NIST ofrece orientación para medir y mejorar el programa de ciberseguridad de su empresa
El borrador de la publicación puede ayudar a evaluar los esfuerzos de seguridad de la información.
17 de enero de 2024
National Institute of Standards and Technology – NIST USA
Las organizaciones han solicitado orientación sobre programas de medición que les ayudarán a tomar decisiones basadas en datos y riesgos para lograr sus objetivos de seguridad de la información.
Un borrador de actualización de una publicación del NIST ofrece orientación sobre cómo las organizaciones pueden medir la efectividad de sus programas de seguridad de la información.
El NIST solicita comentarios del público sobre el borrador de la guía antes del 18 de marzo de 2024.
Imagina que eres el nuevo responsable de ciberseguridad de tu empresa. Su equipo ha tenido un buen comienzo en el montaje de defensas para protegerse de los piratas informáticos y los ataques de ransomware. A medida que las amenazas a la ciberseguridad continúan aumentando, es necesario mostrar mejoras con el tiempo a su director ejecutivo y a sus clientes. ¿Cómo mide su progreso y lo presenta utilizando detalles numéricos significativos?
Es posible que desee una hoja de ruta para crear un programa práctico de medición de la seguridad de la información, y la encontrará en el borrador de guía recientemente revisado del Instituto Nacional de Estándares y Tecnología (NIST). El documento de dos volúmenes, cuyo título general es Publicación especial NIST (SP) 800-55 Revisión 2: Guía de medición para la seguridad de la información , ofrece orientación sobre el desarrollo de un programa eficaz y un enfoque flexible para desarrollar medidas de seguridad de la información para cumplir con el desempeño de su organización. objetivos. El NIST solicita comentarios públicos sobre este borrador público inicial antes del 18 de marzo de 2024.
La publicación está diseñada para usarse junto con cualquier marco de gestión de riesgos, como el Marco de ciberseguridad o el Marco de gestión de riesgos del NIST . Su objetivo es ayudar a las organizaciones a pasar de declaraciones generales sobre el nivel de riesgo a una imagen más coherente basada en datos concretos.
«Todo el mundo gestiona el riesgo, pero muchas organizaciones tienden a utilizar descripciones cualitativas de su nivel de riesgo, utilizando ideas como colores de semáforo o escalas de cinco puntos», dijo Katherine Schroeder del NIST, una de las autoras de la publicación. «Nuestro objetivo es ayudar a las personas a comunicarse con datos en lugar de conceptos vagos».
Lograr este objetivo, según los autores, implica pasar de descripciones cualitativas del riesgo (tal vez utilizando categorías amplias como nivel de riesgo alto, medio o bajo) a descripciones cuantitativas que conllevan menos ambigüedad y subjetividad. Un ejemplo de esto último sería una afirmación de que el 98% de las cuentas de usuarios autorizados del sistema pertenecen a empleados actuales y el 2% pertenecen a ex empleados.
El equipo desarrolló el nuevo borrador de la guía en parte en respuesta a solicitudes públicas y comentarios de una convocatoria de comentarios previa al borrador . Gran parte de esa retroalimentación citó la mayor disponibilidad de datos relacionados con la seguridad junto con la incertidumbre sobre cómo darles un uso efectivo a estos datos. Si bien la guía resultante no es prescriptiva, Schroeder dijo que su enfoque adaptable significa que puede ayudar a una variedad de organizaciones a crear y luego mejorar un programa de medición de seguridad de la información que sea adecuado para ellas.
“Queremos que la gente pueda descubrir el proceso de qué medir. No necesariamente es necesario calcular todos los números”, dijo. “Por ejemplo, es posible que desee determinar si su organización está respondiendo a los incidentes de manera adecuada y considerar factores como el tiempo de respuesta y el impacto en la misión o el negocio, como las horas adicionales de personal, los recursos necesarios o el impacto en el fondo. línea. Luego podrás presentar esa información de una manera que tenga sentido, incluso si no eres estadístico, para que puedas descubrir cómo hacerlo mejor”.
Los dos volúmenes están dirigidos a diferentes públicos dentro de una organización. El primero , escrito principalmente para especialistas en seguridad de la información, proporciona orientación sobre cómo una organización puede priorizar, seleccionar y evaluar medidas específicas para determinar la idoneidad de la seguridad que ya existe. El segundo , dirigido principalmente a la alta dirección, describe cómo una organización puede desarrollar un programa de medición de la seguridad de la información y ofrece un flujo de trabajo de varios pasos para implementarlo a lo largo del tiempo.
Los autores señalan que las descripciones cualitativas son apropiadas en determinadas circunstancias y que algunas organizaciones podrían querer utilizar una combinación de enfoques cualitativos y cuantitativos. Pero centrarse en la medición puede ayudar a la comunicación dentro de una organización, ayudando potencialmente a mejorar tanto la seguridad como la asignación de recursos.
«Cuando los equipos técnicos se comunican con la gerencia sobre la seguridad de la información, las métricas proporcionan un lenguaje común, utilizando tendencias y números para cerrar las brechas en la comprensión», escriben los autores. “Las organizaciones quieren poder evaluar si los controles, políticas y procedimientos están funcionando de manera efectiva y eficiente y cómo se ven impactadas en la organización. Las métricas se pueden utilizar para ayudar a priorizar áreas de crecimiento, mejora o reorientación de recursos”.
En las Notas para los revisores, el NIST propone el establecimiento de una Comunidad de Interés (CoI) para que aquellos interesados en la medición de la seguridad de la información trabajen juntos para compartir experiencia, perfeccionar el conjunto de conocimientos y recursos e identificar oportunidades de crecimiento y mejora.
Las personas y organizaciones interesadas en unirse al CoI de Medición de Seguridad de la Información o enviar comentarios sobre el borrador de dos volúmenes deben enviar un correo electrónico a cyber-measures@list.nist.gov .
Tecnologías de la información , Ciberseguridad y Medición de Ciberseguridad
Laboratorio de Tecnología de la Información
División de Seguridad Informática
Grupo de Ingeniería de Seguridad y Gestión de Riesgos
NIST