Santiago, 31 de mayo del 2024 – En el contexto de la nueva Ley Marco de Ciberseguridad, el pasado 29 de mayo el CSIRT de Gobierno dio inicio a una serie de charlas remotas, orientadas a la gestión del riesgo en ciberseguridad en el sector público.
Con la charla titulada “Introducción a la Gestión de Riesgos en Ciberseguridad”, Cristian Bravo Lillo, director del CSIRT de Gobierno, resaltó la importancia de la gestión de riesgos en el ámbito público. Además, destacó que la gestión de riesgos en ciberseguridad es particularmente compleja, más incluso que en áreas como las operaciones o finanzas, donde existen normas antifraudes claras y ampliamente reconocidas.
“La ciberseguridad no es un producto, es un proceso que se lleva a cabo todos los días. No es un firewall, no es una appliance, ni tampoco es una máquina que se pueda comprar y que garantice totalmente la seguridad. Y definitivamente no es un proceso que aumente la seguridad, sino que es un proceso que busca disminuir la posibilidad de pérdida”, indicó Cristian Bravo.
Un aspecto central de la capacitación, fue el estudio de los diversos frameworks de gestión de riesgo que el CSIRT de Gobierno podría recomendar una vez que la nueva normativa entre en vigencia.
Gestión de Riesgo
Dado que para todas las organizaciones el riesgo y su impacto es diferente, la charla inicialmente abordó la pregunta de qué es un riesgo de ciberseguridad, definiéndolo como “la posibilidad de que un agente de amenaza abuse de una vulnerabilidad y supere un control para afectar un activo, produciendo un impacto técnico que, a su vez, produce un impacto en el negocio”.
Para reducir el impacto de estas amenazas, existe una diversidad de frameworks que ayudan a identificar, analizar y evaluar los riesgos potenciales que podrían afectar los objetivos de las instituciones.
En la capacitación se indicaron las distintas fuentes de estos marcos de trabajo como lo son el Instituto Nacional de Estándar y Tecnologías de Estados Unidos (NIST) y la Organización Internacional de Normalización (ISO), detallándose tres tipos de frameworks de ciberseguridad: los de control, como los controles críticos del Centro de Internet Security (CIS); los de programa, como el NIST-CSF; y los de riesgo, como el Factor Analysis of Information Risk (FAIR).
Los Frameworks de control son los primeros que se recomienda implementar, ya que requieren menos experiencia, tiempo y esfuerzo, por lo tanto, son el mejor comienzo. Entre los frameworks de control destacan el NIST SP 800-53, un catálogo extenso de controles, y los controles críticos del CIS. Ambos permiten establecer una línea base de controles esenciales para una organización y desarrollar un plan inicial o ‘roadmap’ para los equipos de seguridad, basándose en las prioridades.
En segundo lugar, están los frameworks de programa. Estos requieren de más experiencia y tiempo. Son el paso siguiente a los de control y permiten evaluar el estado de un programa de seguridad, para construir un programa de seguridad más completo y que permite medir la madurez en seguridad, realizar comparaciones con la industria -o con el resto del sector público- y simplificar las comunicaciones con las autoridades.
En tercer lugar están los framewoks de riesgo. Son los más específicos y permiten definir cómo medir los riesgos en ciberseguridad, evaluarlos y gestionarlos. Por ejemplo, la norma NIST SP 800-39 define cuatro componentes: el contexto del riesgo (frame), la evaluación del riesgo (assess), la respuesta al riesgo (respond) y el monitoreo del riesgo (monitor).
Cristian Bravo enfatizó en la necesidad de seguir avanzando en la gestión de riesgo y crecer en el entendimiento de que existe una enorme variedad de frameworks, con usos determinados y que demandan cada uno un nivel de experiencia y esfuerzo para ser implementados.
Aproximadamente 200 encargados de ciberseguridad de distintas instituciones estatales asistieron a la capacitación. La charla se repetirá durante el mes de junio, y el 19 de julio se ofrecerá una nueva capacitación enfocada en el framework FAIR, reconocido como uno de los más útiles para la gestión de riesgos en ciberseguridad.