Blog de Internet Security Auditors

Blog de Internet Security Auditors: Guía rápida para entender el marco de trabajo de ciberseguridad del NIST

Escrito por Internet Security Auditors | Dec 23, 2016 5:00:00 AM
Cuando un Oficial de Seguridad de la Información planifica la estrategia para la gestión de los riesgos vinculados con los activos de información de su organización, se enfrenta con un interrogante decisivo que definirá el curso de las acciones de protección en un futuro: ¿Cuál marco de referencia debe emplear para garantizar la gestión coordinada de los controles de seguridad de forma óptima, escalable e integrable? Las potenciales respuestas recaerían en los ya reconocidos ISO/IEC 27001:2013, COBIT, las directrices de COSO o NIST SP 800-53, por solo nombrar algunos.

Sin embargo, si se quisiese aprovechar lo mejor de cada uno de estos marcos de trabajo, las mejores prácticas y metodologías de la industria y la experiencia de cientos de voluntarios con el fin de establecer una línea de trabajo consistente y práctica para abordar los riesgos de ciberseguridad actuales, muy seguramente la elección sería el Marco de Trabajo de Ciberseguridad del NIST (NIST Cybersecurity Framework – de aquí en adelante CSF).

En esta guía rápida se presentarán una serie de conceptos clave de este marco de trabajo, con el fin de permitirle al lector entender de primera mano la teoría detrás de esta iniciativa y las ventajas de su implementación.

Historia y antecedentes
Como resultado de la creciente cantidad de ataques informáticos a sistemas de infraestructuras críticas y al impacto que dichos ataques pudieran tener en el contexto de la seguridad nacional de Estados Unidos, el 12 de febrero de 2013 el Presidente Barack Obama redactó la Orden Ejecutiva (EO) de Mejora de Ciberseguridad de Infraestructuras Críticas ( Executive Order 13636 -- Improving Critical Infrastructure Cybersecurity)  en donde se delegaba en el NIST (National Institute of Standards and Technology) el desarrollo de un marco de trabajo para la reducción de riesgos asociados con este tipo de entornos, con el soporte del Gobierno, la industria y los usuarios.

El resultado de este trabajo - posterior a la publicación de múltiples versiones preliminares y recepción de contribuciones de voluntarios a través del modelo de Request for Information (RFI)  – fue la primera versión del documento “Framework for Improving Critical Infrastructure Cybersecurity”, conocido como “ NIST Cybersecurity Framework” , que se publicó el 12 de febrero de 2014.

Es de anotar que esta iniciativa no es pionera en su campo. Desde mucho tiempo antes, la OTAN (a través del Centro de Excelencia de Ciberdefensa Cooperativa – CCDCOE) ya había desarrollado una serie de manuales orientados hacia la protección de infraestructuras críticas para la defensa nacional, como es el caso del “Manual del Marco de Trabajo de Ciberseguridad Nacional” (National Cyber Security Framework Manual) publicado en 2012 . Igualmente, ISO/IEC con su estándar ISO/IEC 27032:2012 “Information technology -- Security techniques -- Guidelines for cybersecurity” había sentado un precedente en la definición de guías para la mejora de ciberseguridad. Esto no quiere decir que el marco de trabajo de ciberseguridad del NIST excluya estos documentos, al contrario, los complementa y mejora.

¿Cuáles son los objetivos del marco de trabajo de ciberseguridad del NIST?

Las bases del CSF fueron establecidas directamente en la Orden Ejecutiva 13636:
  • Identificar estándares de seguridad y guías aplicables de forma trasversal a todos los sectores de infraestructuras críticas
  • Establecer un lenguaje común para gestionar riesgos de ciberseguridad
  • Proveer un enfoque priorizado, flexible, repetible, neutral, basado en desempeño y efectivo en términos de coste-beneficio basado en las necesidades del negocio
  • Ayudar a los responsables y operadores de infraestructuras críticas a identificar, inventariar y gestionar riesgos informáticos
  • Establecer criterios para la definición de métricas para el control del desempeño en la implementación
  • Establecer controles para proteger la propiedad intelectual, la privacidad de los individuos y las libertades civiles cuando se ejecuten actividades de ciberseguridad
  • Identificar áreas de mejora que permitan ser gestionadas a través de colaboraciones futuras con sectores particulares y organizaciones orientadas al desarrollo de estándares
  • No introducir nuevos estándares cuando existan iniciativas ya desarrolladas que cubran los objetivos de la orden ejecutiva. 
De acuerdo con el NIST: “ El marco de trabajo es una guía voluntaria, basada en estándares, directrices y prácticas existentes para que las organizaciones de infraestructura crítica gestionen mejor y reduzcan el riesgo de ciberseguridad. Además, se diseñó para fomentar las comunicaciones de gestión del riesgo y la seguridad cibernética entre los interesados internos y externos de la organización".

De acuerdo con lo anterior, los objetivos del marco de trabajo en su implementación en una organización se podrían catalogar en los siguientes puntos:
  1. Describir la postura actual de ciberseguridad
  2. Describir el estado objetivo de ciberseguridad
  3. Identificar y priorizar oportunidades de mejora en el contexto de un proceso continuo y repetible
  4. Evaluar el progreso hacia el estado objetivo
  5. Comunicación entre las partes interesadas internas y externas sobre el riesgo de ciberseguridad
Todo esto enmarcado en un enfoque orientado a la gestión del riesgo.

¿Es obligatoria su implementación?
En principio, no. Se trata de una guía de implementación discrecional con base en las mejores prácticas y estándares de la industria. No obstante, es posible que socios de negocio, clientes o incluso organizaciones gubernamentales requieran el cumplimiento del marco de trabajo dentro de sus consideraciones contractuales.

¿A qué tipo de organizaciones aplica?
A pesar que el marco de trabajo fue desarrollado teniendo en mente la protección de la infraestructura crítica de Estados Unidos, su implementación es asumible de forma indistinta en cualquier organización independientemente de su tamaño, grado de riesgo o sofisticación de ciberseguridad.
Es importante tener presente que el marco de trabajo no es un documento estático, sino que cada organización puede determinar – con base en sus necesidades – las actividades que considera prioritarias, permitiendo de esa forma un despliegue personalizado y paulatino.

¿Se puede implementar en organizaciones fuera de Estados Unidos?
Debido a que la base del marco de trabajo está fundamentada en la integración de los criterios de diferentes estándares, directrices y mejores prácticas a nivel internacional, su implementación no está limitada únicamente a Estados Unidos. De hecho, su despliegue fuera de las fronteras de ese país agrega una nueva capa de cooperación e integración global en ciberseguridad, tema que no está restringido a un ámbito geográfico en particular.

¿En qué estándares, directrices y mejores prácticas está basado?
El CSF está basado y/o hace referencia a los siguientes estándares, directrices y mejores prácticas:
¿Cómo está esquematizado el CSF?
El marco de trabajo se encuentra compuesto de tres partes principales: El marco básico (Framework Core), los niveles de implementación del marco (Framework Implementation Tiers) y los perfiles del marco (Framework Profiles).

Marco básico (Framework Core)
Es un conjunto de actividades de ciberseguridad, resultados esperados y referencias aplicables que son comunes a los sectores de infraestructuras críticas, en términos de estándares de la industria, directrices y prácticas que permiten la comunicación de actividades de ciberseguridad y sus resultados a lo largo de la organización, desde el nivel ejecutivo hasta el nivel de implementación/operación.

Para ello, emplea cinco funciones fundamentales:
  • Identificar (Identify): Permite determinar los sistemas, activos, datos y competencias de la organización, su contexto de negocio, los recursos que soportan las funciones críticas y los riesgos de ciberseguridad que afectan este entorno.
  • Proteger (Protect): Permite desarrollar e implementar las contramedidas y salvaguardas necesarias para limitar o contener el impacto de un evento potencial de ciberseguridad.
  • Detectar (Detect): Permite desarrollar e implementar las actividades apropiadas para identificar la ocurrencia de un evento de ciberseguridad a través de la monitorización continua. 
  • Responder (Respond):  Permite la definición y despliegue de actividades para reaccionar frente a un evento de ciberseguridad identificado y mitigar su impacto.
  • Recuperar (Recover): Permite el despliegue de actividades para la gestión de resiliencia y el retorno a la operación normal después de un incidente. 
A su vez, cada una de estas funciones cuenta con categorías y sub-categorías con sus referencias informativas relacionadas (estándares, directrices y prácticas).


Figura 1 . Estructura del marco básico del CFS

Niveles de implementación del marco (Framework Implementation Tiers)
Los niveles de implementación le permiten a la organización catalogarse en un umbral predefinido en función de las prácticas actuales de gestión de riesgo, el entorno de amenazas, los requerimientos legales y regulatorios, los objetivos y misión del negocio y las restricciones de la propia empresa.

Los rangos de los niveles de implementación son los siguientes:
  • Nivel 1 – Parcial (Partial): En este nivel las prácticas de gestión de riesgos de ciberseguridad no están formalizadas (ad-hoc) y actúan por lo general de forma reactiva. La priorización de actividades no se encuentra alineada con los objetivos de riesgo organizacionales, el entorno de amenazas ni con los requerimientos de negocio. Se cuenta con una mínima participación externa en términos de colaboración y compartición de información.
  • Nivel 2 – Riesgos informados (Risk Informed): En este nivel las prácticas de gestión de riesgo están aprobadas por la Dirección, pero pueden no estar establecidas como una política global. Se cuenta con procedimientos y procesos definidos e implementados y con personal cualificado.  La participación externa se realiza de manera informal.
  • Nivel 3 – Repetible (Repeatable): En este nivel las prácticas formales de gestión de riesgo son actualizadas regularmente como parte de la aplicación de análisis en cambios en requerimientos de negocio, amenazas o tecnologías. Se ha establecido un marco de colaboración formal con terceros.
  • Nivel 4 -  Adaptativo (Adaptive): Las prácticas de ciberseguridad están basadas en lecciones aprendidas e indicadores predictivos derivados de actividades previas y actuales de ciberseguridad, a través de un proceso de mejora continua de adaptación a los cambios. Estas tareas hacen parte de la cultura organizacional. Se colabora de forma activa con terceros, compartiendo información de eventos de ciberseguridad.
Figura 2. Niveles de implementación del CFS

Perfiles del marco (Framework Profiles)
Los perfiles se emplean para describir el estado actual (Current profile) y el estado objetivo (Target profile) de determinadas actividades de ciberseguridad. El análisis diferencial entre perfiles permite la identificación de brechas que deberían ser gestionadas para cumplir con los objetivos de gestión de riesgos.

Para ello, se requiere la definición de un plan de acción que incluya una priorización de actividades dependiendo de las necesidades de negocio y procesos de gestión de riesgos de la organización. Este enfoque basado en el riesgo le permite a la organización estimar los recursos necesarios (por ejemplo, personal y financiación) para lograr las metas de ciberseguridad establecidas de una manera rentable y priorizada.

De acuerdo con las descripciones anteriores, la arquitectura global del marco de trabajo de ciberseguridad quedaría de la siguiente manera:

Figura 3. Arquitectura del marco de trabajo de ciberseguridad del NIST (CSF)

¿Cómo se implementa el CSF?
La implementación de un programa de ciberseguridad basado en CSF consta de los siguientes pasos iterativos:
  • Paso 1 – Priorización y definición de alcance: Mediante la identificación de los objetivos y misión del negocio y las prioridades de alto nivel en términos organizacionales, se decide de forma estratégica el entorno de aplicabilidad de los controles. Este entorno puede ser toda la organización, una línea de negocio en particular o un proceso, teniendo presente que cada uno de estos elementos puede tener diferentes niveles de tolerancia al riesgo.
  • Paso 2 – Orientación: Se identifican los sistemas, activos, requerimientos regulatorios, amenazas y vulnerabilidades vinculadas al entorno de aplicabilidad definido.
  • Paso 3 – Crear un perfil actual: A través de las funciones del marco básico y empleando las categorías y subcategorías, se obtienen los resultados de implementación de controles en el entorno.
  • Paso 4 – Ejecutar un análisis de riesgos: Se ejecuta un análisis de riesgos que permita determinar la probabilidad y el impacto de eventos de ciberseguridad en el entorno analizado.
  • Paso 5 – Crear un perfil objetivo: Se establecen los objetivos que en términos de ciberseguridad la organización pretende cubrir.
  • Paso 6 – Determinar, analizar y priorizar las brechas detectadas: Mediante el análisis diferencial entre el perfil actual y el perfil objetivo, se define un plan de acción priorizado en términos de coste/beneficio, que permita la determinación de recursos y acciones de mejora.
  • Paso 7 – Implementar el plan de acción: Se procede con la alineación de controles y despliegue de mejoras de forma paulatina y monitorizada.
Todas estas acciones deben ser implementadas dentro de un entorno de mejora continua, permitiendo que de forma continua la organización optimice sus controles de seguridad y escale a niveles superiores dentro del marco de trabajo.

Figura 4. Pasos para la implementación de un programa de ciberseguridad basado en el CSF

¿Qué herramientas de software existen para soportar la implementación del CSF?
Para facilitar el uso del contenido del CSF, el NIST ha desarrollado una hoja de cálculo  en Microsoft Excel, que contiene las funciones, categorías, subcategorías y referencias informativas organizadas de tal forma que se pueden adaptar para convertirla en una hoja de trabajo.

Adicionalmente, también se ha publicado la herramienta “ NIST Cybersecurity Framework (CSF) Reference Tool” , una herramienta interactiva que permite la navegación a través del contenido del documento del CSF y facilitar su exportación a diferentes formatos (CSV, XML, etc.).

Por otro lado, el programa Baldrige  (que permite el diseño de un enfoque integrado de la gestión del desempeño organizacional) ha integrado los criterios del CSF dentro de su marco de excelencia (“Baldrige Excellence Framework”) y el 15 de septiembre de 2016 ha publicado una versión preliminar del documento “ Baldrige Cybersecurity Excellence Builder ”. Se trata de un cuestionario de auto-evaluación que le permite a la organización identificar su nivel de madurez en términos de ciberseguridad a través de distintos niveles de madurez.

Finalmente, en la página de recursos de la industria del NIST se pueden encontrar gran cantidad de casos de estudio, guías de implementación, herramientas y recursos educativos para apoyar las actividades de desarrollo de esta iniciativa.
Autor: David Eduardo Acosta - CISSP Instructor, CISM, CISA, CRISC, CHFI Instructor, CEH, PCI QSA, OPST, BS25999 L. A.
Departamento de Consultoría