El Cybersecurity Framework 2.0 del NIST (publicacion disponible aqui) está diseñado para ayudar a organizaciones de todos los tamaños y sectores. Este se relaciona con la publicación especial (SP) 800 del NIST se relaciona con recomendaciones de respuesta a incidentes y consideraciones para la gestión de riesgos de ciberseguridad.
Un punto clave aquí es que las organizaciones pueden utilizar los principios flexibles del CSF 2.0 con recursos complementarios para comprender y evaluar su postura actual y futura en materia de ciberseguridad. El CSF 2.0 también puede ayudar a identificar, priorizar, organizar y comunicar en un lenguaje común las acciones para gestionar los riesgos de ciberseguridad. Esto se alinea con la misión, el apetito de riesgo, los requisitos de cumplimiento de la organización y puede ir de la mano con las recomendaciones de la SP 800-61r3 del NIST para la gestión de riesgos de ciberseguridad a través del apetito de riesgo de una organización.
Actualizacion:
Esta nueva publicacion (revision 3) nos trae recomendaciones NIST SP 800-61r3 (disponible aqui) para la respuesta a incidentes, que se complementa con el marco del CSF 2.0, cuándo una organización debe responder a un incidente de ciberseguridad. Esto ayuda a las organizaciones en la mejora de los procesos de respuesta, gestión de riesgos de ciberseguridad, prepararse y poder reducir el impacto. Ademas, mejorar la efectividad en la detección y recuperación.
Las siguientes imagenes nos permiten ver el antiguo modelo y el nuevo ciclo de vida de respuesta a incidentes propuestos por el NIST, basado en las funciones del cybersecurity framework.
La publicacion nos recomienda estapas alineadas a las funciones del CSF 2.0:
Gobernar (GV): La estrategia de gestión de riesgos de ciberseguridad de la organización, expectativas y la política se establecen, comunican y monitorean.
Identificar (ID): Se comprenden los riesgos de ciberseguridad actuales de la organización.
Proteger (PR): Se utilizan medidas para gestionar los riesgos de ciberseguridad de la organización.
Detectar (DE): Se encuentran y analizan posibles ataques y compromisos de ciberseguridad.
Responder (RS): Se toman acciones con respecto a un incidente de ciberseguridad detectado.
Recuperar (RC): Se restauran los activos y operaciones afectados por un incidente de ciberseguridad.
Los componentes del CSF 2.0 incluyen:
En estos pasos se podria decir que Gobernar, Identificar y Proteger ayudan a tener una mejor preparacion para prevenir o reducir la ocurrencia de los incidentes. Por otra parte Detectar, Responder y Recuperar, ayudan a las empresas a identificar oportunamente eventos que pueden desencadenar un inicidente, Reponder y Recuperar de forma efectiva, en el menor tiempo que sea posible y devolver los sistemas afectados a su estado general, reduciendo el nivel de impacto.
Roles de Respuesta a Incidentes:
Gestores de incidentes
Liderazgo
Profesionales tecnológicos
Asuntos legales
Asuntos públicos y relaciones con los medios
Recursos humanos
Seguridad física y gestión de instalaciones
Propietarios de activos
Gran parte del equipo de la organización necesita comprender cómo les afecta la ciberseguridad para responder eficazmente a los incidentes y prevenirlos en el futuro. Saber cómo elaborar y adherirse a una política de respuesta a incidentes también será beneficioso para maximizar las capacidades defensivas.
La mayoría de las políticas de respuesta a incidentes deben incluir estos elementos clave:
Declaración de compromiso de la dirección
Propósito y objetivos de la política
Alcance de la política (qué se aplica a quién y en qué circunstancias)
Definiciones de eventos, incidentes de ciberseguridad, investigaciones y términos relacionados
Roles, responsabilidades y autoridades, cuya función tiene la autoridad para confiscar, desconectar o desactivar activos tecnológicos
Directrices para priorizar, estimar su gravedad, iniciar procesos de recuperación, mantener o restablecer las operaciones y otras acciones vitales
Medidas de rendimiento
La gestión de riesgos de ciberseguridad que podría ser beneficiosa si se incorporara mediante CSF incluye:
Gestión y evaluación de riesgos de ciberseguridad
Riesgos de privacidad
Riesgos en la cadena de suministro
Riesgos de tecnologías emergentes
Perfil de la comunidad CSF 2.0 para la respuesta a incidentes
Perfil comunitario para la respuesta a incidentes:
Un perfil comunitario CSF, es una base de resultados que se crea y publica para abordar intereses y objetivos compartidos para reducir el riesgo de ciberseguridad entre diversas organizaciones. Se desarrolla típicamente para un sector, subsector, tecnología, tipo de amenaza u otro caso de uso en particular.
Utiliza el Núcleo del CSF como base para destacar y priorizar los resultados de ciberseguridad importantes para la respuesta a incidentes, formula recomendaciones y proporciona información complementaria para ciertos resultados del CSF en el contexto de la respuesta a incidentes. El Perfil Comunitario se divide en dos:
Preparación - (Gobernar, Identificar y Proteger)
Ciclo de Vida de la Respuesta a Incidentes - (Detectar, Responder y Recuperar).
Cada función, categoría y subcategoría de CSF 2.0 tiene su propia prioridad relativa en el contexto de la respuesta a incidentes, se indica mediante uno de los siguientes elementos:
Alta - Funciona como actividad principal ante incidentes para la mayoría de las organizaciones.
Media - Apoya directamente las actividades de respuesta a incidentes para la mayoría de las organizaciones.
Baja - Apoya indirectamente las actividades de respuesta a incidentes para la mayoría de las organizaciones.
Aprende mas en nuestro curso de gestion y respuesta a incidentes:
https://ciberseguridadenlinea.com/pages/ecih
Autor:
Daniel Espinosa
Referencia:
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r3.ipd.pdf
https://medium.com/@cybersecuritystephen/nist-csf-2-0-nist-sp-800-in-a-nutshell-7f8289a11cf6
https://www.linkedin.com/pulse/sp-800-61r3-madurando-respuesta-ante-incidentes-base4-security-gqm5f/
.jpeg)
