TrustCloud actualiza certificaciones de ciberseguridad del NIST

TrustCloud afianza su compromiso con la ciberseguridad con la renovación de las auditorías de cumplimiento del Marco de Trabajo del NIST y la inclusión de una nueva.

P

ertenecer al Marco de Trabajo de Ciberseguridad (Cybersecurity Framework, CSF) que desarrolla el Instituto Nacional de Estándares y Tecnología de Estados Unidos (National Institute of Standards and Technology, NIST) es una de las formas más útiles que tienen las empresas de todo tipo de optimizar la gestión y reducir los riesgos en el campo de la ciberseguridad. Está en el ADN de TrustCloud, como líder en transacciones digitales seguras, trabajar concienzudamente con el objetivo de formar parte de él, aprovechando sus instrumentos y planes de acción.

El CSF nació como una iniciativa del gobierno de Barak Obama en 2013, siendo una respuesta al crecimiento exponencial de ataques cibernéticos que sufrían instituciones tanto públicas como privadas y que ponían en riesgo constante la seguridad nacional. El NIST recibió el encargo de llevarlo a cabo y, aunque no era la primera vez que se creaba una guía de este tipo, su proyecto superó con creces el alcance de manuales anteriores.

El marco tiene carácter voluntario y unifica un conjunto de estándares y mejores prácticas sobre gestión del riesgo. No es un protocolo rígido, sino que está pensado para complementar las soluciones de ciberseguridad de la empresa, por lo que es un magnífico punto de partida para mejorar los protocolos existentes o para crear uno nuevo. El CSF explica y otorga herramientas para comprender las amenazas, analizar los puntos débiles y proteger la información sensible. Es muy útil en los procesos de auditoría y también un camino para hacer más sólidas las relaciones de cada organización que lo adopte con sus socios y colaboradores.

El CSF se basa en un enfoque holístico. Es decir, no se trata solo de un análisis técnico del área de ciberseguridad, sino un modelo sobre el que diseñar toda una estrategia que someta a un examen continuo los procesos y los recursos humanos.

Para que las empresas puedan desarrollar las diferentes actuaciones, el Marco propone un punto de inicio basado en 5 pilares, que serían el corazón de la estrategia.

• Identificar. Cada empresa deberá ser capaz de definir sus necesidades concretas, los recursos del área de seguridad y el contexto. A partir de ahí, priorizará sus esfuerzos.
• Proteger. Describe las medidas adecuadas para contener los efectos de un evento de ciberseguridad.
• Detectar. Define las actividades necesarias para descubrir a tiempo posibles grietas en ciberseguridad.
• Responder. Este epígrafe comprende las acciones necesarias que se tomarían para hacer frente a un incidente cuando ya se ha producido.
• Recuperar. Esta función explicaría las actividades necesarias para restaurar capacidades o servicios dañados después de un evento de ciberseguridad.

Los Niveles de implementación del marco están definidos por tres puntos: Proceso de Gestión de Riesgos, Programa de Gestión Integrada de Riesgos y Participación Externa. Van del Nivel 1 al Nivel 4 (1-Parcial, 2-Riesgo Informado, 3-Repetible, 4-Adaptable), y están orientados a cómo una organización ve el riesgo de ciberseguridad y los procesos que tienen activados para mitigarlo. NIST anima a las organizaciones a que estimen pasar al Nivel 4, pero solo cuando se considere una solución adecuada para reducir su nivel de riesgo y, al mismo tiempo, ser realista, en función de la rentabilidad. TrustCloud es nivel 3, pero para este segundo año alcanzará el nivel 4, porque su sistema no es solo repetible, sino que es adaptable.

Industrias de todo el mundo se están adhiriendo al CSF dada su flexibilidad, ya que su metodología puede adecuarse a cualquier tipo de empresa, sea cual sea su sector o el país en el que radique. Otras de sus ventajas son la simplicidad de su enfoque, comprensible para toda la comunidad técnica, y la escalabilidad. El Marco está pensado para adecuarse a empresas de todo tamaño y crecer con ellas. Aunque las circunstancias previas de cada organización son esenciales, el Marco siempre se orienta a que la mejora en el rendimiento de los sistemas de seguridad no repercutan en la rentabilidad.

La auditoría de cumplimiento NIST 800-63, que acaba de renovar TrustCloud, proporciona controles de seguridad y privacidad para procesos de identidad y autenticación. Dicho de otro modo, el estándar 800-63 es una orientación sobre la manera más adecuada de realizar una identificación en un servicio en remoto. Industrias de cualquier sector que realicen identificaciones de usuarios, como las fintech, se benefician del acceso a este sello. En el caso de TrustCloud, como proveedor de identidad digital, esta certificación adquiere un valor muy relevante. La norma propone distintos niveles de seguridad, que se aplicarían a cada transacción, dependiendo del uso y el impacto de esta. Según la naturaleza de la transacción, la guía propone desde una identificación sencilla a una compleja, multifactor. Así mismo, NIST 800-63 tiene en cuenta diversas consideraciones de seguridad y gestión de las sesiones de autenticación, analiza las amenazas posibles en cada nivel de seguridad y los métodos que debe poner en funcionamiento cada solución para blindar cualquier posible brecha.

Por su parte, la norma NIST 800-171 implantada y auditada en TrustCloud, proporciona una serie de directrices y recomendaciones sobre cómo debe protegerse, almacenarse y transmitirse la confidencialidad de la Información No Clasificada Controlada (Controlled Unclassified Information, CUI). La categoría CUI, de uso dentro de Estados Unidos, aglutina 3 antiguas denominaciones referentes a información sensible, y hace referencia a la información creada por el gobierno o por una entidad que actúa en nombre de este y que necesita especial protección. Lograr el cumplimiento de la NIST 800-171 era un paso crucial para que TrustCloud pudiese desarrollar sus proyectos en Estados Unidos.

El Marco de Trabajo del NIST es un conjunto de normas muy completo y también exigente, que requiere un gran esfuerzo por parte de las empresas para obtener los informes favorables necesarios. Con la renovación y obtención de estas certificaciones, TrustCloud sigue demostrando su fuerza como proveedor de transacciones digitales seguras, apostando por potentes protocolos en ciberseguridad, administrando y reduciendo cada vez mejor los riesgos y protegiendo redes y datos.