Elegir un marco para el programa de seguridad de tu organización es una tarea importante, y no solo para mantener tus datos seguros. Las prácticas de seguridad y cumplimiento sólidas sientan las bases para procesos empresariales más eficientes, políticas claras y efectivas, y personal bien capacitado. Sin mencionar una diferenciación competitiva más convincente y una mayor confianza de los clientes.
Pero saber qué marcos cumplen con las necesidades de tu negocio, las normativas de la industria y los requisitos de los clientes puede ser complicado. Especialmente cuando todos parecen similares.
Si has estado leyendo sobre marcos de cumplimiento, es probable que te hayas encontrado con dos de los más populares: NIST CSF e ISO 27001. ¿De qué trata cada uno de estos marcos, cómo son diferentes y cuál es el adecuado para tu organización? En este artículo, presentaremos los conceptos básicos de cada marco y ofreceremos algunos consejos para elegir entre ellos.
El marco de ciberseguridad del NIST explicado.
Comencemos profundizando en el marco del NIST. A continuación, explicaremos por qué se creó el marco, quién necesita cumplirlo, el proceso de cumplimiento y más.
¿Qué es NIST CSF?
El NIST CSF se creó inicialmente tras una orden ejecutiva emitida por el presidente Obama en febrero de 2013. Obama introdujo la orden para establecer conocimientos compartidos y mejores prácticas en torno al riesgo de ciberseguridad y las amenazas a la infraestructura crítica.
Como resultado, el Instituto Nacional de Normas y Tecnología de EE. UU. se asoció con expertos tanto del sector privado como del gobierno para crear un marco para la ciberseguridad de la infraestructura crítica. El resultado fue el Marco de Ciberseguridad del Instituto Nacional de Normas y Tecnología (NIST CSF).
Hay algunos tipos diferentes de organizaciones que deben cumplir con los requisitos del NIST CSF. Estos incluyen cualquier organización que:
- Trabaje con el gobierno federal de EE. UU.
- Trabaje para instituciones apoyadas por subvenciones federales.
- Trabaje dentro de la cadena de suministro de una agencia federal.
El marco del NIST ayuda a evaluar el riesgo de ciberseguridad en toda una organización. Para lograr esto, divide todas las actividades de ciberseguridad en cinco categorías principales.
Identificar
Esta categoría se centra en responder dos preguntas clave. Primero, ¿qué activos necesita proteger tu organización? Y segundo, ¿de qué riesgos necesitan protección esos activos?
Las actividades se centran en establecer un programa de gestión de activos y una estrategia de gestión de riesgos. Comienza con una lista de los activos que necesitas gestionar, así como cualquier obligación legal, normativa o contractual que tu organización necesite cumplir. Luego, identifica quién tendrá acceso a cuáles activos y datos.
A continuación, identifica cualquier amenaza potencial a esos activos. Un registro o matriz de riesgos es una herramienta útil para identificar amenazas. Descarga una plantilla de registro de riesgos con una matriz de riesgos integrada para comenzar.
Finalmente, determina tu tolerancia al riesgo: la cantidad de riesgo que estás dispuesto a aceptar antes de tomar medidas para contrarrestarlo. No todos los riesgos justifican una respuesta. Por ejemplo, no querrías gastar 10,000 dólares para evitar un riesgo de 100 dólares. Hay varias formas de manejar el riesgo: mitigarlo, transferirlo, remediarlo o resolverlo. Tu estrategia de gestión de riesgos debe considerar cuidadosamente cómo deseas responder a diferentes tipos de amenazas.
Proteger
Esta categoría describe cómo tu organización protegerá los activos que identificaste, ya sea previniendo un incidente de seguridad o limitando su impacto negativo.
Necesitarás implementar controles de seguridad y acceso internos, realizar capacitación en seguridad para los empleados, crear políticas y procesos, y establecer métodos para mantener protocolos de seguridad estrictos, como encriptaciones.
Detectar
¿Cómo sabrá su organización si ocurre una violación de seguridad? Esta categoría se trata de actividades de detección como el monitoreo de registros de eventos y acceso, el establecimiento de sistemas de ticketing, etc. para rastrear anomalías y señalar eventos de seguridad.
Responder
Cada organización necesita un plan de respuesta en caso de que ocurra un incidente de ciberseguridad. Tener un plan en marcha le permite actuar rápidamente para contener el evento de manera más efectiva, reducir su impacto y aprender del incidente.
Necesitará establecer un plan de respuesta a incidentes que incluya la comunicación con las partes interesadas internas y externas, el análisis del incidente para determinar la causa y las actividades para mitigar el impacto del mismo. Este plan de respuesta también debe incluir formas de aprender del incidente para evitar que vuelva a ocurrir e identificar maneras de mejorar potencialmente su respuesta.
Recuperar
Una vez que haya respondido a un incidente de seguridad, necesitará un plan de recuperación para restaurar cualquier servicio que haya sido afectado y prevenir que un incidente similar vuelva a ocurrir.
Aparte de restaurar cualquier sistema y/o servicio afectado, las actividades típicas de recuperación incluyen la revisión del incidente, la identificación de lecciones aprendidas y la implementación de mejoras.
Proceso de cumplimiento del CSF de NIST
El marco de NIST solicita a las organizaciones mapear sus controles y actividades de seguridad en una especie de matriz que identifica los “niveles de implementación” para cada una de estas cinco principales categorías de seguridad. Estos niveles describen cuán maduros o completos son sus sistemas y controles de ciberseguridad para estas categorías. Los niveles de implementación son Parcial, Informado, Repetible y Adaptativo.
Para cada categoría de seguridad, debe enumerar cualquier control interno, política o proceso que tenga implementado para respaldarla. Por ejemplo, la categoría Identificar incluiría su inventario de activos, la estrategia de gestión de riesgos y los procesos y documentación de evaluación de riesgos. La categoría Proteger incluiría sus cifrados, software de firewall, sistema de detección de intrusiones, certificados de capacitación en seguridad de empleados, etc.
Como podría imaginar, una implementación “parcial” significa que su organización puede tener algún trabajo que hacer o brechas que llenar para esta categoría, mientras que “adaptativo” indica que tiene un programa de seguridad maduro y receptivo.
Beneficios del CSF de NIST
Llevar a su organización a cumplir con cualquier marco de seguridad implica una gran cantidad de tiempo, esfuerzo y recursos. Antes de comenzar, es importante saber qué está involucrado y qué puede ganar su organización.
El marco de NIST ofrece una serie de ventajas convincentes para las organizaciones en crecimiento, incluyendo:
- Las mejores prácticas de ciberseguridad identificadas por consenso de expertos tanto en el sector privado como en el gubernamental
- Un énfasis en la gestión de riesgos y la comunicación en toda la organización. El CSF de NIST también alienta el monitoreo continuo de riesgos, lo que ayuda a las organizaciones a adoptar el cumplimiento continuo.
- Flexibilidad para adaptar el marco a sus necesidades específicas de negocio, permitiendo a la vez la escalabilidad
- Los niveles de implementación claramente definidos facilitan la identificación y priorización de brechas en sus procesos y políticas actuales
- La capacidad de asociarse con agencias del gobierno federal de EE. UU. al mismo tiempo que demuestra una fuerte postura de seguridad a clientes potenciales del sector privado
La norma ISO 27001 explicada
Ahora profundicemos en la ISO 27001, un marco que se ha convertido en un estándar de oro para la seguridad de la información a nivel internacional. A continuación, cubriremos los orígenes del marco, sus beneficios y el proceso de certificación.
¿Qué es la ISO 27001?
La norma ISO 27001 fue establecida en 2005 por la Organización Internacional de Normalización, luego revisada como ISO/IEC 27001 en 2013 y 2017 a través de una asociación con la Comisión Electrotécnica Internacional (IEC).
La Organización Internacional de Normalización es una entidad global que une a las juntas de normalización de 166 países. Su propósito es garantizar que las fronteras nacionales no interfieran con la capacidad de la sociedad moderna para desarrollar tecnología confiable. La organización creó ISO 27001 para contrarrestar el aumento de ataques sofisticados contra sistemas de información en todo el mundo.
El marco fue diseñado para evaluar si el sistema de gestión de seguridad de la información (SGSI) de una organización puede proteger datos sensibles. También asegura que las organizaciones prioricen la ciberseguridad al enfocarse en la mejora continua del SGSI.
A diferencia de marcos como NIST CSF, GDPR y HIPAA, el cumplimiento de ISO 27001 no es legalmente obligatorio. Pero cuando se trata de seguridad de la información, la certificación ISO 27001 es uno de los estándares más respetados a nivel internacional. Muchas empresas globales querrán saber que tienes la certificación ISO 27001 antes de hacer negocios con tu organización.
El proceso de certificación ISO 27001
Los requisitos de ISO 27001 incluyen el cumplimiento de los Cláusulas 4-10 del estándar, 114 controles del Anexo A, además de la documentación requerida como la Declaración de Aplicabilidad, la política de SGSI y una evaluación formal de riesgos ISO 27001.
La certificación ISO 27001 implica un proceso de auditoría de dos etapas. Durante una auditoría de la Etapa 1, un auditor externo acreditado revisa el diseño de tu SGSI. Durante una auditoría de la Etapa 2, el auditor examinará cómo funciona tu SGSI y si las políticas y procesos se siguen correctamente. Después de una auditoría de la Etapa 2 exitosa, tu organización recibirá una certificación ISO 27001 válida por tres años.
Para mantener el cumplimiento, necesitarás realizar auditorías internas regulares, así como una auditoría anual de vigilancia. Al final del tercer año, puedes completar una auditoría de recertificación válida por otros tres años.
Beneficios de la certificación ISO 27001
Aquí hay algunas ventajas de tener una certificación ISO:
- Gana una ventaja competitiva en el mercado, particularmente a nivel internacional
- Gana contratos contra competidores que no cumplen con ISO 27001
- Acelera el ciclo de ventas al eliminar la seguridad y el cumplimiento como una objeción
- Vende en mercados superiores al ganar la confianza de grandes empresas
- Fortalece la confianza del cliente al demostrar que tu servicio es seguro. Un SGSI certificado ofrece una gran tranquilidad sobre tu postura de seguridad general
- Sentar las bases de un SGSI sólido que fortalezca la seguridad y los procesos comerciales
- Obtener una opinión experta de terceros sobre tus controles y políticas de seguridad de datos
- Fomentar una cultura de seguridad y cumplimiento en la empresa
- Crear un marco para gestionar los riesgos de seguridad en toda la empresa
- Mejorar la confianza de los inversores y socios
- Agilizar la diligencia técnica debida por parte de un comprador o inversor potencial
NIST vs ISO 27001: ¿Cuál es la diferencia?
Tanto el NIST CSF como el ISO 27001 ayudan a las organizaciones a implementar las mejores prácticas para una postura fuerte de ciberseguridad. Y ambos marcos se centran en ayudar a las organizaciones a identificar, rastrear, mitigar, prepararse y recuperarse mejor de incidentes de seguridad y violaciones de datos. El NIST y el ISO 27001 son cada uno marcos altamente respetados que señalan una postura de seguridad fuerte y generan confianza en los clientes.
Pero los dos marcos no son intercambiables. Discutamos algunas diferencias clave entre los dos.
Enfoque y propósito
Aunque la flexibilidad del NIST CSF significa que puede aplicarse a cualquier organización sin importar la industria o el tamaño, fue creado específicamente pensando en las agencias federales de EE. UU. y sus socios. De la misma manera, aunque el ISO 27001 puede ser adoptado por cualquier organización, fue diseñado específicamente para ayudar a las empresas a construir y mantener un SGSI compatible.
Proceso de cumplimiento
Otra diferencia clave está en el propio proceso de cumplimiento. Con el NIST CSF las organizaciones del sector privado se auto-certifican, mientras que el ISO 27001 requiere un auditor externo para verificar el cumplimiento. La certificación ISO 27001 es válida por tres años y requiere tanto auditorías de vigilancia como de recertificación. NIST no ofrece certificaciones.
Con el NIST CSF, las agencias federales de EE. UU. están obligadas a enviar informes de gestión de riesgos al Secretario de Seguridad Nacional y al Director de la Oficina de Gestión y Presupuesto (OMB), pero cualquier organización del sector privado puede simplemente usar el marco para guiar su programa de ciberseguridad.
Tiempo y costo
Los requisitos de tiempo y costo también son importantes a considerar y varían entre los dos marcos. El NIST CSF está disponible de forma gratuita y puede implementarse a su propio ritmo. El estándar ISO 27001 debe comprarse, y las auditorías externas incurren en un costo adicional.
Entonces, ¿cómo debería su empresa decidir qué marco seguir?
La pregunta principal probablemente sea quiénes son sus clientes y qué tipo de cumplimiento requieren de usted. Si está trabajando con o en relación con agencias federales de EE. UU. o sus socios, es probable que el NIST CSF sea relevante o requerido para su negocio. Si está cortejando a clientes internacionales, una certificación ISO 27001 probablemente desbloquee más oportunidades de ingresos.
Más allá de eso, considere la madurez de su programa de ciberseguridad. La mayoría de las empresas que aún están sentando las bases comienzan utilizando el marco de ciberseguridad NIST como guía. Su flexibilidad y niveles de implementación claros permiten una evaluación más sencilla de dónde enfocarse y remediar las brechas en su postura de seguridad. A medida que las empresas maduran en su alcance y operaciones, pueden estar listas para adoptar un enfoque más sistemático e implementar un SGSI completo. En este caso, los beneficios de la certificación ISO 27001 se vuelven más evidentes.
Para algunas organizaciones, no es un escenario de uno u otro. Varios marcos de seguridad pueden mejorar mutuamente, y cada enfoque ofrece sus propios beneficios únicos. Tome una decisión basada en los riesgos inherentes a su negocio, su postura de seguridad actual y el tiempo y los recursos que puede dedicar de manera realista al cumplimiento.
Agilice el cumplimiento de seguridad con Secureframe
Ya sea que su organización decida seguir un estándar de seguridad como NIST CSF o ISO 27001 o simplemente quiera construir un programa de ciberseguridad más maduro, Secureframe puede ayudar. Nuestra plataforma agiliza el proceso de preparación de auditorías y facilita el cumplimiento continuo al monitorizar su stack tecnológico para detectar no conformidades. Conozca más sobre nuestra solución solicitando una demostración hoy mismo.
