Funciones de gobernanza de NIST CSF 2.0


Explicación

Los líderes en ciberseguridad buscan constantemente herramientas y estrategias para navegar en el complejo panorama de las amenazas digitales. Pero a pesar de ser constantemente responsables de proteger los activos digitales, los directores de seguridad de la información (CISO) han sufrido durante mucho tiempo deficiencias evidentes en sus habilidades de gestión. Es la incapacidad de monitorear toda la operación, ver el panorama general y concentrarse rápidamente en los puntos importantes.

La primera versión del Marco de Ciberseguridad del Instituto Nacional de Estándares y Tecnología es parte de la Orden Ejecutiva (EO 13636, Ciberseguridad de Infraestructura Crítica), diseñada para ayudar a las organizaciones de infraestructura crítica a reducir los riesgos de ciberseguridad. Desarrollada en 2014 en respuesta a las mejoras en. La orden ordenó al NIST que trabajara con las partes interesadas de la industria y el gobierno para crear un marco voluntario basado en estándares, pautas y prácticas existentes. El Cybersecurity Framework 2.0 resultante amplía las cinco capacidades principales existentes (identificar, proteger, detectar, responder y recuperar) y describe una nueva capacidad: la gestión.

Esencial para los CISO

La introducción de una función de gobernanza representa un reconocimiento significativo de la industria de que la gestión eficaz es una parte integral del papel del CISO. En términos prácticos, las capacidades de gobernanza llenan un vacío crítico en el conjunto de herramientas de un CISO y permiten un enfoque de gestión más integral. Históricamente, los CISO han tenido desafíos al lidiar con preguntas e inquietudes importantes que llegan a sus escritorios, creando brechas en su capacidad para administrar de manera efectiva. No había manera de responder qué tan bien estaban implementando sus políticas, cuál fue su progreso y si sus últimas inversiones tuvieron un impacto significativo en su desempeño general.

Por ejemplo, ¿cuál es su nivel de preparación para una amenaza particular? Hoy en día, con demasiada frecuencia, la verificación de la aplicación de políticas y la salud del control se basa en rumores sobre la prevalencia de una amenaza. Se trata de un enfoque reactivo y los resultados pueden llegar demasiado tarde. Un enfoque más proactivo significa que los líderes de seguridad pueden comprender continuamente el desempeño de diversos controles y programas y ver fácilmente señales de violaciones de políticas tan pronto como ocurren. Actualmente, el proceso de recopilación de estos datos de diferentes propietarios de productos es tan tedioso que la mayoría de los CISO simplemente se dan por vencidos y viven sin él. Pero tenga la seguridad de que buscarán estos datos con urgencia en el momento en que una amenaza llame a su puerta. Incluso si es demasiado tarde.

El proceso de abastecimiento de nuevos productos es otro ejemplo en el que la gestión eficaz es limitada. Por ejemplo, si un CISO compra una nueva herramienta de protección de código, no existe una manera fácil de verificar su registro a menos que le pida a su equipo que se tome el tiempo para enviar un informe. El rendimiento es una colección de diferentes medidas. ¿Sus herramientas escanean correctamente? ¿Están cubriendo todos los entornos relevantes? ¿Su tiempo medio de resolución (MTTR) se está manejando de forma automática o manual?

Considere que la protección de código es sólo una herramienta entre muchas y se limita al mundo de las vulnerabilidades. A esto se suman docenas de herramientas y preguntas en múltiples programas. Los procesos de gestión deficientes pueden costar a las organizaciones decenas de meses de tiempo y esfuerzo. No se puede repetir ni ampliar fácilmente.

Empoderar a los ejecutivos con transparencia y visibilidad

La falta de visibilidad operativa significa que los CISO esencialmente administran en la oscuridad, lo que dificulta la toma de decisiones informadas y la planificación estratégica. Los CISO se quedan con demasiadas herramientas, narrativas de datos aisladas y todas las piezas que deben encajar para contar una narrativa más amplia.

La función Gobernar en NIST CSF 2.0 aborda directamente estas deficiencias y proporciona un marco para una gobernanza eficaz. Para que un gobierno capacite a un CISO con un rol de gestión, debe incorporar varios atributos clave.

En primer lugar, la transparencia es primordial, ya que permite a los CISO comprender el estado de implementación de los controles y evaluar el nivel de protección brindado por las medidas de seguridad como una historia y una tendencia general, en lugar de herramienta por herramienta. Por ejemplo, la oficina del CISO establece una política según la cual los usuarios sin autenticación multifactor (MFA) que consistentemente no pasan la capacitación sobre phishing son bloqueados del correo electrónico corporativo. Para garantizar que se implementen las políticas, los CISO deben obtener continuamente puntos de datos de tendencias de dos herramientas diferentes y correlacionar continuamente estos puntos.

En segundo lugar, esta capa de sabiduría debe ser impulsada por sistemas de medición automatizados, no basados ​​en hojas de cálculo. El sistema trasciende los distintos lenguajes y métricas asociados con diferentes herramientas y programas, asegurando un enfoque holístico sin empantanarse en la jerga.

En tercer lugar, es necesario que haya una manera fácil de traducir complejos conjuntos de seguridad a un lenguaje que la junta directiva entienda. Esto aumenta la necesidad de que los CISO justifiquen la inversión continua en medio de restricciones presupuestarias.

Finalmente, el monitoreo continuo y en tiempo real del desempeño es esencial. Esto permite a los CISO mantenerse al tanto de las tendencias de aplicación de políticas y ser proactivos en lugar de simplemente reactivos en la gestión y aplicación de medidas de ciberseguridad. Una hoja de cálculo es un momento estático, no operativo. Los CISO deben dar grandes pasos hacia una gestión simplificada y automatizada, tal como lo hizo Monday.com con los gerentes de proyectos.

Esencialmente, la función de gobernanza es el reconocimiento de que la gestión eficaz no es sólo una expectativa sino una necesidad para los CISO. CSF 2.0 brinda a los CISO un sexto sentido para gobernar, gestionar y medir las operaciones de ciberseguridad con nuevos tipos de conocimientos y perspectivas, marcando el comienzo de una nueva era de liderazgo Masu más hábil, proactivo e informado.



Fuente: https://www.darkreading.com/cybersecurity-operations/ciso-sixth-sense-nist-csf-2-govern-function