Después de que su organización forme un plan general para abordar sus problemas de gestión de riesgos de privacidad y seguridad cibernética, necesita herramientas particulares de última generación para hacer realidad ese plan. Los expertos en seguridad informática y privacidad del Instituto Nacional de Estándares y Tecnología (NIST) tienen la respuesta con una caja de herramientas actualizada de salvaguardas para proteger las operaciones y los activos de una organización. así como la privacidad personal de las personas.

NIST Draft Special Publication (SP) 800-53 Revisión 5, Controles de seguridad y privacidad para organizaciones y sistemas de información, es una colección de cientos de medidas específicas para fortalecer los sistemas, productos y servicios componentes que subyacen a los negocios de la nación, gobierno e infraestructura crítica. Una de las publicaciones emblemáticas de gestión de riesgos del NIST, el documento está experimentando su primera actualización en siete años, y la agencia está aceptando comentarios públicos sobre el borrador hasta el 15 de mayo, 2020.

La publicación ofrece garantías para todo tipo de plataformas, desde computadoras de uso general hasta sistemas de control industrial y dispositivos de Internet de las cosas (IoT). Sus herramientas están destinadas a una amplia audiencia de especialistas, desde expertos en seguridad hasta desarrolladores de sistemas y proveedores de computación en la nube.

"Nuestro objetivo es hacer que los sistemas de información de los que dependemos sean más resistentes a los ciberataques, "dijo Ron Ross de NIST, uno de los autores de la publicación. "Queremos limitar el daño de esos ataques cuando ocurren, hacer que los sistemas sean ciberresistentes, y al mismo tiempo proteger la seguridad y privacidad de la información ".

Las salvaguardas, o "controles" como se denominan en el título, vienen en diferentes formas, desde soluciones técnicas (como cifrado) hasta estrategias operativas (como planes de respuesta a incidentes de ciberataques) hasta enfoques de gestión (como realizar una evaluación de riesgos). En total, la publicación organiza cientos de controles en 20 grupos relacionados.

El uso de estos controles es obligatorio en los sistemas de información federales, pero los controles se pueden adaptar e implementar de forma selectiva dentro de cualquier organización. Junto con otras publicaciones de apoyo del NIST, el catálogo está diseñado para ayudar a las organizaciones federales a identificar los controles necesarios para satisfacer los requisitos de seguridad y privacidad de la Ley Federal de Administración de Seguridad de la Información (FISMA), la Ley de Privacidad de 1974, Políticas de la Oficina de Administración y Presupuesto y ciertos Estándares Federales de Procesamiento de Información (FIPS).

¿Cómo puede una organización incorporar este catálogo en su esfuerzo más amplio para aumentar la seguridad y la privacidad? Ross dijo que el primer paso es evaluar los riesgos que enfrenta una organización utilizando herramientas como el Marco de Gestión de Riesgos del NIST, Marco de ciberseguridad y marco de privacidad. Mediante el uso de estos marcos, la organización puede identificar dónde necesita salvaguardas, y luego puede recurrir al catálogo para encontrar soluciones específicas.

"Una organización puede utilizar este catálogo junto con cualquier enfoque de gestión de riesgos, ", Dijo Ross." Hacemos referencia a otras publicaciones del NIST para conveniencia de los lectores, pero lo hemos diseñado para que sea agnóstico ".

La quinta revisión contiene una serie de mejoras con respecto a las versiones anteriores de SP 800-53:

• Una completa integración de la privacidad en los controles. Mientras que en ediciones anteriores, la privacidad se consignó en un apéndice, aquí los controles son parte del catálogo unificado, lo que debería facilitar la vida de los usuarios del Marco de privacidad de NIST.
• Una nueva familia de controles de la cadena de suministro. La cadena de suministro es uno de los aspectos más vulnerables del comercio mundial, y protegerlo ha sido el objetivo de otros esfuerzos recientes del NIST. Las ediciones anteriores tenían un solo control de la cadena de suministro, pero la Revisión 5 tiene toda una familia de controles dedicada (Capítulo 3.20).
• Nuevo, controles de última generación, como los que respaldan la resiliencia cibernética y el diseño de sistemas seguros, todos basados ​​en la información más reciente sobre amenazas y ataques cibernéticos.

La actualización es necesaria para ayudar a las organizaciones a mantener sus defensas frente a un panorama de amenazas en constante cambio.

"La revisión 5 es importante porque las amenazas, las vulnerabilidades y la tecnología evolucionan a diario, "dijo Dominic Cussatt, vicesecretario adjunto principal y subdirector de información del Departamento de Asuntos de Veteranos. "Para nosotros es fundamental que los controles se mantengan actualizados y ágiles".

NIST está planeando una transmisión por Internet en el futuro para ayudar a presentar a los usuarios las salvaguardas de la colección.

"Creemos que este es un conjunto de controles de clase mundial, ", Dijo Ross." Ofrece la mayor cantidad de salvaguardas para proteger los activos críticos que usamos todos los días ".

Esta historia se vuelve a publicar por cortesía de NIST. Lea la historia original aquí.