Guía para reducir y gestionar riesgos cibernéticos

Tenable recomendó a las organizaciones, independientemente de su tamaño, grado de riesgo o sofisticación de ciberseguridad, cumplir con el ciclo de vida de la defensa de la ciberseguridad basado en el marco de trabajo del NIST (National Institute of Standards and Technology), el cual  ayuda a reducir y gestionar mejor los riesgos cibernéticos.

Este marco fue desarrollado bajo un enfoque en industrias vitales para la seguridad nacional y económica, incluyendo energía, banca, comunicaciones y defensa. Desde entonces, ha demostrado ser lo suficientemente flexible como para ser adoptado voluntariamente por grandes y pequeñas empresas y organizaciones en todos los sectores de la industria, así como por gobiernos federales, estatales y locales.

Este marco de trabajo es una guía de uso voluntario que consta de estándares, directrices y mejores prácticas para que las organizaciones gestionen mejor y reduzcan el riesgo relacionado con la seguridad cibernética.

El primer objetivo de este ciclo de vida de la defensa de la ciberseguridad comienza con una identificación inicial de la propia postura de riesgo que permite después evolucionar a una estrategia de gestión de riesgos más integral con un enfoque en la reducción del CyberExposure de la organización.

Es importante determinar los sistemas, aplicaciones, activos y datos de la organización, su contexto de negocio, así como identificar aquellos que soportan las funciones críticas para las organizaciones.

“Entender la propia postura de riesgo requiere obtener una visibilidad continua de los activos en toda la superficie de ataque, así como su grado de exposición de acuerdo al contexto actual de las amenazas y su criticidad para la organización”, mencionó Luis Isselin, Director General de Tenable México.

En el pasado, la identificación de activos era un problema relativamente sencillo de resolver.  Hoy en día, el  Bring Your Own Device, Internet de las Cosas, la virtualización, el uso de la nube pública, nuevas estrategias de desarrollo como DevOps y el uso de containersy ahora el uso del cómputo sin servidores (serverless computing), son activos que pueden ser cada vez más efímeros y difíciles de descubrir y controlar. Generalmente en este punto las compañías llegan a fallar debido a la poca visibilidad y comprensión, loque las puede orillar a tener estrategias de seguridad fallidas.

Tras cumplir con la etapa de “Identificación”, el siguiente aspecto en el ciclo de vida de la defensa de la ciberseguridad, es la Protección, dijo Luis Isselin, aquí se deben desarrollar e implementar las contramedidas y salvaguardas necesarias para limitar o contener el impacto de un evento potencial de ciberseguridad.

Posteriormente, la fase Detectar, la organización tiene que crear y llevar a cabo las actividades apropiadas para identificar la aparición de un evento de ciberseguridad a través de la monitorización continua;  Responder,   permite la definición y despliegue de actividades para reaccionar frente a un evento de ciberseguridad identificado y mitigar su impacto, y  por último Recuperar,  permite el despliegue de actividades para la gestión de resiliencia y el retorno a la operación normal después de un incidente.

“Las empresas actualmente tienen dificultades para medir cuán expuestas están en esta nueva era de transformación digital. Debido a esto, es indispensable implementar cada una de estas etapasdentro de un entorno de mejora continua, permitiendo que constantemente la organización optimice sus controles de seguridad y escale a niveles superiores dentro del marco de trabajo”, finalizó Luis Isselin