53 Rev. 4 CM-8, PM-5 |
ID.AM-2: Las plataformas de software y las aplicaciones dentro de la organización están inventariadas. | CIS CSC 2 COBIT 5 BAI09.01, BAI09.02, BAI09.05 ISA 62443-2-1:2009 4.2.3.4 ISA 62443-3-3:2013 SR 7.8 ISO/IEC 27001:2013 A.8.1.1, A.8.1.2, A.12.5.1 NIST SP 800-53 Rev. 4 CM-8, PM-5 |
Figura 2: Ejemplo de ruta de Controles de la NIST
Es aquí donde se evalúa el riesgo de seguridad cibernética y se aplican los procesos para gestionar el mismo. Tome en cuenta que debe tener identificados sus activos y establecer la metodología de riesgo que quiera aplicar, aunque si no tiene alguna preferencia el marco NIST le provee una metodología con 4 niveles.
Al momento de gestionar su riesgo, que no todos los controles deberán ser implementados a su máximo nivel, todo dependerá del apetito del riesgo y los costos asociados.
tiene que ver con la comprensión del contexto interno y externo de la organización, los niveles de riesgo que la empresa está dispuesta a tolerar para alcanzar sus objetivos y los recursos que dispone.
En esta fase se identifica nuestra postura actual de ciberseguridad, que se conocerá como "perfil actual", y se crea también el "perfil objetivo", que debe estar alineado con la estrategia y los objetivos del negocio.
Esto nos da una visibilidad de nuestras oportunidades y debilidades para redefinir nuestras prioridades en cuanto a contratación, capacitación, políticas, procedimientos y adquisición de tecnologías.
Como se habrá dado cuenta en este pequeño resumen, los controles de ciberseguridad no son algo que usted debe tomarse a la ligera.
Hay que tomarse el tiempo para identificarlos, observarlos desde varios ángulos y tomar las medidas correspondientes en base a un análisis previo, para diseñarlos a la medida según las necesidades de su organización.
De esta forma garantizamos el uso adecuado de nuestros recursos, ya que no son infinitos y tomaremos las medidas adecuadas que nos conducirán a buen puerto, para aumentar la seguridad de la información de nuestra organización.