Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
04/07/2013
Framework del NIST per a Seguretat en Infraestructures Crítiques
Com a resultat d’una directiva presidencial de febrer, que busca assegurar infraestructures crítiques d’atacs externs, el NIST ha publicat un nou framework de treball amb l’objectiu de reduir el risc cibernètic en estes infraestructures.
El nucli d’este marc (encara en esborrany) es compon d’una matriu de funcions i una matriu que mostra el nivell d’aplicació de controls. La matriu de funcions conté les cinc funcions de seguretat cibernètica de primer nivell, que són:
- Conéixer: conéixer i identificar a nivell institucional quins sistemes necessiten ser protegits, avaluar les prioritats d’acord amb la missió de l’organització i gestionar els processos per a assolir els objectius segons la gestió de riscos.
- Previndre: categories de decisions de gestió, tècniques i activitats operacionals que permeten a l’organització decidir sobre les accions a portar avant per a garantir una protecció adequada contra les amenaces als sistemes empresarials i els components crítics de la infraestructura.
- Detectar: activitats que identifiquen (a través del monitoreig continu o altres mitjans d’observació) la presència d’esdeveniments adversos i que representen risc, i els processos per a avaluar el possible impacte d’estos esdeveniments.
- Respondre: presa de decisions de gestió i activitats promulgades sobre la base de la planificació aplicada anteriorment, en relació amb l’impacte estimat.
- Recuperar: categories de la presa de decisió, tècniques i activitats operacionals que restablisquen els servicis que hagen sigut desactivats o danyats com a resultat d’un esdeveniment indesitjable.
El marc del nivell d’aplicació definix tres nivells d’aplicació des de tres perspectives: el paper executiu, gerents de processos de negoci i gerents d’operacions. L’objectiu d’esta matriu és reflectir l’estat de la seguretat de la infraestructura crítica des de les perspectives dels rols anteriors.
Si bé este marc es troba encara en estat d’esborrany, considere que és un gran avanç en l’augment del nivell de seguretat d’infraestructures crítiques, ja que este tipus de negocis sempre han sigut poc inclinats a posar en pràctica majors mesures de seguretat, perquè van en contra de la forma en què els seus processos operatius funcionen i perquè els directius d’estes àrees no veuen cap valor afegit en estes tasques. Este marc mostra la seguretat de la informació com a part de la seua funció i mostra una manera d’integrar-los sense problemes a l’operació normal del negoci, ja que treballen sobre el mateix procés per a previndre els riscos d’operació de la infraestructura crítica, com la interrupció d’energia, explosió de la canonada, danys d'un transformador i molts altres.