Saltar al contenido

Comparación de estándares y marcos de seguridad de TI

marzo 27, 2021

Hola ¿cómo estás?, otro post de www.soportetic.net!

Implementar y mantener la ciberseguridad en una pequeña empresa o una gran organización es una parte integral del modelo de negocio. Se han creado ciertas organizaciones y asociaciones para definir las reglas y procedimientos que se deben seguir al desarrollar una infraestructura de TI o aumentar su seguridad mínima. Estos libros de reglas se conocen como marcos y estándares.

Hay una variedad de organizaciones diferentes en todo el mundo que contribuyen a estos documentos. Exploremos cómo estos diferentes documentos pueden beneficiar a todos los involucrados en TI en todo el mundo y por qué se hizo necesario crear estos estándares y marcos en primer lugar.

Marco vs Estándar: ¿Cuál es la diferencia?

Por definición, el marco se refiere a la estructura que se encuentra debajo o más allá de un sistema. Un marco no está definido al punto y solo da el esquema del sistema y no el método a ser adoptado para implementar ese sistema. Por lo tanto, una empresa puede adoptar un marco de cualquier forma que elija y puede afirmar que sigue un marco determinado siempre que se cumplan todos los requisitos de ese marco en particular. Un individuo puede agregar a un marco para hacerlo más eficiente, y todavía estaría siguiendo el mismo marco.

Por otro lado, como su nombre lo indica, un estándar es la práctica más conocida que define los pasos y procedimientos necesarios para realizar una tarea. Además, una norma reconocida internacionalmente también significaría que se sigue el mismo procedimiento en todo el mundo para realizar una determinada tarea si se ha adoptado esa norma en particular.

Una organización puede crear su propio conjunto de reglas que solo son aplicables dentro de su firma o adaptarse a ciertos estándares y reglas reconocidos internacionalmente. En los últimos años, muchas organizaciones han estado trabajando para estandarizar la infraestructura de seguridad básica de las organizaciones que se ocupan de la información de identificación personal (PII) o información financiera para que el personal no autorizado no pueda acceder fácilmente a ellos. Esto garantiza que todas las empresas sigan los requisitos mínimos para mantener los datos de sus clientes a salvo de los piratas informáticos y perder los datos mínimos en caso de una infracción exitosa.

Principales estándares y marcos de seguridad de TI

Objetivos de control para tecnologías de la información y afines (COBIT)

COBIT es el nombre de un marco de seguridad desarrollado por una organización conocida como Asociación de Auditoría y Control de Sistemas de Información (ISACA). Este marco define los principios, procesos y estructuras organizativas de gobernanza y gestión para la tecnología de la información empresarial. COBIT proporciona los requisitos para implementar un Sistema de gestión de seguridad de la información (SGSI) y es compatible con la serie de normas ISO / IEC 27000, que se analizarán más adelante en el artículo.

COBIT se ejecuta en los 5 principios básicos, ilustrados en la imagen a continuación:

Principios de COBIT

Con la reciente introducción de COBIT 5, ha incorporado la seguridad de la información como parte del marco. Tres procesos de COBIT 5 abordan específicamente la seguridad de la información: APO 13 “Administrar seguridad”, DSS04 “Administrar continuidad” y DSS05 “Administrar servicios de seguridad”.

COBIT 5 tiene cinco áreas de proceso que se especifican para el gobierno y la gestión de la TI empresarial. Estas áreas son:

  • Evaluar, dirigir y monitorear (EDM)
  • Alinear, planificar y organizar (APO)
  • Construir, adquirir e implementar (BAI)
  • Entrega, servicio y soporte (DSS)
  • Monitorear, evaluar y evaluar (MEA)

Serie ISO / IEC 27000 para sistemas de gestión de seguridad de la información (SGSI)

Los sistemas de gestión de seguridad de la información (SGSI) son un libro de reglas compilado que define las políticas, procedimientos y actividades involucradas en la estructuración de una unidad organizativa responsable de manejar y mantener los aspectos de seguridad cibernética y de la información dentro de una empresa. Las organizaciones tienden a estructurar sus propios recursos, alcance y responsabilidades. Pero muchos de ellos tienden a seguir metodologías preestructuradas, estandarizadas y probadas previamente, como las normas de la serie ISO / IEC 27000.

Organización Internacional de Normalización (ISO) y Comisión Electrotécnica Internacional (IEC) han compilado una serie / familia de estándares centrados en técnicas de seguridad, tecnología de la información y SGSI.

La serie ISO / IEC 27000 incluye varios estándares, como 27001, 27005, 27032, y cada una de estas guías en un dominio diferente. Por ejemplo, la ISO / IEC 27001 proporciona orientación sobre SGSI dentro de una organización. Con este estándar, cualquier organización puede proteger su infraestructura de TI asegurándose de que se cumplan todos los requisitos básicos. Además, ISO / IEC 27001 también proporciona certificados sobre auditorías para garantizar que una empresa haya pasado la prueba.

ISO / IEC 27005 proporciona orientación sobre la realización de evaluaciones de riesgos en la infraestructura de seguridad y cómo abordar escenarios en caso de una infracción.

Mientras tanto, el estándar ISO / IEC 27032 brinda una guía general sobre las normas y mejores prácticas para adaptarse para garantizar la máxima seguridad virtual.

Marco de control de ciberseguridad del NIST (CSF)

Instituto Nacional de Estándares y Tecnología (NIST) creó el Marco de control de ciberseguridad (CSF) en colaboración con el gobierno de Estados Unidos. El objetivo principal de este marco era proporcionar al sector privado suficiente información para que su infraestructura de TI crítica sea segura. A diferencia de muchos documentos de orientación del NIST, el CSF se diseñó específicamente para empresas, para satisfacer sus necesidades y respaldar los objetivos comerciales.

CSF se diferencia de otros marcos porque se centra en la gestión de riesgos. Se presenta en tres partes:

  • Funciones principales (identificar, proteger, detectar, responder, recuperar)
  • Niveles de implementación (procesos y prácticas de gestión de riesgos)
  • Perfiles (específicos de una empresa o industria: objetivos y resultados deseados)

Estos pasos se utilizan al adaptar el CSF del NIST para aumentar la seguridad de una organización, en el siguiente orden:

  • Mapear y determinar la seguridad implementada actualmente.
  • Señale e identifique políticas y estándares de ciberseguridad potenciales.
  • Comprender el modelo de negocio de la empresa y comunicar nuevos requisitos.
  • Crea un nuevo programa de ciberseguridad.

Publicaciones especiales del NIST 800-53 y 800-171

Publicaciones especiales del NIST 800-53 y 800-171 han existido durante algún tiempo y han ido mejorando a lo largo de los años con nuevas revisiones. Estos son dos documentos de estandarización diferentes pero están muy relacionados entre sí, ya que la mayoría de los controles en SP 800-171 están relacionados con SP 800-53.

Inicialmente, el SP800-53 fue diseñado para agencias gubernamentales para proteger su infraestructura y datos críticos. Se aseguró de que sus redes fueran impenetrables. Sin embargo, con SP 800-171, el Departamento de Defensa (DoD) hizo obligatorio que todos los proveedores y contratistas de ciberseguridad implementaran este estándar para ofertar en nuevas oportunidades.

NIST SP 800-171 puede ser adaptado tanto por organizaciones grandes como pequeñas, ya que es económico. Además, es posible que las organizaciones más grandes no se beneficien de este estándar tanto como las empresas más pequeñas, ya que las más grandes ya tienen la infraestructura establecida para implementar la información y la ciberseguridad. NIST 800-171 también tiene el área de cobertura más alta e incluye todos los protocolos de seguridad y pruebas periódicas, que están presentes en los otros marcos.

Palabras de cierre

Puede elegir entre los diferentes marcos y estándares para implementar en su organización o configurarlo desde cero. Es su elección si desea adaptarse a un marco o mezclar algunos y hacer uno aún mejor para aumentar su seguridad. Esto depende del tipo de negocio que esté llevando a cabo.

Hay varios elementos comunes entre los marcos de seguridad de la información definidos en la familia de normas ISO / IEC 27000, el marco COBIT y el marco de control de ciberseguridad del NIST. Cada uno de estos aborda los riesgos que las empresas deben abordar y que dependen de las formas digitales de información, los sistemas de información y la infraestructura de la información. Cada marco presenta listas estructuradas de actividades de gobernanza y gestión de TI que deben adoptarse e implementarse para gestionar el riesgo y proteger los activos digitales de forma eficaz.

Esto ha sido todo, esperamos que haya sido de vuestro interés, si lo compartís en redes sociales, estaremos muy agradecidos 😃.