Introducción
Tal y como ya hemos mencionado en otros artículos de esta sección todo gira en torno a la gestión de riesgos, y para que este proceso sea lo más eficaz y eficiente posible, tendremos que volcar muchos esfuerzos en la evaluación de riesgos, y concretamente en entender las amenazas que nos rodean y pueden poner en peligro nuestros sistemas de información. No nos podemos defender de algo que no conocemos. Necesitamos saber cómo piensan los atacantes, que tácticas y técnicas utilizan, en resumen, obtener información de calidad que nos permita tomar las mejores decisiones para defendernos ante esas amenazas.
En un artículo anterior de esta sección ya hemos hablado sobre el perfilado de las amenazas, y pusimos como ejemplo el perfilado de una amenaza de tipo ransomware. NIST (National Institute of Standards and Technology) publica unos informes a los que denomina NISTIR (NIST Interagency or Internal Reports), y uno de estos informes, concretamente el NISTIR 8374 habla sobre la gestión de riesgos del ransomware. Gran parte de este informe se basa en estudiar el perfil de este tipo de amenazas, relacionarlo con las funciones básicas del CSF (Cyber Security Framework) de NIST (Identificar, Proteger, Detectar, Responder y Recuperar) y proponer una serie de medidas para reducir o mitigar el riesgo de que un ransomware se pueda materializar en una organización.
Posibles controles de seguridad
El informe nos proporciona una tabla detallada de posibles controles de seguridad que podemos utilizar, categorizados en las funciones básicas del CSF de NIST, y con subcategorías y referencias para segregar mejor la información y sea más fácil al lector del informe entender qué controles pueden resultar más eficaces para su organización a la hora de protegerse frente al ransomware.
A la hora de proponer posibles controles de seguridad, el documento toma como referencia diferentes marcos de trabajo y normas. Por un lado, identifica posibles controles de la ISO/IEC 27001 (Anexo A), para reducir o mitigar el riesgo, y por otro lado la publicación NIST SP 800-53, una magnífica referencia para la seguridad de la información y que nos proporciona un amplio catálogo de controles de seguridad.
Finalmente, la tabla se completa con una columna donde se explica cómo aplica estas medidas a la hora de gestionar el riesgo que el ransomware pueda suponer.
Ampliando con controles más técnicos
Los que estéis familiarizados con los controles de la ISO/IEC 27001 (Anexo A) y del NIST SP 800-53, sabréis que estas referencias no profundizan mucho en el aspecto técnico (sobre todo el Anexo A de la ISO/IEC 27001). Nos proporciona una guía y una muy buena base para poder definir nuestra estrategia de seguridad a la hora de afrontar los riesgos.
Miguel Ángel es consultor de seguridad de la información, con certificación CISA de ISACA y 15 años de experiencia en el mundo de la ciberseguridad. Experiencia en auditorías de seguridad e implantación de SGSI (ISO/IEC 27001). Desempeña la labor de Director de Ciberseguridad, liderando la estrategia de seguridad para la gestión de riesgos IT. Es Co-Líder del Grupo de Expertos de Seguridad en la Asociación itSMF España. Profesor en varios másteres de ciberseguridad (UCLM, Universidad de Sevilla y Universidad de Córdoba). Es autor del blog hacking-etico.com, fundador de Hack&Beers y ponente en congresos de ciberseguridad de ámbito nacional.
Todo lo que un Directivo debe saber...
Ha llegado la hora de formar a la Alta Dirección
Sesiones Directivas en Directo y en Remoto sobre todos aquellos aspectos que debe conocer la Alta Dirección sobre Gobierno y Gestión Organizacional.
Debe estar conectado para enviar un comentario.