Marco de ciberseguridad para las organizaciones

Por: CP Iván Rodríguez. Colaborador de Auditool 

El marco de ciberseguridad del NIST

El Instituto Nacional de Estándares y Tecnología (National Institute of Standards and Technology por sus siglas en inglés) y que hace parte del Departamento de Comercio de EE. UU. Ha diseñado un Marco de Ciberseguridad que ayuda a los negocios de todo tamaño a comprender mejor sus riesgos de ciberseguridad, administrar y reducir sus riesgos, y proteger sus redes y datos. En dicho Marco de Ciberseguridad se destacan estas cinco áreas: identificación protección, detección, respuesta y recuperación. Se presentan algunas líneas de acción por áreas, que el auditor debe conocer para evaluar o recomendar:

1. IDENTIFICACIÓN     

• Es necesario identificar los procesos y activos críticos de la empresa. Conocer cuáles son las actividades de la empresa que necesariamente deben continuar para ser viables.
• Los flujos de información de documentos deben determinarse. Es importante no solo comprender qué tipo de información recopila y utiliza la empresa, sino también comprender dónde se encuentran y como fluyen los datos, especialmente cuando se mantienen contratos con socios externos.
• Debe mantenerse actualizado el inventario de hardware y software. Deben conocerse sus características, ya que con frecuencia son los puntos de entrada de programas y aplicativos maliciosos. Este inventario no tiene por qué ser complejo, podría ser tan simple como una hoja de cálculo.
• Es conveniente establecer políticas y procedimientos para la ciberseguridad que incluyan roles y responsabilidades. Deben describir claramente las expectativas sobre cómo las actividades de ciberseguridad protegerán la información y sistemas y cómo soportan los procesos empresariales críticos. Las políticas de ciberseguridad deben integrarse con otras consideraciones de riesgo empresarial (por ejemplo, financieras, reputacionales, etc).
• Deben identificarse amenazas, vulnerabilidades y riesgos para los activos. Hay que asegurarse de que se establezcan y administren procesos de gestión de riesgos para garantizar que se identifiquen, evalúen y administren las amenazas internas y externas, lo cual debe documentarse debidamente en registros de riesgos.

2. PROTECCIÓN

• Es conveniente administrar el acceso a los activos y la información. La compañía debe crear cuentas únicas para cada empleado y asegurarse de que los usuarios solo tengan acceso a la información, las computadoras y las aplicaciones que necesitan para sus trabajos. Hay que administrar y rastrear estrictamente el acceso físico a los dispositivos.
• Deben protegerse los datos confidenciales. Hay que asegurarse de que estos datos estén protegidos por cifrado bien sea mientras se almacenan en las computadoras como cuando están almacenados o transmitidos a otras partes. Hay que eliminar y/o destruir datos de forma segura cuando ya no sean necesarios para fines de cumplimiento.
• Realizar copias de seguridad periódicas es útil. Una buena práctica es mantener un conjunto de datos de copia de seguridad frecuente fuera de línea para protegerlo contra el ransomware.
• Hay que proteger los dispositivos de forma segura. Se podrían instalar firewalls basados en host[1] y otras protecciones, como productos de seguridad para endpoints[2].
• Deben administrarse las vulnerabilidades de los dispositivos. Hay que actualizar regularmente tanto el sistema operativo como las aplicaciones que están instaladas en sus computadoras y otros dispositivos para protegerlos de los ataques.
• Hay que capacitar a los usuarios de manera regular para asegurarse que conocen las políticas y procedimientos de ciberseguridad empresarial y sus roles y responsabilidades específicas como condición de empleo.
• Deben implementarse políticas formales para la eliminación segura de archivos electrónicos y dispositivos en desuso.

3. DETECCIÓN

• Es importante desarrollar y probar procesos y procedimientos para detectar acciones no autorizadas en las redes y en el entorno físico, incluida la actividad del personal.
• Hay que mantener y supervisar los registros que permitan identificar anomalías en las computadoras y aplicaciones de la empresa, tales como cambios en los sistemas o cuentas, así como el inicio de canales de comunicación.
• Conocer los flujos de datos esperados para la empresa hace que sea más probable notar cuándo lo inesperado sucede. Los flujos de datos inesperados pueden incluir información del cliente que se exporta desde una base de datos interna y sale de la red.
• Debe comprenderse el impacto de los eventos de ciberseguridad. Hay que trabajar rápida y exhaustivamente para comprender la amplitud y profundidad del impacto. Así como comunicar información sobre el evento con las partes interesadas apropiadas.
• Hay que monitorear las computadoras para controlar si se detecta acceso de personal no autorizado a las computadoras, dispositivos (soportes de almacenamiento de datos de tipo USB) y software. Debe revisarse la red para controlar si se detectan usuarios o conexiones no autorizados.

4. RESPUESTA

• Los planes de respuesta deben probarse para asegurarse de que cada persona conozca sus responsabilidades en su ejecución. Cuanto mejor preparada esté la organización, más efectiva será la respuesta. Así mismo hay que asegurarse que los planes de respuesta estén actualizados. El plan debe permitir mantener en funcionamiento las operaciones del negocio.
• Coordinar con las partes interesadas internas y externas es útil. Hay que asegurarse que los planes de respuesta y las actualizaciones incluyan a todas las partes interesadas clave y proveedores de servicios externos. Pueden contribuir a mejoras en la planificación y ejecución.

5. RECUPERACIÓN

• Hay que comunicarse con las partes interesadas internas y externas luego de la ocurrencia de un evento. Parte de la recuperación depende de una comunicación efectiva.
• Hay que asegurarse que los planes de recuperación estén actualizados. La ejecución de pruebas mejorará la conciencia de los empleados y socios y destacará las áreas de mejora. Asegúrese de actualizar los planes de recuperación con las lecciones aprendidas.
• Deben gestionarse las relaciones públicas y la reputación de la empresa, para que al ejecutarse un plan de recuperación, el intercambio de información sea preciso, completo y oportuno, y no reaccionario.
• Deben repararse y restaurar los equipos y las partes de su red que resultaron afectados.

Este conjunto de acciones y otras medidas complementarias, deben evaluarse e implementarse en lo pertinente, para gestionar mejor los riesgos y fortalecer el sistema de control inerno.

 

[1] Un firewall basado en host es una pieza de software de firewall que se ejecuta en una computadora o dispositivo individual conectado a una red. Los firewalls son programas de software o dispositivos de hardware que filtran y examinan la información que viene a través de su conexión a Internet.

[2] Un EndPoint es un dispositivo informático remoto que se comunica con una red a la que está conectado. Los ejemplos de incluyen: ordenadores de escritorio, computadores portátiles, tabletas, etc.

 

CP Iván Rodríguez

Auditor y Consultor, Diplomado en Alta Gerencia de Seguros y Derecho de Seguros. Especialista en Dirección Financiera y Desarrollo Organizacional, Diplomado en Gerencia de la Calidad, Contador Público de la Pontificia Universidad Javeriana, con 20 años de experiencia en diversas empresas. Amplia experiencia en la elaboración y ejecución de auditorías y revisorías fiscales. Dirección y ejecución de asesorías, consultorías y capacitaciones. Colaborador de Auditool

Bogotá DC, Colombia