5 MARCOS DE CIBERSEGURIDAD QUE LOS AUDITORES DEBEN CONOCER
Estándar
17 DICIEMBRE 2018
5 marcos de ciberseguridad que los auditores deben conocer[1]
Hoy día las noticias sobre ataques cibernéticos son recurrentes. Las consecuencias pueden ser devastadoras. Ante ese escenario, es imperativo proteger los datos de las compañías. Pero en ese proceso, ¿por dónde iniciar?
Los marcos de ciberseguridad suministran información valiosa y útil en el diseño de los procesos de control y mitigación de riesgos de ciberseguridad. En ese orden de ideas, es importante que los auditores conozcan los principales marcos de referencia y en qué tipo de empresas es más conveniente su aplicación. A continuación, se presentan aquellos más reconocidos.
Cabe mencionar, no obstante, que los marcos deben emplearse como referencia y no como solución final. Siempre hay que tener presente el enfoque de riesgos. Si bien cada marco puede tener controles, habrá que decidir cuales son aplicables de acuerdo con las circunstancias y si es necesario efectuar ajustes o adaptaciones. Un buen criterio no puede ser sustituido.
1) NIST CSF (National Institute of Standards and Technology – Cybersecurity Framework) – Marco de Ciberseguridad del Instituto Nacional de Estándares y Tecnología
Para quién es recomendable: Organizaciones de todos los tamaños en cualquier industria con sede en los Estados Unidos, aunque también puede ser utilizado por empresas multinacionales.
Este marco del Instituto Nacional de Estándares y Tecnología (NIST), una agencia no reguladora del Departamento de Comercio de los Estados Unidos, es un buen punto de partida para la mayoría de las organizaciones en los Estados Unidos. Es un marco popular de ciberseguridad; según Gartner[2] (la firma de investigación y asesoría), para 2020, más del 50 por ciento de todas las organizaciones utilizarán el NIST CSF. Además de la Orden Ejecutiva 13800 (Fortaleciendo la Ciberseguridad de Redes Federales e Infraestructura Crítica) de los Estados Unidos que requiere que las agencias gubernamentales usen el NIST CSF, muchos examinadores reguladores de los EE. UU. (Por ejemplo, la Comisión de Bolsa y Valores, la Corporación Federal de Seguros de Depósitos, etc.) también lo aprovechan
El NIST CSF es exhaustivo y está basado en el riesgo, lo que lo hace conveniente para organizaciones en una amplia variedad de industrias. Debido a que el NIST CSF fue desarrollado por una agencia gubernamental de los EE. UU., Puede ser más adecuado para las organizaciones con sede en los EE. UU.; sin embargo, las organizaciones multinacionales que se expanden a los EE. UU. también podrían considerar el NIST CSF o la norma ISO / IEC 27001: 2013 para propósitos generales de ciberseguridad.
2) ISO / IEC 27001: 2013
Para quién es recomendable: Organizaciones de todos los tamaños en cualquier industria que tengan una presencia multinacional
Este marco, creado y publicado por la Organización Internacional de Normalización (ISO), es un marco general que funciona bien para empresas de diversos tamaños en una variedad de industrias. Es similar al NIST CSF. El marco es respetado y ampliamente conocido internacionalmente. El enfoque de ISO 27001 es la protección de la confidencialidad, integridad y disponibilidad de la información en una empresa. Su filosofía se basa en la gestión de riesgos: investigar dónde están y luego tratarlos de manera sistemática.
3) COBIT (Objetivos de Control para Información y Tecnologías Relacionadas. En inglés: Control Objectives for Information and related Technology)
Para quién es recomendable: Organizaciones de tamaño mediano a grande, en la mayoría de las industrias
COBIT fue desarrollado por ISACA, una organización global independiente sin fines de lucro que se enfoca en el gobierno de TI. Este marco es similar al marco de NIST e ISO, ya que es un marco más general que la mayoría de las organizaciones pueden usar. También está enfocado en el negocio y orientado a procesos. COBIT a menudo es adoptado por auditores de empresas públicas y se utiliza como una herramienta de cumplimiento para Sarbanes-Oxley.
Es una guía de mejores prácticas, dirigida al control y supervisión de TI. Cuenta con una serie de recursos que pueden servir de modelo de referencia para la gestión de TI, incluyendo objetivos de control, mapas de auditoría, herramientas para su implementación y una guía de técnicas de gestión.
4) HITRUST CSF (Health Information Trust Alliance – Cybersecurity Framework)
Para quién es recomendable: Organizaciones en la industria de la salud, aunque podría ser utilizado por otras organizaciones
HITRUST CSF fue desarrollado por Health Information Trust Alliance (HITRUST) y es el marco de seguridad más adoptado en la industria de la salud de los Estados Unidos. HITRUST originalmente desarrolló su CSF (Cybersecurity Framework – Marco de ciberseguridad) para enfocarse en elementos clave y riesgos inherentes a la industria de la salud, como las consideraciones de HIPAA (Ley de Responsabilidad y Portabilidad de Seguros de Salud), pero desde entonces han actualizado el marco con controles más amplios que se aplicarían a cualquier organización.
HITRUST CSF es un marco basado en el riesgo y el cumplimiento y se actualiza con bastante frecuencia. También se puede adaptar según una variedad de factores, que incluyen el tipo de organización, el tamaño y los sistemas, así como los requisitos reglamentarios.
5) CSA Cloud Controls Matrix
Para quién es recomendable: Proveedores de nube de todos los tamaños y organizaciones que dependen de proveedores de nube
La Cloud Controls Matrix fue desarrollada por Cloud Security Alliance (CSA) específicamente para los proveedores de la nube. La estructura del almacenamiento de datos en la nube conlleva riesgos únicos que requieren controles de seguridad específicos, que se establecen en este marco. La matriz de controles de la nube se actualiza con frecuencia y es útil para los proveedores de la nube de cualquier tamaño. Las organizaciones que dependen en gran medida de los proveedores de la nube también pueden encontrar este recurso útil para evaluar la seguridad de sus proveedores de la nube. CSA CCM proporciona un marco de controles que ofrece una comprensión detallada de los conceptos y principios de seguridad que están alineados con la guía de Cloud Security Alliance en 13 dominios
CSA CCM fortalece los entornos de control de seguridad de la información existentes al enfatizar los requisitos de control de seguridad de la información empresarial, reduce e identifica las amenazas y vulnerabilidades de seguridad consistentes en la nube, proporciona seguridad estandarizada y gestión de riesgos operativos, y busca normalizar las expectativas de seguridad, taxonomía y terminología de la nube.
Aunque algunos marcos se adaptan a ciertos tipos de organizaciones, no hay una única alternativa para los marcos que debe usar una empresa. La estrategia puede variar en función de los clientes y de dónde espera crecer en el futuro. Si bien estos marcos ayudan a un buen comienzo, la clave para agregar valor es ajustar el marco al cliente, con un enfoque basado en el riesgo y buen juicio.
Finalmente, deber recordarse que el auditor debe mantenerse al tanto de la última actividad cibernética, a medida que se presentan nuevos riesgos cibernéticos.
[1] Basado en un artículo de Joel White. Senior Director – Internal Audit, Risk & Compliance, Association of International Certified Professional Accountants. Disponible en: https://blog.aicpa.org/2018/10/5-cybersecurity-frameworks-accountants-should-know-about.html#sthash.anN3kQTS.Y5EXZ9Tc.dpbs
No hay comentarios.:
Publicar un comentario