data security, security, data

El Marco de Gestión de Riesgos del NIST

15 de August, 2024

El NIST Risk Management Framework (NIST-RMF) es un proceso estructurado que integra la seguridad de la información y las actividades de gestión de riesgos en el ciclo de vida del desarrollo de sistemas. Es la contraparte operativa del Cybersecurity Framework (CSF): el CSF te dice qué tienes que lograr, y el RMF te dice cómo llegar ahí en un sistema concreto.

El marco ayuda a la organización a priorizar sus requisitos de seguridad, asignar recursos a las necesidades de seguridad y privacidad, y desarrollar y difundir las políticas y procedimientos que respaldan esas decisiones. Si eres responsable del riesgo operativo de algún sistema, el RMF te da una manera defendible de tomar y documentar las decisiones que vas a tomar de todas formas.

Las cuatro actividades de gestión de riesgos

La gestión de riesgos a nivel organizacional se divide en cuatro actividades continuas:

Encuadrar el riesgo (Frame). Establece el contexto de riesgo describiendo el entorno en el que se toman las decisiones basadas en riesgo, y produce una estrategia de gestión de riesgos.

Evaluar el riesgo (Assess). Identifica las fuentes de amenaza y las vulnerabilidades, el impacto potencial en la misión y el negocio, y la probabilidad e incertidumbre de ocurrencia.

Responder al riesgo (Respond). Da una respuesta consistente a nivel organizacional: desarrolla cursos de acción alternativos, elige uno e impleméntalo.

Monitorear el riesgo (Monitor). Verifica que las medidas de respuesta planeadas se hayan implementado, determina si siguen siendo efectivas, y registra cómo cambia el riesgo en el tiempo.

Conseguir el apoyo del liderazgo

Un programa de gestión de riesgos exitoso a nivel organizacional necesita patrocinio desde arriba. El argumento que funciona con la gerencia no es el cumplimiento. Es la continuidad: el objetivo del NIST-RMF es permitirle a la organización operar día a día y cumplir su misión sin interrupciones. Plantea el RMF como una forma de mantener el negocio funcionando, y el apoyo llega.

Por qué usar el RMF

El Risk Management Framework le da a una organización:

  1. Un proceso estructurado pero flexible para gestionar el riesgo relacionado con sus operaciones.
  2. Una guía para determinar el nivel adecuado de mitigación de riesgos que protege los sistemas y la infraestructura que soportan los procesos de misión y negocio.
  3. Una metodología repetible que balancea los objetivos del negocio y las prioridades de la organización con los requisitos de seguridad y las políticas.
  4. Un ciclo de monitoreo continuo que mejora la postura de seguridad con el tiempo.
  5. Un enfoque neutral con respecto a la tecnología, que aplica a cualquier sistema de información sin necesidad de modificarlo.

Los siete pasos

El NIST-RMF tiene siete pasos: un paso preparatorio más seis pasos principales. Los pasos están listados en orden, pero todo lo que viene después de Prepare se puede ejecutar de manera no secuencial. La organización tiene flexibilidad para implementar cada paso, siempre que cumpla los requisitos aplicables y gestione el riesgo de manera efectiva.

Los siete pasos son esenciales.

1. Preparar (Prepare)

Ejecuta las actividades esenciales para dejar a la organización lista para gestionar sus riesgos de seguridad y privacidad usando el NIST-RMF.

1.1 Establecer los roles de gestión de riesgos. Identifica y asigna personas a roles específicos en la gestión de riesgos de seguridad y privacidad.

1.2 Establecer una estrategia de gestión de riesgos. Documenta la estrategia de gestión de riesgos de la organización, incluyendo la determinación de la tolerancia al riesgo.

1.3 Evaluación de riesgos, organización. Evalúa el riesgo de seguridad y privacidad a nivel organizacional y mantén los resultados actualizados.

1.4 Líneas base de control y perfiles del CSF adaptados a la organización (opcional). Establece, documenta y publica líneas base de control adaptadas y perfiles del Cybersecurity Framework.

1.5 Identificación de controles comunes. Identifica, documenta y publica los controles comunes a nivel organizacional que pueden ser heredados por los sistemas.

1.6 Priorización por nivel de impacto. Prioriza los sistemas organizacionales dentro del mismo nivel de impacto.

1.7 Estrategia de monitoreo continuo, organización. Desarrolla e implementa una estrategia organizacional para monitorear la efectividad de los controles de manera continua.

1.8 Enfoque de misión o negocio. Identifica las misiones, las funciones de negocio y los procesos de negocio que el sistema soporta.

1.9 Stakeholders del sistema. Identifica a las partes interesadas con interés en el diseño, desarrollo, implementación, evaluación, operación, mantenimiento o disposición del sistema.

1.10 Identificación de activos. Identifica los activos que requieren protección.

1.11 Límite de autorización. Determina el límite de autorización del sistema.

1.12 Tipos de información. Identifica los tipos de información que el sistema va a procesar, almacenar o transmitir.

1.13 Ciclo de vida de la información. Identifica y entiende cada etapa del ciclo de vida de la información para cada tipo de dato procesado, almacenado o transmitido por el sistema.

1.14 Evaluación de riesgos, sistema. Lleva a cabo una evaluación de riesgos a nivel del sistema y mantenla actualizada.

1.15 Definición de requisitos. Define los requisitos de seguridad y privacidad para el sistema y su entorno de operación.

1.16 Arquitectura empresarial. Determina dónde encaja el sistema dentro de la arquitectura empresarial.

1.17 Asignación de requisitos. Asigna los requisitos de seguridad y privacidad al sistema y a su entorno de operación.

1.18 Registro del sistema. Registra el sistema con la oficina de programa o de gestión correspondiente.

2. Categorizar (Categorize)

Informa los procesos de gestión de riesgos de la organización determinando el impacto adverso de perder la confidencialidad, integridad o disponibilidad de los sistemas y la información.

2.1 Descripción del sistema. Documenta las características del sistema.

2.2 Categorización de seguridad. Categoriza el sistema y documenta el resultado de la categorización.

2.3 Revisión y aprobación de la categorización de seguridad. Revisa y aprueba el resultado y la decisión de la categorización.

3. Seleccionar (Select)

Adapta, selecciona y documenta los controles necesarios para proteger el sistema y la organización, en proporción al riesgo para las operaciones, los activos, las personas y la Nación.

3.1 Selección de controles. Selecciona los controles para el sistema y su entorno de operación.

3.2 Adaptación de controles. Adapta los controles seleccionados para el sistema y su entorno.

3.3 Asignación de controles. Asigna los controles de seguridad y privacidad al sistema y al entorno de operación.

3.4 Documentar las implementaciones planeadas de controles. Documenta los controles para el sistema en los planes de seguridad y privacidad.

3.5 Estrategia de monitoreo continuo, sistema. Desarrolla una estrategia de monitoreo a nivel del sistema que sea consistente con, y complemente, la estrategia organizacional.

3.6 Revisión y aprobación del plan. Revisa y aprueba los planes de seguridad y privacidad para el sistema y su entorno de operación.

4. Implementar (Implement)

Traduce los controles de seguridad y privacidad identificados en el plan de seguridad del sistema en una implementación real y funcional.

4.1 Implementación de controles. Implementa los controles tal como se especifican en los planes de seguridad y privacidad.

4.2 Actualizar la información de la implementación de controles. Documenta cualquier cambio entre el estado planeado y el estado tal como fue implementado.

5. Evaluar (Assess)

Determina si los controles seleccionados para la implementación están operando correctamente, funcionando como se espera y produciendo el resultado deseado frente a los requisitos de seguridad y privacidad.

5.1 Selección del evaluador. Selecciona al evaluador o al equipo de evaluación adecuado para el tipo de evaluación de controles.

5.2 Plan de evaluación. Desarrolla, revisa y aprueba los planes para evaluar los controles implementados.

5.3 Evaluaciones de controles. Evalúa los controles de seguridad siguiendo los procedimientos definidos en el plan de evaluación.

5.4 Reportes de evaluación. Prepara los reportes que documentan los hallazgos y recomendaciones de las evaluaciones.

5.5 Acciones de remediación. Ejecuta las acciones iniciales de remediación sobre los controles y vuelve a evaluar los controles remediados.

5.6 Plan de acción e hitos. Prepara el plan de acción y los hitos a partir de los hallazgos y recomendaciones de los reportes de evaluación.

6. Autorizar (Authorize)

Provee rendición de cuentas exigiendo que un oficial de gerencia senior determine si el riesgo de seguridad y privacidad para las operaciones y los activos de la organización es aceptable.

6.1 Paquete de autorización. Ensambla el paquete de autorización y entrégalo al oficial autorizante para la decisión de autorización.

6.2 Análisis y determinación del riesgo. Analiza y determina el riesgo de operar o usar el sistema, o de proveer controles comunes.

6.3 Respuesta al riesgo. Identifica e implementa el curso de acción preferido frente al riesgo determinado.

6.4 Decisión de autorización. Decide si el riesgo de operar o usar el sistema, o de proveer o usar controles comunes, es aceptable.

6.5 Reporte de autorización. Reporta la decisión de autorización y cualquier deficiencia en los controles que represente un riesgo significativo de seguridad o privacidad.

7. Monitorear (Monitor)

Mantén conciencia situacional permanente sobre la postura de seguridad y privacidad del sistema y de la organización para soportar las decisiones de gestión de riesgos.

7.1 Cambios en el sistema y el entorno. Monitorea el sistema y su entorno de operación para detectar cambios que afecten su postura de seguridad y privacidad.

7.2 Evaluaciones continuas. Evalúa los controles implementados dentro del sistema y heredados por el sistema, de acuerdo con la estrategia de monitoreo continuo.

7.3 Respuesta continua al riesgo. Responde al riesgo a partir de los resultados del monitoreo continuo, las evaluaciones de riesgo y los pendientes en los planes de acción e hitos.

7.4 Actualizaciones al paquete de autorización. Actualiza los planes, los reportes de evaluación y los planes de acción e hitos a partir de los resultados del monitoreo continuo.

7.5 Reporte de seguridad y privacidad. Reporta el estado de seguridad del sistema, incluyendo la efectividad de los controles empleados dentro de él y heredados por él, a los oficiales correspondientes, de manera continua, conforme a la estrategia de monitoreo definida por la organización.

7.6 Autorización continua. Revisa el estado de seguridad reportado de manera continua y determina si el riesgo para las operaciones, los activos, las personas, otras organizaciones o la Nación sigue siendo aceptable.

7.7 Disposición del sistema. Implementa una estrategia de desmantelamiento que ejecute las acciones necesarias cuando un sistema sale de servicio.

Cierre

Entender qué es el riesgo y cómo se gestiona con el NIST-RMF te permite hacer tu parte para mantener sanos los sistemas de tu organización. El RMF no es un proyecto que se hace una sola vez. Es una actividad continua que soporta la misión y las funciones de negocio de la organización, y la metodología es neutral en cuanto a tecnología, así que aplica a cualquier sistema sin necesidad de modificarla.

Para las pequeñas y medianas empresas, el RMF te da una manera estructurada pero flexible de identificar, proteger, detectar, responder y recuperar. También te da la documentación que vas a necesitar la primera vez que un cliente, un socio o un regulador te pregunte cómo gestionas el riesgo.

Si estás adoptando el NIST-RMF por primera vez, empieza por Prepare. El trabajo que haces ahí define el techo de todo lo que viene después. Si quieres ayuda para adaptar estos pasos a tu entorno, ese es el trabajo que hago.