Marco de ciberseguridad de AGESIC. Todo lo que necesitas saber para su implantación

El uso masivo de las Tecnologías de la Información que aumenta considerablemente cada día ha proporcionado al ser humano ventajas insospechables en cuanto a la comunicación entre nosotros. Sin embargo, este progreso presenta a su vez amenazas sobre la seguridad de los sistemas de información que pueden traer consigo consecuencias graves. Prueba de ello es el aumento de los ataques de ciberseguridad en los últimos meses. Por ejemplo, desde el periódico “El País” apuntan que en 2021 los ciberataques contra el Estado uruguayo aumentaron un 42% respecto al año anterior.

Por ello, las acciones que persiguen el objetivo de asegurar la Seguridad de la Información deben ser continuas y dinámicas. Esto se debe a los cambios y evoluciones tanto en las nuevas tecnologías como en los ataques cibernéticos que, como se ha comentado, aumentan día a día.

Considerando esta situación presente en todo el mundo, Uruguay ha definido un Marco de Ciberseguridad enfocado a la Seguridad de la Información de las organizaciones que busquen una referencia para implementar un sistema que proteja sus activos de información e infraestructuras críticas frente a los riesgos existentes en este ámbito.

Este Marco ha sido desarrollado por AGESIC, la Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento, y se basa principalmente en el Marco de Ciberseguridad definido por el Instituto Nacional de Estándares y Tecnología (NIST CSF). Del mismo modo, ha sido definido tomando como referencia las diferentes normas internacionales que contemplan la Seguridad de la Información entre las que destacan, por ejemplo, la ISO/IEC 27001:2013 o COBIT 5. El hecho de que se haya desarrollado este Marco considerando las normas más conocidas a nivel internacional e implementadas por una gran cantidad de organizaciones, hace que su aplicación sea sencilla en muchos casos en los que la compañía ya tenga procedimientos que se rijan por dichas normas.

El Marco de Ciberseguridad desarrollado por AGESIC tiene como objetivo principal mejorar la ciberseguridad en las infraestructuras críticas de las organizaciones. Sin embargo, se pueden definir los siguientes objetivos más específicos:

• Gestionar los riesgos vinculados a las amenazas de origen cibernético que puedan poner en peligro la Seguridad de la Información de la organización.
• Adoptar políticas relacionadas con la ciberseguridad como pueden ser una política de control de acceso o una política de gestión de incidentes.
• Llevar a cabo proyectos para implementar centros de datos seguros.
• Cumplir con la normativa vigente en materia de Seguridad de la Información de Uruguay.

El enfoque que se ha planteado para este Marco de Ciberseguridad se ha establecido sobre las 5 funciones principales que componen el ciclo de vida de la ciberseguridad. Estas funciones son las siguientes:

• Identificar: se trata de analizar y comprender el contexto de la organización, así como los activos que la componen y los riesgos que están relacionados con ellos. Es una primera aproximación de la estimación de recursos que serán necesarios para el proyecto.
• Proteger: las actividades principales de esta función se centran en la implantación de medidas de protección de los procesos y actividades identificados en el anterior punto.
• Detectar: esta función del ciclo de vida se centra en la monitorización de actividades y la consiguiente detección de posibles incidentes de seguridad en la organización.
• Responder: una vez que se hayan detectado eventos o incidencias de seguridad en la compañía, en este punto se aborda la definición y ejecución de actividades de respuesta ante incidentes con el fin de mitigar o reducir el impacto producido.
• Recuperar: por último, esta función contempla las acciones de gestión llevadas a cabo mediante planes de recuperación o restauración para levantar de nuevo los activos, procesos o servicios caídos debido a la incidencia ocurrida.

Categorías y subcategorías

Dentro de cada una de las funciones definidas se establecen categorías para definir actividades más concretas. Ejemplos de ellas son la gestión de activos, la evaluación de riesgos, la formación, etc. Al mismo tiempo, estas categorías tienen subcategorías, que corresponden a resultados específicos de las actividades que comprenden cada una de las categorías.

Perfiles y prioridad

Dentro de la implantación de este Marco se deberá establecer el perfil de ciberseguridad de la organización. Esta característica se centra en la necesidad de ciberseguridad de la compañía, basándose en los objetivos de negocio, los riesgos de seguridad detectados, etc. Los 3 perfiles que se distinguen son:

• Básico (B): el riesgo de ciberseguridad se considera que es bajo.
• Estándar (E): el riesgo de ciberseguridad se considera moderado.
• Avanzado (A): el riesgo de ciberseguridad es alto, un fallo puede afectar seriamente a los servicios prestados.

En función del perfil establecido y dentro de cada subcategoría, se establece un nivel de prioridad, que indicará un orden de implementación para los diferentes controles que se deberán considerar a lo largo del proyecto. Las prioridades definidas son las siguientes:

• P1: abordaje inmediato y cumplimiento a corto plazo (hasta 1 año).
• P2: implementación a medio plazo (de 1 a 2 años).
• P3: implementación a largo plazo (de 2 a 3 años).
• N/A: no se han identificado requisitos que se ajusten a la subcategoría.

Modelo de Madurez

El Modelo de Madurez se define para las subcategorías que tienen un nivel de prioridad P1 en el perfil. Se definen 5 niveles para evaluar el nivel de madurez:

• Nivel 0: las acciones de ciberseguridad son casi inexistentes.
• Nivel 1: se dispone de iniciativas sobre ciberseguridad, pero las acciones se realizan de forma puntual. Se tiene una alta dependencia del personal que realiza estas acciones porque no se dispone de procedimientos documentados.
• Nivel 2: se implementan pautas para la ejecución de tareas, pero se tiene cierta dependencia del conocimiento individual. En el caso de procedimientos documentados, se dispone de cierta documentación, aunque no mucha.
• Nivel 3: se dispone de documentación sobre procedimientos y políticas. Del mismo modo, se llevan a cabo implementaciones y acciones relacionadas con la ciberseguridad.
• Nivel 4: en este último nivel se tiene todo correctamente planificado. Existe un Responsable de la Seguridad de la Información, se definen acciones para la mejora continua, se informa a las partes interesadas…

Para terminar, cabe destacar que, con el objetivo de ofrecer apoyo y guía a lo largo de la implantación de los requisitos recogidos en el Marco de ciberseguridad, existe documentación al alcance de las organizaciones. Esta documentación se basa en diferentes políticas, plantillas, guías de buenas prácticas, documentación relacionada con la gestión de riesgos, planes de acción y procedimientos. De este modo, estos documentos sirven de referencia y constituyen una gran ayuda en la implementación de procesos.

Desde GlobalSuite Solutions se trabaja implementando los procedimientos que aplica el marco de ciberseguridad de AGESIC, y controlando desde la evaluación del nivel de madurez y la planificación y objetivos hasta la gestión de incidentes, concienciación y el control del cumplimiento normativo. Con la automatización que se consigue a través de GlobalSuite® Security se obtienen los siguientes beneficios:

• El marco de ciberseguridad de AGESIC está precargado en la herramienta para una puesta en marcha inmediata.
• 27% más de ahorro de tiempo utilizando menos recursos con el uso del software, con ello obtienes mejores resultados y su consolidación.
• 25% de optimización en la realización de los requerimientos referentes al marco de ciberseguridad de AGESIC.
• Realizando el ciclo de mejora continua hasta un 26% más rápido sin duplicidad de información y disponiendo de resultados más fiables.
• Homogeneización con otros marcos, estándares o leyes de gestión de riesgos, continuidad de negocio, privacidad, etc.
• Simplifica la gestión del regulado y la supervisión del regulador al ser un entorno colaborativo.
• Garantía de estar siempre actualizado a la última de las versiones del marco y otros estándares similares.
• Facilita la toma de decisiones a través de un cuadro de mando donde se ven las acciones del personal evitando pérdida de información y controlando las modificaciones de los datos.
• Capacidad de integración con otros softwares de tu compañía para aprovechar la gestión de otras áreas, por ejemplo, empleados, procesos, incidencias, etc.