Objetivos del Programa de Ciberseguridad (CPG) de CISA con Incydr

El 28 de julio de 2021, el presidente Biden firmó un memorando titulado "Memorando de seguridad nacional sobre la mejora de la ciberseguridad de los sistemas de control de infraestructuras críticas". Al igual que muchas actividades similares en esa época, fue en respuesta a una serie de ciberataques, a veces devastadores, contra infraestructuras críticas, de los cuales el incidente del oleoducto Colonial fue el más visible. Con el paso del tiempo y la aparición de otros sucesos como el de Log4shell, está claro que la industria necesita ayuda cuando se trata de asegurar la tecnología y las infraestructuras críticas.

Después de un año de seguir la dirección del memorando del presidente Biden, CISA (Agencia de Seguridad de las Infraestructuras de Ciberseguridad & ) ha reunido un fantástico conjunto de lo que ellos llaman "Objetivos de Rendimiento de Ciberseguridad" (CPG, por sus siglas en inglés). Se trata de una lista de comprobación fácil de usar de controles de seguridad clave que representa un punto de partida para alcanzar un nivel respetable de madurez de seguridad. Tiene lagunas y podría beneficiarse de los requisitos de seguridad específicos del sector, pero es una referencia práctica que cubre todos los puntos importantes. Sus 37 requisitos son mucho más fáciles de manejar que todos los controles del NIST SP800-53, por ejemplo.

Evaluar la madurez

¿Qué puede hacer una organización con este documento? Un buen primer paso es utilizar esto como guía para obtener un "estado del arte" en lo que respecta a las herramientas de seguridad de una organización, especialmente si su equipo de seguridad nunca ha realizado una evaluación de madurez antes. Las herramientas de seguridad son sólo uno de los tres pilares de un programa de seguridad, pero en comparación con las personas y los procesos son fáciles de inventariar. Por esta razón, las organizaciones comienzan con un inventario de herramientas de seguridad. y esta lista de comprobación puede facilitar mucho esa discusión.

Ninguna herramienta de seguridad es capaz de cubrir por sí sola todos los requisitos contenidos en las aproximadamente tres docenas de puntos, y muchas organizaciones pueden tener más de una opción cuando se trata de un requisito concreto. Como resultado, es importante analizar sus herramientas y arquitectura de seguridad para ver dónde tiene lagunas y dónde puede cubrir varios requisitos con una sola solución. Hoy en día existen cientos, si no miles, de herramientas de seguridad en el mercado y es difícil para cualquier persona estar familiarizada con todas ellas. Sin embargo, estoy bastante familiarizado con Mimecast Incydr e Instructor, y son magníficos ejemplos de cómo un producto puede ayudar a cumplir varios de los requisitos de esta lista de comprobación publicada recientemente.

Requisitos de reunión en Mimecast

Dispositivos no autorizados con Mimecast Incydr

En cuanto al requisito de Prohibir la Conexión de Dispositivos No Autorizados (2.4), Incydr da visibilidad a los dispositivos de medios extraíbles y a cualquier movimiento de datos no autorizado a esos dispositivos. Curiosamente, este requisito está calificado como de Alta complejidad; Incydr proporciona una forma sencilla de obtener visibilidad de los medios extraíbles sin políticas complicadas y con una configuración mínima. Este requisito no es tan complejo como parece. Incydr también puede ayudar a soportar políticas que prohíben el uso de este tipo de dispositivos en el requisito de Documentar Configuraciones de Dispositivos (2.5), de nuevo proporcionando visibilidad al uso de medios extraíbles. Las políticas son sólo tan buenas como los controles técnicos existentes para detectar violaciones, e Incydr proporciona esta capacidad de detección.

Formación en ciberseguridad con educación en seguridad integrada

La formación en ciberseguridad es otro pilar clave del éxito de los programas de seguridad y se incluye con razón en la lista de comprobación de CISA. Mejore los hábitos de seguridad de los empleados y reduzca el riesgo de los datos con la formación en seguridad de Mimecast Instructor - directamente integrada dentro de Incydr. Instructorpuede ayudar a cumplir los requisitos de formación tanto generalizados como específicos de la actividad en lo que se refiere a los requisitos para la Formación Básica en Ciberseguridad (4.3) y la Formación en Ciberseguridad de la Tecnología Operativa (OT) (4.4). Al proporcionar una formación en seguridad contextual y justo a tiempo que aborda comportamientos potencialmente arriesgados, Instructor es mucho más eficaz que la mayoría de los otros tipos de formación.

Comience con la lista de comprobación CPG de CISA

Espero que este breve recorrido haya sido útil para mostrar cómo se puede utilizar esta lista de comprobación para evaluar la madurez y la cobertura de herramientas de un equipo de seguridad y cómo las herramientas de la pila de seguridad, como Incydr e Instructor, pueden cumplir múltiples requisitos. Cuando se trata de evaluar la madurez y la eficacia de un programa de seguridad, puede ser difícil saber por dónde empezar teniendo en cuenta todos los marcos y guías y las obligaciones de cumplimiento que existen. Los Objetivos de Rendimiento de Ciberseguridad de CISA son un recurso sencillo de aplicar que cualquier empresa de cualquier tamaño puede utilizar como punto de partida para descubrir la cobertura y las lagunas de sus herramientas de seguridad desde cualquier punto del viaje de la seguridad.

**Este blog se publicó originalmente el 28 de julio de 2021.