¿Cybersecurity Framework o ISO 27001?

Share this…

Hace unos meses, el Instituto Nacional de Estándares y Tecnología (NIST por sus siglas en ingles) hizo una publicación para mejorar la seguridad cibernética de infraestructura crítica, conocido comúnmente como Cybersecurity Framework. Esto trajo muchas dudas si ya se está familiarizado con ISO 27001.

Cybersecurity Framework se diseñó inicialmente para las empresas de EE. UU. Que se consideran parte de la infraestructura crítica. No obstante, es adecuado para ser utilizado por cualquier organización que enfrenta riesgos de seguridad cibernética.

Por otro lado, ISO / IEC 27001 es una norma de seguridad cibernética publicada en 2005 y revisada en 2013. Si bien no es obligatorio, se acepta en la mayoría de los países como un marco principal para la implementación de la seguridad de datos. Describe el sistema de gestión de la seguridad de datos y sitúa la seguridad en el contexto de la gestión y los procesos generales de una empresa.

Tanto Cybersecurity Framework como ISO 27001 le brindan la metodología sobre cómo implementar la seguridad cibernética en una organización. Podría implementar cualquiera de estos. Probablemente la mayor similitud es que ambos se basan en la gestión del riesgo: esto significa que ambos requieren que las salvaguardas se implementen solo si se detectan riesgos de seguridad cibernética.

Cybersecurity Framework

Cybersecurity Framework claramente está mejor estructurado cuando se trata de planificación e implementación.

Framework Core está dividido en funciones; Identificar, Proteger, Detectar, Responder y Recuperar, y luego en 22 Categorías relacionadas, por ejemplo, Gestión de Activos, Gestión de Riesgos, etc. similares a las secciones en ISO 27001. 98 subcategorías, y para cada subcategoría se hacen varias referencias a otros marcos como ISO 27001, COBIT, NIST SP 800-53, ISA 62443 y CCS CSC. De esta manera, es muy fácil ver cuáles son los requisitos y dónde encontrar la manera de implementarlos.

nist-cyber-security-framework-cybersecurity-controls-policy

Niveles de Implementación de Cybersecurity Framework; Parcial, informado de riesgo, repetible y adaptable. De esta manera, una empresa puede decidir fácilmente hasta dónde quiere llegar con su implementación, teniendo en cuenta los requisitos.

Entonces es el perfil del marco; Perfil actual, Perfil de destino y otros ayudan a las imágenes en las que se encuentra la organización en este momento, relacionadas con las categorías y subcategorías de Framework Core, y dónde quiere estar. Además, Framework Profiles podría usarse para establecer los requisitos mínimos para otras organizaciones como proveedores o socios. Esto no existe en ISO 27001

En general, Cybersecurity Framework permite que tanto la alta dirección como los ingenieros y demás personal de TI comprendan fácilmente qué se debe implementar y dónde están las vulnerabilidades.

ISO 27001

Una de las mayores ventajas de ISO 27001 es que las empresas pueden certificarse por ella, esto significa que una empresa puede demostrar a sus clientes, socios, accionistas, agencias gubernamentales y otros que pueden mantener su información segura.

Además, ISO 27001 es un estándar aceptado y reconocido internacionalmente: si una empresa desea demostrar su capacidad a sus clientes, socios y gobiernos fuera de su país, ISO 27001 será mucho mejor.

iso 27

ISO 27001 se enfoca en proteger todo tipo de información, no solo la información procesada en los sistemas de TI. Es cierto que la información en papel tiene cada vez menos importancia, pero para algunas compañías tal información aún puede presentar riesgos significativos. ISO 27001 define qué documentos y registros son necesarios, y cuál es el mínimo que debe implementarse.

Finalmente, mientras que Cybersecurity Framework se enfoca solo en cómo planificar e implementar la seguridad cibernética, ISO 27001 adopta un enfoque mucho más amplio, su metodología se basa en el ciclo Planificar, Hacer, Verificar, Actuar (PDCA), lo que significa que construye el sistema de gestión que mantiene y mejora todo el sistema. Sin una medición constante, revisión, auditoría, acciones correctivas y mejoras, dicho sistema se deteriorará gradualmente y finalmente perderá su propósito.

Cual es mejor

Esto no debe ser una cuestión de uno u otro, me parece que sería mejor combinarlos. En realidad, Cybersecurity Framework sugiere que puede complementarse fácilmente con otro programa o sistema, e ISO 27001 ha demostrado ser un muy buen marco general para diferentes metodologías de seguridad de datos.

Por lo tanto, creo que se pueden lograr los mejores resultados si el diseño de la seguridad de datos completa se establece de acuerdo con ISO 27001 y utilizar Cybersecurity Framework en lo que respecta a la gestión de riesgos y la implementación de las áreas y salvaguardas de seguridad particulares.