Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
04/07/2013
Framework del NIST para Seguridad en Infraestructuras Críticas
Como resultado de una directiva presidencial de febrero, que busca asegurar infraestructuras críticas de ataques externos, el NIST ha publicado un nuevo framework de trabajo con el objetivo de reducir el riesgo cibernético en estas infraestructuras.
El núcleo de este marco (todavía en borrador) se compone de una matriz de funciones y una matriz que muestra el nivel de aplicación de controles. La matriz de funciones contiene las cinco funciones de seguridad cibernética de primer nivel, que son:
- Conocer: conocer e identificar a nivel institucional qué sistemas necesitan ser protegidos, evaluar las prioridades de acuerdo a la misión de la organización y gestionar los procesos para alcanzar los objetivos según la gestión de riesgos.
- Prevenir: categorías de decisiones de gestión, técnicas y actividades operacionales que permiten a la organización decidir sobre las acciones a llevar adelante para garantizar una protección adecuada contra las amenazas a los sistemas empresariales y los componentes críticos de la infraestructura.
- Detectar: ??actividades que identifican (a través del monitoreo continuo u otros medios de observación) la presencia de acontecimientos adversos y que representan riesgo, y los procesos para evaluar el posible impacto de estos eventos.
- Responder: toma de decisiones de gestión y actividades promulgadas sobre la base de la planificación aplicada anteriormente, en relación con el impacto estimado.
- Recuperar: categorías de la toma de decisión, técnicas y actividades operacionales que restablezcan los servicios que hayan sido desactivados o dañados como resultado de un evento indeseable.
El marco del nivel de aplicación define tres niveles de aplicación desde tres perspectivas: el papel ejecutivo, gerentes de procesos de negocio y gerentes de operaciones. El objetivo de esta matriz es reflejar el estado de la seguridad de la infraestructura crítica desde las perspectivas de los roles anteriores.
Si bien este marco se encuentra todavía en estado de borrador, considero que es un gran avance en el aumento del nivel de seguridad de infraestructuras críticas, ya que este tipo de negocios siempre han sido reacios a poner en práctica mayores medidas de seguridad, porque van en contra de la forma en que sus procesos operativos funcionan y porque los directivos de estas áreas no ven ningún valor añadido en estas tareas. Este marco muestra la seguridad de la información como parte de su función y muestra una manera de integrarlos sin problemas a la operación normal del negocio, ya que trabajan sobre el mismo proceso para prevenir los riesgos de operación de la infraestructura crítica, como la interrupción de energía, explosión de la tubería, daños de un transformador y muchos otros.