Definamos Marco de seguridad cibernética del NIST en resumen.
El Marco de Ciberseguridad del NIST, conocido como NIST CSF, es un marco de evaluación de ciberseguridad desarrollado por el NIST (Instituto Nacional de Estándares y Tecnología). Su objetivo principal es proteger la infraestructura crítica del país mediante un conjunto de buenas prácticas y recomendaciones de ciberseguridad. Es un marco de ciberseguridad voluntario, basado en riesgos y orientado a resultados que ayuda a su organización a categorizar sus actividades de seguridad en torno a cinco funciones clave: 1) Identificar, 2) Proteger, 3) Detectar, 4) Responder y 5) Recuperar.
Veamos brevemente cada función:
Identificar: La función Identificar le ayuda a desarrollar un enfoque integral de gestión de riesgos de ciberseguridad para sistemas, personas, activos, datos y capacidades de la organización. Le ayuda a identificar los activos críticos, el entorno empresarial general, el modelo de gobernanza y la cadena de suministro.
Proteger: La función de protección le ayuda a establecer controles defensivos basados en la información de la función de identificación, como activos críticos y niveles de tolerancia/aceptación de riesgos. También enfatiza la importancia del control de acceso y la gestión de identidades, la protección de datos, y la capacitación y concientización de los usuarios.
Detectar: las funciones de detección le ayudan a detectar anomalías, actividades maliciosas y otros eventos de manera efectiva mediante el monitoreo de seguridad continuo y con la ayuda de otros procesos y procedimientos de detección.
Responder – Para completar la función de detección, responder le ayuda a tomar la acción correcta de inmediato a través de la planificación de respuesta a incidentes, acciones de mitigación de eventos, análisis preciso, comunicación a las partes interesadas designadas y mejora continua con cada evento.
Recuperar: la función de recuperación le ayuda a volver a la condición previa al ataque con la ayuda de la planificación de la recuperación, la mejora continua y la comunicación con las partes interesadas designadas.
Descripción general del marco de ciberseguridad del NIST: núcleo, niveles y perfil
El CSF del NIST consta de tres secciones:
La sección principal representa prácticas de ciberseguridad, controles técnicos, operativos y de seguridad de procesos, y resultados que respaldan las cinco funciones de gestión de riesgos, como identificar, proteger, detectar, responder y recuperar.
La sección de niveles enfatiza los procesos de la organización para gestionar riesgos mientras se mantiene alineada con NIST CSF.
Los perfiles caracterizan la eficacia con la que el programa de ciberseguridad de una organización gestiona sus riesgos. También expresan el estado de las posturas de ciberseguridad actuales y futuras de la organización.
Marco de ciberseguridad del NIST y la nube de AWS
El equipo de AWS publicó anteriormente una guía sobre cómo implementar el NIST CSF en un entorno de nube de AWS. AWS recomienda usar el NIST CSF como mecanismo para establecer una seguridad de referencia que mejore los objetivos de seguridad en la nube de una organización. El NIST CSF contiene un catálogo completo de controles derivados de las normas ISO/IEC 27001 (1), NIST SP 800-53 (2), COBIT (3), ANSI/ISA-62443 (4) y los 20 Controles Críticos de Seguridad (CSC) (5).
Existe una lista en el portal de AWS que especifica la alineación del CSF del NIST con diversos servicios de AWS, conocida como "Matriz de Servicios y Responsabilidad del Cliente de AWS para la Alineación con el CSF" (6). Esta lista completa permite a los clientes adaptar sus necesidades de seguridad al CSF en la nube de AWS. Además, permite al cliente diseñar sus requisitos de seguridad base para cumplir con sus objetivos de seguridad.
Marco de adopción de la nube de AWS
Antes de establecer una línea base, es importante que el cliente comprenda claramente sus casos de uso empresariales y sus responsabilidades en materia de seguridad en la nube de AWS. El cliente debe revisar el Marco de Adopción de la Nube de AWS (7) para evaluar el modelo de gobernanza necesario para la implementación del CSF del NIST en los servicios en la nube de AWS. El Marco de Adopción de la Nube (CAF) de AWS incluye indicadores conocidos como "Perspectivas del CAF" para identificar deficiencias en las habilidades, capacidades y procesos de ciberseguridad en materia de seguridad.
Funciones y responsabilidades del CSF del NIST (propiedad del cliente y propiedad de AWS)
El equipo de AWS ha desarrollado el concepto de categorías y subcategorías de las Funciones del NIST CSF en 108 actividades de seguridad basadas en resultados. Cada función describe las responsabilidades del Cliente y de AWS, lo que implica la seguridad de la nube propiedad de AWS y la seguridad en la nube propiedad del Cliente. Los propietarios/partes interesadas de las empresas pueden utilizar el enlace de AWS a la "Matriz de Servicios y Responsabilidades del Cliente de AWS para la Alineación con el CSF" para adaptar sus necesidades según los niveles y el perfil de la organización en el CSF.
La siguiente figura representa las funciones principales de CSF (Identificar, Proteger, Detectar, Responder y Recuperar) con categorías definidas y aquellas que han sido convertidas en 108 actividades de seguridad basadas en resultados (8) por AWS.
Hasta ahora hemos analizado la alineación del NIST CSF con los servicios en la nube de AWS y cómo el cliente puede utilizar CAF (Cloud Adoption Framework) para evaluar la brecha de habilidades, la capacidad y los procesos de ciberseguridad utilizando las perspectivas de CAF.
Analicemos cómo se pueden aprovechar los servicios de AWS adecuados para configurar una arquitectura de seguridad eficaz utilizando el marco de seguridad cibernética del NIST.
La siguiente tabla proporciona una vista resumida de los servicios en la nube de AWS categorizados en las funciones principales del CSF del NIST según la naturaleza del servicio:
| # | Identifica | Proteger | Detectar | Responder | Recuperar |
|---|---|---|---|---|---|
| 1 | Organizaciones | Escudo | Guardia | Vigilancia de la nube | OpsWorks |
| 2 | Centro de seguridad | Administrador de certificados | macie | lambda | Formación de nubes |
| 3 | Config | KMS | Inspector | Detective | Glaciar S3 |
| 4 | Asesor de confianza | Cortafuegos de red | Centro de seguridad | NubeTrail | Instantánea |
| 5 | Gerente de Sistemas | WAF | Gerente de Sistemas | Archive | |
| 6 | Torre de control | Administrador de cortafuegos | Funciones de paso | Recuperación ante desastres de CloudEndure | |
| 7 | NubeHSM | ||||
| 8 | AMI | ||||
| 9 | Direct Connect | ||||
| 10 | VPC | ||||
| 11 | Inicio de sesión único |
Conclusión
La alineación de los servicios en la nube de AWS con el CSF del NIST permite al cliente mejorar su seguridad en la nube mediante una gestión de riesgos adecuada y servicios en la nube que cumplen con las normas del sector. Encryption Consulting, empresa líder en ciberseguridad, ofrece diversos servicios de consultoría en ciberseguridad relacionados con AWS y el NIST, que ofrecen a sus clientes una evaluación de madurez del control de riesgos y seguridad basada en los estándares descritos. Encryption Consulting ayuda a los clientes a familiarizarse con el CSF del NIST y las herramientas y la documentación de seguridad de AWS, y les ayuda a realizar una evaluación de ciberseguridad significativa y cuantificable, manteniendo intactos los objetivos de negocio de la organización.
Recursos
- ISO/IEC 27001:2013, Tecnologías de la Información – Técnicas de Seguridad – Sistemas de Gestión de la Seguridad de la Información – Requisitos. ISO. Consultado el 18 de febrero de 2021 en: https://www.iso.org/standard/54534.html
- Publicación Especial (SP) 800-53 del NIST, Rev. 5, Controles de Seguridad y Privacidad para Sistemas de Información y Organizaciones. Instituto Nacional de Estándares y Tecnología. Consultado el 18 de febrero de 2021 en: https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final
- Objetivos de Control para la Información y Tecnologías Relacionadas (COBIT), un marco de ISACA. Asociación de Auditoría y Control de Sistemas de Información (ISACA). Consultado el 18 de febrero de 2021 en: https://www.isaca.org/resources/cobit
- ANSI/ISA-62443-2-4-2018 / IEC 62443-2-4:2015+AMD1:2017 CSV, Seguridad para sistemas de automatización y control industrial. Sociedad Internacional de Automatización (ISACA).
- Los 20 controles y recursos del CIS. Centro para la Seguridad en Internet (CIS). Consultado el 18 de febrero de 2021 en: https://www.cisecurity.org/controls/cis-controls-list/
- La Matriz de responsabilidad del cliente y servicios de AWS para la alineación con el CSF se puede descargar desde aquí: https://aws.amazon.com/compliance/nist/
- Una descripción general de AWS Cloud Adoption Framework (CAF), versión 2. Amazon Web Services, Inc.
- Una descripción general de las capacidades de AWS que se pueden aprovechar con NIST CSF: https://d1.awsstatic.com/whitepapers/compliance/NIST_Cybersecurity_Framework_CSF.pdf
