Tenable recomendó a las organizaciones, independientemente de su tamaño, grado de riesgo o sofisticación de ciberseguridad, cumplir con el ciclo de vida de la defensa de la ciberseguridad basado en el marco de trabajo del NIST (National Institute of Standards and Technology), el cual ayuda a reducir y gestionar mejor los riesgos cibernéticos.
Este marco fue desarrollado bajo un enfoque en industrias vitales para la seguridad nacional y económica, incluyendo energía, banca, comunicaciones y defensa. Desde entonces, ha demostrado ser lo suficientemente flexible como para ser adoptado voluntariamente por grandes y pequeñas empresas y organizaciones en todos los sectores de la industria, así como por gobiernos federales, estatales y locales.
De acuerdo con el NIST, este marco de trabajo es una guía de uso voluntario que consta de estándares, directrices y mejores prácticas para que las organizaciones gestionen mejor y reduzcan el riesgo relacionado con la seguridad cibernética, informó Luis Isselin, director general de Tenable México.
El primer objetivo de este ciclo de vida de la defensa de la ciberseguridad comienza con una identificación inicial de la propia postura de riesgo que permite después evolucionar a una estrategia de gestión de riesgos más integral con un enfoque en la reducción del Cyber Exposure de la organización.
Es importante determinar los sistemas, aplicaciones, activos y datos de la organización, su contexto de negocio, así como identificar aquellos que soportan las funciones críticas para las organizaciones. “Entender la propia postura de riesgo requiere obtener una visibilidad continua de los activos en toda la superficie de ataque, así como su grado de exposición de acuerdo al contexto actual de las amenazas y su criticidad para la organización”, mencionó Luis Isselin.
En el pasado, la identificación de activos era un problema relativamente sencillo de resolver. Hoy en día, el Bring Your Own Device, Internet de las Cosas, la virtualización, el uso de la nube pública, nuevas estrategias de desarrollo como DevOps y el uso de containers y ahora el uso del cómputo sin servidores (serverless computing), son activos que pueden ser cada vez más efímeros y difíciles de descubrir y controlar. Generalmente en este punto las compañías llegan a fallar debido a la poca visibilidad y comprensión, lo que las puede orillar a tener estrategias de seguridad fallidas.
Tras cumplir con la etapa de “Identificación”, el siguiente aspecto en el ciclo de vida de la defensa de la ciberseguridad, es la Protección, dijo Luis Isselin, aquí se deben desarrollar e implementar las contramedidas y salvaguardas necesarias para limitar o contener el impacto deun evento potencial de ciberseguridad.
Posteriormente, la fase Detectar, la organización tiene que crear y llevar a cabo las actividades apropiadas para identificar laaparición de un evento de ciberseguridad a través de la monitorizacióncontinua; Responder, permite la definición y despliegue de actividades para reaccionar frente a unevento de ciberseguridad identificado y mitigar su impacto, y por último Recuperar, permite el despliegue de actividades para lagestión de resiliencia y el retorno a la operación normal después de unincidente.
“Las empresas actualmente tienen dificultades para medir cuán expuestas están en esta nueva era de transformación digital. Debido a esto, es indispensable implementar cada una de estas etapas dentro de un entorno de mejora continua, permitiendo que constantemente la organización optimice sus controles de seguridad y escale a niveles superiores dentro delmarco de trabajo¨, finalizó LuisIsselin.
