El panorama de la seguridad de la informaci\u00f3n en el mundo es relativamente diverso, con diferentes enfoques y normas, pero hay un pa\u00eds en particular que destaca: Alemania. Mientras que otros pa\u00edses se basan en las normas americanas publicadas por el NIST (National Institute for Standards in Technology) para la gesti\u00f3n de riesgos, el \u00abMarco de Gesti\u00f3n de Riesgos\u00bb (NIST RMF), y para la seguridad de las infraestructuras cr\u00edticas, el \u00abMarco de Ciberseguridad\u00bb (NIST CSF), Alemania elabora su propia norma. En este art\u00edculo explicamos qu\u00e9 ventajas podr\u00eda ofrecer el NIST en Alemania adem\u00e1s de las normas BSI.<\/p>\n\n
Antecedentes de la situaci\u00f3n internacional actual de la seguridad de la informaci\u00f3n La norma ISO 27001 es uno de los principales marcos para la seguridad de la informaci\u00f3n y es exigida por muchas empresas como requisito para la cooperaci\u00f3n, por lo que muchos buscan la certificaci\u00f3n. Otras normas, como TISAX de la VDI y las normas BSI 200-x, se basan en la norma ISO, lo que aumenta su popularidad. Por otro lado, est\u00e1n las normas del NIST, el Instituto de Normalizaci\u00f3n Tecnol\u00f3gica estadounidense, como alternativa, por lo que ambos marcos tambi\u00e9n se complementan muy bien. Est\u00e1n prescritas para las autoridades estadounidenses por la legislaci\u00f3n y se desarrollan constantemente. En 2014, el Departamento de Defensa de Estados Unidos (DoD) sustituy\u00f3 el Proceso de Certificaci\u00f3n y Acreditaci\u00f3n de la Seguridad de la Informaci\u00f3n, que entr\u00f3 en vigor en 2006, por su sucesor, el Marco de Gesti\u00f3n de Riesgos (RMF) del NIST. Dado que la RMF del NIST es obligatoria y se impone a las agencias gubernamentales de EE.UU., esta norma est\u00e1 espec\u00edficamente adaptada al entorno de las agencias gubernamentales y no a las empresas privadas. Para abordar esto, el NIST public\u00f3 el Marco de Ciberseguridad del NIST (NIST CSF) en 2014. Sin embargo, la estructura del CSF es fundamentalmente diferente de la del RMF del NIST, ya que se trata de un marco solo y es fundamentalmente diferente del proceso de gesti\u00f3n de riesgos. El NIST CSF describe la estructura b\u00e1sica del proceso en el que se enmarca un SGSI. Las medidas de seguridad que se apliquen pueden tomarse de otra norma, como la ISO 27001 o el apoyo a la NIST SP 800-53, que tambi\u00e9n sirve para el RMF. Por estas razones, el MCA del NIST no deber\u00eda aplicarse solo, sino junto con un cat\u00e1logo de medidas para una integraci\u00f3n \u00f3ptima. Una vez visto el car\u00e1cter internacional de los distintos marcos, pasamos a la situaci\u00f3n en Alemania.<\/p>\n\n El proceso de creaci\u00f3n de una infraestructura segura consta de 5 pasos tanto para el RMF como para el CSF: La BSI ha creado una norma para la seguridad de las infraestructuras cr\u00edticas y, por tanto, publica el mismo prop\u00f3sito que el NIST RMF. El enfoque por s\u00ed solo es claramente diferente. Las normas de las BSI se centran en las medidas obligatorias y en el cumplimiento de las mismas, m\u00e1s que en la adaptaci\u00f3n de la estrategia al panorama de riesgos actual. Por otra parte, tambi\u00e9n se centra en los valores (activos) y ofrece poco apoyo o elaboraci\u00f3n en el \u00e1mbito de la gesti\u00f3n de riesgos en comparaci\u00f3n con el RMF del NIST. Sin embargo, la norma se inclina cada vez m\u00e1s hacia la norma ISO 27001, como demuestran los \u00faltimos cambios en la serie 200 frente a la serie 100. (1)<\/em><\/p>\n\n Estas normas BSI, serie 200-x as\u00ed como 100-4, se utilizan como base para muchas autoridades alemanas, ya que debe implantarse un SGSI de vanguardia (3<\/em> )<\/em> para los operadores de infraestructuras cr\u00edticas de acuerdo con la Ley de Seguridad Inform\u00e1tica de 2015 (2<\/em> ). Esto llena el vac\u00edo para asegurar las infraestructuras cr\u00edticas en el sector p\u00fablico y hace que el NIST pase a un segundo plano como alternativa. En resumen, se puede suponer que las siguientes razones son las responsables de este desplazamiento: Ahora bien, estas ventajas ofrecen mucho en cuanto a la seguridad de la informaci\u00f3n, quedando en segundo plano otros aspectos que no debemos olvidar. El NIST CSF y el RMF proporcionan apoyo a trav\u00e9s de una perspectiva diferente del riesgo empresarial:<\/p>\n\n Todos los documentos pertinentes publicados por el NIST, en particular la serie SP 800-x, cuentan con el apoyo del gobierno y est\u00e1n disponibles gratuitamente, aunque s\u00f3lo en ingl\u00e9s (4)<\/em>. Esto hace que sea muy f\u00e1cil anunciar los documentos pertinentes en la empresa. En comparaci\u00f3n con la norma ISO, en la que cada lector incurre en costes, lo que puede suponer importantes obst\u00e1culos para las grandes empresas. Las normas BSI tambi\u00e9n son de libre acceso, pero como se basan en herramientas y es dif\u00edcil que los empleados trabajen eficazmente con los cat\u00e1logos de IT-Grundschutz de 5082 p\u00e1ginas, tenemos aqu\u00ed un obst\u00e1culo adicional en la legibilidad (5)<\/em>.<\/p>\n\n Esto ofrece la posibilidad de alcanzar un mayor nivel de seguridad m\u00e1s r\u00e1pidamente, ya que es m\u00e1s f\u00e1cil o m\u00e1s en primer plano la participaci\u00f3n de la cultura corporativa. La gesti\u00f3n de riesgos es el principal objetivo del Marco de Gesti\u00f3n de Riesgos y la identificaci\u00f3n y el tratamiento de los riesgos en la seguridad de la informaci\u00f3n es el mayor punto de atenci\u00f3n. Por lo tanto, un SGSI seg\u00fan el NIST RMF adopta un enfoque muy pragm\u00e1tico. En comparaci\u00f3n, la gesti\u00f3n de riesgos seg\u00fan las normas ISO 31000 o BSI es muy rudimentaria y queda en segundo plano o a discreci\u00f3n de la direcci\u00f3n. En el caso de los niveles de seguridad bajos, como la seguridad b\u00e1sica seg\u00fan la norma BSI 200-2, ni siquiera se contempla la gesti\u00f3n de riesgos (6)<\/em>, lo que limita mucho las posibilidades de recomendaciones de actuaci\u00f3n y de desarrollo continuo.<\/p>\n\n El ciclo de vida del desarrollo del sistema (SDLC) se incorpora directamente a la gesti\u00f3n de riesgos, de modo que en cada fase del desarrollo del sistema se aplican diferentes medidas y procesos para salvaguardar la informaci\u00f3n. El sistema se gu\u00eda por la gesti\u00f3n del riesgo, por as\u00ed decirlo, para poder ofrecer una protecci\u00f3n integral (7)<\/em>. El SDLC no se integra autom\u00e1ticamente en todas las dem\u00e1s normas y, por tanto, es m\u00e1s bien una opci\u00f3n adicional que a menudo se pasa por alto o no se considera significativa.<\/p>\n\n La adaptaci\u00f3n de las medidas a la infraestructura existente ofrece la oportunidad de a\u00f1adir medidas adicionales, eliminar las redundantes e identificar y gestionar de forma centralizada las medidas intersectoriales (8)<\/em>. Estas opciones est\u00e1n firmemente ancladas en el proceso y deben ser autorizadas tambi\u00e9n. Este proceso es \u00fanico y se centra en la confianza en los sistemas m\u00e1s que en la conformidad con las normas o el cumplimiento. Aqu\u00ed se crea un puente desde el libro de reglas hasta la aplicaci\u00f3n pragm\u00e1tica y efectiva.<\/p>\n\n Se ofrecen conceptos que, al igual que las normas BSI, pueden gestionarse de forma global y centralizada, as\u00ed como la posibilidad de dividirse en conceptos paraguas m\u00e1s peque\u00f1os que se gestionan de forma descentralizada, pero que siguen siendo aut\u00f3nomos. En comparaci\u00f3n con la norma ISO 27001, que tiene como principio rector una estructura de gesti\u00f3n en forma de comit\u00e9 y, por tanto, requiere un gran esfuerzo si hay que certificar varios sistemas, la RMF del NIST constituye un proceso en el que los actores pueden ser diferentes. De este modo, es f\u00e1cil certificar diferentes sistemas en distintos momentos.<\/p>\n\n En resumen, Alemania persigue una estrategia de seguridad orientada a las normas internacionales, pero se mueve en direcci\u00f3n a la automatizaci\u00f3n y estandarizaci\u00f3n del panorama de la seguridad. Esto plantea algunos obst\u00e1culos, especialmente en la adaptabilidad a la empresa respectiva. Para las empresas del sector privado, puede ser atractivo mirar tambi\u00e9n en la direcci\u00f3n de EE.UU. y fijarse en algunos aspectos en los que todav\u00eda vemos poca atenci\u00f3n en Alemania. Los marcos de gesti\u00f3n de riesgos y los marcos de ciberseguridad del NIST no s\u00f3lo se desarrollan constantemente y se adaptan al sector correspondiente, sino que tambi\u00e9n ofrecen la posibilidad de una simple certificaci\u00f3n seg\u00fan la norma ISO 27001, ya que se da su cumplimiento. Otros aspectos de la eficacia, como la atenci\u00f3n a la gesti\u00f3n de riesgos, la integraci\u00f3n de los procesos de desarrollo y el enfoque en la agilidad corporativa, tambi\u00e9n se est\u00e1n haciendo m\u00e1s evidentes. Fuentes: El panorama de la seguridad de la informaci\u00f3n en el mundo es relativamente diverso, con diferentes enfoques y normas, pero hay un pa\u00eds en particular que destaca: Alemania. Mientras que otros pa\u00edses se basan en las normas americanas publicadas por el NIST (National Institute for Standards in Technology) para la gesti\u00f3n de riesgos, el \u00abMarco […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_et_pb_use_builder":"","_et_pb_old_content":"","_et_gb_content_width":"","footnotes":""},"categories":[12],"tags":[],"class_list":["post-2796","post","type-post","status-publish","format-standard","hentry","category-sin-categorizar"],"yoast_head":"\nVentajas de la implantaci\u00f3n seg\u00fan BSI en Alemania<\/h4>\n\n
Ventajas de la aplicaci\u00f3n seg\u00fan el NIST en Alemania<\/h4>\n\n
Disponibilidad gratuita y f\u00e1cil aplicaci\u00f3n:<\/h4>\n\n
Centrarse en la confianza y el riesgo en lugar de en el cumplimiento:<\/h4>\n\n
Centrarse en el desarrollo de sistemas:<\/h4>\n\n
Centrarse en la adaptabilidad:<\/h4>\n\n
Adaptaci\u00f3n \u00f3ptima al paisaje del sistema y a la estructura de gobierno:<\/h4>\n\n