El panorama de la seguridad de la información en el mundo es relativamente diverso, con diferentes enfoques y normas, pero hay un país en particular que destaca: Alemania. Mientras que otros países se basan en las normas americanas publicadas por el NIST (National Institute for Standards in Technology) para la gestión de riesgos, el «Marco de Gestión de Riesgos» (NIST RMF), y para la seguridad de las infraestructuras críticas, el «Marco de Ciberseguridad» (NIST CSF), Alemania elabora su propia norma. En este artículo explicamos qué ventajas podría ofrecer el NIST en Alemania además de las normas BSI.
Antecedentes de la situación internacional actual de la seguridad de la información
Las siguientes normas se encuentran entre las más utilizadas en todo el mundo:
– Marco de ciberseguridad del NIST (CSF)
– Marco de gestión de riesgos del NIST (RMF)
-ISO 27001
La norma ISO 27001 es uno de los principales marcos para la seguridad de la información y es exigida por muchas empresas como requisito para la cooperación, por lo que muchos buscan la certificación. Otras normas, como TISAX de la VDI y las normas BSI 200-x, se basan en la norma ISO, lo que aumenta su popularidad. Por otro lado, están las normas del NIST, el Instituto de Normalización Tecnológica estadounidense, como alternativa, por lo que ambos marcos también se complementan muy bien. Están prescritas para las autoridades estadounidenses por la legislación y se desarrollan constantemente. En 2014, el Departamento de Defensa de Estados Unidos (DoD) sustituyó el Proceso de Certificación y Acreditación de la Seguridad de la Información, que entró en vigor en 2006, por su sucesor, el Marco de Gestión de Riesgos (RMF) del NIST. Dado que la RMF del NIST es obligatoria y se impone a las agencias gubernamentales de EE.UU., esta norma está específicamente adaptada al entorno de las agencias gubernamentales y no a las empresas privadas. Para abordar esto, el NIST publicó el Marco de Ciberseguridad del NIST (NIST CSF) en 2014. Sin embargo, la estructura del CSF es fundamentalmente diferente de la del RMF del NIST, ya que se trata de un marco solo y es fundamentalmente diferente del proceso de gestión de riesgos. El NIST CSF describe la estructura básica del proceso en el que se enmarca un SGSI. Las medidas de seguridad que se apliquen pueden tomarse de otra norma, como la ISO 27001 o el apoyo a la NIST SP 800-53, que también sirve para el RMF. Por estas razones, el MCA del NIST no debería aplicarse solo, sino junto con un catálogo de medidas para una integración óptima. Una vez visto el carácter internacional de los distintos marcos, pasamos a la situación en Alemania.
El proceso de creación de una infraestructura segura consta de 5 pasos tanto para el RMF como para el CSF:
1. el triaje y la descripción del sistema
2. el desarrollo de la estrategia de seguridad
3. la aplicación de la estrategia de seguridad
4. la revisión de la aplicación debido al riesgo
5. comunicación y desarrollo continuo
La BSI ha creado una norma para la seguridad de las infraestructuras críticas y, por tanto, publica el mismo propósito que el NIST RMF. El enfoque por sí solo es claramente diferente. Las normas de las BSI se centran en las medidas obligatorias y en el cumplimiento de las mismas, más que en la adaptación de la estrategia al panorama de riesgos actual. Por otra parte, también se centra en los valores (activos) y ofrece poco apoyo o elaboración en el ámbito de la gestión de riesgos en comparación con el RMF del NIST. Sin embargo, la norma se inclina cada vez más hacia la norma ISO 27001, como demuestran los últimos cambios en la serie 200 frente a la serie 100. (1)
Ventajas de la implantación según BSI en Alemania
Estas normas BSI, serie 200-x así como 100-4, se utilizan como base para muchas autoridades alemanas, ya que debe implantarse un SGSI de vanguardia (3 ) para los operadores de infraestructuras críticas de acuerdo con la Ley de Seguridad Informática de 2015 (2 ). Esto llena el vacío para asegurar las infraestructuras críticas en el sector público y hace que el NIST pase a un segundo plano como alternativa. En resumen, se puede suponer que las siguientes razones son las responsables de este desplazamiento:
– Simplicidad de aplicación a través de una herramienta. Hay varias herramientas que se pueden utilizar y que están en constante desarrollo, como ‘verinice’ o ‘HiScout’.
– Publicación en alemán, con las normas del NIST sólo disponibles en inglés. Este punto es especialmente importante para las autoridades en las que el alemán suele ser la lengua oficial.
– Las normas de BSI se basan en la ISO 27001, lo que simplifica considerablemente la certificación de la misma, que es el objetivo de muchas empresas.
Ventajas de la aplicación según el NIST en Alemania
Ahora bien, estas ventajas ofrecen mucho en cuanto a la seguridad de la información, quedando en segundo plano otros aspectos que no debemos olvidar. El NIST CSF y el RMF proporcionan apoyo a través de una perspectiva diferente del riesgo empresarial:
Disponibilidad gratuita y fácil aplicación:
Todos los documentos pertinentes publicados por el NIST, en particular la serie SP 800-x, cuentan con el apoyo del gobierno y están disponibles gratuitamente, aunque sólo en inglés (4). Esto hace que sea muy fácil anunciar los documentos pertinentes en la empresa. En comparación con la norma ISO, en la que cada lector incurre en costes, lo que puede suponer importantes obstáculos para las grandes empresas. Las normas BSI también son de libre acceso, pero como se basan en herramientas y es difícil que los empleados trabajen eficazmente con los catálogos de IT-Grundschutz de 5082 páginas, tenemos aquí un obstáculo adicional en la legibilidad (5).
Centrarse en la confianza y el riesgo en lugar de en el cumplimiento:
Esto ofrece la posibilidad de alcanzar un mayor nivel de seguridad más rápidamente, ya que es más fácil o más en primer plano la participación de la cultura corporativa. La gestión de riesgos es el principal objetivo del Marco de Gestión de Riesgos y la identificación y el tratamiento de los riesgos en la seguridad de la información es el mayor punto de atención. Por lo tanto, un SGSI según el NIST RMF adopta un enfoque muy pragmático. En comparación, la gestión de riesgos según las normas ISO 31000 o BSI es muy rudimentaria y queda en segundo plano o a discreción de la dirección. En el caso de los niveles de seguridad bajos, como la seguridad básica según la norma BSI 200-2, ni siquiera se contempla la gestión de riesgos (6), lo que limita mucho las posibilidades de recomendaciones de actuación y de desarrollo continuo.
Centrarse en el desarrollo de sistemas:
El ciclo de vida del desarrollo del sistema (SDLC) se incorpora directamente a la gestión de riesgos, de modo que en cada fase del desarrollo del sistema se aplican diferentes medidas y procesos para salvaguardar la información. El sistema se guía por la gestión del riesgo, por así decirlo, para poder ofrecer una protección integral (7). El SDLC no se integra automáticamente en todas las demás normas y, por tanto, es más bien una opción adicional que a menudo se pasa por alto o no se considera significativa.
Centrarse en la adaptabilidad:
La adaptación de las medidas a la infraestructura existente ofrece la oportunidad de añadir medidas adicionales, eliminar las redundantes e identificar y gestionar de forma centralizada las medidas intersectoriales (8). Estas opciones están firmemente ancladas en el proceso y deben ser autorizadas también. Este proceso es único y se centra en la confianza en los sistemas más que en la conformidad con las normas o el cumplimiento. Aquí se crea un puente desde el libro de reglas hasta la aplicación pragmática y efectiva.
Adaptación óptima al paisaje del sistema y a la estructura de gobierno:
Se ofrecen conceptos que, al igual que las normas BSI, pueden gestionarse de forma global y centralizada, así como la posibilidad de dividirse en conceptos paraguas más pequeños que se gestionan de forma descentralizada, pero que siguen siendo autónomos. En comparación con la norma ISO 27001, que tiene como principio rector una estructura de gestión en forma de comité y, por tanto, requiere un gran esfuerzo si hay que certificar varios sistemas, la RMF del NIST constituye un proceso en el que los actores pueden ser diferentes. De este modo, es fácil certificar diferentes sistemas en distintos momentos.
En resumen, Alemania persigue una estrategia de seguridad orientada a las normas internacionales, pero se mueve en dirección a la automatización y estandarización del panorama de la seguridad. Esto plantea algunos obstáculos, especialmente en la adaptabilidad a la empresa respectiva. Para las empresas del sector privado, puede ser atractivo mirar también en la dirección de EE.UU. y fijarse en algunos aspectos en los que todavía vemos poca atención en Alemania. Los marcos de gestión de riesgos y los marcos de ciberseguridad del NIST no sólo se desarrollan constantemente y se adaptan al sector correspondiente, sino que también ofrecen la posibilidad de una simple certificación según la norma ISO 27001, ya que se da su cumplimiento. Otros aspectos de la eficacia, como la atención a la gestión de riesgos, la integración de los procesos de desarrollo y el enfoque en la agilidad corporativa, también se están haciendo más evidentes.
Fuentes:
1 cf. Situación actual de la modernización de la IT-Grundschutz, 08.06.2017, Isabel Münch
2 Véase la Ley sobre el aumento de la seguridad de los sistemas de tecnología de la información (Ley de seguridad informática), de 17 de julio de 2015.
3 cf. $8a, Ley sobre el aumento de la seguridad de los sistemas de tecnología de la información (Ley de seguridad informática), de 17 de julio de 2015.
4 p. https://csrc.nist.gov/publications/sp800
5 cf. catálogos de IT-Grundschutz, 15ª edición complementaria – 2016
6 cf. Norma BSI 200-2
7 cf. NIST SP 800-37
8 cf. NIST SP 800-53