El creciente aumento de los ciberataques, que son cada día más complejos y unido a un incremento en la regulación para frenarlo, hace que la ciberseguridad sea una asignatura casi obligada para cualquier organización, independientemente de su tamaño. Actualmente, ocupa ya un lugar prioritario en la agenda de CEOs y directores generales.
La mayoría de las organizaciones están continuamente adoptando nuevas tecnologías o externalizando procesos de ciberseguridad para cumplir con la regulación y aumentar su nivel de resiliencia ante un hipotético ataque. Y es importante considerar la implementación de un marco de control de ciberseguridad que nos permita tener un nivel de confiabilidad de nuestra estrategia de ciberseguridad.
¿Qué es un Framework de ciberseguridad?
Se trata de un conjunto estructurado de consejos, controles a implantar (ligados al gobierno y la tecnología), directrices y buenas prácticas diseñado para ayudar a las organizaciones a poder gestionar y mejorar su postura de ciberseguridad. Estos frameworks proporcionan un marco de referencia que permite a las organizaciones definir, implementar, monitorizar y adaptarse a distintos escenarios de amenazas, industrias y tamaño.
¿Cuáles son los principales tipos de Frameworks?
Esquema Nacional de Seguridad (ENS)
El ENS es un marco normativo que establece las bases para la seguridad de la información y los sistemas en la Administración Pública española. El Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad sustituye al Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.
Esta guía de actuación define los principios básicos y requisitos mínimos para proteger la información, los sistemas, las comunicaciones y los servicios electrónicos del sector público. De este modo, el ENS es de obligado cumplimiento en los siguientes casos:
- Para la Administración General del Estado, Administraciones de las Comunidades Autónomas y las Entidades que integran la Administración Local, así como las entidades de derecho público vinculadas o dependientes de las mismas.
- Para ciudadanos en sus relaciones con las Administraciones Públicas.
- Para todas aquellas relaciones entre las distintas Administraciones Públicas.
ISO 27001/27002
La Organización de Normas Internacionales (Internacional Organization for Standardization), desarrolló los estándares de seguridad ISO 27001/27002.
- La ISO 27001 pauta los requisitos para establecer, implementar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (ISMS). Su función es la de proporcionar un marco para el establecimiento de políticas, procesos y controles necesarios para gestionar de manera sistemática la seguridad de la información en una organización.
- La ISO 27002 proporciona directrices y prácticas recomendadas para la selección, implementación y gestión de controles de seguridad de la información, centrándose en los aspectos prácticos de la seguridad de la información.
Marco del NIST
El Instituto Nacional de Estándares y Tecnología (NIST, por sus siglas en inglés) de Estados Unidos establece unas políticas y normas dirigidas a las organizaciones gubernamentales, que se han extendido tanto en el sector público como en el privado a nivel internacional. Este conjunto de medidas permite a las organizaciones priorizar los procesos de gestión de riesgos adaptándose a diferentes sectores y tamaños de organizaciones.
NIST framework se organiza en torno a cinco funciones principales, que representan las actividades clave de la ciberseguridad:
- Identify: Comprender y gestionar los riesgos de ciberseguridad para sistemas, activos, datos y capacidades.
- Protect: Desarrollar e implementar medidas de seguridad adecuadas para reducir el riesgo y proteger los activos y recursos de la organización.
- Detect: Implementar capacidades para identificar de manera rápida y eficiente las amenazas cibernéticas.
- Respond: Desarrollar y aplicar planes de respuesta a incidentes para contener y mitigar los impactos de un evento de seguridad cibernética.
- Recover: Desarrollar e implementar estrategias de recuperación para restaurar las capacidades y servicios afectados después de un incidente.
Controles de Seguridad CIS
El Centro de Seguridad de Internet (CIS) ha establecido un conjunto de 20 medidas de seguridad que las organizaciones pueden implementar para mejorar su postura de ciberseguridad, divididos en tres categorías: básicos, fundamentales y organizativos.
- Los controles básicos se centran en los fundamentos de la seguridad, como la configuración segura de los sistemas y la protección de los datos.
- Los controles fundamentales se centran en la protección de los sistemas y datos más críticos de la organización.
- Los controles organizativos se centran en la creación de una cultura de seguridad dentro de la organización.
¿Qué beneficios tangibles aporta un framework de ciberseguridad?
- Reducción de riesgos y, por tanto, vectores de ataque. Esto se consigue al identificar y gestionar el triángulo que suponen las amenazas, riesgos y vectores de ataque de manera proactiva. La correcta implantación de un framework ayuda a reducir la probabilidad de materialización de incidentes de seguridad. Además, la implementación de controles específicos contribuye a mitigar las amenazas y, en caso de materialización de un ataque, la recuperación ordenada y rápida.
- Cumplimiento con normativas y estándares. Su implementación efectiva ayuda a las organizaciones a cumplir con los requisitos regulatorios y normativos, evitando sanciones y garantizando la confianza de los stakeholders.
- Eficiencia operativa. La estandarización de procesos y procedimientos permite a la organización beneficiarse de una gestión más efectiva de la ciberseguridad, optimizando recursos y minimizando tiempos de respuesta a incidentes.
- Confianza del cliente. La adopción de prácticas de ciberseguridad sólidas inspira confianza a los clientes y socios comerciales. La seguridad de la información se convierte en un diferenciador positivo y puede ser un factor decisivo en la elección de proveedores o socios.
- Visibilidad y reporte mejorados. A menudo incluyen elementos de monitoreo y reporte que proporcionan a la dirección y a los responsables de la toma de decisiones, una mayor visibilidad sobre el estado de la ciberseguridad.
¿Qué desafíos pueden surgir durante la implementación de estos Frameworks?
Tras un exhaustivo análisis, cada compañía debe decantarse por la implementación de aquel marco de ciberseguridad que mejor se adapte a sus necesidades y objetivos. Sin embargo, a la hora de la ejecución, este proceso implica superar obstáculos que van desde la resistencia al cambio y la asignación de recursos hasta la adaptación a las amenazas emergentes y la gestión de la complejidad tecnológica.
La resistencia al cambio se presenta como un desafío clave, ya que la introducción de nuevos procesos y controles puede generar oposición entre los empleados acostumbrados a prácticas anteriores.
Por otra parte, la asignación de recursos limitados, especialmente en organizaciones más pequeñas, representa un problema significativo, ya que la efectiva implementación de medidas de ciberseguridad a menudo requiere inversiones financieras y asignación de personal.
La falta de concienciación y capacitación del equipo se convierte en otro importante obstáculo, ya que la ciberseguridad depende no solo de la tecnología, sino también del comportamiento del empleado.
En definitiva, la implementación de un marco de ciberseguridad resulta esencial para que una compañía permanezca alineada, segura y respalda por una organización reconocida. A pesar de los beneficios tangibles que ofrecen estos marcos, el proceso no está exento de desafíos, por lo que también es importante recurrir a profesionales de la ciberseguridad para evitar sufrir los riesgos que conlleva su implementación.
Desde el servicio de consultoría estratégica de Factum analizamos el contexto de seguridad de una organización y, en base a los resultados, diseñamos un road map de actuación para implementar una estrategia eficaz de ciberseguridad que cumpla con los estándares de marcos de seguridad avanzada. De este modo, cualquier compañía se adapta a las regulaciones estipuladas, asegurando toda su infraestructura digital.
Cabe destacar que Factum cuenta con la certificación del Esquema Nacional de Seguridad (ENS) Nivel Alto, lo que ratifica que cumple con los principios básicos, requisitos y medidas de seguridad. Este reconocimiento se suma a la certificación ISO 27001, 14000 y 9001.
