Cuando han ocurrido ciberataques del tipo ransomware u otro, que han afectado a diversas empresas y han tenido una repercusión mediática, los gerentes y/o la alta dirección solicitan servicios de Ethical Hacking como una solución de ciberseguridad al problema, para luego de “pasado el susto”, volver a sus tareas rutinarias, postergando los proyectos de seguridad.
Esto refleja la falta de conciencia en la protección de la información y un desconocimiento o incredulidad respecto a que los ciberatacantes son países u organizaciones criminales, con estructura jerárquica, estrategias y presupuestos. A modo de anécdota, una de ellas recientemente, y luego de atacar a una planta de petróleo en Estados Unidos, se atribuye y publica su “código de ética” en su sitio web con botón de pago en Bitcoin.
Recientemente hemos podido informarnos de un ataque a Cisco, y en Chile casos como Sernac, la filial de un gran banco y otros donde se han encriptado muchos servidores e interrumpido la operación de los procesos de negocio. Para abordar en forma eficiente la gestión de riesgos de ciberseguridad se requiere gobernanza y una combinación de múltiples estrategias, siendo fundamental la alineación a la misión y líneas de negocio de la compañía, por lo cual antes de abordar los proyectos que permitirían mitigar los riesgos de ciberataques, es importante desarrollar un plan estratégico que sea aprobado y luego liderado por la alta dirección.
Para dar inicio a esto, existe desde hace muchos años el Framework NIST, acrónimo de Instituto Nacional de Estándares y Tecnología dependiente del Departamento de Comercio de EEUU. Este marco de ciberseguridad ayuda a los negocios de todo tamaño a comprender mejor sus riesgos de ciberseguridad, administrarlos y reducirlos, junto a la protección de sus redes y datos.
¿Porqué es recomendable usar NIST?
Primero, porque es un estándar de nivel mundial, que nació en el departamento de defensa de EEUU, para proteger la infraestructura crítica de la nación y porque la gestión de ciberseguridad parte desde la alta dirección y debe ser analizada de acuerdo al giro y procesos de negocio de la organización, para luego involucrar a las gerencias internas y stakeholders.
Por otra parte, las funciones de NIST: Identificar, Proteger, Detectar, Responder y Recuperar, junto a sus niveles y perfiles, permiten diagnosticar el estado actual, mediante un “perfil actual” y generar un “perfil objetivo”, para tener una brecha que permita hacer un “plan de acción”, con un adecuado presupuesto de inversión y gasto, acorde a las reales necesidades de ciberseguridad de la empresa.
El marco NIST se relaciona con estándares, directrices y prácticas como ISO 27032, ISO 27002 y Cobit, proporcionando una taxonomía común y un mecanismo para que las organizaciones puedan:
• Describir su postura actual de ciberseguridad.
• Describir su objetivo deseado para la ciberseguridad.
• Identificar y priorizar oportunidades de mejora dentro del contexto de un proceso continuo y repetible.
• Evaluar el progreso hacia el objetivo deseado.
• Comunicarse entre las partes interesadas internas y externas sobre el riesgo de seguridad cibernética.
NIST complementa, y no reemplaza, el proceso de gestión de riesgos y el programa de ciberseguridad de una empresa. La organización puede utilizar sus procesos actuales y aprovechar el marco para identificar oportunidades para fortalecer y comunicar la gestión del riesgo de ciberseguridad y, al mismo tiempo, se alinea con las prácticas de la industria, enfatizando que aplica a todo tipo de empresa y de cualquier tamaño.
Lo anterior, sobre todo si consideramos que la ciberseguridad es parte de la gestión de seguridad de la información, que a su vez es un pilar estratégico de la gestión de riesgo operacional. Sin embargo, es recomendable tener resueltas las políticas de seguridad de la información, con la ISO 27002:2022, o el Sistema de Gestión de Seguridad de la Información ISO 27001, para luego abordar NIST, ya que se requiere una madurez y toma de conciencia en aspectos que hoy son básicos de la seguridad, para que en paralelo o posteriormente se aborde una estrategia de gestión de ciberseguridad.
