La publicación
lanzada el día de ayer del Framework final de Ciberseguridad NIST es una
llamada de acción para las compañías que manejan infraestructuras críticas en
los Estados Unidos. Con el eje central del Framework cambiando mínimamente, en
comparación con las versiones previas, se hace un llamado a una amplia gama de
compañías desde finanzas y cuidados de salud hasta energéticas y de tecnologías
de la información, a estar preparadas para adoptar y probar que sus prácticas
de ciberseguridad son consistentes con las prácticas subrayadas. La diferencia
primordial del borrador preliminar es una revisión a su sección de privacidad,
puesto que los críticos sintieron que el borrador preliminar de la sección de
privacidad sería tan costosa y prescriptiva para disuadir la adopción masiva
del Framework, que hasta el momento, es todavía voluntario.
El Framework de Ciberseguridad NIST: “¿Comercialmente
razonable?”
Al pasar el tiempo,
con los incentivos federales ofrecidos y las industrias aceptando y cumpliendo
con el Framework, es más que seguro que el sector privado se mudará hacia el
modelo de ciberseguridad NIST mediante la ley de responsabilidad común. Algunos
especialistas en privacidad de datos ya están especulando que el Framework
posiblemente se convierta en un estándar para lo que se considera
“comercialmente razonable” para corporaciones que tienen escrutinio de los
reguladores o estén relacionados en un litigio relacionado a brecha de datos.
¿Trabajar a este
estándar es buena “ciudadanía corporativa”, buena seguridad, buen sentido de
negocios? Muchos convergerían en que lo es. Sin embargo, la posición de nuestra
compañía es que el Framework queda corto en un área clave: falla al momento de
llamar para una búsqueda activa de amenazas en curso, riesgo proactivo e
inteligencia de seguridad. Desde el simple punto de vista de defensa propia
organizacional, tiene sentido en esta era de propiedad intelectual, legal y
riesgos de la información para que las organizaciones cumplan con los
estándares más altos posibles de seguridad.
“Próximas prácticas”: Inteligencia de Seguridad Proactiva
para la Búsqueda Temprana de Amenazas
Con un reporte
reciente de una encuesta de Seguridad de Dispositivos SANS se muestra que más
del 47 por ciento de los profesionales en seguridad corporativa creen que su
organización ya ha sido comprometida, está claro que los sistemas de prevención
de intrusos son un acercamiento ineficiente para defender activamente contra
amenazas internas y externas a los datos sensibles. Ejecutivos que deseen
garantizar que nuestras corporaciones están excediendo su deber de importancia
con respecto a la ciberseguridad les vendría bien adoptar el Framework de
Ciberseguridad NIST como una línea base, para posteriormente ir un paso más
adelante estableciendo inteligencia de seguridad proactiva.
Habilitando equipos
de seguridad de la información para cazar de manera activa las amenazas,
basados en la inteligencia más temprana de todos los dispositivos corporativos,
en una forma en que estén bien documentados, que pueda ayudar al concejo
corporativo, ejecutivos y directorios y hacer un caso en cualquier momento en
el que hayan encontrado o excedido lo que probablemente se convierta en el
estándar de facto en los negocios Americanos.
Mark Harrington es Consejero General y Secretario Corporativo en Guidance Software y vela mundialmente por las responsabilidades legales de la compañía.
Traducido del original en ingles, RDP Hacks: A Legal Perspective on the NIST Cybersecurity Framework
RELACIONADOS
Guerra de Fronteras: Respuestas de Incidentes vs. Investigación Forense
La Infraestructura de la Ciberseguridad: Identificación, Colaboración y Defensa Proactiva
Unirse a Nuestro Grupo de LinkedIn en Español Sobre EnCase
Dale Un "Like" a Nuestro Pagina de Facebook en Español Sobre EnCase
La Infraestructura de la Ciberseguridad: Identificación, Colaboración y Defensa Proactiva
Unirse a Nuestro Grupo de LinkedIn en Español Sobre EnCase
Dale Un "Like" a Nuestro Pagina de Facebook en Español Sobre EnCase
No hay comentarios :
Publicar un comentario